ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le jeudi 11 mai 2017
[Enregistrement électronique]
[Traduction]
Bienvenue à tous à la réunion numéro 60. Nous poursuivons notre étude de la LPRPDE.
Nous accueillons aujourd'hui Robert Ghiz, de l'Association canadienne des télécommunications sans fil, Linda Routledge et Charles Docherty — de East York, précisément, dans ma circonscription —, de l'Association des banquiers canadiens, et Wally Hill et David Elder, de l'Association canadienne du marketing.
Bienvenue à tous.
Nous allons commencer par Robert Ghiz. Vous avez 10 minutes. Tous les témoins auront 10 minutes pour présenter une déclaration, puis nous passerons aux questions.
Merci beaucoup, monsieur le président, et merci aux membres du Comité de m'offrir l'occasion de fournir le point de vue de l'Association canadienne des télécommunications sans fil, ce que j'appelerai l'ACTSF, au sujet de la Loi sur la protection des renseignements personnels et les documents électroniques.
C'est nouveau pour moi, alors soyez indulgents. J'ai été membre de ce genre de comités pendant 12 ans, mais j'étais à votre place. Le point de vue est un petit peu différent pour moi, ici. Je ferai de mon mieux.
L'ACTSF représente des entreprises membres de toutes les parties du secteur du sans fil, y compris les entreprises de services sans fil, les fabricants d'équipements et d'autres entreprises qui fournissent des services et produits à l'industrie. Au cours des 30 dernières années, les entreprises de services sans fil du Canada ont fait des investissements de capital de plus de 42 milliards de dollars pour construire des infrastructures sans fil et elles continuent d'investir à un rythme de plus de 2,5 milliards de dollars par année. Ces investissements sont rentables. Aujourd'hui, 99,3 % des Canadiens ont accès aux réseaux canadiens de niveau mondial.
[Français]
La technologie 5G étant à nos portes, tout le secteur des communications sans fil travaille à maintenir son rôle de vecteur de l'innovation.
Conserver la souplesse de la Loi sur la protection des renseignements personnels et les documents électroniques et appliquer celle-ci de manière équitable à tous les secteurs contribueront également à favoriser l'innovation.
Dans son témoignage, le commissaire à la protection de la vie privée a souligné les grandes forces de la Loi: elle est neutre sur le plan technologique et elle est fondée sur des principes d'application générale.
Le commissaire a suggéré quatre enjeux pour guider votre étude: le consentement, la réputation, les pouvoirs d'exécution et le caractère adéquat du régime canadien par rapport au nouveau règlement européen.
Mes commentaires porteront sur l'incidence de ces quatre enjeux sur la capacité du secteur des communications sans fil à servir ses clients ainsi que sur sa capacité à concurrencer et à innover au sein de l'économie numérique.
[Traduction]
Pour ce qui est de la question du consentement, le commissaire a laissé entendre qu'il ne sera peut-être plus raisonnable dans toutes les circonstances, vu l'impact des technologies. À cette affirmation, je répondrai premièrement en paraphrasant un commentaire formulé par l'un de nos membres durant les consultations du commissaire à la protection de la vie privée: à mesure que la technologie évolue, il en va de même de l'appréciation et de la compréhension qu'en ont les consommateurs.
La manière dont nos entreprises membres s'efforcent d'être transparentes avec leurs clients au sujet de la façon dont les renseignements personnels sont traités — par exemple, grâce à des politiques de confidentialité plus claires — est un élément central de leur relation de confiance avec leurs clients. L'atout le plus important pour faire des affaires au XXIe siècle, c'est la fiabilité, et nos membres le savent très bien.
Pour ce qui est de l'application du principe de consentement, l'application juste et équitable de ce principe à l'échelle des secteurs de l'industrie est essentielle à la capacité de nos membres de compétitionner dans le marché numérique et de conserver la confiance des clients dans l'économie numérique. Ce que nous appelons le secteur du sans fil existe depuis environ 30 ans, et ce secteur est donc beaucoup plus jeune qu'une bonne partie des entreprises que nous représentons. Malgré tout, aujourd'hui, le secteur dynamique du sans fil au Canada est responsable de près de 139 000 emplois à temps plein et de 13,3 milliards de dollars en contribution directe au PIB. Pour continuer à croître, innover et compétitionner avec les grandes entités à l'échelle mondiale, nos membres doivent être sûrs que les règles s'appliqueront de la même façon aux entreprises canadiennes qu'aux intervenants non canadiens. Cette symétrie dans l'application des règles est aussi bénéfique pour les consommateurs, qui auraient raison de s'attendre à ce que leurs renseignements personnels soient traités de façon similaire dans des contextes similaires.
Selon nous, élargir la définition des utilisations acceptables pour des intérêts d'affaires légitimes pourrait fournir plus de clarté à cet égard. Par exemple, au sein de l'Union européenne, les renseignements personnels peuvent être utilisés à des fins qui soutiennent les intérêts légitimes de l'entité qui contrôle les données, tant que ces objectifs ne sont pas incompatibles avec l'objectif initial pour lequel les renseignements ont été recueillis et aussi longtemps que les utilisations n'enfreignent pas les libertés et droits fondamentaux de la personne concernée par les données. Un tel modèle permettrait à nos membres d'innover et de compétitionner à l'échelle internationale tout en respectant les droits fondamentaux des gens et la relation d'affaires qui existe déjà entre les entreprises et leurs clients.
Pour ce qui est de l'enjeu de la réputation, plusieurs témoins ont laissé croire que le Canada entend peut-être suivre ce qui se fait en Europe et inclure un droit explicite à l'oubli dans son cadre législatif. Concrètement, le droit européen à l'oubli exige que les entités commerciales reçoivent des plaintes directement des personnes, qu'elles évaluent le bien-fondé de ces plaintes et qu'elles modifient leurs systèmes, au besoin. Je ne vais pas conseiller le Comité quant à savoir si le droit à l'oubli de type européen permet d'établir un juste équilibre entre la protection des renseignements personnels et la liberté d'expression des Canadiens. Cependant, je demande instamment au Comité de ne pas oublier le fardeau potentiel que de telles mesures pourraient imposer dans le cadre des opérations des entreprises canadiennes qui participent à l'économie numérique.
En ce qui concerne les pouvoirs d'application de la loi, le commissaire à la protection de la vie privée a laissé entendre que le plus grand pouvoir d'application de la loi entraînerait une meilleure conformité avec la LPRPDE. L'ACTSF croit que le modèle d'ombudsman actuel est mieux adapté au cadre actuel fondé sur des principes. Une relation de collaboration entre l'industrie et l'organisme de réglementation est plus efficient, et donne de meilleurs résultats pour les consommateurs. Si on donnait au commissaire des pouvoirs d'imposer des amendes et des ordonnances, les entreprises canadiennes se retrouveraient dans une relation conflictuelle, ce qui découragerait le règlement informel et rapide des plaintes et pourrait être néfaste pour les consommateurs.
Actuellement, le commissaire peut déjà nommer les entreprises dont on juge qu'elles enfreignent la LPRPDE. La possible atteinte à la réputation découlant d'une constatation de non-conformité par le commissaire est une mesure dissuasive suffisante, vu l'importance de la confiance des clients au sein de l'économie numérique. Nous ferions valoir que des amendes ne seraient pas une mesure dissuasive plus forte que l'atteinte à la réputation de l'entreprise.
Dans les cas précis de manquement, nous prévoyons l'entrée en vigueur d'exigences obligatoires en matière de production de rapports et de tenue de dossiers, qui ont été ajoutées à la LPRPDE au moment de l'adoption de la Loi sur la protection des renseignements personnels numériques, en 2015. Ces dispositions seront soutenues par des amendes pouvant atteindre 100 000 $. Les manquements en tant que tels peuvent déjà faire l'objet d'un recours collectif. Nous faisons valoir que la structure fondée sur les principes de la LPRPDE n'exige pas nécessairement des pouvoirs d'application de la loi. La Loi serait mieux servie par des directives régulières du commissaire à la protection de la vie privée. Des documents d'orientation proactifs du commissaire pourraient expliquer de quelle façon il faut appliquer les principes généraux de la LPRPDE aux nouveaux modèles d'affaires. Au bout du compte, c'est injuste pour les consommateurs que les entreprises avec lesquelles ils font des affaires devraient attendre le dépôt de plaintes afin de mettre au point des politiques sur la gestion des renseignements personnels dans les nouveaux secteurs d'activité.
Un exemple précis, c'est l'orientation que produira bientôt le commissaire à la protection de la vie privée sur les véhicules connectés. Les véhicules connectés — et, dans quelques années, les véhicules automatisés —, ne sont qu'un exemple des nombreux avantages sociaux qui seront associés aux réseaux sans fil 5G. Par conséquent, l'ACTSF partage la préoccupation du commissaire à la protection de la vie privée qui veut viser juste en matière de protection des renseignements personnels rapidement dans le cadre du processus. Nous espérons avoir l'occasion de communiquer au commissaire le point de vue de notre industrie à ce sujet ainsi qu'au sujet des documents d'orientation futurs.
Pour ce qui est de conserver le caractère adéquat du cadre canadien aux yeux de l'Union européenne, je tiens à dire que nos membres reconnaissent l'importance de préserver la capacité des entreprises canadiennes d'oeuvrer sur les autres continents, tout comme les entreprises Internet étrangères nous livrent concurrence sur notre propre territoire. Nous demandons au Comité de tenir compte des répercussions opérationnelles sur les entreprises canadiennes de toute modification législative apportée au régime canadien.
[Français]
En terminant, je dirai une fois de plus que nous sommes déterminés à conserver notre bilan positif en matière de respect de la Loi et nos bonnes relations avec le commissaire. Le modèle actuel favorise une approche collaborative avec le commissaire. Cela nous a permis de mettre l'accent sur des résultats positifs pour nos clients.
[Traduction]
Merci beaucoup de votre temps, aujourd'hui. Je serai heureux de répondre à vos questions tantôt.
Merci beaucoup, monsieur Ghiz.
Nous allons maintenant céder la parole à Linda Routledge et Charles Docherty, de l'Association des banquiers canadiens.
Merci beaucoup, monsieur le président, et bonjour.
Je m'appelle Linda Routledge, et je représente l'Association des banquiers canadiens. Je suis accompagné par mon collègue, Charles Docherty, notre conseiller principal. Nous sommes heureux de pouvoir discuter avec vous aujourd'hui de la Loi sur la protection des renseignements personnels et les documents électroniques.
L'ABC représente 62 membres, soit des banques canadiennes ainsi que des filiales et des succursales de banques étrangères exerçant des activités au Canada, et leurs 280 000 employés. La confidentialité et la protection des renseignements personnels des clients est, et a toujours été, la pierre angulaire des services bancaires. Étant donné la nature des services qu'ils offrent à des millions de clients, les banques sont les gardiens fiables d'une importante quantité de renseignements personnels. Les banques prennent très au sérieux cette responsabilité. Elles sont engagées à protéger les renseignements personnels des clients et à respecter non seulement les exigences imposées par les lois en matière de renseignements personnels, mais également les attentes de leurs clients. Une ancienne adjointe à la protection de la vie privée a déjà reconnu que la protection des renseignements personnels est inscrite dans l'ADN des banques.
Les banques font partie des toutes premières organisations assujetties à la LPRPDE en 2001. Nous sommes d'avis que, jusqu'à présent, la LPRPDE a permis d'atteindre un bon équilibre entre la protection des renseignements personnels d'une personne et l'usage légitime des renseignements personnels par les organisations. Fondée sur des principes et technologiquement neutre, la LPRPDE fournit les dispositions nécessaires pour encadrer les innovations, les nouvelles technologies et les modèles de gestion nouveaux. Généralement, la Loi est en bonne position pour maintenir ce mandat à l'avenir. Cela dit, les banques désirent proposer quelques changements qui, à notre avis, apporteraient une amélioration et une clarification aux dispositions de la LPRPDE, de façon à rendre l'industrie plus efficace. Ces suggestions s'inscrivent dans trois catégories: la validité du consentement, les crimes financiers et les droits d'accès.
Sur la question de la validité du consentement, les banques recueillent les renseignements personnels nécessaires afin de fournir aux clients les produits et les services qu'ils demandent. Elles le font conformément aux exigences de la LPRPDE et elles prennent les mesures nécessaires pour que les clients comprennent la nature du consentement qu'ils donnent. Toutes les banques ont prévu une politique en matière de renseignements personnels et ont nommé un responsable de la conformité pour veiller au respect de cette politique. La confiance des clients étant, et ayant toujours été, une priorité pour les banques, ces dernières tiennent fortement à ce que la capacité de leurs clients à fournir un consentement valide soit améliorée.
Le Comité a entendu plusieurs témoins qui ont mis en doute la validité du consentement fourni par les personnes, vu la complexité des modalités présentées au moment d'acquérir tout produit ou service. Nous suggérons, comme moyen possible de répondre à cette préoccupation, de simplifier les avis de confidentialité afin de rendre le consentement non requis pour les usages auxquels les personnes s'attendent et qu'elles considèrent comme raisonnables. Plus particulièrement, nous soutenons qu'un consentement explicite ne devrait pas être requis dans le cas des fins commerciales légitimes, dont voici certains exemples. Les fins pour lesquelles les renseignements personnels ont été recueillis, la prestation de services, la compréhension ou la livraison de produits ou de services qui répondent aux besoins des clients et la formation dans le cadre du service à la clientèle.
La suppression de l'exigence de consentement explicite lorsque la collecte de renseignements se fait à des fins d'affaires légitimes simplifierait l'énoncé de l'avis de confidentialité, facilitant par le fait même un meilleur processus de consentement éclairé, où les consommateurs pourront se concentrer sur les renseignements d'importance pour eux et à l'égard desquels ils peuvent agir.
Par ailleurs, selon le secteur bancaire, la définition actuelle de renseignements auxquels le public a accès est obsolète. Le règlement actuel fait référence aux technologies dominantes au début des années 2000, lorsque le règlement a été promulgué. Nous proposons donc une mise à jour pour moderniser cette définition.
En ce qui concerne les crimes financiers, le maintien de la sécurité de leurs employés, de leurs clients et du système financier est une priorité pour les banques au Canada. En effet, les banques mettent à niveau régulièrement leur système de sécurité et ne ménagent aucun effort afin de prévenir les crimes financiers qui se chiffreraient à des milliards de dollars annuellement. Les banques travaillent en étroite collaboration avec les autorités et les forces de l'ordre à l'échelle du pays en vue de les aider dans leurs enquêtes et dans la poursuite des suspects.
Actuellement, les dispositions de la LPRPDE permettent uniquement le partage de l'information entre organisations si c'est raisonnable en vue de la détection d'une fraude ou de sa suppression ou en vue de la prévention d'une fraude. Cette définition ne s'étend pas à d'autres types d'activité criminelle comme le vol de données ou de renseignements personnels, le blanchiment d'argent, le financement d'activités terroristes, les crimes cybernétiques et même les vols de banque.
Afin de rehausser les capacités du secteur bancaire à prévenir les activités criminelles plus générales, nous recommandons que les dispositions de la LPRPDE portant sur la communication sans consentement utilisent l'expression crimes financiers plutôt que fraudes, ce qui comprend un éventail plus large d'activités criminelles auxquelles les institutions financières au Canada font face au quotidien.
Ainsi, nous proposons que la définition de crimes financiers inclue, premièrement, la fraude, deuxièmement, les activités criminelles et toute infraction sous-jacente liée au blanchiment d'argent et au financement d'activités terroristes, troisièmement, d'autres infractions criminelles perpétrées contre des institutions financières, leurs clients et leurs employés, et, quatrièmement, le manquement aux lois de pays étrangers, notamment en ce qui concerne le blanchiment d'argent et le financement d'activités terroristes.
Les crimes financiers ont un impact financier sur les banques, les consommateurs et l'intégrité économique du système financier. Les banques comprennent le rôle important qu'elles ont à jouer. En vue de protéger les Canadiens contre les crimes financiers, elles ont prévu des systèmes de sécurité perfectionnés et ont engagé des équipes d'experts. Nous sommes d'avis que ce changement apporté à la LPRPDE donnerait aux banques une plus grande capacité de jouer leur rôle à l'égard de cette importante tâche.
Enfin, pour ce qui est des droits d'accès, parfois, les organisations créent des documents qui renferment des renseignements personnels liés à un éventuel litige. Conformément aux lignes directrices émises par le Commissariat à la protection de la vie privée du Canada ainsi qu'aux dispositions des lois en matière de renseignements personnels du Québec et de l'Alberta, cette information n'a pas à être fournie en réponse à une demande d'accès. Nous demandons donc que la LPRPDE soit modifiée afin de fournir une exemption particulière pour ces types de documents fondée sur le privilège relatif au litige.
En conclusion, la LPRPDE a bien servi les Canadiens au cours des 17 dernières années, encourageant les organisations à protéger les renseignements personnels dont elles disposent et en encourageant les personnes à devenir plus conscientes de leurs droits et responsabilités concernant la protection de leurs renseignements personnels. Néanmoins, comme toute loi liée à un environnement en constante évolution, la LPRPDE renferme des dispositions qui bénéficieraient de légères modifications et où des améliorations sont souhaitables.
Nous espérons que nos commentaires seront utiles pour le Comité dans son étude de la Loi.
Nous serons heureux de répondre à vos questions.
Merci beaucoup.
Merci beaucoup de votre exposé.
Enfin, nous cédons la parole à Wally Hill et David Elder de l'Association canadienne du marketing.
Merci, monsieur le président.
Merci au Comité de nous avoir invités à comparaître aujourd'hui pour présenter les points de vue de l'ACM dans le cadre de votre étude sur la Loi sur la protection des renseignements personnels et les documents électroniques, aussi appelée LPRPDE.
L'ACM est la plus importante association de marketing au Canada. Elle représente des agences de communication et de marketing ainsi que d'importantes marques de vente au détail, des services financiers, des entreprises de technologie, et d'autres secteurs. Nos efforts de défense des droits visent à promouvoir un environnement dans lequel règne un marketing éthique, tant du point de vue de la communication avec les consommateurs que dans le cadre de la prestation des services qui leur sont destinés.
L'AMC a fourni un mémoire d'avance au Comité, mais, aujourd'hui, je veux concentrer ma déclaration sur les trois questions suivantes: la LPRPDE doit-elle être modifiée? Est-ce que le modèle de consentement actuel fonctionne encore? Et les activités d'application de la loi du CPVP sont-elles encore efficaces?
Premièrement, en ce qui concerne la modification de la LPRPDE, certaines personnes font valoir que la Loi est brisée ou inadéquate et qu'il faut la réparer. Cependant, nous croyons plutôt que la LPRPDE a résisté au passage du temps en relevant les nouveaux défis dans le monde numérique, qui évolue rapidement. La LPRPDE a été sciemment conçue en fonction de principes fondamentaux plutôt que de règles normatives précisément afin de créer une loi pouvant être adaptée aux nouvelles technologies, pratiques et attentes. Le modèle de la LPRPDE promeut une approche qui mise davantage sur la collaboration pour élaborer des documents d'orientation à l'intention d'organisations qui travaillent dans un large éventail de contextes différents. Le CPVP peut fournir des lignes directrices d'interprétation plus poussée lorsque les nouveautés dans le domaine social, technologique et commercial l'exigent. Ce cadre a bien servi les Canadiens et continue de le faire.
Il est aussi important de reconnaître que les modifications récentes apportées à la Loi, par l'intermédiaire de la Loi sur la protection des renseignements personnels numériques, en 2015 fournissent des protections supplémentaires aux gens. Cela inclut une responsabilité accrue des organisations, qui doivent obtenir un consentement valide, surtout auprès des enfants et des autres parties vulnérables, des exigences obligatoires de communication en cas de fuite et de nouveaux pouvoirs pour le commissaire à la protection de la vie privée de conclure des ententes de conformité avec les organisations et de coordonner les activités d'application de la loi avec ses homologues à l'échelle internationale.
Même si certains peuvent faire valoir que d'autres modifications de la Loi sont nécessaires, l'AMC émet une importante mise en garde contre cette approche. Notre recommandation consiste à permettre aux amendements adoptés en 2015 d'entrer pleinement en vigueur pour que l'on puisse ensuite évaluer l'impact et l'efficacité de ces changements avant d'envisager d'autres changements de la Loi. Par exemple, les nouvelles dispositions sur les avis en cas d'atteinte, qui ont été adoptées il y a près de deux ans, ne sont pas encore entrées en vigueur. Nous attendons encore la publication de la réglementation connexe qui permettra à ces dispositions d'entrer en vigueur. Une fois le règlement terminé, les organisations devront ensuite former leur personnel, mettre à jour leurs processus et, essentiellement, se préparer pour cet ensemble de changements apportés à la LPRPDE et respecter les nouvelles exigences.
Le deuxième enjeu que je vais aborder, c'est celui du consentement. L'AMC croit qu'un bon équilibre entre les choix individuels et un solide cadre de responsabilisation renforcera la protection des renseignements personnels et le consentement. Puisque les modèles d'affaires mettent de plus en plus l'accent sur l'innovation et la personnalisation accrue des produits et services, ce que les entreprises font en réaction aux attentes des clients, il faut reconnaître les difficultés que causera un régime axé sur le consentement. Le fait que les politiques de confidentialité sont rarement lues, que les écrans sont plus petits et les autres restrictions liées aux appareils sont des réalités qui constituent des défis au moment de l'obtention d'un consentement éclairé.
Même si le consentement des clients doit continuer d'être considéré comme un élément important de toute loi sur la protection des renseignements personnels, le fait d'adopter un modèle plus axé sur l'évaluation des risques, modèle dans le cadre duquel les organisations ont plus de liberté, mais aussi plus de responsabilités en ce qui a trait aux données des clients, permettrait de moderniser le cadre de protection des renseignements personnels canadiens pour qu'il soit bénéfique pour les entreprises et les consommateurs. Dans un tel modèle, les types d'avis fournis et les types de consentement obtenus sont associés à la nature délicate ou au risque de préjudice des différentes activités de manipulation des données. C'est ce qu'on constate dans les dispositions sur les violations qui ont été adoptées il y a plusieurs années. Une telle approche est aussi conforme à l'annexe 1 de la LPRPDE.
L'AMC croit que le renforcement du cadre de responsabilisation grâce à des codes de pratique d'autoréglementation et d'autres outils créatifs, comme l'anonymisation des données, est la meilleure approche pour améliorer les protections des renseignements personnels des gens. Un excellent exemple d'une initiative d'autoréglementation est le programme Choix de pub sur la publicité ciblée par centre d'intérêt mis au point par l'Alliance de la publicité numérique du Canada, la DAAC.
L'AMC compte parmi les organisations de marketing et de publicité fondatrices qui ont lancé la DAAC en 2013 afin de donner aux consommateurs un avis et des choix en temps réel quant à savoir si leurs données de navigation devraient être utilisées pour leur fournir une publicité ciblée par centre d'intérêt. Un cadre de responsabilisation accrue exige nécessairement des organisations qu'elles assument plus de responsabilités. Par exemple, le code de déontologie et les normes de pratique de l'AMC prévoient des limites strictes liées aux activités de collecte et d'utilisation des renseignements personnels d'enfants âgés de moins de 13 ans.
Le troisième et dernier point que je veux soulever concerne les pouvoirs d'application de la loi du commissaire à la protection de la vie privée. Nous ne croyons pas que le commissaire a besoin de pouvoirs supplémentaires. En fait, le commissaire a actuellement le pouvoir de communiquer des constatations, de vérifier des organisations, de formuler des recommandations et, maintenant, de conclure des accords sur la conformité. Les préjudices à la réputation des marques, comme on l'a déjà souligné, pouvant découler d'une constatation défavorable du commissaire peuvent être importants. L'impact d'une telle publicité négative est un outil d'application de la loi qu'on ne saurait sous-estimer. De plus, si la coopération volontaire n'est pas de la partie, le commissaire a le pouvoir d'assigner des témoins, de faire prêter serment, d'exiger la production d'éléments de preuve et de se tourner vers la Cour fédérale pour rectifier des situations qui restent non résolues.
L'AMC croit que le modèle de l'ombudsman auquel fait appel l'application de la LPRPDE a été très efficace et a entraîné un haut niveau de conformité volontaire des entreprises canadiennes. Prenons le nombre de plaintes liées à la LPRPDE présentées au CPVP. Du 1er janvier 2015 au 31 mars 2016, le Commissariat a reçu 351 plaintes. Seulement 52 des dossiers, soit tout juste un peu moins de 15 %, ont été considérés comme légitimes par le commissaire. Des 52 cas, 46, soit plus de 90 %, ont été réglés totalement ou conditionnellement.
Le modèle de surveillance actuel fondé sur l'ombudsman permet au CPVP de protéger et de promouvoir les droits à la vie privée des personnes grâce à un engagement positif et proactif avec les associations de l'industrie et les organisations qui demandent des directives sur la conformité et les nouveaux enjeux liés à la protection des renseignements personnels. Le fait de fournir au CPVP plus de pouvoirs directs d'application de la loi minerait cette relation ouverte et axée sur la coopération qui s'est installée entre le CPVP et l'industrie canadienne.
En conclusion, nous tenons à souligner le grand nombre de dossiers et de constatation publiés par le CPVP au fil des 17 dernières années et les très nombreuses pratiques améliorées en matière de protection des renseignements personnels adoptées par les entreprises qui en ont découlé sont une preuve valable que la LPRPDE, dans sa forme actuelle, fonctionne bien.
Nous tenons aussi à faire une mise en garde contre le fait d'utiliser la LPRPDE comme la solution universelle par défaut pour tous les problèmes découlant de l'évolution rapide des technologies et des utilisations des données. Dans de nombreux cas, il y a d'autres lois et règlements mieux adaptés pour composer avec des préoccupations sectorielles précises ou d'autres enjeux soulevés. La LPRPDE doit permettre de protéger efficacement les droits à la protection des renseignements personnels des Canadiens tout en encourageant les organisations à innover et à créer de nouveaux produits et services à l'intention de leurs clients et des consommateurs. Cela exige souvent l'utilisation responsable de données, y compris des renseignements personnels. L'AMC croit que le cadre actuel de la LPRPDE a prouvé qu'il a établi un juste équilibre entre la souplesse et l'efficacité pour atteindre ces objectifs.
Merci, monsieur le président, nous serons heureux de répondre à vos questions.
Merci beaucoup à vous tous de vos exposés.
Nous allons commencer la série de sept minutes par M. Long.
Merci, monsieur le président.
Merci à nos témoins de cet après-midi. Leurs témoignages étaient encore une fois très intéressants. Plus nous en parlons, plus nous en apprenons, et plus nous avons de questions à poser.
Je vais raconter à nouveau ma première expérience liée au droit à l'oubli. Je m'excuse d'avance auprès de mes collègues, puisque je vais me répéter, mais il y a eu tellement de roulement au sein du Comité que, j'imagine, certains membres entendront cette histoire pour la première fois. La première fois où on a mis à l'épreuve le droit à l'oubli remonte à l'époque où j'étais membre des Sea Dogs de Saint John.
L'équipe a gagné la Coupe du président hier soir dans la Ligue de hockey junior majeur du Québec.
Merci beaucoup. C'est un coup de publicité absolument éhonté de ma part.
Je me souviens lorsque j'ai été cité quelque part en ligne au sujet des punaises de lit. Nous avions ramassé des oursons en peluche, des oursons avaient été lancés sur la glace, et, à ce moment-là, il y avait un problème de punaises de lit dans notre ville. J'ai décidé de ne pas distribuer ces ours en peluche dans les hôpitaux, les centres d'hébergement et les autres installations autour de la ville. Très rapidement, l'histoire s'est retournée contre moi, et j'étais le méchant qui refusait aux hôpitaux et aux centres d'hébergement ces ours en peluche. Pendant des années, littéralement des années, chaque fois que je faisais une recherche sur « Wayne Long » dans Google, il y avait une liste d'articles et de commentaires à mon sujet et au sujet des ours en peluche. Il a fallu que s'écoulent deux années de ma carrière politique pour que je réussisse, au moins, à faire descendre ces mentions dans les résultats de recherche.
Encore une fois, vous avez présenté d'excellents exposés, mais, monsieur Ghiz, pouvons-nous oublier le droit à l'oubli?
C'est une très bonne histoire, une histoire que nous pouvons tous, j'en suis sûr, comprendre. C'est assurément mon cas.
C'est le fardeau associé à l'application du droit à l'oubli qui nous pose problème. Il y a des coûts associés à ce droit, à la façon de faire un suivi et aux intervenants qui doivent s'en occuper. Selon moi, c'est tout simplement trop de travail pour nous de s'adapter au modèle européen. C'est notre avis. Ce n'est pas quelque chose de facile à faire. Et il y a aussi la question de la liberté d'expression, qui entre en ligne de compte.
Du point de vue de l'association des télécommunications sans fil, nous sommes contre.
Merci de la réponse.
Vous avez dit que, pour que vos organisations membres puissent croître, vos entreprises doivent être prêtes et, évidemment, je crois que tout le monde sait que le règlement européen sur la protection des données entrera en vigueur, si je ne m'abuse, le 25 mai 2018. Croyez-vous que les entreprises canadiennes sont prêtes pour composer avec ce qui les attend?
Je crois que nos entreprises canadiennes, pour ce qui est des télécommunications sans fil, sont extrêmement bien préparées pour la concurrence. Nous sommes compétitifs au sein du marché canadien. Nous sommes des innovateurs en ce qui a trait à nos capacités, ici. Nous sommes des chefs de file mondiaux en matière de technologie. Ce que nous demandons d'un modèle de concurrence, c'est qu'il garantisse que toutes les règles, ici, sont équitables et qu'elles visent tous ceux qui veulent faire des affaires au Canada.
Devons-nous agir de façon proactive plutôt que réactive? Devrions-nous prendre des mesures pour nous assurer que la situation est adéquate?
Oui. Nous devons toujours nous assurer d'être compétitifs, mais je crois que, pour ce qui est de ce qui se passe en Europe et de ce qui se passe, ici, au Canada, nous devons réfléchir à ce qui convient le mieux à l'économie canadienne et nous assurer que nos entreprises peuvent compétitionner sur un pied d'égalité.
D'accord.
Dans votre déclaration, vous avez aussi parlé du 5G et vous avez dit que le 5G s'en vient.
Ça me rappelle une autre histoire que je vais raconter rapidement. J'étais avec un ami dans un véhicule, et il me parlait du 5G et à quel point cette technologie est imminente, et il a dit qu'il y aura plus tôt qu'on ne le pense des véhicules « conduisibles », faute d'un meilleur mot.
J'aimerais savoir ce que vous pensez de la LPRPDE et si vous croyez qu'elle est neutre sur le plan de la technologie. Quels sont les changements que vous prévoyez au cours des prochaines années?
Pour ce qui est de là où nous en sommes du point de vue de la technologie 5G, tout dépend à qui vous parlez. Certaines personnes croient qu'on est vraiment à l'aube de la technologie 5G, mais quand la technologie 5G sera-t-elle pleinement fonctionnelle et quand interagira-t-elle totalement avec l'Internet des objets, lorsque nous nous retrouverons dans ce genre de nouveau monde...? Je ne crois pas que les véhicules autonomes sont pour demain ou qu'on les verra d'ici quelques années, mais je crois...
Cet homme qui m'accompagnait, et que, évidemment, je ne nommerai pas, mais qui participe d'assez près au dossier, croit que ce sera le cas dans les 10 prochaines années.
C'est possible. Je dirai que, dans le cas des voitures autonomes — et j'ai eu l'occasion de voir et de visiter les laboratoires de QNX, ici même, à Ottawa —, on constate ce que j'appellerais une évolution constante. Aujourd'hui, on a le téléphone à haut-parleur. Lorsqu'on recule, il y a des caméras, et, lorsqu'on conduit sur l'autoroute et qu'on dévie un peu de la trajectoire, notre véhicule nous avertit. Par conséquent, on avance constamment vers cet objectif.
Pour ce qui est du lien avec la protection des renseignements personnels et la LPRPDE, c'est dans ce dossier que, selon nous, il est important que le commissaire nous consulte. Est-ce que j'ai les réponses dès maintenant? Mes membres sont mieux placés que moi pour ça. C'est la raison pour laquelle nous demandons au commissaire de réaliser des consultations sur la situation concernant la technologie 5G. Nous demandons que nos membres et l'ACTS participent.
D'accord, merci de vos réponses.
Monsieur Hill, j'aimerais vous poser quelques questions. Je pose souvent la question liée au consentement éclairé lorsqu'on parle d'enfants.
Selon moi, il n'y a pas suffisamment de protection pour nos enfants, et je peux assurément dire que... mes enfants sont un peu plus vieux, mais j'ai des amis qui ont de jeunes enfants qui utilisent l'ordinateur, et il y a une inquiétante quantité de « pièges à clics » à éviter, et il n'y a pas de contrôle. Je crois que les statistiques indiquent — et je suis désolé si je n'ai pas les statistiques exactes — que 70 % des jeunes de 12 ans ont un cellulaire maintenant.
Que pouvons-nous faire de plus pour protéger les enfants?
C'est un domaine difficile lorsqu'on parle de mise en oeuvre en tant que telle.
J'ai mentionné dans ma déclaration que nous avons notre code de déontologie et de strictes lignes directrices au sujet de la collecte de données sur les enfants. Les spécialistes du marketing qui évoluent dans ce domaine doivent obtenir le consentement exprès des parents ou des tuteurs, mais...
Si vous me le permettez, j'aimerais intervenir. Je suis désolé.
De quelle tranche d'âge...? J'ai fait certaines lectures sur le besoin d'obtenir le consentement des parents de... et je m'excuse de ne pas avoir les nombres exacts devant moi...
On est aux prises avec certains problèmes en ce qui a trait aux adolescents. Les adolescents de notre société veulent commencer à être plus responsables de leurs propres activités, alors notre code de déontologie inclut des dispositions différentes pour les adolescents, mais aussi des dispositions plus strictes sur la collecte de données auprès des jeunes de ces tranches d'âge, comparativement aux adultes, aux gens qui ont dépassé l'âge de la majorité.
En vertu de nos exigences, les jeunes âgés de moins de 13 ans ne peuvent pas donner leur consentement pour la collecte et l'utilisation de leurs renseignements personnels; il faut obtenir le consentement des parents.
Malheureusement, nous devons nous arrêter ici. Nous avons dépassé légèrement les sept minutes. J'espère que vous pourrez continuer de préciser votre propos en répondant à d'autres questions.
Monsieur Kelly, allez-y. Vous avez sept minutes.
J'aimerais commencer par Mme Routledge.
Vous avez dit un certain nombre de choses dans votre déclaration qui ont beaucoup suscité mon intérêt. Vous avez parlé au nom de l'industrie bancaire et mentionné la définition étroite de renseignements auxquels le public a accès, qui est selon vous obsolète. J'aimerais que vous nous en disiez plus à ce sujet, parce que je ne suis pas sûr de comprendre ce que vous voulez dire et quelles sont les répercussions de cette définition.
Lorsque la réglementation sur les renseignements auxquels le public a accès a été promulguée, il était question des annuaires téléphoniques, des répertoires professionnels et ainsi de suite et du fait que ce type de renseignements étaient considérés comme accessibles par le public. Maintenant, les gens fournissent volontairement leurs renseignements en ligne et dans d'autres médias. La technologie permet ce genre de choses de plus en plus.
Selon nous, il serait approprié de se pencher sur cette réglementation et de peut-être la moderniser afin qu'on ne soit pas limité aux bases de données qui existaient en 2001.
Actuellement, y a-t-il une définition précise de ce en quoi consistent des renseignements auxquels le public a accès?
La réglementation définit, si je ne m'abuse, cinq ou six catégories des types de renseignements exacts qui peuvent être considérés comme étant accessibles par le public.
Je serais favorable à une définition plus générale et qui serait plus neutre du point de vue de la technologie.
D'accord.
Vous avez consacré toute une section de votre déclaration aux crimes financiers. Vous avez parlé de « crimes financiers » et utilisé ce terme plutôt que de parler de fraude.
J'ai évolué dans le milieu hypothécaire. J'ai travaillé dans ce domaine pendant de nombreuses années, je connais de nombreux scénarios différents et j'ai suivi beaucoup de formation sur la prévention de la fraude. En fait, j'ai même fourni de telles formations sur la prévention de la fraude à ceux qui entraient dans le domaine.
Que pensez-vous de la LPRPDE? Quelle est l'intersection ou l'interaction entre la loi et la prévention de la fraude?
Dans la LPRPDE, il y a des exceptions liées à la divulgation sans consentement, qui permet aux banques de communiquer des renseignements à d'autres organisations dans des cas de fraude seulement.
Assurément, la Loi restreint nos interactions, parce que la divulgation se limite aux cas de fraude. Il y a d'autres choses, comme les vols de banque, le blanchiment d'argent, et ainsi de suite, qui ne sont assurément pas de la fraude, mais qui sont à coup sûr des activités criminelles. Nous aimerions que la définition soit élargie ou que la notion soit élargie afin que, lorsque ces types de crimes se produisent, les banques puissent communiquer de l'information à d'autres organisations et d'autres banques.
En fait, avant la modification de la LPRPDE, il y avait le Bureau de prévention et d'enquête du crime bancaire, qui facilitait les échanges de ce type de renseignements entre les banques, mais, depuis les plus récents changements apportés à la LPRPDE, les organismes d'enquête ont été éliminés, et nous nous retrouvons maintenant avec ces deux exemptions à la divulgation. Le problème, c'est que, plutôt que de parler d'« activités criminelles », l'exemption parle de « fraude ». Cette définition limite ce que les banques peuvent faire.
J'aurais pensé que c'était le contraire, que puisque la fraude peut être civile ou criminelle, on place ainsi la barre plus bas quant à savoir ce que vous pouvez communiquer.
D'après nous, la définition de fraude utilisée est contraignante, dans la mesure où nous composons avec des crimes. Dans cette situation, l'objectif est de prévenir, détecter ou éliminer les cas de fraude. Par conséquent, notre interprétation, c'est qu'on parle ainsi de la fraude telle que définie dans le Code criminel du Canada, et c'est la raison pour laquelle nous voulons élargir la définition pour inclure les crimes financiers.
Vraiment, ce que les banques tentent de faire — et d'autres organisations qui peuvent utiliser cette exception —, c'est de combattre le crime. C'est cela, notre objectif.
Je trouve assez rafraîchissant et je suis très heureux de voir que votre organisation parle du caractère souhaitable de communiquer de l'information afin de combattre les crimes financiers. On a l'impression dans l'industrie que vos membres n'aiment pas communiquer de l'information et que, même lorsqu'une banque est victime d'un crime financier, ou d'une fraude, elle a tendance à garder l'information à l'interne, à ne pas le dire et à ne pas communiquer l'information à d'autres organismes de façon à coordonner les efforts pour prévenir les crimes. Je crois qu'il est important pour les institutions financières de coopérer à cette fin.
Il me reste probablement seulement environ une minute dans mon intervention actuelle. Je reviendrai peut-être sur ce sujet, mais je vais changer de direction pour poser une question à M. Hill au sujet des processus auxquels il a fait référence.
Vous avez parlé de formation et de mise à jour pour appliquer les changements qui seront apportés à la LPRPDE. Sera-t-il difficile, selon vous, d'appliquer les nouveaux changements, les rapports obligatoires et tout le reste? S'agira-t-il d'une tâche exigeante ou non?
Je ne veux pas dire que ce sera « exigeant », mais il y a du travail à faire et, pour le faire de façon appropriée, les organisations, surtout les grandes organisations, vont devoir modifier leurs processus et mettre au point des cours de formation pour s'assurer que les employés concernés sont bien formés pour gérer les protocoles relatifs aux atteintes.
Nous ne savons pas encore de façon précise ce dont il retournera. Les discussions concernant ce à quoi il faut s'attendre sont en cours depuis environ un an — avec des représentants du gouvernement —; l'objectif est de s'assurer que le processus ne sera pas indûment lourd dans le cas de certaines dispositions. La loi exigeait la tenue de dossiers et ce genre de choses, et on se demande quel niveau de tenue de dossiers sera exigé des organisations.
[Français]
Merci beaucoup de votre présentation.
Je compatis avec mon collègue. J'aurais pris la même décision en ce qui concerne vos oursons. Vous avez fait le bon choix.
Compte tenu de la pression sociale et des amis, j'ai malheureusement dû m'adapter à l'ère numérique, aux tablettes et aux jeux puisque je suis mère de deux jeunes garçons.
J'ai fait des recherches à propos du consentement. J'ai remarqué que les parents mettent sur les réseaux sociaux des photos de leurs enfants et parlent des activités de ces derniers. Je sensibilise beaucoup mes jeunes garçons à l'importance de ne pas publier n'importe quoi sur ces réseaux. Il y a beaucoup d'éducation à faire en ce sens et c'est notre responsabilité en tant que parents. Malheureusement, il peut arriver que des choses nous échappent.
J'ai lu qu'il était question d'obliger les entreprises à enlever l'information personnelle publiée sur Internet. On a dit plus tôt que le traitement des plaintes serait un fardeau pour les entreprises. Si j'ai bien compris, le fait d'obliger les entreprises à enlever cette information personnelle est lié au droit à l'oubli.
Je ne sais pas si vous êtes au courant, mais la Californie a adopté une loi en ce sens et j'aimerais que nous en discutions davantage. Cette loi est intitulée « Privacy Rights for California Minors in the Digital World » et elle oblige les entreprises, les sites Web et les concepteurs d'applications à donner aux enfants âgés de moins de 18 ans la possibilité de supprimer de l'information qu'ils ont eux-mêmes publiée. Toutefois, cette loi ne vise pas les renseignements que d'autres ont publiés au sujet de mineurs.
Qu'en pensez-vous? Pourrions-nous appliquer les mêmes principes ici, au Canada?
[Traduction]
Je crois qu'il pourrait être difficile de déterminer de quelle façon on définit les enfants. Les utilisateurs des médias sociaux, comme vous l'avez mentionné dès le départ, sont très diversifiés. Il y a de jeunes enfants, puis il y a les adolescents qui passent beaucoup de temps sur les médias sociaux. Je ne sais pas de quelle façon certains de ces utilisateurs, ou leurs parents, en fait, réagiraient si des organisations retiraient de façon arbitraire certains renseignements affichés par ces personnes.
Je dois dire que je ne connais pas la loi ou le code dont vous parlez, alors je formule un avis général. Je sais que, lorsqu'on parle d'enfants âgés de moins de 13 ans, c'est plus difficile. Je crois que c'est la raison pour laquelle les réseaux de médias sociaux imposent des limites d'âge et ce genre de choses. Comme je l'ai dit plus tôt, notre propre code exige le consentement exprès des parents et, même dans le cas des enfants âgés de 13 à 16 ans, le consentement des deux parents et de l'adolescent. Puis, il y a d'autres paliers subséquents. Selon moi, il serait difficile de mettre en place quelque chose de similaire à ce dont vous avez parlé s'il faut l'appliquer à tous les enfants et tous les adolescents.
David, je ne sais pas si c'est quelque chose que vous connaissez.
Je ne suis certainement pas un expert des lois de la Californie, mais je soulignerais que dans la LPRPDE actuellement en vigueur, selon les principes énoncés à la fin, on prévoit un droit général de retirer son consentement à l'utilisation de tout renseignement personnel, sous réserve des restrictions contractuelles ou légales. Je crois que dans le cas où une personne avait affiché quelque chose la concernant et qu'elle voulait que ce soit supprimé, s'il n'y avait aucune autre raison contractuelle ou légale valide pour laquelle une organisation devrait conserver ou laisser cette information affichée, dans bien des cas, la LPRPDE exigerait aujourd'hui que cette information soit supprimée.
Je crois que bon nombre de réseaux sociaux fonctionnent en effet de cette manière, aujourd'hui. Si vous affichez quelque chose dans plusieurs réseaux sociaux, il vous est possible de le retirer après l'avoir affiché. Cela ne change rien au fait que des gens ont vu cette information et, parfois, cela ne change rien au fait que d'autres personnes l'ont copiée et distribuée par d'autres moyens, mais il vous est possible de la retirer du réseau sur lequel vous l'aviez affichée.
Je vois bien où vous voulez en venir. J'ai des enfants de quatre, six et huit ans, et ils ont constamment leur tablette à la main. Ils sont plus doués que moi. Nous utilisons les tablettes pour l'enseignement autant que pour le plaisir.
Comme je le disais, quand j'étais petit et que je devais être puni, j'avais droit à une punition corporelle. Cela n'est plus permis de nos jours. Nous menaçons les enfants de les priver de leur téléphone intelligent, et cela est une catastrophe, pour eux. C'est une bonne façon de les obliger à nous écouter.
Des voix: Ah, ah!
M. Robert Ghiz: Je ne connais pas bien les lois de la Californie, mais je veux bien demander aux membres de mon association d'y jeter un coup d'oeil. Je crois qu'il faut aujourd'hui tenir compte de la composante de l'éducation. Je sais que le commissariat ne finance pas des organisations comme MediaSmarts, et nous devons également nous occuper d'autres aspects de la littératie si nous voulons être certains que nos enfants seront prêts à affronter les réalités du monde dans lequel ils grandissent. C'était différent, quand nous étions petits. Nous avons la responsabilité de nous assurer d'éduquer les enfants pour qu'ils comprennent que c'est la nouvelle réalité du monde.
Nos membres ont des règles à suivre, et ils ont aussi accès à des outils de gestion des données. Les fournisseurs proposent des paramètres de confidentialité, sur leurs téléphones. Il faut aussi éduquer les parents, pour les aider à éduquer leurs enfants, mais je crois que nous pourrions commencer par éduquer les jeunes enfants, leur dire que ce sont là les nouvelles réalités du monde et que, s'ils veulent s'y engager, ils doivent s'attendre à ce qu'il y ait des conséquences connexes.
Quoi qu'il en soit, je veux bien examiner les lois de la Californie. Je vois bien où vous voulez en venir, mais il y a aussi, je crois, une composante qui a trait à la littératie et à l'éducation.
Merci beaucoup à tous les témoins de s'être présentés.
Je vais d'abord poser des questions précises, après quoi je vais aborder un sujet un peu plus général. Permettez-moi de m'adresser d'abord à Mme Routledge et à M. Docherty.
Dans le mémoire présenté par l'Association des banquiers canadiens dans le cadre de la consultation sur le consentement en vertu de la LPRPDE organisée par le Commissariat, vous dites que cette loi « ne devrait pas faire obstacle à l'innovation ». Pourriez-vous préciser ce que vous vouliez dire par là? Estimez-vous que la façon dont cette loi est actuellement structurée fait obstacle à l'innovation?
Comme le disait ma collègue dans sa déclaration préliminaire, nous sommes d'accord pour dire que la LPRPDE a très bien servi la société canadienne jusqu'ici. Ses principes sont généraux, et elle est assez neutre sur le plan de la technologie. Toutefois, comme de nouveaux produits et de nouveaux services sont constamment offerts, il serait utile de la retravailler quelque peu, et je pense en particulier au concept des intérêts commerciaux légitimes, de façon à pouvoir simplifier les énoncés de confidentialité, ce qui permettrait aux gens de s'occuper uniquement de ce qui les intéresse, de ce qui a de la valeur pour eux.
Je crois que c'est de cela que nous parlions, dans notre mémoire.
En fait, nous sommes d'accord avec l'Association des banquiers canadiens. Nous pensons que, étant donné les nouveaux produits qui sont proposés — nous en avions discuté en parlant des produits de cinquième génération et des voitures automatisées —, il y a des dispositions relatives au processus de consultation et que, étant donné que nous entretenons une bonne relation avec le Commissariat, nous pouvons travailler avec lui, pour nous assurer d'avoir une longueur d'avance plutôt que de faire comme les entreprises qui font une erreur et qui doivent ensuite se rétracter.
J'estime que nous devons prendre les devants, et je crois qu'il y a dans la LPRPDE des mécanismes qui nous permettent de le faire.
La loi ne fait aucunement obstacle à l'innovation. De la façon dont la loi se présente aujourd'hui, elle est conçue de manière à assurer le genre de collaboration qui est nécessaire dans toutes sortes d'activités axées sur l'innovation qui sont déjà en cours. Il n'est tout simplement pas possible d'élaborer une loi prescriptive qui porterait sur tous les domaines, puisque ces domaines sont en constante évolution. C'est pour cette raison que la loi a été conçue de cette manière. C'est pour cela qu'elle est si efficace et qu'elle continuera à être efficace.
À ce sujet, justement, dans le mémoire que l'Association canadienne du marketing a présenté au Commissariat à la protection de la vie privée, votre groupe a mentionné que le cadre actuel de l'Union européenne de même que le nouveau Règlement général sur la protection des données offraient le moyen de protéger les données sans devoir nécessairement, chaque fois, obtenir un consentement. Pourriez-vous en dire un peu plus à ce sujet?
Je ne savais pas que nous avions parlé du Règlement général sur la protection des données dans notre mémoire, mais nous disions que tout cela représente un défi. Obtenir un consentement, dans le monde dans lequel nous évoluons aujourd'hui, c'est véritablement un défi. Tous les jours, des particuliers et des organisations nous demandent, au cours des points de presse, si nous avons lu la politique de confidentialité. Nous travaillons avec de petits écrans. Si on voulait obtenir un consentement pour toutes nos interactions, il faudrait contourner d'importants obstacles.
Ce que nous essayons de faire comprendre, c'est qu'il est possible de garder le consentement au coeur du cadre de protection des renseignements personnels et, en même temps, d'imposer de plus grandes responsabilités aux organisations qui utilisent des renseignements personnels lorsque le consommateur peut raisonnablement s'attendre à ce que ces renseignements servent à des fins supplémentaires; autrement dit, le consentement implicite serait plus largement utilisé, si vous voulez. Je crois que des témoins du CRTC vous ont parlé il y a quelques jours de la loi anti-pourriels. Il y a dans cette loi un dispositif très robuste touchant le consentement implicite ainsi que le consentement explicite. Il y a un élément important de consentement explicite lorsqu'il existe déjà une relation avec le consommateur.
Charles a parlé du fait que les organisations peuvent avoir légitimement besoin d'utiliser certains renseignements à de nouvelles fins, qui ne représentent aucun risque pour le consommateur. En fait, cette utilisation pourrait être avantageuse pour le consommateur. Dans de tels cas, si l'on revient à la question du consentement, est-ce bien là la situation que nous recherchons, dans l'environnement dans lequel nous évoluons aujourd'hui, l'environnement numérique? À notre avis, la réponse est non; dans différents contextes, dans différents secteurs, il se peut qu'il existe des codes et des cadres différents, conçus de manière à permettre aux organisations concernées d'aller de l'avant dans la voie que je viens de vous exposer. Il s'agirait à ce moment-là de codes d'autoréglementation, et nous estimons qu'ils ont leur place dans notre description, à savoir un régime toujours axé sur le consentement, mais qui impose de plus importantes responsabilités aux organisations.
Dans vos exposés et vos déclarations préliminaires, vous parlez parfois des avis d'atteinte à la protection des données en disant vouloir que cet aspect soit autoréglementé. Pourriez-vous éclairer le Comité en expliquant pourquoi il serait plus avantageux que cet aspect soit autoréglementé plutôt que réglementé?
Nous sommes heureux que les atteintes à la protection des données soient réglementées. Au départ, elles étaient soumises à un régime d'autoréglementation. Ce régime d'autoréglementation avait été institué après consultation. En fait, c'est un excellent exemple du type de collaboration que le modèle de la LPRPDE permet.
Comme les atteintes à la protection des données sont devenues un problème plus fréquent, ces 5 à 10 dernières années, le Commissariat à la protection de la vie privée et d'autres intervenants ont reconnu — je ne crois pas que le milieu des affaires ait fait part d'un désaccord quelconque — qu'il était devenu nécessaire de mettre la barre plus haut et d'établir diverses exigences officielles en matière de notification. Bien sûr, l'Association canadienne du marketing est en faveur des dispositions relatives aux avis d'atteinte qui ont été intégrées grâce à des amendements à la LPRPDE. Nous nous sommes engagés à discuter avec le gouvernement de la façon dont ces règlements vont se présenter, précisément, dans le seul but de nous assurer qu'ils ne seront pas inutilement contraignants pour les entreprises et les autres organisations. Voilà notre position.
Sur ce, nous allons demander à M. Kelly de poser sa question dans le cadre de notre série de cinq minutes.
Merci.
Je vais reprendre exactement là où j'en étais, si cela ne vous dérange pas, mais je vais cette fois-ci vous laisser faire une réponse complète, car vous n'en aviez pas eu le temps. Nous parlions de la conformité et, dans votre réponse, vous avez dit que c'était surtout un problème pour les grandes organisations, peut-être.
Je pensais que c'était peut-être le contraire, et je pense comme quelqu'un qui a déjà exploité une très petite entreprise. En réalité, plus une entreprise est petite, plus le fardeau de la conformité et de l'administration est lourd, proportionnellement à sa taille. Ne pensez-vous pas que, pour toutes les organisations qui doivent se conformer à un règlement, si ce règlement est sévère, détaillé, complexe... pensez-vous que les petits exploitants se préoccupent de la conformité?
Il est certain que cela représente un problème pour les petites organisations. Tout ce que vous dites est vrai. Proportionnellement, cela peut représenter un défi pour les petites organisations, mais je crois qu'elles sauront s'en tirer.
Il faudrait faire de l'éducation, et surtout à propos des exigences de la LPRPDE concernant les avis d'atteinte. Et je le répète, c'est l'une des raisons pour lesquelles nous avons adopté notre cadre, avec le modèle de l'ombudsman, et le Commissariat à la protection de la vie privée, qui est à la fois le défenseur des droits et l'éducateur, et qui fait passer son message dans toutes les collectivités pour s'assurer qu'elles sont bien informées.
Il pourrait toujours en faire plus, mais je crois qu'il fait du bon travail. Il offre des outils aux petites entreprises, sur son site Web, et c'est pourquoi je crois qu'il s'efforce vraiment de faire du bon travail. Pourrait-il en faire plus? Nous en voudrions toujours plus, et nous aimerions qu'il travaille avec des organisations comme la nôtre, comme les chambres de commerce, le Conseil canadien du commerce de détail, et ainsi de suite. Il est toujours bon de rester en contact avec les petites et moyennes entreprises. Cela prend du temps.
Dans votre déclaration préliminaire, vous avez parlé d'une approche d'évaluation du risque par opposition au modèle de consentement.
Ce n'est pas vraiment par opposition. C'était pour mettre en relief, par exemple, la façon dont les nouvelles exigences touchant les atteintes à la protection supposent qu'une organisation devra signaler une atteinte à la protection dans les cas où il existe véritablement un risque de préjudice important; cela signifie que les organisations devront faire preuve de jugement et qu'elles se verront imposer des responsabilités.
J'ai pensé que cette façon de présenter les choses attirerait l'attention des gens qui se demandent s'ils ne pourraient pas prendre davantage de risques.
Non, il faut imposer aux organisations l'exigence d'évaluer le risque que suppose toute utilisation d'une information, et il faut exiger qu'elles prennent des décisions appropriées en se fondant sur cette évaluation. C'est ce que prévoit présentement la LPRPDE, dans les dispositions portant sur le consentement. La norme de consentement est plus élevée quand il s'agit de renseignements de nature délicate et elle l'est aussi selon les nouvelles exigences touchant les atteintes à la protection. C'est aux organisations que revient le fardeau de prendre une décision éclairée quant aux risques auxquels font face les consommateurs ou auxquels ils pourraient faire face advenant une fuite de données.
Que pensez-vous de la proposition de mettre davantage l'accent sur cette évaluation du risque? Pourriez-vous nous dire quelles informations représentent à votre avis le risque le plus élevé et le risque le moins élevé?
Habituellement, les renseignements à risque élevé de nature délicate comprennent certainement les renseignements financiers ou des types de renseignements sur la santé. Diverses catégories de renseignements sont de nature délicate. Par définition — en raison du groupe, dans cet exemple —, les renseignements sur les enfants peuvent être de nature délicate. Je pense que cela dépend du contexte. Le genre de modèle dont il est question va supposer l'adoption de diverses approches dans des secteurs différents.
Serait-il également utile que l'on mette à jour la définition du terme « renseignements auxquels le public a accès »?
Je pense que oui. Il serait peut-être possible de le faire dans le contexte de la réglementation existante, je crois. La LPRPDE confère au gouvernement des pouvoirs réglementaires. Le commissaire à la protection de la vie privée peut demander que soient apportées des modifications réglementaires qui seraient utiles à cet égard.
Allez-y, David.
Si je puis simplement ajouter à cela, en tant qu'exemple très précis dans la réglementation concernant les « renseignements auxquels le public a accès », l'une des catégories explique comment, si les renseignements sont « publiés »... et on donne des exemples comme le fait d'être publié dans un journal ou un magazine, ou des choses de ce genre.
Nous avons obtenu plusieurs interprétations de divers commissariats à la protection de la vie privée de partout au pays, selon lesquelles on peut publier un blogue tous les jours et avoir 50 000 lecteurs, mais tout ce qu'on publie sur ce blogue ne compte pas comme étant accessible au public aux fins de la réglementation. De fait, je pense qu'il y a de la marge dans cette formulation pour que l'on puisse affirmer que les « renseignements auxquels le public a accès » comprennent les blogues.
[Français]
Merci, monsieur le président.
Bon après-midi à tous. C'est à mon tour de vous souhaiter la bienvenue ici.
Tout d'abord, je voudrais m'adresser aux représentants de l'Association des banquiers canadiens.
À la page 3 de votre présentation, vous suggérez qu'on améliore la définition de « renseignements auxquels le public a accès ». Vous avez dit qu'étant donné que cette définition reflète le contexte des années 2000 et que la technologie a évolué depuis, il faudrait peut-être repenser et moderniser cette définition.
Pouvez-vous nous en dire plus sur la façon dont nous devrions moderniser cette définition?
[Traduction]
Comme M. Elder vient tout juste de le mentionner, certains des renseignements sont imprimés sur papier. Il serait utile que l'on modifie la définition afin d'inclure les publications, non seulement les blogues, mais de l'information qu'une personne affiche volontairement ailleurs.
[Français]
Vous avez répondu plus tôt à plusieurs questions de mon collègue Pat Kelly sur la définition du terme « crime financier » comparativement à la définition du terme « fraude ». Vous dites que l'utilisation du terme « crime financier » permettrait plus d'échanges d'informations entre les banques. Je présume donc que vous échangez ces informations avec n'importe quelle succursale ou n'importe quelle banque, et ce, de façon régulière. Est-ce bien le cas?
[Traduction]
Les situations dans lesquelles des informations sont échangées sans que la personne visée le sache ou y consente sont assurément prévues dans la LPRPDE. Les banques prennent cette obligation très au sérieux.
Pour répondre à votre question directe, si les exigences de la loi sont respectées, les banques échangent les informations entre elles, dans le but de combattre le crime, ce qui est une activité extrêmement importante. Elle a pour but de protéger les Canadiens et le système financier dans son ensemble, alors les banques prennent cette responsabilité très au sérieux.
[Français]
Je voudrais aussi poser une question à M. Ghiz.
Vous avez beaucoup parlé de l'approche collaborative. Est-ce que cela veut dire que vous aimeriez qu'il n'y ait plus de pénalités? Pensez-vous qu'il faille continuer avec cette approche collaborative? D'ailleurs, M. Hill a beaucoup parlé de respect volontaire de la loi et tout cela. J'aimerais connaître votre point de vue sur les pénalités et ensuite voir si M. Hill est du même avis.
[Traduction]
Nous pensons que les pénalités qui existent actuellement sont la meilleure solution. Nous pensons qu'il n'y a aucun intérêt à ajouter des amendes ou des pouvoirs supplémentaires. Nous le mentionnons parce que nous avons parlé de la fiabilité dans toutes nos entreprises, pour tout le monde, et du fait que, si vous devez être sanctionné ou inscrit sur une liste en tant que personne qui a commis une erreur, les pénalités qui existent du simple point de vue de l'humiliation publique seulement sont plus grandes que tout ce que pourrait faire une amende.
Si vous mettez en place un système d'amendes, vous allez créer un conflit, ou bien il va devenir un peu conflictuel. Il est question de l'évolution de beaucoup de ce qui se passe, qu'il s'agisse ou non de voitures autonomes, et de la collaboration avec le commissaire. Nous voulons tenter de maintenir cette relation de collaboration parce que nous pensons que c'était le sens de la loi, au départ.
Il est certain que la publicité négative, les conséquences chez les clients et toutes ces choses sont des incitatifs à la conformité. Je signalerais également que le commissaire possède d'autres pouvoirs, comme je l'ai mentionné dans la déclaration. Pour formuler un argument important, le commissaire peut s'adresser à la Cour fédérale. Toutefois, afin de changer les pouvoirs de rendre des ordonnances ou les pouvoirs d'imposer des amendes que possède le commissaire, il faut créer une structure différente, et cette structure détruira — vraiment — l'approche engagée et axée sur la collaboration qui existe depuis une décennie et demie et qui s'est révélée être très précieuse.
David, je ne sais pas si vous avez quoi que ce soit à ajouter, peut-être, sur ce qui ferait...
Il serait excellent que nous obtenions davantage de commentaires, mais, malheureusement, nous sommes à la fin de la période de cinq minutes accordée à M. Dubourg.
Monsieur Kelly, vous disposez de cinq minutes.
La bonne nouvelle, c'est que vous pouvez probablement reprendre exactement là où vous vous étiez arrêté, car je voudrais que chacune des trois organisations se prononce sur la question suivante. Si j'ai bien compris vos commentaires, les trois organisations sont plutôt opposées à l'idée des pouvoirs de rendre des ordonnances prévus dans la LPRPDE.
Il y a des défenseurs du droit à la vie privée qui ne seraient pas d'accord et qui affirmeraient que le modèle de l'ombudsman et l'approche axée sur la collaboration qui ont été décrits sont un peu trop douillets, et ils voudraient que le commissaire ait plus de mordant. Je voudrais que chacun d'entre vous fasse de son mieux et plaide le plus fortement possible en faveur de la continuité d'un modèle d'ombudsman au lieu d'un pouvoir de rendre des ordonnances.
Vous avez observé que les gens viennent plaider la cause, mais qu'ils signalent rarement des exemples de cas flagrants où le modèle ne fonctionne pas. Dans ma déclaration, j'ai tenté d'évoquer tous les succès de la structure actuelle, la structure collaborative qui existe dans le modèle de l'ombudsman pour l'élaboration de lignes directrices avec le commissariat, les lignes directrices sur les atteintes à la vie privée qui sont en place depuis sept ou huit ans, élaborées en collaboration avec la société civile, les intervenants, les entreprises et d'autres parties.
Le programme « Choix de pub » ayant pour but de s'attaquer à la collecte de données en ligne lorsque les gens naviguent est un programme d'autoréglementation que notre secteur — le secteur du marketing et des communications — a élaboré en collaboration, dans une certaine mesure, avec le Commissariat à la protection de la vie privée. On a connu beaucoup d'excellents succès sur le plan de la protection de la vie privée des personnes et pour ce qui est de leur donner le choix.
David, vous avez peut-être une réponse plus « juridique » à cette question au sujet de la possibilité de changer le modèle.
Selon moi, quand vous parlez des pouvoirs de rendre des ordonnances comme étant distincts des pénalités, ce que je pense être un argument un peu différent, on en arrive vraiment à cette conclusion. C'est une question de collaboration. Je suis là aujourd'hui pour représenter l'ACM, mais j'ai un cabinet privé et d'autres clients. Je suggérerais très rarement ou je ne suggérerais jamais à une personne de s'adresser proactivement à un organisme gouvernemental ou de réglementation qui a le pouvoir d'imposer une amende directement à quelqu'un. Si vous le faisiez, vous devriez être très prudent dans ce que vous lui diriez.
Nous sommes très semblables, et, comme je l'ai déjà mentionné, je pense que, dans le cas de notre industrie, si vous accordez plus de pouvoirs ou que vous conférez le pouvoir d'imposer des amendes, cela va gâcher cette relation de travail.
Comme je l'ai dit, le préjudice causé à la réputation d'une industrie qui dépend de la fiabilité, c'est vraiment la chose la plus importante pour notre industrie. Selon moi, vous allez miner cette relation de collaboration, si vous instaurez d'autres pouvoirs.
Nous entretenons actuellement une très bonne relation avec le commissaire à la protection de la vie privée. Nous le rencontrons régulièrement pour discuter d'enjeux. Je pense que son rôle consiste à encourager la conformité avec la LPRPDE et à faciliter cette conformité ainsi qu'à contribuer à nous procurer les outils nécessaires pour nous permettre de respecter cette loi.
Les données probantes sont là. Peu de plaintes sont formulées au sujet de la conformité, et, comme l'a dit Wally, le résultat de ces plaintes, c'est que, dans la majorité des cas, elles sont réglées sans problème. Si c'est le cas, pourquoi a-t-on besoin d'autres pouvoirs d'application de la loi?
Pourrais-je ajouter quelque chose à cela? Par exemple, nous avons 30 millions de clients des services sans fil, et 45 ou 47 plaintes ont été déposées l'an dernier. De ces plaintes, la grande majorité ont fait l'objet d'un règlement précoce.
Dans ce cas, est-ce qu'il vous semble que les personnes qui souhaitent établir un pouvoir de rendre des ordonnances cherchent à régler un problème qui n'existe pas?
J'ai exercé vos fonctions pendant longtemps. Il y a toujours des gens qui croient que d'autres règlements devraient être ajoutés à une plus grande réglementation, et, parfois, oui, si le problème n'existe pas, pourquoi le régler?
Sur ce, merci beaucoup, monsieur Kelly.
Nous cédons la parole à M. Ehsassi pour notre dernière période de cinq minutes.
Merci, monsieur le président.
Concernant cette question, tous nos témoins ont présenté un témoignage très fascinant. Je vous en remercie. Il a été très utile.
Ma question s'adresse à M. Ghiz.
Comme vous le savez, le commissaire à la protection de la vie privée croit que, étant donné la nature transformatrice des industries auxquelles nous avons affaire, le consentement fait partie des enjeux importants qui méritent notre attention et notre concentration au moment où nous tentons de mettre à jour les lois. Jusqu'ici, je pense que vous affirmez n'avoir aucun besoin de vous pencher de nouveau sur la question du consentement.
Nous pensons que le modèle actuel fonctionne. Concernant le consentement, nous avons affirmé que nous pourrions envisager de le faire évoluer dans un sens plus large. Je pense que d'autres témoins ici présents ont parlé aujourd'hui de la façon dont le consentement peut être utilisé de façon plus large pour l'aider à évoluer avec les nouveaux produits qui viennent à l'avant-plan en raison des nouvelles technologies et des nouveaux produits.
Qu'est-ce que cela veut dire, précisément? Est-ce que cela signifie que vous croyez en la notion de « consentement valable » ou pas?
Nous croyons en la notion selon laquelle un meilleur modèle pourrait être établi relativement au consentement, de sorte qu'il pourrait aider à alléger une partie du fardeau réglementaire.
Par exemple, si nous devions présenter un nouveau produit, il faudrait que nous procédions à la modification de tous nos formulaires de consentement en fonction de ce modèle, alors que nous pourrions créer un modèle de consentement qui pourrait tenir compte des nouveaux produits qui arriveront peut-être sur le marché. Évidemment, nous avons observé cette situation en Europe. Les Européens ont un consentement un peu plus large que nous. Nous n'avons pas à chercher à réinventer la roue. Nous pouvons regarder pour voir où il y a des exemples avec lesquels nous serions d'accord.
Il s'agirait d'un aspect où nous envisagerions une modification du consentement.
Revoir la question du droit à l'oubli... vous êtes d'accord pour dire qu'il s'agit également d'un défi important.
Toutefois, vous affirmez encore que, quelles que soient les modifications qui sont apportées pour régler cette question, comme celles qui ont été instaurées par l'Union européenne et qui entreront en vigueur l'an prochain, elles sont trop lourdes, exact?
C'est une question ouverte.
Je voudrais que le statu quo soit maintenu, de notre point de vue, à l'ACTS, mais, encore une fois, on voit en Californie une nouvelle loi qui relie deux choses, et on voit d'autres administrations aller dans des directions... Tout d'abord, je dirais que nous ne croyons pas que des modifications devraient être apportées, mais, si quoi que ce soit devait arriver, je voudrais qu'un processus de consultation ait lieu.
Nous voulons éviter deux ou trois choses. L'une, c'est le fardeau réglementaire que la modification pourrait imposer aux sociétés et aux entreprises du Canada, ce qui pourrait ralentir l'innovation. Nous voulons également nous assurer que, dans le cas de toute modification qui entrerait en vigueur, les entreprises canadiennes et les entreprises étrangères qui sont exploitées sur notre marché seront sur un pied d'égalité.
Alors, ce que vous dites, c'est que, comme l'Union européenne instaure un changement, et puisque vous êtes en faveur d'un pied d'égalité, cela nous procurerait évidemment — aux exploitants ici présents — un énorme avantage, n'est-ce pas?
D'accord.
Je vais poser une question au représentant de l'Association canadienne du marketing également. Merci de votre témoignage.
Avez-vous des représentants qui ne se concentrent que sur la LPRPDE? Comment cela fonctionne-t-il? Disposez-vous de conseillers externes qui s'occupent des enjeux liés à cette loi?
Des gens se concentrent sur la protection de la vie privée au sein du personnel de l'organisation et de notre équipe de défense des droits. Nous avons notre agent du service de la protection de la vie privée afin de nous assurer que nous faisons nous-mêmes des choses à cet égard. Bien sûr, nous possédons aussi un conseil à l'extérieur de l'organisation qui, par l'intermédiaire de David ici, nous conseille sur des questions de protection de la vie privée, particulièrement celles liées aux progrès du numérique.
Comment surveillez-vous les nouvelles technologies ou les nouvelles possibilités de marketing et les choses de cette nature, qui sont en constante évolution?
Un peu de la même manière que vous le feriez pour suivre la littérature et ce qui se passe... Nous disposons également de conseils de commercialisation qui s'occupent d'un éventail de ces questions. Nous avons un conseil de commercialisation numérique, un conseil de stratégie de marque, et ainsi de suite. Ces conseils suivent de très près les technologies changeantes et les tendances de diverses disciplines de marketing; nous utilisons des mécanismes comme ceux-là dans l'organisation.
Merci beaucoup. Cela conclut notre série de questions de cinq minutes. Nous passons maintenant à une série de questions de trois minutes ou de trois minutes et demie pour Mme Trudel.
[Français]
Merci.
Monsieur Ghiz, vous avez parlé de l'accord européen et de ce qui se passe par rapport à la loi. Quelles bonnes pratiques le Canada pourrait-il adopter? Quelles sont les choses à ne pas faire par rapport au projet de loi que nous étudions présentement?
[Traduction]
C'est une bonne question. Je me souviens, lorsque je relisais mes remarques, je disais à mon personnel que, si j'étais assis de l'autre côté de la table, je chercherais un domaine où je serais d'accord avec l'Europe et un autre où je ne le serais pas, et maintenant vous pouvez dire que je suis un peu hypocrite.
Je crois également que vous n'avez pas toujours besoin de réinventer la roue, alors vous pouvez regarder les bonnes choses là où elles se produisent. Évidemment, concernant la règle « oubliée », nous n'aimons pas ce qui se passe en Europe. Pour ce qui est du consentement, nous croyons que l'Europe possède un meilleur modèle de consentement que le nôtre. Ce sont les deux choses que je vois.
L'Europe utilise, dans une certaine mesure, un modèle de consentement plus strict. Selon nous, il n'est pas favorable à l'innovation, par exemple.
En ce qui concerne le RGPD, le commentaire que j'aimerais faire, c'est que le caractère adéquat n'est pas la même chose que le caractère identique. Il serait prématuré pour le Canada d'apporter des changements à sa loi sur la protection de la vie privée avant d'avoir consulté des Européens qui sont engagés dans le processus. Au besoin, si on examine le caractère adéquat de la loi canadienne, qu'il en soit ainsi. Voyons si des problèmes se posent.
Bien franchement, le Canada a un des meilleurs régimes de protection de la vie privée au monde. Il est peut-être différent de celui de l'Europe, mais nous ne devons pas croire qu'il est moins bon et que notre loi est bonne deuxième partout dans le monde. Je suis convaincu que, même si le RGPD est important pour nous tous et que nous devons le surveiller, il s'applique aux données des affaires commerciales européennes. Voyons si les Européens ont des problèmes avec le caractère adéquat de notre loi avant de nous précipiter pour effectuer des changements fondés sur le RGPD.
Juste pour être un peu plus clair, il est question de leurs intérêts commerciaux légitimes. Ils permettent davantage d'innovation que nous l'autoriserions ici. C'est le changement que je défendrais.
[Français]
Vous venez de parler des renseignements personnels. Avez-vous des commentaires ou des recommandations concernant la conservation et la destruction des renseignements personnels?
[Traduction]
Je ne suis pas un expert de ce domaine, mais la LPRPDE impose des responsabilités très claires aux organisations concernant l'obtention, la protection et la destruction adéquate des renseignements lorsqu'on n'en a plus besoin. Cela varie en ce qui concerne la durée de la période où vous devez conserver les renseignements, le niveau de sensibilité, et ainsi de suite.
Encore une fois, cela dépend beaucoup du contexte, de l'industrie et de la sensibilité des renseignements. C'est pourquoi la LPRPDE est fondée sur 10 principes et peut être appliquée de différentes manières dans différents contextes.
Merci beaucoup, monsieur Hill.
Voilà ce qui conclut notre série de questions officielle. Il nous reste évidemment du temps si d'autres membres ont des questions.
Est-ce que je peux demander...? J'ai trois questions et je serai bref.
Ma première question est la suivante, maître Elder. Jennifer Stoddart a été la commissaire à la protection de la vie privée pendant 10 ans. Au premier examen de la Loi, elle n'a pas recommandé de nouveaux pouvoirs pour le commissaire à la protection de la vie privée, mais au deuxième, la dixième année de son mandat, elle l'a fait. J'aimerais également mentionner qu'elle est membre de l'Ordre du Canada. Elle a dit ce qui suit en 2013:
Nous avons utilisé les outils offerts par la Loi, et, dans certains cas, nous avons réussi à susciter un changement — mais souvent après avoir investi d’importantes ressources et presque toujours après coup. Nous avons vu des organisations ignorer nos recommandations jusqu’à ce que la Cour soit saisie de l’affaire. D’autres, au nom d’une consultation avec le Commissariat, répondent pour la forme à nos préoccupations, pour ensuite ignorer nos conseils. Rien dans la loi n’incite les organisations à investir dans la protection de la vie privée de façon notable, dans la mesure où elles peuvent toujours revenir sur leur entente d’apporter des changements à leurs pratiques et décider de ne pas donner suite aux recommandations de la commissaire après l’enquête ou la vérification.
Les recommandations « douces » assorties de peu de conséquences en cas de manquement à la loi de bas de page 15 ne sont plus efficaces dans un environnement qui évolue rapidement et où les risques pour la vie privée sont à la hausse.
Elle souligne par la suite que plusieurs commissaires provinciaux et internationaux détiennent non seulement le pouvoir de rendre des ordonnances, mais aussi d'infliger des amendes, y compris au Royaume-Uni, en Espagne, en Nouvelle-Zélande et bien sûr dans un certain nombre de provinces de notre pays.
Pour être plus précis ou plus direct, pourquoi Mme Stoddart fait-elle fausse route?
Loin de moi de dire que Mme Stoddart serait dans l'erreur. Ce que j'offrirais, c'est une opinion contraire.
Oui.
Je veux dire qu'il y a certainement des cas où des organisations ne suivraient pas les recommandations et seraient en désaccord avec les recommandations ou les constatations du commissaire à la protection de la vie privée, comme elles ont le droit de le faire. Au final, en raison de la façon dont la Loi est structurée et de la manière dont le problème doit être résolu, c'est la Cour fédérale qui sera saisie de la question. La Cour fédérale et ses juges l'examineront de nouveau et trancheront pour déterminer si la Loi a été violée ou non. Le mécanisme existe déjà.
Malgré les préoccupations de Mme Stoddart, le mécanisme d'appel de la Cour fédérale est suffisant à votre avis.
Je crois qu'il l'est. Du point de vue de la commissaire, il est plus difficile de corriger la Loi que de seulement infliger directement une amende, alors je soupçonne que c'est de là que provient la motivation.
D'accord. Je vais poser ma deuxième question à M. Ghiz. Nous avons entendu un expert de la protection de la vie privée, un avocat du centre-ville de Toronto qui pratique le droit sous le régime de la LPRPDE, nous dire que plus de 60 % des adolescents âgés de 13 à 17 ans ont au moins un profil sur un site de réseau social, et le droit à l'effacement devrait être adopté concernant les mineurs lorsqu'on recueille leurs renseignements personnels. Il ne s'agit peut-être pas du droit d'être oublié au sens où l'entend l'Union européenne, mais c'est certainement une recommandation judicieuse. Qu'en pensez-vous?
Je crois que nombre de personnes ont cette opinion et que nous changeons constamment, mais je pense que nous devons être très prudents relativement à ce que nous faisons. Vous avez la loi européenne, la loi californienne et d'autres lois dans le monde.
Nous nous inquiétons de la lourdeur de la Loi et croyons que nous avons besoin de penser au volet éducatif qui existe avec les parents, mais aussi avec les gouvernements, la commissaire et les enfants touchés.
Merci beaucoup.
Ma dernière question s'adresse à M. Hill. Vous avez dit — et je vais peut-être déformer un peu vos propos — qu'il existe d'énormes obstacles liés au fait de permettre le consentement et que vous envisagiez peut-être un cadre dans lequel il y aurait peut-être une attente raisonnable d'autres utilisations de renseignements personnels. Le consentement implicite couvrirait peut-être une nouvelle utilisation lorsqu'elle ne met pas le consommateur à risque ou peut-être, en fait, qu'elle avantage le consommateur.
Alors, seulement pour que je comprenne bien, vous ne parlez pas de l'utilisation des renseignements personnels à des fins de commercialisation secondaire, n'est-ce pas?
Non, pas nécessairement. Il pourrait s'agir de n'importe quelle utilisation. Il pourrait arriver qu'une application soit conçue, qu'elle soit fondée sur l'utilisation de renseignements personnels, qu'on élabore une nouvelle fonctionnalité de l'application...
Je suis désolé, j'ai peut-être mal formulé ma question. Pensez-vous qu'il pourrait y avoir une situation dans laquelle on retrouverait un consentement implicite à des fins d'utilisation de commercialisation secondaire?
Oui, je crois qu'il y en a une. Par exemple, la LPRPDE vise la situation où lorsque l'inscription à un magazine expire, l'organisation ferait un suivi et du marketing de relance auprès de diverses personnes. Je crois que c'est possible. Je ne pensais pas particulièrement à la commercialisation secondaire. Je parlais, au sens large, de tous les types de situations possibles.
Ce marketing serait lié à l'existence d'un consommateur.
Ne serait-il pas lié à la communication ou à la vente de renseignements à des tiers?
Non, pas la communication de renseignements à des tiers, sauf dans les situations où les tiers fournissent un service à l'organisation.
Je crois que lorsque vous communiquez des renseignements, vous avez besoin d'un consentement explicite.
Explorateur de la publication
Explorateur de la publication