ETHI Réunion de comité

    Bienvenue à la 62^e réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Nous allons entendre aujourd'hui trois groupes: l'Association canadienne des compagnies d'assurances de personnes, le Bureau d'assurance du Canada et le Bureau de la publicité interactive du Canada.

    Bienvenue à tous. Il y a un vote à 16 h 30 et la sonnerie va probablement se déclencher vers 16 heures, je vous demande donc d'excuser cette interruption.

    Nous allons commencer avec l'Association canadienne des compagnies d'assurances de personnes, M. Zinatelli et Mme Duval.

    Vous avez 10 minutes pour faire une déclaration préliminaire.

    Veuillez commencer. Je vous remercie.

    Je remercie le président et les membres du Comité.

    Je m'appelle Frank Zinatelli et je suis le vice-président et l'avocat général de l'Association canadienne des compagnies d'assurances de personnes. Je suis ici aujourd'hui avec ma collègue Anny Duval.

    J'aimerais remercier le Comité de nous donner la possibilité de participer à l'examen de la LPRPDE. Si vous le permettez, monsieur le président, j'aimerais faire quelques commentaires introductifs et présenter ensuite au Comité le point de vue de l'industrie au sujet de l'examen de la LPRPDE.

    À titre de contexte, je mentionnerai que l'ACCAP représente les compagnies d'assurances de personnes qui elles-mêmes assurent 99 % des assurances de personnes qui sont en vigueur au Canada. L'industrie protège environ 24 millions de Canadiens et près de 20 millions de personnes à l'international. L'industrie canadienne de l'assurance de personnes offre des produits qui comprennent l'assurance-vie, l'assurance-invalidité, l'assurance-santé, l'assurance-santé complémentaire, les rentes et les pensions. Les assureurs canadiens de personnes utilisent les renseignements personnels des Canadiens depuis plus d'un siècle. Cela fait longtemps que notre industrie sait que la protection des renseignements personnels est une condition qu'il est absolument essentiel de respecter si nous voulons avoir accès à ces renseignements.

    Au cours des années, les assureurs de personnes ont joué un rôle de leader dans l'élaboration des normes et des pratiques associées à la gestion appropriée des renseignements personnels. Par exemple, en 1980 déjà, nous avons adopté des lignes directrices au sujet du « droit à la vie privée », qui constituaient le premier code concernant la vie privée qui ait été adopté par une industrie au Canada. Depuis cette époque, l'industrie de l'assurance de personnes a participé activement à l'élaboration des règles en matière de protection des renseignements personnels au Canada, en commençant par les lois québécoises sur le respect de la vie privée en 1994, la rédaction de la LPRPDE, les lois sur la protection des renseignements personnels de l'Alberta et de la Colombie-Britannique au début des années 2000 et les lois relatives aux renseignements concernant la santé adoptées par diverses provinces.

    Le secteur de l'assurance de personnes applique la LPRPDE depuis plus d'une douzaine d'années et nous avons constaté que, d'une façon générale, le modèle actuel est à la fois efficace et viable. Cela dit, l'examen de la LPRPDE auquel procède le Comité lui permettra d'examiner des aspects auxquels il serait approprié d'apporter certaines modifications.

    Dans ce contexte, je vais maintenant examiner certains de ces aspects.

    Un aspect clé dont il a été beaucoup parlé récemment est le modèle basé sur le consentement. L'ACCAP a participé aux consultations qu'a menées le Bureau du commissaire à la protection de la vie privée du Canada au sujet du consentement et de la protection de la vie privée, notamment en assistant à des réunions regroupant des parties prenantes. À notre avis, il est encore faisable et approprié d'obtenir un consentement valable dans ce domaine en utilisant le modèle actuel et il n'est pas nécessaire de revoir complètement la notion de consentement. Il serait peut-être utile d'apporter quelques améliorations à la LPRPDE qui faciliteraient l'obtention du consentement, mais nous ne pensons pas qu'il soit nécessaire de revoir complètement ce modèle pour atteindre cet objectif. Il paraît en fait possible d'apporter quelques améliorations en adoptant des lignes directrices explicatives ou en précisant certains changements législatifs susceptibles de réduire le fardeau qu'assument tant les particuliers que les organisations.

    À titre d'exemple, pour répondre à certaines questions qu'ont posées les parties prenantes au sujet de l'incertitude ou des difficultés associées au modèle basé sur le consentement, il serait peut-être bon d'élargir la liste des exceptions au consentement en ajoutant une nouvelle exception qui serait fondée sur la notion d'intérêt commercial légitime. Le nouveau règlement de l'Union européenne au sujet de la protection des données générales autorise les entreprises à utiliser les renseignements personnels sans obtenir un consentement préalable si elles peuvent démontrer que le traitement de ces données est nécessaire pour les fins légitimes que poursuivent ces organismes. Il convient évidemment de concilier ces intérêts avec d'autres intérêts et, dans le contexte de la LPRPDE, de les relier à ce qu'une personne raisonnable estimerait approprié dans les circonstances.

    Ma collègue Anny va maintenant poursuivre cet exposé.

     Un autre élément qui, selon nous, requiert une mise à jour est la définition de « renseignements auxquels le public a accès ».

    La définition qui figure actuellement dans le Règlement précisant les renseignements auxquels le public a accès ne semble plus refléter la réalité ni les attentes des particuliers qu'elle vise à protéger. Nous estimons que cette définition doit être élargie pour pouvoir couvrir les situations où un individu décide d'afficher des renseignements personnels sur un site Internet accessible au public.

    Dans de telles circonstances, nous pensons pouvoir présumer que cette personne renonce à toute attente en matière de protection des renseignements personnels et qu'il ne serait donc pas nécessaire d'obtenir son consentement pour pouvoir recueillir, utiliser et communiquer les renseignements en cause. Toutes les autres dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, continueraient à s'appliquer, comme c'est le cas aujourd'hui, à la collecte, à l'utilisation et à la communication de renseignements personnels auxquels le public a accès.

    Le troisième élément que nous voudrions porter à votre attention concerne le modèle de l'ombudsman. L'industrie des assurances de personnes estime que le modèle actuel devrait continuer à être utilisé puisqu'il permet un bon équilibre entre les droits des individus en matière de protection des renseignements personnels et les droits des organisations d'utiliser ces renseignements de façon légitime et raisonnable dans un contexte commercial.

    Ce modèle permet au Commissariat d'être plus accessible, informel et souple lorsqu'il aide les parties en cause à résoudre les enjeux. Il lui permet aussi de collaborer avec les consommateurs et les organisations pour que tous comprennent mieux ce qui doit être fait et ce qui ne doit pas être fait, afin d'assurer une protection raisonnable et appropriée de la vie privée.

    Un autre aspect du modèle de l'ombudsman est qu'il concentre l'attention du Commissariat sur les réponses à donner aux particuliers qui présentent une plainte, pour pouvoir ainsi mieux la traiter, et sur l'équilibre à atteindre entre les consommateurs et les organisations, plutôt que de consacrer temps et ressources à constituer un dossier à l'appui du traitement d'une possible infraction.

    La bonne approche est celle qui met l'accent sur la résolution de problèmes en premier.

    Pour terminer, monsieur le président, nous aimerions présenter une suggestion très technique concernant l'examen quinquennal obligatoire de la loi. En se basant sur l'expérience récente, l'industrie estime qu'il serait bon pour tous les intéressés de modifier l'article 29 de la LPRPDE pour que l'examen quinquennal commence à la fin de la dernière période d'examen, et non pas après l'écoulement de cinq années civiles. De cette façon, le processus d'examen serait complètement terminé avant que l'examen suivant commence. Cela permettrait de préciser en partie certaines choses.

    Pour résumer, monsieur le président, l'industrie de l'assurance de personnes applique la LPRPDE depuis plus d'une douzaine d'années et nous avons constaté que, d'une façon générale, le modèle actuel est toujours efficace et viable. Cela dit, votre examen de la LPRPDE donnera au Comité la possibilité d'examiner les aspects auxquels il pourrait être approprié d'apporter certaines modifications précises.

    L'industrie est heureuse d'avoir la possibilité de participer à l'examen de la LPRPDE qu'effectue le Comité. Nous nous ferons un plaisir de répondre à vos questions.

    Je vous remercie.

    Merci pour cet exposé.

    Pour les 10 prochaines minutes, nous allons entendre M. Lingard et M. Bundus du Bureau d'assurance du Canada.

    Merci, monsieur le président.

    Je m'appelle Randy Bundus et je suis le vice-président principal et le conseiller juridique en chef du Bureau d'assurance du Canada. Mon collègue Steven Lingard, qui est directeur, conseiller juridique et conseiller général adjoint du BAC, m'accompagne.

    Nous sommes heureux de représenter le Bureau d'assurance du Canada et nos sociétés membres dans le but de contribuer à la discussion touchant le prochain examen de la Loi sur la protection des renseignements personnels et les documents électroniques. Nous savons que le Comité souhaite entendre des points de vue sur les questions qui figuraient dans le document du commissaire fédéral à la protection de la vie privée de 2016 qui traitait des défis auxquels les notions traditionnelles de consentement faisaient face, compte tenu de l'évolution des modèles commerciaux et technologiques et également de la possibilité de renforcer la notion de consentement aux termes de la LPRPDE. Les commentaires que présente aujourd'hui le BAC sont fondés sur le mémoire que nous avons déposé en réponse au document d'information du CPVP.

    Le BAC est l'association nationale de l'industrie et elle représente plus de 90 % du montant des cotisations des assurances privées multirisques versées au Canada. Au Canada, l'industrie privée de l'assurance multirisques assure les résidences, les véhicules à moteur et les entreprises commerciales dans les différentes régions du pays. Il y a plus de 200 compagnies d'assurances multirisques qui se font activement concurrence au Canada.

    L'industrie de l'assurance multirisques vise également à améliorer la qualité de vie dans les collectivités canadiennes en faisant la promotion de la prévention des pertes, de la sécurité routière, de la prévention du crime, de l'amélioration des codes de construction et de la coordination de la préparation des interventions en cas de catastrophe naturelle.

    J'aimerais d'abord parler de l'approche au consentement à plusieurs niveaux qu'a adoptée l'industrie de l'assurance. La LPRPDE est une loi relative à la vie privée fondée sur le consentement et qui exige, sauf quelques exceptions limitées, que la personne concernée donne son consentement à la collecte, à l'utilisation et à la communication de ses renseignements personnels.

    Le BAC prend note des difficultés et des préoccupations soulevées dans le document d'information préparé par le commissaire à la protection de la vie privée, mais il estime que le modèle actuel fondé sur le consentement de la LPRPDE convient aux assureurs multirisques et à leurs clients et qu'il n'est pas nécessaire de le modifier de façon importante.

    La LPRPDE a été modifiée en 2015 par la Loi sur la protection des renseignements personnels numériques, connue aussi sous le nom de projet de loi S-4, qui a introduit la notion de « validité du consentement », selon lequel le consentement n'est valable que s'il est raisonnable de s'attendre à ce qu'un individu visé par les activités de l'organisation comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

    Il convient de noter que l'industrie de l'assurance multirisques est réglementée, sur le plan commercial, aux paliers fédéral et provincial. Les surintendants provinciaux et territoriaux des assurances surveillent les pratiques commerciales et le libellé des polices tandis que le surintendant des assurances fédéral a compétence sur la gouvernance d'entreprise et la solvabilité. Cette réglementation vient s'ajouter à la réglementation du respect de la vie privée par les assureurs prévue par les commissaires fédéral et provinciaux à la protection de la vie privée.

    Les assureurs multirisques canadiens utilisent depuis des années une approche à plusieurs niveaux pour obtenir le consentement à la collecte, à l'utilisation ou à la communication des renseignements personnels. Par exemple, lorsqu'un particulier sollicite une police d'assurance, il est invité à donner son consentement à la collecte, à l'utilisation et à la communication de ses renseignements personnels pour toute une série de fins légitimes immédiates et potentielles en matière d'assurance, y compris l'évaluation du risque — ce que nous appelons la « souscription » — les enquêtes et le règlement des déclarations de sinistre, ainsi que la détection et la prévention de la fraude. La formulation du consentement sur les formulaires de demande d'assurance automobile et les formulaires de déclaration de sinistre est régie par les surintendants des assurances provinciaux et territoriaux et les assureurs et les consommateurs sont tenus d'utiliser les formulaires exigés. Par la suite, si une déclaration de sinistre est présentée aux termes d'une police d'assurance, l'assureur obtient habituellement le consentement de l'assuré pour qu'il puisse recueillir, utiliser et communiquer ses renseignements personnels aux fins d'examiner et de régler le sinistre.

    Les assureurs utilisent également d'autres modèles d'entente en matière de consentement au moment où ils fournissent des devis d'assurance ou des services et des produits indépendants. Un exemple en serait l'assurance basée sur l'usage. L'assurance basée sur l'usage ou l'ABU est un produit relativement nouveau au Canada, même s'il est vendu depuis des années dans d'autres pays. L'ABU est un exemple d'offre d'assurance associée à la technologie. Avec l'ABU, l'assureur peut adapter les primes d'assurance-auto pour qu'elles reflètent l'usage réel du véhicule par le client en enregistrant des renseignements généraux, comme la fréquence d'utilisation, la longueur des trajets, l'heure de la journée pendant laquelle le véhicule est utilisé, les virages, l'accélération, la vitesse et l'utilisation des freins. Les renseignements sont obtenus grâce à une interface qui existe entre le véhicule de l'assuré et l'assureur.

    L'ABU est un produit facultatif et c'est uniquement au consommateur de décider s'il veut accepter et utiliser cette offre.

    Tout comme les autres produits de l'assurance automobile, l'ABU est réglementée par les surintendants des assurances provinciaux. Les surintendants des assurances de l'Ontario et de l'Alberta ont fixé certaines normes concernant la façon dont les assureurs peuvent réunir et utiliser cette information d'ABU. Il y a lieu de noter que le Commissariat à l’information et à la protection de la vie privée de l’Alberta a participé à la réglementation de l'ABU dans cette province.

    Il est de plus possible de recueillir les renseignements personnels sur les demandeurs d'indemnisation en cas d'accident automobile, étant donné que l'utilisation de formulaires de déclaration de sinistre automobile est obligatoire. Ces formulaires sont exigés par le surintendant des assurances et ils contiennent également des clauses relatives au consentement et au respect de la vie privée qui sont semblables à celles que contiennent les demandes d'assurance automobile. Cette approche à plusieurs niveaux et basée sur les circonstances donne aux assureurs la possibilité d'informer leurs clients du fait que leurs renseignements personnels peuvent être utilisés et divulgués de façon nouvelle et d'obtenir leur consentement lorsque cela est nécessaire et quand la relation avec la personne concernée évolue, notamment en leur offrant de nouveaux produits d'assurance basée sur la technologie.

    J'aimerais maintenant dire quelques mots de la mise à jour du régime du consentement.

    Il faut régulièrement réviser les régimes réglementaires et légaux pour qu'ils soient toujours à jour. Le BAC et ses membres appuient les propositions suivantes destinées à renforcer le régime de consentement de la LPRPDE.

    Premièrement, pour ce qui est des exceptions au consentement ou des autres solutions, il y a des cas où les assureurs se fondent sur certaines exceptions au modèle actuel prévues à l'article 7 de la LPRPDE, notamment pour les enquêtes sur les réclamations frauduleuses, ou l'obtention de déclarations de témoins pour liquider et régler les demandes d'indemnisation. Le règlement général sur la protection des données de l'UE ou le RGPD, qui entrera en vigueur en 2018, adopte un régime semblable, mais différent. Le RGPD fait référence aux intérêts commerciaux légitimes, mais il est difficile de savoir comment cela s'appliquera en pratique et comment cela différera des exceptions actuelles prévues par la LPRPDE. Il serait peut-être souhaitable d'ajouter les intérêts commerciaux légitimes aux exceptions prévues par la LPRPDE.

    L'harmonisation de la LPRPDE et des lois provinciales en matière de vie privée avec le RGPD est une question qui mériterait d'être examinée de façon approfondie par le Comité.

    J'aimerais maintenant aborder les données agrégées et anonymisées.

    À l'heure actuelle, les assureurs utilisent les données agrégées et anonymisées, sous la forme de données anonymes, et cela devrait continuer à être une alternative viable à l'exigence du consentement. Elles peuvent être utilisées pour diverses fins légitimes et les contrats conclus par les assureurs et les fournisseurs de services tiers contiennent des garanties contre tout usage abusif de ces données.

    Pour ce qui est des codes de pratique, les assureurs sont lourdement réglementés par un certain nombre d'organismes de réglementation, en particulier par le Bureau fédéral du surintendant des institutions financières, le BSIF, qui réglemente la solvabilité et la gouvernance d'entreprise, ainsi que par les surintendants des assurances provinciaux et territoriaux qui réglementent les pratiques commerciales, y compris le libellé de certains formulaires et de certaines polices d'assurance obligatoires.

    Nous estimons qu'il serait redondant d'envisager l'adoption de codes de pratique parce que cela n'ajouterait pas grand-chose aux exigences strictes déjà mises en place par les autorités de réglementation provinciales et fédérales.

    Pour ce qui est du modèle d'application utilisé par le CPVP, le BAC reconnaît que les organismes de surveillance indépendants comme le CPVP jouent un rôle essentiel lorsqu'il s'agit de protéger les intérêts privés des Canadiens. D'après l'expérience acquise par les assureurs dans leur rapport avec le CPVP jusqu'ici, l'industrie estime que le CPVP a fait de l'excellent travail pour protéger la vie privée des personnes grâce aux pouvoirs que lui accorde actuellement sa loi habilitante. Les assureurs prennent très au sérieux leurs obligations en matière de consentement et de vie privée et comprennent l'importance de respecter strictement les conditions qui leur sont imposées par les lois relatives à la vie privée et par les organismes de réglementation des assurances. Les assureurs sont tout à fait conscients de l'importance de ces obligations et il existe un ombudsman interne qui a pour mission d'enquêter de façon impartiale et indépendante sur les plaintes des consommateurs. Le rôle de l'ombudsman devrait probablement être réexaminé si les pouvoirs du CPVP devaient être élargis.

    En outre, il est bon de faire remarquer que les modifications apportées en 2015 à la LPRPDE, par le biais de la Loi sur la protection des renseignements personnels numériques, attribuaient au CPVP de nouveaux pouvoirs d'application de la loi, notamment la capacité d'obliger les organisations à conclure des ententes de conformité. De plus, l'évolution récente de la jurisprudence en matière de vie privée, en particulier la création de nouveaux délits civils basés sur la vie privée, couramment appelée « intrusion dans la sphère privée » et « publication de faits privés », incite encore davantage ces organisations à éviter les atteintes à la vie privée pour ne pas compromettre leur réputation et ne pas alourdir les indemnités accordées aux personnes lésées.

    Pour ces motifs, le BAC n'estime pas que le CPVP a besoin de pouvoirs supplémentaires pour être en mesure de fonctionner de façon appropriée et remplir sa mission.

    Je vous remercie de votre attention. Mon collègue Steven Lingard et moi serons heureux de répondre tout à l'heure à vos questions.

    Merci pour cet exposé.

    Nous allons maintenant entendre Mme Carreno, présidente du Bureau de la publicité interactive du Canada ainsi que Me Kardash, avocat associé d'Osler, Hoskin et Harcourt.

    Monsieur le président et honorables membres du Comité, bonjour.

    Je m'appelle Sonia Carreno et je suis la présidente du Bureau de la publicité interactive du Canada. Adam Kardash m'accompagne aujourd'hui. Adam est l'avocat du BPI et préside la pratique nationale en matière de gestion des données et de vie privée dans le cabinet d'avocats Osler, Hoskin & Harcourt. Nous vous remercions tous les deux de nous avoir donné la possibilité de prendre la parole devant vous cet après-midi.

    À titre de contexte, je mentionne que le BPI Canada est une association sans but lucratif qui se consacre exclusivement à l'élaboration et la promotion du secteur de la publicité et du marketing numérique au Canada, un secteur qui connaît une croissance rapide. Le BPI Canada représente plus de 250 sociétés les plus connues et respectées du Canada dans le secteur du marketing et de la publicité numérique, y compris de nombreuses petites et moyennes entreprises.

    Les entreprises du secteur de la commercialisation et de la publicité numériques offrent une large gamme de services et de produits très novateurs, notamment des services de grande valeur pour les Canadiens. Ce secteur est très compétitif et le succès à long terme de ses membres repose essentiellement sur leur capacité de concevoir, développer, offrir et améliorer des services et produits numériques utiles. Les membres de notre association sont des entreprises de traitement des données. Les produits et services qu'offrent nos membres font par nature appel au traitement de données, et bien souvent, il y a parmi ces données des renseignements personnels. Nos membres savent que leur réussite à long terme en tant qu'entreprises commerciales les oblige à traiter de façon appropriée les renseignements personnels dont ils ont la garde et le contrôle, et notamment à respecter la LPRPDE et les autres lois applicables en matière de vie privée.

    Je vais maintenant donner la parole à Adam Kardash qui va vous dire quelques mots sur le cadre de la LPRPDE.

    Merci.

    Les commentaires que nous allons vous présenter cet après-midi ont pour thème central l'idée que le cadre légal qu'offre la LPRPDE est très bien adapté à l'innovation.

    L'application des principes de la LPRPDE en matière d'information honnête dans un environnement actuel extrêmement dynamique pour ce qui est des données, pose bien sûr certaines difficultés, mais il est évident que, dans l'ensemble, cette loi a donné de bons résultats et propose un régime élégant et efficace qui incite les organisations à traiter avec précaution les renseignements personnels lorsqu'elles élaborent et offrent des produits et des services extrêmement novateurs et utiles.

    La réussite de la LPRPDE sous cet aspect et la raison pour laquelle la LPRPDE peut continuer à favoriser l'innovation dépend principalement des aspects clés suivants du cadre légal mis en place. La LPRPDE vise à concilier les intérêts des particuliers et les besoins légitimes des organisations dans le traitement des renseignements personnels, une opération de conciliation qui joue un rôle essentiel dans l'économie numérique d'aujourd'hui. Les règles de la LPRPDE sont fondées sur des principes et ont un effet technologique neutre. Un autre aspect est le principe de responsabilité dont s'inspire la LPRPDE.

    La LPRPDE est encore très efficace aujourd'hui parce qu'elle a été rédigée d'un point de vue technologiquement neutre et sans préférence sectorielle et elle est bien conçue pour répondre aux considérations en matière de vie privée apparemment nouvelles que pourraient soulever les avancées technologiques. Au moment de procéder à l'examen de cette loi et d'envisager des modifications éventuelles, il est essentiel que la LPRPDE demeure neutre sur le plan technologique, étant donné que toute obligation légale qui vise un écosystème, processus ou élément numérique particulier risque de devenir obsolète et dépassé, peu de temps après son entrée en vigueur.

    Il est également important de faire remarquer que, si l'on dit souvent que la LPRPDE est une loi basée sur le consentement, en pratique, l'aspect le plus important de la LPRPDE est le principe de responsabilité, parce qu'il fournit les règles qui régissent le cycle de vie complet du traitement des renseignements personnels par les organisations. Il est important de mentionner que le consentement exigé par la LPRPDE n'est qu'un aspect des obligations plus larges que cette loi impose aux organisations.

    Le modèle de responsabilité mis en place par la LPRPDE est élégant et efficace puisqu'il rend les organisations responsables de leurs pratiques en matière de renseignements personnels et qu'il le fait de façon non impérative. Le principe de responsabilité ne doit pas être impératif parce qu'il accorde ainsi aux organisations la souplesse qui leur permet d'adapter concrètement leurs programmes de protection de la vie privée à l'industrie, au secteur d'activités, à la taille de l'organisation, à la nature des pratiques d'une organisation donnée en matière de renseignements personnels et en tenant compte de l'évolution des besoins commerciaux.

    Je vais maintenant vous présenter quelques commentaires sur la viabilité pérenne des obligations qu'impose la LPRPDE en matière de consentement, comme vous l'avez déjà entendu dire.

    Comme le Comité l'a entendu de la part des témoins précédents...

    Permettez-moi d'intervenir un instant, mais la sonnerie a été déclenchée et il nous reste 30 minutes avant le vote. Il faut le consentement unanime des membres du Comité pour poursuivre la séance. Nous sommes bien sûr à quelques pas de la Chambre; je propose donc que M. Kardash termine son exposé et que nous limitions la première ronde de questions à cinq minutes chacune. Nous allons donc procéder à un premier tour de questions, nous irons voter et nous reviendrons dans la salle; nous verrons à ce moment-là ce que nous pouvons faire. Cela vous convient-il?

    Très bien, nous procéderons de cette façon.

    Poursuivez, monsieur Kardash.

    Merci.

    Comme le Comité l'a entendu de la bouche des témoins précédents, on parle de plus en plus activement dans le milieu mondial de la vie privée des défis concrets et juridiques que pose l'exigence légale du consentement dans un environnement où les données évoluent, mais malgré toutes ces difficultés, comme on vient de vous le dire, il est important de souligner que, dans de nombreuses situations, les obligations actuelles de la LPRPDE en matière de consentement demeurent un moyen concret et juridiquement viable qui accorde, aux termes de la LPRPDE, aux organisations le pouvoir de réunir, utiliser et communiquer des renseignements personnels dans l'environnement actuel, en utilisant ce que la Cour d'appel fédérale a qualifié d'approche pragmatique, souple et fondée sur le bon sens.

    La collecte et l'utilisation de renseignements à des fins de publicité comportementale en ligne, ou ce qu'on appelle maintenant plus couramment la publicité axée sur les intérêts, est un exemple parfait de la viabilité des obligations en matière de consentement qu'impose actuellement la LPRPDE au sein d'un écosystème de données complexe.

    En se fondant en grande partie sur les avis émis par le Commissariat à la protection de la vie privée du Canada relatifs à la PCEL, l'Alliance de la publicité numérique du Canada, un organisme sans but lucratif, et un consortium qui regroupe le BPI et sept autres grandes associations nationales de commercialisation et de publicité, ont mis au point et lancé un programme appelé AdChoices, un programme canadien d'autoréglementation applicable à la publicité comportementale en ligne. Des douzaines d'acteurs clés de l'écosystème de la publicité en ligne et mobile ont adopté le programme AdChoices de l’Alliance de la publicité numérique du Canada, tout cela dans le but de faciliter la conformité avec la LPRPDE et dans l'ensemble, de renforcer la confiance de toutes les parties prenantes du secteur canadien de la publicité numérique.

    L'obligation en matière de consentement prévue par la LPRPDE offre également un cadre utile au traitement des renseignements personnels qu'exige l'analyse des données ou de ce que l'on appelle également le traitement des mégadonnées. L'analyse des données fait partie inhérente de la recherche et les perspectives nouvelles découlant de l'analyse des mégadonnées qu'effectuent actuellement les entreprises débouchent sur des progrès majeurs et sans précédent sur le plan des avantages et de l'amélioration de l'efficacité et de la commodité ainsi que sur les nouveaux produits et les offres. Les dispositions de la LPRPDE en matière de consentement, en particulier le principe 4.3.3, envisagent concrètement les circonstances dans lesquelles les organisations sont amenées à traiter les renseignements personnels lorsqu'elles fournissent un produit ou un service, comme c'est le cas de l'analyse des données effectuée pour la recherche et le développement.

    Dans le mémoire que nous remettons au Comité, nous présentons plusieurs recommandations au sujet des modifications à la LPRPDE et j'en parlerai brièvement cet après-midi.

    Le cadre de la LPRPDE demeure viable, mais il est essentiel de veiller à ce que la LPRPDE puisse à long terme répondre aux défis que pose le modèle basé sur le consentement, étant donné que ces défis vont devenir de plus en plus aigus en raison de la complexité accrue des écosystèmes de données comme l'Internet des choses. La LPRPDE bloquera l'innovation si les entreprises ne sont pas certaines de posséder le pouvoir légal et viable que leur accorde la LPRPDE pour traiter les renseignements personnels. Certaines de ces difficultés peuvent être réglées en modifiant de façon très précise la LPRPDE dans le but d'élargir les cas où les organisations peuvent réunir, utiliser ou divulguer des renseignements en l'absence de consentement. Nous estimons que les modifications à la LPRPDE pourraient, si elles sont rédigées de façon appropriée, résoudre toute une série de défis en conciliant les intérêts de tous les intéressés.

    Très brièvement, les modifications proposées comprennent, comme vous l'avez entendu dire il y a quelques minutes, ce qui suit:

    Premièrement, élargir les motifs prévus par la LPRPDE qui autorisent, en l'absence de consentement, la collecte, l'utilisation et la communication des renseignements personnels pour des fins commerciales légitimes.

    Deuxièmement, modifier la formulation de l'exception accordée à la recherche par la LPRPDE pour qu'elle comprenne expressément les analyses.

    Troisièmement, moderniser les exceptions à l'obligation du consentement pour la collecte, l'utilisation et la communication de renseignements publiquement disponibles.

    Et enfin, autoriser expressément les organisations à anonymiser les renseignements personnels sans qu'il soit nécessaire d'obtenir le consentement des intéressés.

    Nous invitons les membres du Comité à nous poser des questions au sujet de ces recommandations.

    J'aimerais faire un dernier commentaire. J'aimerais vous présenter des points de vue au sujet du caractère suffisant des pouvoirs actuels en matière d'application de la loi que la LPRPDE confie au CPVP.

    La LPRPDE attribue actuellement au CPVP une série de pouvoirs lui permettant d'assurer la conformité avec la Loi et malgré les appels au renforcement des pouvoirs d'application de la loi qui ont été transmis au Comité, nous sommes convaincus qu'il ne semble pas exister de cas susceptible de démontrer que l'arsenal actuel des pouvoirs attribués au CPVP est insuffisant.

    Bien au contraire, jusqu'ici le CPVP a très bien réussi à remplir la mission que lui donne la LPRPDE. Le CPVP est un organisme très respecté dans le milieu international de la vie privée depuis des années à cause de ses activités en matière d'application de la loi. À notre avis, il n'est pas nécessaire de renforcer ou de compléter les mécanismes d'application de la loi dont dispose le CPVP.

    En outre, étant donné le souci de concilier les intérêts que reflète la LPRPDE, le régime légal d'application de la loi prévu par la LPRPDE contient une lacune remarquable; en effet, la Loi ne donne pas expressément aux organisations le droit de contester la façon dont le CPVP exerce ses pouvoirs actuels d'application de la loi.

    Par exemple, les organisations n'ont pas le droit, expressément prévu par la Loi, de renvoyer une question à la Cour fédérale.

    C'est pourquoi nous recommandons que la LPRPDE soit modifiée pour donner aux organisations le droit express de contester l'exercice par le CPVP de ses pouvoirs actuels d'application de la loi.

    Je vous remercie encore une fois de m'avoir donné l'occasion de vous parler cet après-midi. Nous nous ferons un plaisir de répondre à vos questions.

    Merci au BPI du Canada pour cet exposé.

    Nous allons démarrer le tour de cinq minutes avec M. Saini.

    Bonjour. Merci d'être venus.

    Avant votre arrivée, le Comité a entendu plusieurs témoins.

    J'aimerais parler plus précisément du RGPD, qui, comme vous le savez, entrera en vigueur en mai 2018. Pour le moment, nos amis européens estiment que la LPRPDE est une loi appropriée. Étant donné que le RGPD va entrer en vigueur en mai 2018, nous serons peut-être amenés à faire quelques changements, en particulier pour le droit à l'oubli. Étant donné que vous représentez le secteur privé, quels sont, d'après vous, les aspects qui devraient être modifiés pour être certain que nos lois sont équivalentes à leurs lois?

    C'est une question ouverte.

    Je me ferais un plaisir d'y répondre.

    Bien sûr.

    Mon premier commentaire est que le RGPD est une mesure législative extrêmement complexe. Elle est encore à l'étude et il se déploie beaucoup d'efforts au palier mondial pour comprendre le sens de certains aspects de cette mesure. Nous venons de recevoir des orientations politiques de la part des organismes de réglementation de l'UE, qui ont commencé à préciser le sens de certains aspects de cette mesure.

    Cela dit, j'ai eu l'occasion d'étudier cette loi pour ce qui est des mandats confiés par les clients et ayant passé des années à travailler avec des données, j'estime qu'il y a de nombreuses parties de la LPRPDE qui sont pratiquement semblables. Il y a bien sûr une différence sur le plan de la nature impérative de certaines dispositions — le RGPD est une mesure beaucoup plus complète et beaucoup plus impérative —, mais il y a des aspects de régime de responsabilité de la LPRPDE, qui ont été pris comme modèle au palier mondial, qui ne changeront pas et qui résisteront à l'épreuve du temps.

    Le résultat est que l'adéquation est une question qui relève de l'UE et au minimum, j'estime qu'il conviendrait de procéder à un examen minutieux et y consacrer pas mal de temps pour comprendre plusieurs des éléments, qui, d'après ce qu'a déclaré le Commissariat de la protection de la vie privée, n'existeraient pas. Il y a des éléments, y compris celui que vous avez cité — le droit à l'oubli — et il y en a d'autres qui ne se retrouvent pas dans le RGPD.

    À notre avis, du moins sur le plan concret de nos rapports avec nos clients et sur le plan de l'adéquation, ce document permet les flux transfrontaliers de données, même s'il existe d'autres mécanismes qui permettent la circulation transfrontalière des données et qu'il est possible d'adapter. C'est ma première remarque. Deuxièmement, il me paraît très important de ne pas entreprendre une révision précipitée de notre cadre légal, tant que nous ne comprendrons pas vraiment le sens de certaines dispositions, ce qui pourrait prendre pas mal de temps. Au minimum, nous allons obtenir à un moment donné l'avis des autorités de l'UE pour ce qui est du caractère suffisant de notre loi. Ce processus nous permettra de comprendre les nuances et les différences de ce qui nous paraît être des lacunes, et étant donné que c'est une mesure de l'UE, cela devrait servir de point de départ pour examiner la nature des véritables lacunes.

    Je vais faire une seule remarque. Je l'ai déjà mentionnée, mais je ne peux pas lui accorder trop d'importance. Il y a de larges pans du RGPD qui pourraient, à mon avis, s'intégrer parfaitement à notre cadre actuel. Je pense que nous, les Canadiens, devrions être très fiers du fait que notre loi a résisté à l'épreuve du temps malgré les changements substantiels qu'a connus la situation mondiale.

    J'aimerais revenir sur la notion de « droit à l'oubli ». Il faudrait être très prudent sur cet aspect à l'avenir pour que cela n'ait pas des conséquences imprévues.

    Je m'interroge au sujet de deux aspects.

    La fraude à l'assurance est un grave problème dans notre industrie. C'est une préoccupation. Si quelqu'un pouvait exiger le droit à l'oubli pour commettre une fraude à l'assurance, ce serait un résultat tragique. Nous allons devoir examiner cet aspect lorsque nous allons poursuivre l'étude de la LPRPDE pour être certains qu'il n'y aura pas de conséquences imprévues.

    En outre, avec le droit à l'oubli, nous voulons veiller à ce que la personne qui invoque ce droit — et je parle du contexte des assurances — communique avec l'assureur et déclare qu'elle ne veut pas que son dossier contienne certains renseignements... Cette personne pourrait avoir une assurance-responsabilité avec cet assureur, et 15 ou 20 ans plus tard, ce client pourrait en avoir besoin. Il serait vraiment tragique que le client qui invoque le droit à l'oubli auprès de cet assureur renonce ainsi au droit de réclamer des indemnités aux termes d'une police d'assurance, au moment où il en a le plus besoin.

    Il vous reste 20 secondes de votre temps de parole, mais étant donné...

    Je peux le donner à quelqu'un d'autre.

    Vous êtes tellement généreux.

    Monsieur Kelly, allez-y pour cinq minutes.

    Merci de n'avoir pas utilisé vos cinq minutes, Raj.

    J'aimerais rapidement simplifier quelque chose pour le compte rendu et m'assurer que j'ai bien compris ce que disaient ces trois groupes de témoins. Tous les trois sont en faveur de conserver le modèle de l'ombudsman et aucun de nos témoins d'aujourd'hui n'est en faveur d'accorder au CPVP le pouvoir de rendre des ordonnances. Est-ce bien exact?

    Tous les témoins: D'accord.

    Merci.

    Je vais donc peut-être m'adresser à Me Kardash. J'essayais de prendre en note vos quatre recommandations. Vous les avez mentionnées très rapidement et je veux être sûr de les avoir bien comprises. Vous pouvez peut-être en dire davantage à ce sujet. Vous dites que vous avez quatre recommandations. L'une consistait à élargir le modèle axé sur le consentement de façon à accorder la capacité d'agir en l'absence de consentement lorsque des intérêts commerciaux sont en cause.

    En fait, je vais peut-être tout simplement vous demander de répéter ces quatre points et de veiller à ce qu'ils soient bien compris.

    Ce sera un plaisir de le faire.

    Nous en avons présenté quatre. Elles concernent toutes la capacité de traiter certaines données — réunir, utiliser et communiquer des renseignements personnels — en l'absence de consentement. Une de ces recommandations, comme ma collègue l'a également mentionné, consistait à créer une exception pour les intérêts légitimes. Elle autoriserait une organisation à faire la collecte, l'utilisation ou la communication de renseignements personnels en l'absence de consentement, lorsqu'elle le fait pour des intérêts légitimes. C'est un aspect qui fait partie à l'heure actuelle du droit de l'UE. C'est la première chose.

    C'est la première.

    La deuxième est qu'il existe à l'heure actuelle une exception aux termes de l'alinéa 7(2)c) de la LPRPDE qui vise l'utilisation de données à des fins statistiques ou à des fins d'étude ou de recherche érudites. Il s'agit simplement de l'utilisation de données. À mon avis, cette formulation autorise, par exemple, les analyses, qui constituent une forme de recherche, mais il serait très utile que cela soit précisé pour que les entreprises puissent continuer à faire ce qu'elles font déjà depuis des dizaines d'années. Cela avantagerait encore beaucoup plus les Canadiens si on élargissait la portée de l'alinéa 7(2)c) de la LPRPDE pour autoriser expressément, uniquement pour l'utilisation des données, les analyses de données considérées comme un genre de recherche interne, comme la recherche et le développement, en l'absence de consentement.

    Troisièmement, j'ai parlé de l'exception concernant les renseignements « auxquels le public a accès ». Comme le sait le Comité, la LPRPDE prévoit des exceptions pour la collecte, l'utilisation et la communication de certains renseignements auxquels le public a accès. Ce sont des dispositions très précises. À titre d'exemple, une des exceptions pour les renseignements auxquels le public a accès et qui n'exigent pas l'obtention du consentement est le nom, l'adresse et le numéro de téléphone de quelqu'un qui est « un abonné qui figure dans un annuaire téléphonique ». Cela semblait logique il y a 20 ans. Dans une économie numérique, cela ne veut plus rien dire. Je parle donc simplement d'élargir cette exception et d'utiliser une formulation qui soit neutre sur le plan technologique et donc, plus appropriée.

    Très bien.

    Enfin, j'ai mentionné, tout comme mes collègues, que les organisations utilisent actuellement, pendant le traitement de ces données, une pratique que l'on appelle l'anonymisation, qui est extrêmement utile pour protéger les intérêts privés des particuliers, mais qui les protège parce que l'on peut rendre les données non identifiables. C'est une question ouverte — qui a fait l'objet de vives discussions en Europe pendant des années —, c'est la question de savoir s'il faut obtenir une autorisation pour anonymiser les renseignements. Nous suggérons respectueusement au Comité qu'il faudrait mettre un terme à cette discussion. Il faudrait exiger que les textes soient clairs et que les organisations puissent prendre des mesures pour protéger les données; elles devraient pouvoir anonymiser les données en l'absence de consentement, plutôt que d'avoir à obtenir un consentement pour l'anonymisation de données. C'est une mesure de protection utile, et c'est donc l'aspect fondamental de cette remarque.

    Merci.

    Me reste-t-il un peu de temps?

    Il vous reste une minute.

    Je vais peut-être rapidement demander aux deux autres organisations de commenter les suggestions portant sur la modification de la LPRPDE qui vise à autoriser les entreprises ou les industries réglementées à contester devant la Cour fédérale le CPVP et la recommandation qui propose l'adoption d'une modification l'autorisant.

    Est-ce que les deux autres organisations pourraient commenter cette recommandation?

    Je ne l'ai pas étudiée, mais cela me semble être une bonne suggestion que le Comité devrait examiner.

    Merci.

    Je partage le point de vue de notre industrie qu'a présenté Frank. Je n'avais pas non plus réfléchi à cet aspect, mais cela me paraît effectivement une proposition intéressante qu'il serait bon d'étudier.

    Merci.

    Merci.

    Madame Trudel, vous avez cinq minutes.

     Merci, monsieur le président.

    Je remercie les témoins de leur présentation.

    Ma question est générale.

    On a beaucoup parlé de droit à l'oubli au cours des rencontres précédentes, sujet qui m'intéresse énormément. Le problème concerne probablement, dans plusieurs cas, des personnes de 18 ans et plus, mais il faut aussi tenir compte du fait que les enfants ont aujourd'hui accès à la technologie et qu'ils laissent des traces. La facilité avec laquelle ils peuvent utiliser les diverses applications accessibles sur les téléphones et les tablettes fait en sorte qu'ils n'ont pas toujours conscience de ce qu'ils laissent sur les médias sociaux.

    Nous avons abordé plus tôt le fait que le droit à l'oubli pourrait donner lieu à la destruction de certains éléments qui autrement, 20 ou 30 ans plus tard, pourraient être utilisés. Comment pourrions-nous établir un équilibre entre la pertinence de conserver certaines données et la possibilité de faire disparaître certaines informations ou encore le résultat de certains gestes posés par des personnes qui ne sauraient être considérés comme frauduleux ou criminels? Comment, selon vous, pourrait-on jumeler ces deux aspects tout en laissant la possibilité au droit à l'oubli pour certains éléments qui pourraient disparaître? J'aimerais avoir votre point de vue sur cette question.

    Je vais faire un commentaire initial.

    Dans notre industrie, celle des assurances de personnes, nous concluons des contrats qui durent parfois 30, 40 ou 50 ans. Nous recueillons, dans le cadre de l'examen des demandes d'assurance, des renseignements qui pourraient être pertinents dans 40 ou 50 ans. Il y a un genre de renseignements que nous recueillons, à savoir des renseignements légitimes dont nous avons besoin pour étudier les demandes et il y a également les renseignements que nous sommes légalement tenus de recueillir, par exemple, dans le contexte de la lutte contre le blanchiment d'argent, etc.

    Effectivement, pour ce qui est des renseignements obligatoires ou ceux qui sont nécessaires pour des fins légitimes, il serait très préjudiciable qu'une personne puisse dire tout à coup: « Je veux que ces renseignements soient supprimés. » Il peut y avoir des cas, comme vous l'avez dit, en ce qui concerne les enfants que l'on pourrait examiner. Bien évidemment, s'il s'agit de renseignements légitimes nécessaires, et si une personne conclut un contrat et fournit ces renseignements, elle ne devrait pas pouvoir dire: « Oublions tout cela. » Je suis certain qu'il existe d'autres cas où il y a lieu de conserver des renseignements pour des raisons valides.

    À mon avis, il faudrait prévoir un seuil très élevé pour l'exercice du droit à l'oubli, dans ce genre de cas.

    Vous avez soulevé une question fort intéressante, et il va être très difficile de vous fournir la bonne réponse. Sur le plan législatif, je ne sais pas très bien comment cela pourrait se faire.

    Il s'agit de jeunes — c'est un exemple — et ils veulent avoir le droit à l'oubli. Il est possible que la réponse soit les intérêts commerciaux légitimes: s'il existe un intérêt commercial légitime qui est nécessaire pour établir une relation commerciale, on pourrait peut-être prévoir une exception au droit à l'oubli. Il y a également d'autres domaines.

    Je pense que la préoccupation relative au droit à l'oubli touche rarement les relations commerciales. C'est la grande question que nous aurons à régler à l'avenir, j'en conviens.

    Je suis d'accord avec mes deux collègues.

    Il n'est pas facile d'équilibrer les choses. Je ne suis pas certain que la réponse consiste nécessairement à incorporer ce principe dans un cadre légal. Il existe à l'heure actuelle un cadre qui assure le traitement approprié des données tout au cours de leur vie, et qui comprend notamment des principes relatifs à la conservation des données. Ce sont là des aspects qu'il est très difficile d'intégrer de cette façon lorsque l'on ne connaît pas exactement s'il y aura des conséquences imprévues.

    Le Comité examine toute cette question et je crois qu'il faudrait qu'il soit très prudent. Au cours des témoignages précédents, vous avez entendu parler de considérations reliées à la liberté d'expression, aspect qui serait, je crois, tout à fait opportun d'examiner en détail et d'ajouter ce principe de gouvernance d'entreprise au régime législatif.

    Merci pour cette question.

    Nous allons maintenant faire une pause et nous reprendrons après le vote.

    Très bien. Reprenons là où nous en sommes restés.

    Nous allons terminer notre premier tour de questions avec M. Long qui dispose de cinq minutes.

    Merci, monsieur le président.

    Je remercie nos témoins. Je vous prie, au nom de tous les membres du Comité, de nous excuser pour les votes et les retards. Vos exposés étaient très instructifs.

    Je m'adresse à Sonia et à Adam et je leur dis que j'aimerais revenir sur le problème auquel je m'intéresse depuis un moment, à savoir les droits des enfants aux termes de la LPRPDE et de l'imprécision qui entoure la façon dont nous allons protéger nos enfants par rapport à la validité de leur consentement. Je n'ai pas besoin de vous dire qu'on a fait récemment une enquête sur les sites Web et constaté que 62 % d'entre eux communiquaient des renseignements. Mes enfants sont grands, mais j'ai des amis qui ont de jeunes enfants et qui utilisent constamment leur iPad, leur ordinateur portatif et le reste et qui visitent des sites.

    J'aimerais que vous me disiez tous les deux, si vous le voulez bien, comment nous allons protéger nos enfants. Je crois que la COPPA aux États-Unis contient des dispositions beaucoup plus précises en matière de protection et de consentement valable des enfants de moins de 13 ans. Pouvez-vous nous en dire davantage sur les modifications et les amendements que nous pourrions apporter à la LPRPDE dans le but de protéger nos enfants?

    Vous pourriez peut-être commencer, Adam.

    Je me ferais un plaisir de vous répondre.

    Nous avons été amenés, dans le cadre de nos nombreux rapports avec nos clients, à aborder cette question-là. Le meilleur point de départ est en fait votre référence à la COPPA. Avec la LPRPDE, comme nous l'avons entendu dire cet après-midi, le consentement est exigé. Les personnes de moins de 13 ans n'ont pas la capacité de fournir un consentement valable. De façon semblable à la COPPA, mais sans que cela soit formulé, si vous avez 10, 11 ou 12... Prenons un enfant de huit ans par exemple. Il faudrait le consentement de son tuteur ou d'un parent pour pouvoir traiter des renseignements le concernant.

    Selon la common law, le consentement des mineurs est généralement exigé par rapport à la capacité de prendre des décisions, de sorte que cela dépendra énormément du contexte lorsqu'on parlera des jeunes de 12 ou 13 ans, l'âge mentionné dans la COPPA, ou de ceux qui ont atteint l'âge de la majorité, qui varie. Juridiquement, il faut se demander s'il est même possible d'obtenir un consentement dans ces circonstances. Quoi qu'il en soit, la LPRPDE contient toute une série de règles qui sont, comme je l'ai mentionné, neutres sur les plans sectoriels et autres.

    Ces règles protègent donc les données sensibles, tout comme elles protégeraient tout autre type de données sensibles...

    Permettez-moi d'intervenir. Pour ce qui est de la validité du consentement et des enfants, nous parlons d'enfants de huit ou 12 ans. Devrions-nous prévoir différentes catégories — c.-à-d. — est-ce que les enfants de huit à 10 ans devraient demander le consentement de leurs parents? Est-ce que les jeunes de 12 à 15 ans peuvent donner un consentement valable, à votre avis?

    J'ai deux commentaires.

    Pour ce qui est de votre première question, il semble parfois qu'il serait utile d'avoir des catégories d'âges différentes pour différents types de situations, mais compte tenu de l'explosion de tous les différents types de services, d'offres et de contexte, il est extrêmement difficile de les traduire par des catégories. La LPRPDE est une excellente loi parce qu'elle est neutre et non impérative.

    Cela dit, est-ce qu'un enfant de 12 ou 13 ans peut donner son consentement? Il le pourrait s'il avait la capacité de prendre des décisions, mais je dirais que ceux qui ont moins de 12 ans, de la même façon qu'ils n'auraient pas la capacité de prendre des décisions pour d'autres raisons, ne pourraient fournir un consentement valable.

    Très bien.

    Voulez-vous ajouter quelque chose?

    Je n'ai pas d'autres commentaires à formuler. Je sais que notre avocat et nos comités parlent abondamment des enfants en général. Je crois que l'on est en train d'élaborer de nombreuses directives, d'une façon générale dans le secteur privé, dans le but de protéger les enfants. Les entreprises font de leur mieux et elles se communiquent leurs idées.

    Merci.

    Je vais m'adresser maintenant au côté assurances de la table. Ces derniers jours, nous avons accueilli un certain nombre de courtiers d'assurance sur la Colline. Corrigez-moi si je me trompe, mais je crois que l'on peut dire que le secteur des assurances est un secteur ancien. Êtes-vous d'accord avec cela? L'âge moyen pour la plupart des courtiers en assurance indépendants n'est-il pas de 50 ans ou plus?

    Nous représentons les entreprises, les assureurs eux-mêmes, mais effectivement, il me semble que les courtiers sont en général âgés.

    Le fait que les assureurs ne sont pas suffisamment proactifs pour changer leur façon de faire et leurs technologies est-il inquiétant?

    Encore une fois, je pense que les industries et les entreprises doivent être proactives à l'égard du changement que vont introduire le RGPD et d'autres choses, et il ne faudrait pas que ces entités attendent d'en voir les effets, mais qu'elles prennent des initiatives. Pensez-vous que l'industrie soit...?

    Nous avons épuisé les cinq minutes; je vous invite donc à répondre de façon la plus brève possible.

    Je vais laisser mon collègue M. Lingard répondre à cette question.

    Je vous remercie d'avoir posé cette question.

    Je pense que notre industrie est en fait proactive et novatrice. L'assurance basée sur l'usage en est un exemple; c'est un type d'assurance qui est vendu dans plusieurs autres pays.

    Nous constatons toutefois que, si les assureurs multirisques sont réglementés au palier provincial pour ce qui est des pratiques commerciales, les autorités de réglementation ne sont pas aussi avant-gardistes que nous aimerions. Nous constatons que des obstacles apparaissent lorsque les assureurs proposent de nouveaux produits novateurs.

    Quel genre d'obstacles?

    Nous vous redonnerons la parole, monsieur Long. Je pense qu'il nous restera un petit peu de temps à la fin.

    Monsieur Kelly, allez-y; vous avez cinq minutes.

    Merci.

    Si vous le permettez, je vais commencer par m'adresser au Bureau d'assurance du Canada.

    Est-ce que pour les membres de l'industrie l'adhésion à votre organisme est volontaire ou obligatoire?

    L'adhésion est volontaire.

    D'une façon générale, quel est le pourcentage de l'industrie que vous représentez? Vous la représentez toute ou...?

    Quatre-vingt-dix pour cent des assureurs multirisques privés au Canada sont membres du BAC.

    Très bien.

    J'ai remarqué que, dans vos remarques préliminaires, vous avez fait référence au fait que votre industrie était très réglementée, mais pas uniquement par la LPRPDE. Vous êtes réglementé par les lois sur l'assurance des diverses provinces ainsi que par le BISF, qui possède de larges pouvoirs.

    Vous avez également mentionné votre ombudsman interne. Est-ce que cet ombudsman interne reçoit de nombreuses plaintes au sujet de la vie privée?

    Les ombudsmans auxquels nous avons fait référence étaient ceux de différentes compagnies. Nous n'avons pas de données concernant ces plaintes. Je suis désolé de ne pouvoir vous fournir des renseignements à ce sujet.

    Très bien, de sorte que chacun de vos membres a son propre ombudsman...

    C'est exact.

    ... et c'est en tant que bonne pratique que vous avez créé le poste d'ombudsman ou est-ce que cela est exigé par...

    En fait, ce sont les lois provinciales sur l'assurance qui l'exigent. Pas dans toutes les provinces, mais je sais que l'Ontario exige que les compagnies aient un ombudsman, qui est chargé de traiter les plaintes émanant des consommateurs ou des clients. Nous ne savons pas du tout combien de plaintes sont présentées, ni quels sont les différents genres de plaintes.

    Si ces divers ombudsmans n'offraient pas des recours appropriés à leurs membres, pensez-vous que vous le sauriez en tant que représentant de l'ensemble de l'industrie? Savez-vous si les plaintes relatives à la vie privée sont nombreuses?

    Je pense que nous en entendrions parler, parce que nous avons de bonnes relations de travail avec les surintendants des provinces.

    En fin de compte, si une plainte ne peut être résolue ou n'est pas résolue avec l'assureur, le consommateur s'adresse au bureau du surintendant.

    Très bien.

    En Ontario, c'est la CSFO. Nous saurions qu'un problème n'a pas été réglé et que la CSFO va s'en charger.

    À votre connaissance, est-ce que le CPVP reçoit de nombreuses plaintes relatives à la vie privée concernant votre industrie?

    Cela fait plus d'un an que nous n'avons pas rencontré le CPVP. Auparavant, nous nous rencontrions chaque année et il nous mettait au courant de la situation.

    Je pense que le CPVP ne reçoit pas beaucoup de plaintes, et que les commissaires à la vie privée de l'Alberta ou de la Colombie-Britannique non plus. Je pense que nous avons un dossier assez satisfaisant dans ce domaine.

    Très bien.

    Attribuez-vous cela au fait que vous avez cessé de rencontrer des représentants du CPVP chaque année ou au fait que la question n'intéresse pas beaucoup de gens? Est-ce qu'ils ne communiquent pas avec vous parce qu'ils sont trop occupés à faire d'autres choses ou pensez-vous que les choses vont assez bien et que votre industrie n'est peut-être pas un problème?

    Nous l'attribuons au fait que notre industrie fait de l'excellent travail, comme cela a été mentionné plus tôt, je crois, par M. Zinatelli de l'ACCAP.

    Cela fait longtemps que les assureurs ont compris toute l'importance qu'il faut accorder à la protection de la vie privée et des renseignements personnels de leurs clients. Au cours des réunions que nous avons eues avec le CPVP, avec Jennifer Stoddart lorsqu'elle y était, avec Elizabeth Denham lorsqu'elle était en C.-B. et avec Frank Work et Jill Clayton en Alberta, on nous a déclaré qu'il y avait très peu de plaintes concernant la vie privée. Il y en a, tout au plus, quatre ou cinq par an. Ces plaintes ont été déposées au cours des premières années d'entrée en vigueur de la LPRPDE ou des LPRP provinciales. Les chiffres ont diminué par la suite.

    Très bien.

    Vous avez fait une excellente remarque, à savoir que votre industrie est réglementée par les provinces. La plupart de vos membres doivent également se conformer à la réglementation provinciale en matière de vie privée, une réglementation distincte à laquelle s'ajoutent les ombudsmans et divers mécanismes d'application de la loi.

    Pensez-vous que votre industrie a une approche appropriée pour ce qui est de la protection de la vie privée et de son importance?

    Oui, effectivement. Je pense que nous avons une très bonne approche. Nous avons adopté d'excellentes pratiques. Je l'ai déjà dit et je vais le répéter: les assureurs savent qu'il faut protéger les renseignements concernant leurs clients. Je pense que nous avons un excellent dossier dans ce domaine.

    Parfait.

    Merci.

    Voilà qui termine vos cinq minutes, monsieur Kelly.

    Nous allons maintenant passer à M. Saini et M. Long, qui partagent cette période de cinq minutes.

    Je vais simplement poser une question de suivi que je n'ai pas pu poser avant.

    Il ressort de votre témoignage et de ceux que nous avons entendus auparavant qu'il existe une certaine réticence à renforcer les pouvoirs du commissaire en matière d'application de la loi. J'aimerais tout simplement savoir comment s'expliquent ces réticences. Pourquoi ne devrions-nous pas accorder davantage de pouvoirs au commissaire pour qu'il fasse enquête sur les atteintes à la vie privée, en particulier lorsque cela ne nuit pas aux entreprises qui appliquent de bonnes pratiques?

    Je ne comprends pas ces réticences parce que nous savons qu'en Europe, en particulier avec le RGPD, la peine maximale est 4 % du chiffre d'affaires ou un montant maximal de 20 millions d'euros. Pourquoi y a-t-il au Canada des réticences à l'égard du renforcement des pouvoirs en matière d'application de la loi?

    Je reprendrais probablement les paroles de Jennifer Stoddart, qui est, comme vous le savez, une ancienne commissaire à la protection de la vie privée du Canada. Elle a siégé sur un panel au cours d'une conférence nationale sur la vie privée à laquelle j'assistais. On lui a fait remarquer qu'il n'y avait pas d'exemples de situations inacceptables. Elle a dit qu'il en avait une. C'est

     la Commission d'accès à l'information du Québec, ou CAIQ,

    un organisme qui est en fait un tribunal administratif. Elle a déclaré que, lorsqu'elle examine la commission québécoise, elle constate qu'elle représente les dangers que craignent les compagnies. Elle a même mentionné que... Je vais dire ce passage en français parce qu'elle parlait en français. Elle a déclaré que

    les décideurs de la CAIQ signent leurs jugements en tant que juges administratifs.

    Je serais heureux de répéter cela.

    Pourriez-vous le répéter plus lentement?

    Pas de problème.

    Elle a dit que les décideurs de la CAIQ signent leurs jugements en tant que juges administratifs. Elle mentionnait précisément que ce titre n'existe même pas dans la loi constitutive.

Pour elle, c'est une pente glissante qui risque de susciter plus tard de graves problèmes.

    Je répéterais simplement que je me suis occupé personnellement de dizaines d'enquêtes et que j'ai constaté qu'il était avantageux d'avoir un ombudsman qui peut intervenir très utilement et qui favorise ce que j'appellerais la discussion. À la différence des autres types de lois qui sont impératives, la mise en oeuvre d'un programme de protection de la vie privée qui assure un traitement approprié des données peut déboucher sur une discussion nuancée. Il faut un dialogue et il faut que tous les intéressés y participent.

    L'ombudsman permet de le faire. Si vous décidez de renforcer les pouvoirs d'application de la loi de l'ancien ombudsman, cela va modifier le contexte dans lequel se tient cette discussion. Cela est inévitable. Cela déboucherait-il sur une situation extrême, comme cela vient d'être mentionné? Mais la situation serait différente.

    Pour en revenir aux commentaires que nous avons faits, je dirais que nous avons obtenu beaucoup de succès avec le CPVP. Il a tout à fait réussi à faire respecter la Loi. Il est respecté dans le monde entier à cause de cela. Ce que nous n'avons pas encore vu, et c'est un aspect qu'il me paraît vraiment très important d'examiner, ce sont les circonstances précises où les pouvoirs actuels sont insuffisants. Je ne dis pas que ces circonstances n'existent pas. C'est juste que nous n'en avons pas encore parlé. Les pouvoirs sont très larges et ils donnent d'excellents résultats.

    Le seul fait qu'il puisse exister un autre régime de réglementation qui attribue des pouvoirs n'est pas une solution que notre comité préconise, du moins, à titre de proposition convaincante, en particulier avec tous les avantages qu'offre l'ombudsman. Je pense que le Canada peut être un chef de file mondial. Je pense que l'ombudsman est la façon de le faire. C'est ce que nous pensons depuis des années.

    Il reste encore 45 secondes.

    Monsieur Lingard, j'aimerais poursuivre sur cette question. Vous avez parlé du fait que l'industrie, les assureurs font face à des obstacles qui les empêchent de préparer l'avenir.

    Que fait votre industrie pour veiller à ce que les assureurs soient prêts à appliquer des règles et des règlements qui évoluent rapidement?

    Nous travaillons avec nos membres pour être sûrs qu'ils sont au courant de la situation. Nous travaillons, par exemple, sur l'introduction de la preuve électronique dans l'assurance-automobile. On pourrait penser que cela serait relativement simple. Plutôt que d'avoir à produire votre carte rose aux agents d'application de la loi...

    J'ai horreur de ça.

    ... vous pourriez peut-être montrer votre téléphone cellulaire, comme une carte d'embarquement quand vous prenez un avion. Cela a suscité beaucoup de discussions avec certains gouvernements provinciaux et certains commissaires provinciaux à la protection de la vie privée. Le commissaire fédéral n'est pas encore intervenu.

    Il semble que ce processus pourrait prendre des mois, voire des années, avant que cette technique soit au point. Ce n'est dans l'intérêt de personne. Nous comprenons qu'il faut prendre en compte soigneusement les questions touchant la vie privée, mais ce processus avance très lentement. C'est un mécanisme que nous aimerions voir s'élaborer plus rapidement. La technologie date déjà de 10 ans, alors pourquoi ne pouvons-nous pas l'utiliser actuellement?

    Je vous remercie. Voilà qui termine ce tour de cinq minutes.

    Nous allons entendre M. Jeneroux pour cinq minutes.

    Je vous remercie.

    Merci d'être venus aujourd'hui.

    Je vais poser une question, et je vais peut-être commencer par M. Bundus et M. Lingard, et, ensuite, ceux qui le souhaitent pourront intervenir.

    Je voulais parler des difficultés rencontrées pour éviter les atteintes à la vie privée, et peut-être entendre les recommandations ou les observations que vous pourriez présenter pour veiller à ce que nous disposions de cette information pour préparer notre rapport.

    C'est une question très importante pour les membres de notre industrie. Les assureurs qui assurent leurs clients contre les atteintes à leur vie privée, en leur vendant de l'assurance pour la responsabilité cybernétique, s'intéressent beaucoup non seulement à éviter les atteintes à la vie privée causées par leurs propres activités, mais à fournir des conseils à leurs clients pour éviter qu'ils commettent eux-mêmes des atteintes à la vie privée. C'est un produit tout nouveau et il y a beaucoup à faire pour informer les utilisateurs de ce système et pouvoir leur vendre de l'assurance. Avec le temps, de nouvelles compétences, de nouvelles idées et peut-être de nouvelles listes de vérification seront élaborées par les assureurs pour qu'il soit plus facile d'assurer ce produit. Voilà où nous en sommes.

    Avez-vous une recommandation à présenter ou préférez-vous plutôt attendre?

    Malheureusement, nous sommes dans une période d'attente.

    Très bien. Quelqu'un d'autre veut-il faire un commentaire?

    J'aimerais savoir si la question porte sur les recommandations destinées à aider les organismes à répondre aux incidents et qui seraient incorporées au régime légal ou est-ce une question plus générale?

    Les deux. Vous avez élargi la question, alors allons-y.

    Comme le Comité le sait, nous avons eu ces discussions et la LPRPDE va imposer l'obligation de donner un avis en cas d'atteinte à la sécurité, qui prendra effet lorsque le règlement sera rendu public pour commentaires et par la suite, mis en oeuvre.

    Un des commentaires qu'ont fait les membres de l'industrie au sujet de ce règlement est qu'il est extrêmement important qu'il ne soit pas impératif, mais qu'il assure une certaine souplesse. L'obligation prévue par la LPRPDE en matière de protection est simple. Elle est énoncée en quelques lignes. Il faut avoir des mécanismes de protection raisonnables en matière de sécurité. Selon la jurisprudence, il n'est pas nécessaire que ces mécanismes soient parfaits, mais que veut dire raisonnables? Un mécanisme raisonnable s'inspire des normes en vigueur. Il existe toute une série de normes au sujet de la gouvernance visant la sécurité des renseignements que les entreprises du secteur des services financiers, des services d'assurance et financiers appliquent. Toutes ces normes reflètent un principe fondamental, celui de la gouvernance en matière de sécurité des renseignements.

    Bien sûr, en particulier depuis l'attaque mondiale par rançongiciel, qui a lancé un avertissement à l'échelle de la planète, il faut être vigilant pour établir un programme permanent de gouvernance en matière de sécurité des renseignements. Dans ce cadre, il faut non seulement adopter des politiques et des procédures qui examinent, surveillent et vérifient indépendamment et continuellement ce qui se passe, mais il y a également les réactions aux incidents et les plans d'intervention à mettre en oeuvre. Si vous pensez qu'il s'agit d'une feuille de papier et que vous la mettez de côté, je dirais que cela ne vaut même pas le prix du papier. C'est un cadre vivant et évolutif qui vise à intervenir proactivement en cas d'atteinte à la sécurité des renseignements qui menace non seulement les entreprises individuelles, mais qui constitue une menace systémique pour des pays entiers.

    Nous avons compris, il y a des années, que la protection des renseignements était un principe essentiel. En fait, ce devrait être un des deux premiers principes qui sous-tendent les lois relatives à la vie privée, pour qu'il soit toujours respecté.

    Évidemment, nous avons vu ces dernières années des problèmes associés à la cybernétique et je peux dire que notre industrie a beaucoup fait dans le domaine cybernétique depuis trois ou quatre ans. En fait, nous avons mis sur pied des comités composés de représentants de nos entreprises membres pour qu'elles soient au courant des derniers développements. Nous travaillons de concert avec nos autorités de réglementation des services financiers pour qu'elles connaissent les mécanismes de protection qui ont été mis en place, mais c'est une bataille constante.

    Très bien.

    Si le Comité me le permet, j'aimerais poser deux ou trois questions.

    Cela est-il acceptable?

    Des députés: Oui.

    Le président: Ma première question s'adresse à Me Kardash. Vous avez proposé de conserver le statu quo pour ce qui est des pouvoirs du commissaire à la protection de la vie privée et vous avez dit que c'était un dialogue; cela me paraît être une remarque très juste. Par contre, si le commissaire a conclu une entente de conformité avec un tiers, et que ce tiers ne respecte pas cette entente, à quel moment le commissaire devrait-il pouvoir imposer des amendes ou disposer de nouveaux moyens d'action?

    Oui, ces ententes de conformité sont conclues volontairement par les organisations. Il y a des raisons qui expliquent pourquoi ces organisations décident de conclure ce genre d'entente avec le CPVP, c'est comme un contrat, cela se fait dans le secteur privé, de sorte que cela serait logique dans son format actuel.

    Nous avons entendu un avocat qui travaille dans un autre cabinet qui a déclaré que le droit à l'oubli devrait être attribué aux jeunes de moins de 16 ans. Pensez-vous que cela serait un compromis équitable pour le Comité?

    Nous avons été amenés à travailler sur plusieurs douzaines de mandats donnés par nos clients dans lesquels nous avons examiné les notions utilisées par l'UE, avec des sociétés mondiales et nous les avons introduits ici. Ce sont des notions très subtiles et il nous a semblé chaque fois qu'il n'était pas nécessaire d'adopter ce mécanisme pour protéger la vie privée.

    Nous avons à l'heure actuelle un cadre qui donne de bons résultats et cela n'a pas semblé nécessaire dans tous les cas.

    Je vous remercie.

    L'Australie examine un projet de loi — je ne pense pas qu'il ait été déjà adopté — qui érigerait en infraction le fait d'anonymiser des ensembles de données gouvernementales. Vous avez mentionné que l'anonymisation était une opération importante. Pensez-vous que nous devrions non seulement prévoir des règles qui autorisent expressément l'anonymisation, mais également examiner la question de savoir s'il convient d'en faire une infraction ou d'interdire cette opération?

    Oui. Nous recommandons l'adoption d'une disposition semblable à celle qui existe dans les lois provinciales en matière de vie privée: une présomption expresse qui autorise les organisations à anonymiser des données. Je crois que les cadres existent déjà. Si un individu ou une société anonymisait une série de données, il ne pourrait le faire ni aux termes de la LPRPDE, ni aux termes d'une loi provinciale. Il leur serait alors interdit de simplement réidentifier les données, et il y aurait en place un cadre qui traiterait de cet aspect; il y aurait également des recours aux termes des lois provinciales ou fédérales.

    Enfin, vous avez mentionné une nouvelle exception, les intérêts commerciaux légitimes. Je comprends la LPRPDE, mais vous en connaissez beaucoup plus que moi pour ce qui est du consentement implicite; vous pourriez peut-être expliquer au Comité la différence qui existe entre l'application actuelle de la loi à l'égard du consentement implicite et comment l'exception fondée sur les intérêts commerciaux légitimes pourrait compléter notre notion de consentement implicite.

    Oui, merci.

    C'est une question d'une importance cruciale. Il existe des éléments à respecter pour qu'un consentement soit valable, qu'il soit express ou implicite. Un des éléments est que le consentement doit être révocable. Par exemple, si vous donnez votre consentement à l'utilisation de vos données pour une commercialisation secondaire, l'entreprise est tenue de donner suite au retrait de votre consentement ou à votre « désabonnement ».

    Il y a une multitude de situations actuelles dans lesquelles il est très difficile d'assurer en pratique le caractère révocable du consentement. Nous vivons dans un écosystème de données d'une complexité stupéfiante dans lequel il serait même extrêmement difficile d'envisager la façon de retirer un consentement. L'Internet des objets est un de ces exemples. Si le cadre était soigneusement conçu — et nous avons été très prudents, ce que vous pourrez constater dans nos mémoires — et conciliait les intérêts en présence comme le fait le cadre de l'UE, les organisations pourraient alors traiter des données à des fins légitimes, tout en respectant, parallèlement, les intérêts associés à la vie privée.

    Je vous remercie.

    Mon temps de parole est écoulé.

    Madame Trudel, vous avez trois minutes si vous voulez les utiliser.

     Merci.

    Je voulais revenir à vous, monsieur Kardash, afin d'obtenir une précision.

    Vous avez parlé plus tôt du droit à la contestation devant le commissaire. J'aimerais avoir plus d'explications afin de savoir si nous parlons d'organismes qui veulent contester devant le commissaire — il s'agit peut-être d'un problème de traduction. Je voulais simplement bien comprendre le sens de l'expression « droit à la contestation ».

    Bien sûr. À l'heure actuelle, lorsqu'une organisation est visée par une plainte, le Commissariat à la protection de la vie privée déclenche une enquête. À l'issue de l'enquête, il publie un rapport contenant ses conclusions. Ce sont des conclusions non impératives et la Loi actuelle accorde expressément au plaignant, à la personne qui a déposé la plainte, ou au commissaire à la protection de la vie privée, le droit de saisir la Cour fédérale. Les organisations ne possèdent pas ce droit. Il n'existe pas.

    Le droit administratif prévoit certains recours, mais les organisations n'ont pas expressément le droit de le faire. Cela ne figure pas dans la Loi. De sorte qu'essentiellement, les recours qui peuvent être exercés devant la Cour fédérale pour le plaignant et une autorité de réglementation privée sont ceux que prévoit la Loi.

    Vous recommandez donc que l'organisation puisse contester. Est-ce exact?

    Il me paraît conforme à l'équité procédurale que les organisations disposent des mêmes droits. Toute la Loi est fondée sur la conciliation des intérêts. Aux termes de la LPRPDE, le respect de la vie privée n'est pas un droit absolu. Le préambule de la Loi énonce que celle-ci a pour objet de concilier les divers intérêts et l'article 5.3 prévoit la nécessité de concilier la protection des intérêts privés avec la collecte, l'utilisation et la communication des renseignements personnels à des fins raisonnables. Conformément au souci de concilier les divers intérêts, les organisations ont ainsi le droit de contester une décision.

    Il pourrait arriver, lorsque les règles concernant les avis en matière d'atteinte à la sécurité entreront en vigueur, que les organisations soient condamnées à payer une amende de 100 000 $ pour ne pas avoir donné un tel avis dans une situation où il existe un risque réel de préjudice grave. Où sont les droits qui permettraient à ces organisations de contester une décision qui pourrait avoir des répercussions gigantesques en leur imposant une amende aussi lourde? Si l'on veut pouvoir imposer des amendes aux organisations, je suggère simplement de donner à ces organisations le droit express, prévu par la Loi, de les contester.

    Merci.

    Je tiens à remercier tous nos témoins. Voilà qui termine notre séance publique. Nous allons suspendre quelques instants et reprendrons à huis clos.

    [La séance se poursuit à huis clos.]