ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le jeudi 16 février 2017
[Enregistrement électronique]
[Traduction]
Bonjour, chers collègues.
Je vais passer directement aux travaux.
Je rappelle à mes collègues que le Budget supplémentaire des dépenses a été déposé à la Chambre. Aucun budget supplémentaire des dépenses n'a eu d'incidence sur le mandat de ce comité, si bien que nous n'aurons aucun budget supplémentaire à étudier.
Au cours de la première heure de notre deuxième réunion sur l'étude de la LPRPDE, nous sommes ravis d'accueillir, du Commissariat à la protection de la vie privée du Canada, le commissaire à la protection de la vie privée, M. Daniel Therrien. Il est accompagné de Patricia Kosseim, avocate générale principale et directrice générale, Direction des services juridiques, des politiques, de la recherche et de l'analyse des technologies.
Y a-t-il assez d'espace sur une carte d'affaires pour y inscrire votre titre? En fait, je ne devrais pas vous poser des questions comme celle-ci.
Nous avons parmi nous Brent Homan également. Il est le directeur général de l'Enquête de la Loi sur la protection des renseignements personnels et les documents. Il est l'homme de confiance à qui s'adresser au sujet de la LPRPDE.
Monsieur Therrien, vous pourriez peut-être nous éclairer en nous présentant vos déclarations liminaires. Ensuite, nous vous poserons le plus de questions possibles durant la première heure.
Nous vous remercions encore une fois de comparaître devant le Comité.
[Français]
Merci beaucoup, monsieur le président.
Madame et messieurs les membres du Comité, merci de nous avoir invités à comparaître dans le cadre de votre examen de la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE.
Comme vous le savez, la LPRPDE est neutre sur le plan technologique et est fondée sur des principes d'application générale. Il faudrait conserver ces deux caractéristiques, car ce sont deux points forts de cette loi, qui en font un instrument flexible.
Depuis son entrée en vigueur, au début du XXIe siècle, le rythme des changements technologiques s'accélère sans cesse, ce qui remet en cause l'efficacité de la Loi et sa viabilité en tant qu'instrument de protection de la vie privée des Canadiens.
Ces changements technologiques présentent des avantages importants pour les individus. En plus de faciliter grandement les communications, ils donnent accès à une mine de renseignements de toutes sortes ainsi qu'à des produits et services provenant de toutes les régions du globe.
Toutefois, les nouvelles technologies créent aussi des risques considérables. Les internautes veulent exprimer leur opinion et faire des recherches sur des questions sensibles, comme la santé, sans craindre que quelqu'un suive ces activités et en fasse part à des tiers ayant des intérêts opposés aux leurs. En effet, c'est un aspect essentiel du droit à la vie privée que de donner aux individus le choix des personnes ou des organisations auxquelles leurs renseignements personnels seront communiqués.
Les nouvelles technologies promettent aussi des avantages substantiels pour la société en général. La croissance économique future reposera en grande partie sur la croissance de l'économie numérique. Par exemple, le Canada est bien placé pour devenir un chef de file mondial dans le domaine de l'intelligence artificielle, qui dépend de la collecte et de l'utilisation d'énormes quantités de données.
Dans la Déclaration ministérielle sur l'économie numérique, publiée par l'OCDE en 2016, les pays signataires, dont le Canada, se sont notamment engagés à déployer des efforts à l'échelle internationale pour protéger la vie privée puisqu'ils reconnaissent son importance pour la prospérité économique et sociale. En réalité, la protection de la vie privée est cruciale pour gagner la confiance des consommateurs et permettre l'instauration d'une économie numérique dynamique, forte et concurrentielle.
Pourtant, la grande majorité des Canadiens craignent de perdre le contrôle qu'ils exercent sur leurs renseignements personnels. Dans notre plus récent sondage d'opinion publique, 92 % des répondants ont exprimé des préoccupations au sujet de la protection de leur vie privée et 57 % se sont dits très préoccupés par cette question.
Donc, si nous n'améliorons pas considérablement les mécanismes de protection de la vie privée, les Canadiens n'auront pas la confiance voulue pour que l'économie numérique soit florissante, ils ne profiteront pas de tous les avantages rendus possibles grâce à l'innovation et, en fin de compte, leurs droits ne seront pas adéquatement respectés.
Le consentement a toujours été considéré comme un élément fondamental de la LPRPDE, mais il devient de plus en plus difficile d'obtenir un consentement valable à l'ère des mégadonnées, de l'Internet des objets, de l'intelligence artificielle et de la robotique.
Au moment de l'adoption de la LPRPDE, les interactions avec les entreprises étaient généralement prévisibles, transparentes et bilatérales. Les consommateurs comprenaient bien pourquoi l'entreprise avec laquelle ils faisaient des affaires avait besoin de certains renseignements personnels. Il est maintenant difficile de savoir avec certitude qui traite nos données et, surtout, à quelles fins.
C'est pourquoi l'applicabilité du modèle de consentement actuel a été remis en question.
Je tiens à préciser qu'à mon avis, le consentement devrait continuer de jouer un rôle important dans la protection de la vie privée dans les situations où la personne concernée dispose d'informations suffisantes pour donner un consentement valable.
Dans certaines situations, l'obtention d'un consentement valable n'est peut-être pas réaliste et, dans des conditions appropriées, il y aurait lieu de vérifier si des solutions de remplacement peuvent protéger autrement la vie privée des Canadiens. Certaines de ces solutions pourraient nécessiter des modifications à la Loi.
À la suite d'une consultation, nous avons reçu des mémoires et rencontré des intervenants partout au Canada sur la question du consentement. Nous avons reçu un large éventail de suggestions.
Par exemple, on nous a dit qu'on pourrait donner aux individus le pouvoir de prendre des décisions en s'en remettant à des avis de confidentialité simplifiés. Pour leur part, les organisations pourraient inciter à une plus grande confiance en protégeant la vie privée dès la conception, en faisant la preuve de leur conformité au principe de responsabilité, ou bien en adoptant les codes de pratique de l'industrie.
Certains souhaiteraient que nous donnions davantage d'orientation aux organisations ou que nous favorisions la conformité grâce à des moyens proactifs, par exemple des vérifications. D'autres voudraient que nous ayons des pouvoirs d'application de la Loi accrus. Je reviendrai sur ce point dans un instant.
On nous a aussi souvent dit qu'il est essentiel de sensibiliser le public, de l'informer, et qu'il faudrait redoubler d'efforts à cet égard.
Nous avons donc consulté un grand nombre de Canadiens sur la question du consentement. Nous analysons présentement les solutions proposées et de nombreuses autres dans nos constatations générales sur le sujet. Nous vous ferons part de nos conclusions à la fin de nos travaux, soit vers le milieu de la présente année.
[Traduction]
La réputation et la protection de la vie privée constituent une autre priorité pour le Commissariat. Notre objectif ultime dans le domaine est d'aider à créer un environnement où les gens pourront se servir d'Internet pour explorer leurs intérêts et s'épanouir comme personnes sans craindre que leur trace numérique n'entraîne un traitement injuste.
Comme dans le projet portant sur le consentement, nous avons entrepris nos travaux en publiant un document de discussion et en sollicitant des mémoires. Bon nombre des mémoires que nous avons reçus renferment des commentaires sur le droit à l'oubli. Selon ce concept, qui a vu le jour au sein de l'Union européenne, les individus peuvent demander que certains liens soient retirés des résultats des recherches associées à leur nom. Tout en reconnaissant les préjudices qui peuvent découler d'un Internet qui n'oublie jamais, les auteurs de certains mémoires ont soulevé de sérieuses préoccupations quant à l'incidence qu'aurait la reconnaissance officielle du droit à l'oubli sur la liberté d'expression. Les auteurs d'autres mémoires se demandaient même si la LPRPDE s'applique à certains aspects de la réputation en ligne ou aux moteurs de recherche, lesquels constituent des acteurs de premier plan dans ce débat. lls réclament d'autres solutions, par exemple un recours accru à une législation ciblée pour empêcher des préjudices particuliers, comme nous l'avons vu dans les cas de cyberintimidation et de pornographie de vengeance; une amélioration de la sensibilisation à l'utilisation sécuritaire et appropriée d'lnternet, en particulier pour les populations vulnérables; et une bonification des pratiques pour les sites Web et les services en ligne tels que les réseaux sociaux. Nous vous ferons part de notre point de vue lorsque nous aurons arrêté notre position de principe sur le sujet plus tard cette année.
Permettez-moi maintenant de passer à la question des pouvoirs d'application de la loi. En fait, l'application de la loi est essentielle pour garantir la confiance dans l'écosystème numérique. D'après notre récent sondage, 7 Canadiens sur 10 seraient enclins à faire affaire avec une entreprise qui s'exposerait à des pénalités financières si elle utilisait à mauvais escient leurs renseignements personnels.
À l'heure actuelle, le commissariat n'a pas le pouvoir de rendre des ordonnances ni d'imposer des amendes. Sur bien des plans, nous avons moins de pouvoirs que certains commissariats provinciaux ou étrangers. L'industrie craint que les organisations soient moins disposées à collaborer avec nous pour négocier une solution si le législateur nous donne davantage de pouvoirs. Pourtant, ce n'est pas l'expérience que vivent mes homologues des provinces et d'autres pays. Alors, il est peut-être temps de doter le commissariat de pouvoirs correspondant à ceux d'autres organismes similaires dans le monde.
Cela dit, je crois que la conformité proactive a un rôle important à jouer. Des organisations trouvent des façons novatrices d'utiliser les données en vue d'en tirer profit. Les Canadiens s'attendent à ce que cette activité soit réglementée. Une approche proactive pour surveiller en amont, avant de recevoir des plaintes, apporterait une plus grande certitude pour le marché et donnerait aux Canadiens l'assurance que l'on tient compte de leurs préoccupations.
En raison du temps, je vais m'arrêter ici, mais permettez-moi de conclure mes remarques — puis-je continuer?
J'ai quelques notes sur le caractère adéquat. Je présume qu'il y aura des questions sur le caractère adéquat. Je peux vous en parler si vous voulez.
Très bien.
Le caractère adéquat est une autre question que le Comité, à mon avis, devrait garder en tête durant son étude: le caractère adéquat des lois sur la protection des renseignements personnels en Europe. En Europe, le Règlement général sur la protection des données, qui a été adopté et qui entrera en vigueur en 2018, exigera un examen des décisions concernant le caractère adéquat tous les quatre ans. Le caractère adéquat attribué au Canada, qui permet depuis 2001 le transfert de données de l'Union européenne au Canada, devra être revu.
Dans une communication en date de janvier 2017, la Commission européenne signale que le caractère adéquat du Canada est « partiel », c'est-à-dire qu'il s'applique uniquement à la LPRPDE, et que toutes les décisions à venir concernant le caractère adéquat reposeront sur une évaluation exhaustive du régime de protection de la vie privée du pays. Cette évaluation portera notamment sur l'accès des autorités publiques aux données personnelles aux fins d'application de la loi, de sécurité nationale et d'autres objectifs d'intérêt public.
Compte tenu de l'incidence considérable sur le commerce et des différences entre le RGPD et la LPRPDE, il sera important que le Comité prenne en considération la décision concernant le caractère adéquat de notre pays lorsqu'il poursuivra cet examen.
En conclusion, le professeur Klaus Schwab, fondateur du Forum économique mondial, estime que nous sommes au début de la quatrième révolution industrielle. D'après lui, les démarcations entre les sphères matérielle, numérique et biologique s'estompent et cette transformation ne ressemblera à rien de ce que l'humanité a vécu auparavant.
La LPRPDE était une loi efficace au moment de son entrée en vigueur en 2001. Et elle continue d'offrir une assise solide sur laquelle on peut s'appuyer. Mais je suis d'avis qu'il faut moderniser la LPRPDE pour s'adapter à cette nouvelle révolution et, à plus forte raison, pour répondre aux attentes des Canadiens en matière de protection de la vie privée.
Merci beaucoup. J'ai hâte d'entendre vos questions.
Merci beaucoup, monsieur le commissaire.
Nous allons maintenant commencer notre série d'interventions de sept minutes.
Monsieur Saini, la parole est à vous, s'il vous plaît.
Bon après-midi, monsieur le commissaire, et bonjour, tout le monde. Il est toujours agréable de vous voir ici. Nous semblons vous voir à chaque trimestre, et c'est toujours très positif.
Nous avons reçu des témoins mardi. L'un des éléments importants qui ont été reconnus, c'est le fait que le Canada a un avantage comparatif en Amérique du Nord, par rapport à d'autres pays, en raison de nos lois sur la protection des renseignements personnels, qui sont très comparables à celles en Europe. Maintenant que l'Europe mettra en oeuvre un nouveau niveau de réglementation en mai 2018, on a dit que le Canada doit changer ses lois sur la protection des renseignements personnels pour qu'elles soient comparables à celles de l'Union européenne.
Pouvez-vous nous dire ce que vous pensez que nous devrions faire ou nous parler d'aspects précis qui sont nécessaires pour éviter de perdre notre avantage comparatif, surtout maintenant que nous sommes en voie de mettre la dernière main à l'AECG, que nous avons adopté?
Oui. Il n'y a pas de certitude absolue dans ces questions, mais je vais vous expliquer quels sont les facteurs, d'après moi.
Bref, je pense que le Comité devrait envisager sérieusement d'étudier les lacunes ou les différences qui peuvent exister entre les lois sur la protection des renseignements personnels au Canada et en Europe, car au final, en vertu de la réglementation européenne, les lois du Canada seront évaluées — au plus tard en 2022, quatre ans après l'entrée en vigueur du RGPD — pour examiner si nos lois sont adéquates, c'est-à-dire si elles sont essentiellement équivalentes aux lois européennes.
Maintenant, je dis qu'il n'y a aucune certitude dans ce dossier car cette norme d'équivalence essentielle n'a pas été définie très précisément par l'Europe. Nous savons que le terme « équivalent » ne signifie pas « identique », si bien qu'on ne s'attend pas à ce que les lois du Canada soient une copie conforme des lois européennes, mais il n'en demeure pas moins que la norme est très élevée. C'est une norme d'équivalence essentielle. Il peut y avoir des différences, mais en bout de ligne, les lois devraient être essentiellement semblables.
Il y a deux secteurs où les différences potentielles entre la loi canadienne et la loi européenne devront être examinées. Premièrement, il y a les différences entre la LPRPDE et le règlement européen, le RGDP. Le RGDP ajoute quelques nouveaux droits à la loi européenne, dont le droit à l'effacement des données, qui est le précurseur, pour ainsi dire, du « droit à l'oubli ». C'est un droit qui n'existe pas en tant que tel dans la loi canadienne mais qui existe dans la loi européenne, et nous devrions examiner si nous devrions faire correspondre davantage notre loi à celle de la loi européenne, ou simplement la rendre semblable. Il y a un droit à la portabilité des données dans la loi européenne que je vous exhorte à examiner.
Pour la loi canadienne, en ce qui concerne les organismes privés, c'est un contexte en quelque sorte. Un événement important qui est survenu en Europe ces dernières années est une décision de la Cour européenne de justice, essentiellement de la Cour suprême de l'Union européenne, qui a déclaré, dans l'affaire Schrems, que les décisions relatives au caractère adéquat en Europe devraient se rapporter non seulement aux lois sur la protection des renseignements personnels dans d'autres pays en lien à des organismes privés, mais aussi aux lois du secteur public, y compris les lois qui régissent l'application de la loi et la sécurité nationale.
Ce que la Cour européenne a dit dans cette affaire, c'est que les lois américaines, en vertu de l'accord précédent sur la sphère de sécurité, n'étaient essentiellement pas équivalentes aux lois européennes pour un certain nombre de raisons, y compris le fait qu'elles ne renfermaient pas des critères de la norme de la décision raisonnable et de proportionnalité. Je vous exhorte à passer en revue nos lois qui régissent le secteur public et l'équivalence.
L'une des raisons pour lesquelles, dans le cadre du projet de loi C-51, je recommande que la norme de pertinence soit rehaussée à une norme de proportionnalité et de nécessité, c'est que dans quelques années, nos lois seront évaluées et comparées aux lois européennes, et les autorités européennes tiendront compte de la nécessité et de la proportionnalité en tant qu'importants facteurs.
Je veux également discuter d'un autre point que vous avez abordé, car il y a un argument intéressant à faire valoir ici. Je fais référence ici à la décision Google Spain. Je ne sais pas si vous connaissez cette décision. Ce que j'ai trouvé intéressant dans cette affaire, c'est qu'on a dit au moteur de recherche de ne pas fournir un lien vers un article d'actualité, mais l'article pouvait encore être en ligne. Il n'était pas omniprésent, mais il pouvait faire l'objet d'une recherche.
Vous parlez du droit à l'oubli. Si nous décidons de faire cette recommandation, comment pensez-vous que nous devrions structurer la loi pour permettre à une personne de se prévaloir du droit à l'oubli? Quels paramètres devons-nous utiliser? Allons-nous jusqu'au bout et supprimons-nous tout? Où certaines mesures doivent-elles être en place dans l'intérêt public? Comment pouvons-nous instaurer un équilibre?
Au CPVP, nous n'avons pas encore pris de décision à cet égard. Nous avons publié un document de travail. Nous avons sollicité les commentaires des intervenants, et nous sommes en train de déterminer quelle devrait être notre position. Comme je l'ai mentionné dans mes remarques liminaires, quelques-uns des mémoires que nous avons reçus sont très critiques et font état que, au Canada, la protection constitutionnelle de la liberté d'expression peut être légèrement différente de celle en Europe et peut donner lieu à des résultats différents qu'en Europe. Je ne suis pas en train de dire que c'est une bonne ou une mauvaise chose. Je dis que c'est un argument crédible qu'il faut considérer sérieusement.
En plus de nous avoir parlé du droit constitutionnel, les intervenants nous ont dit que la LPRPDE dans sa forme actuelle n'est peut-être pas conforme au droit à l'oubli. Lorsque des moteurs de recherche se livrent à des activités de recherche, il se pourrait qu'ils ne soient pas assujettis à la LPRPDE, car la loi est fondée sur le consentement, et les moteurs de recherche n'ont pas besoin d'obtenir le consentement des gens avant d'afficher les résultats sur leur site Web.
Donc, sur le plan du droit constitutionnel, de la liberté d'expression et de la loi, il y a une lacune dans l'application de la LPRPDE. Devrions-nous corriger cette lacune? Je dois dire que c'est très incertain. L'Europe exigera une équivalence. Cela ne veut pas dire que les lois doivent être identiques. On peut présumer que lorsque les autorités européennes évalueront nos lois, elles tiendront compte des différences au chapitre des protections constitutionnelles, par exemple, en matière de liberté d'expression. Je pense donc que nous devrions examiner la question du droit à l'oubli. Cela rejoint certainement les notions de protection des renseignements personnels selon lesquelles l'information ne devrait pas demeurer sur les serveurs ou être conservée par des organisations au-delà de la période nécessaire. Devrions-nous tenter de faire la même chose? Probablement pas. Nous devrions chercher à instaurer un droit à l'oubli, mais je ne pense pas que nous devons atteindre les mêmes résultats.
Merci, monsieur le commissaire. Nous avons largement dépassé le temps imparti.
Monsieur Jeneroux, on vous écoute, s'il vous plaît.
Merci, monsieur le président.
Merci, monsieur le commissaire, de comparaître à nouveau, et merci à Brent et à Patricia également.
Je vais revenir sur le point que M. Saini a soulevé. Avez-vous fixé une date pour communiquer votre position sur le droit à l'oubli?
Notre première étape sera le document de travail sur le consentement qui sera prêt au milieu de 2017. Après, nous publierons un document sur la réputation, y compris sur le droit à l'oubli. Ce sera fort probablement avant la fin de l'année civile.
D'accord. J'espérais que cela coïnciderait avec les travaux de notre Comité. Vous avez fait savoir que l'une de vos priorités, la réputation et le respect de la vie privée, est un facteur important pour suivre l'Union européenne. Je crois savoir aussi que vous avez soumis les noms de quelques intervenants avec qui nous pourrions discuter. L'Union européenne l'a fait, mais pouvez-vous nous nommer d'autres pays qui se sont engagés dans cette voie que nous pourrions examiner également, plus particulièrement pour le droit à l'oubli mais aussi pour la loi en général?
Je ne sais pas si Patricia sera en mesure d'ajouter quelque chose. La seule chose qui me vient à l'esprit est un jugement récent de la Cour suprême du Japon, qui a abordé cette question sans reconnaître le droit à l'oubli en tant que tel. Il énumère un certain nombre de facteurs que les entreprises devraient prendre en considération à l'égard de demandes semblables. Y a-t-il autre chose?
Non, il n'y a rien d'autre, dans une optique positive. Mais au sud de la frontière, il y a beaucoup de réticences envers le droit à l'oubli pour des raisons liées au droit à la liberté d'expression du premier amendement. Voilà un exemple d'un pays qui ne s'engagera vraisemblablement pas dans cette voie.
Je trouve cela fascinant, car j'imagine que de l'autre côté du droit à l'oubli d'une personne, il y a des gens qui diraient qu'ils ne veulent pas oublier quelque chose que quelqu'un d'autre préférerait qu'on oublie. C'est un argument intéressant, alors j'espère que nous pourrons approfondir la question. Là encore, si vous tirez des conclusions dans le cadre de vos discussions stratégiques, j'espère que vous les communiquerez au Comité.
J'ajouterais peut-être que, sur la question constitutionnelle d'une perspective canadienne de la liberté d'expression et sur la question de savoir si un droit à l'oubli irait à l'encontre de la Charte, je pense qu'en bout de ligne, ce sera une question d'équilibre entre le droit à la vie privée des gens, ce qui peut inclure une forme quelconque de droit à l'oubli, et la liberté d'expression protégée par la Constitution. Je pense donc que nous devrions établir un équilibre.
D'accord, je vous remercie de ces observations.
Nous avons reçu un certain M. Lawford, du Centre pour la défense de l'intérêt public, à notre première réunion. Il a parlé — ces propos exacts m'échappent — d'une loi sur la protection des enfants. J'aimerais connaître vos réflexions sur la voie que nous devrions suivre relativement à la protection de la vie privée des enfants.
Aux États-Unis, il y a une loi — l'acronyme est COPPA, je crois — qui interdit la collecte de renseignements concernant des enfants de moins de 13 ans. Au Canada, nous n'avons pas ce type de loi pour un certain nombre de raisons. Je pense que l'une d'elles est le fait que la LPRPDE renferme des principes généraux, dont l'un d'eux est le consentement. Il faut donc le consentement pour colliger, utiliser et divulguer des renseignements. Le consentement doit être sensé et avisé. Pour les enfants d'un certain âge, le consentement ne peut certainement pas être sensé et avisé, alors nous n'avons pas de limite d'âge précise ou d'interdiction catégorique, mais nous obtenons des résultats semblables d'une manière différente.
De plus, je crois que parce que l'âge de la majorité au Canada relève des législateurs provinciaux, la LPRPDE fédérale n'a pas défini un âge de la majorité dans le passé. Cela veut-il dire que l'on ne pourrait pas imposer une interdiction absolue conjointement avec les provinces? Ce serait possible. C'est quelque chose que l'on pourrait faire. Je pense que nous avons cela, ou quelque chose d'assez semblable, dans la loi que nous avons.
Vous ne voyez donc aucun problème avec la loi actuelle. J'imagine que c'est la raison pour laquelle vous ne l'avez pas signalé dans votre mémoire ou votre déclaration aujourd'hui: vous êtes d'avis que la loi règle cette question.
Il y a assurément un certain niveau de protection pour les enfants. Ce n'est pas une interdiction absolue, mais il y a un certain niveau de protection. Je ne vois donc aucun problème avec la loi actuelle.
D'accord.
Je pense qu'il me reste une minute.
Je veux vous donner un peu de temps pour fournir certaines de vos réponses sur les pouvoirs d'exécution plus particulièrement, car j'imagine — et vous avez déjà passé par les étapes de ce processus — que nous entendrons un certain nombre de particuliers, d'entreprises et de représentants qui feront valoir le point de vue opposé. Vous êtes manifestement d'avis qu'il convient d'avoir des pouvoirs d'application. Cependant, j'imagine que certaines personnes sont de l'avis contraire. Alors, s'il y a quoi que ce soit que vous aimeriez ajouter à ce sujet, on vous écoute.
Merci. Je pense que la première raison pour laquelle vous devriez envisager de nous accorder de plus vastes pouvoirs d'exécution, c'est que les Canadiens veulent que nous ayons ces pouvoirs. Nous avons consulté les Canadiens régulièrement au fil des ans, et le pourcentage de Canadiens qui disent, par exemple, qu'ils seraient plus enclins à faire des affaires avec une organisation si elle était assujettie à des ordonnances ou à des amendes est supérieur à 70 %. Dans le cadre de nos consultations sur le consentement, nous avons organisé un certain nombre de groupes de discussion, et lorsque nous avons demandé aux gens s'il pensent qu'il serait bon que les entreprises soient assujetties à des ordonnances et à des amendes, la grande majorité d'entre eux estiment que ce serait une bonne idée. Je pense donc que les Canadiens s'attendent à ce que ce soit le cas.
Pour ce qui est de l'importance que revêtirait la protection des renseignements personnels dans ce type de régime, les entreprises nous ont dit dans le cadre de nos consultations sur le consentement que, si le CPVP avait ces pouvoirs, la collaboration que nous avons avec les entreprises pourrait changer. Comme je l'ai dit dans mes remarques, ce n'est pas ce qui s'est passé dans d'autres pays.
Ce que nous avons constaté dans d'autres pays, c'est que les amendes et les ordonnances qui sont assorties aux atteintes à la vie privée change l'ampleur des risques pour les dirigeants d'entreprises. Si un dirigeant d'entreprise a le choix entre investir dans la protection des consommateurs ou la protection de l'environnement où des amendes pourraient être imposées en cas de violation et investir dans la protection des renseignements personnels où des amendes ne sont pas imposées, on nous a clairement dit qu'il investira là où il y a un risque financier.
Donc, une conséquence non négligeable d'accorder au CPVP le pouvoir d'émettre des ordonnances et d'infliger des amendes est l'incidence sur l'ampleur des risques pour les entreprises, qui investiront davantage dans la protection des renseignements personnels, ce qui, à mon avis, est une bonne chose. Le simple fait que ces pouvoirs existent changera l'ampleur des risques, qu'il y ait ou non violation de la loi.
Merci, monsieur le président.
Bienvenue, monsieur le commissaire. Je suis peu familier avec ce sujet, alors pardonnez-moi si je me trompe car je suis très mal informé sur ce dont on parle. Je trouve le sujet extrêmement fascinant cependant.
Pourriez-vous nous donner une idée de quels sont les pouvoirs pour émettre des ordonnances et infliger des amendes pour nos partenaires commerciaux en Europe et aux États-Unis? Quelle fourchette d'amendes peuvent être imposées? Qu'est-ce qui se fait ordinairement, et à quoi l'industrie en Europe est-elle habituée?
En Europe, en vertu du nouveau règlement qui entrera en vigueur en 2018, je crois que l'amende maximale sera de 4 % des recettes d'une entreprise.
Une gradation a-t-elle été établie entre les grandes sociétés et les petites et moyennes entreprises?
Puisque c'est en fonction des revenus de l'entreprise, l'amende maximale étant de 4 % des recettes totales, cela signifie qu'une petite entreprise paiera un montant moins élevé qu'une grande société.
Je comprends, mais nous savons également qu'il y a une différence entre la capacité de protéger les renseignements d'une multinationale et celle d'une entreprise familiale qui exploite aussi un petit commerce de détail en ligne.
Je pense que nous tiendrons compte de la taille de l'entreprise pour ce qui est de nos attentes à l'égard du type de protection exigée.
Oui. Aux États-Unis, j'ignore quel est le taux maximal — l'un de mes collègues peut peut-être vous le dire —, mais il y a des amendes qui se chiffrent dans les millions de dollars.
D'accord. Donc, votre argument de base pour l'industrie canadienne est que, puisque nous sommes au beau milieu d'une nouvelle révolution économique, nous ne réalisons pas notre plein potentiel si les Canadiens n'ont pas confiance lorsqu'ils font des achats en ligne, et que cette confiance serait rehaussée s'ils savaient que vous aviez les pouvoirs de trouver ceux qui contreviennent aux règles. Est-ce essentiellement l'argument que vous faites valoir?
Je leur dirai lors de leur comparution devant le Comité.
Je m’inquiète de ce qui advient de nos renseignements personnels lorsque nous traversons la frontière américaine. Vers la fin janvier, le président Trump a signé un décret qui exclut tout non-résident des États-Unis des protections accordées par la Privacy Act. Ces renseignements sont transmis par l’entremise des laissez-passer NEXUS et FAST, notamment, fréquemment utilisés par les camionneurs.
Vous avez apaisé les craintes soulevées il y a plusieurs années. Ces renseignements personnels sont détaillés. On parle de biométrie. Les Canadiens communiquent beaucoup de renseignements lorsqu’ils traversent la frontière. Par le passé, ils étaient protégés par la Privacy Act, mais, en vertu de ce décret, ce n’est plus le cas. Les Canadiens devraient-ils s’inquiéter de ces perturbations et du profilage dont font notamment l’objet les Canadiens musulmans?
Absolument, quoique nous étudions la question et n’avons pas encore déterminé l’impact net qu’aura ce nouveau décret.
On peut comprendre pourquoi les gens s’inquiètent, car le décret dit ceci:
[…] dans le respect des lois applicables, s'assurer que leurs politiques relatives aux renseignements personnels excluent les personnes qui ne sont pas des citoyens américains ni des résidents permanents légitimes des dispositions de la Privacy Act concernant les renseignements personnels.
C’est inquiétant et très lourd de conséquences, étant donné le nombre de personnes qui franchissent la frontière, y compris les commerçants qui cherchent à faire de nouvelles affaires. La semaine dernière, je me suis entretenu avec des représentants d’une entreprise de TI de Vancouver. Par coïncidence, la moitié du personnel de cette entreprise est originaire d’un des pays ciblés par M. Trump par sa soi-disant liste d’interdiction musulmane. Les trois quarts des clients de cette entreprise sont aux États-Unis, mais les représentants de l’entreprise doutent de la capacité de leurs employés à traverser la frontière. On parle ici d’une entreprise canadienne en croissance, une histoire de réussite, qui ne peut pas faire voyager ses employés vers les États-Unis, soit parce qu’ils risquent d’être arrêtés ou humiliés, entre autres, soit parce que les employés concernés n’ont plus confiance que leurs renseignements personnels seront protégés une fois leur laissez-passer NEXUS lu.
Qu’en pensez-vous?
Oui, c’est une situation qui nous inquiète. Nous examinons le fait que les protections accordées en vertu d’un instrument juridique américain en particulier, la Privacy Act, sont éliminées ou réduites. Il existe plusieurs instruments juridiques aux États-Unis qui accordent une certaine protection, comme certains décrets signés par le président Obama et certaines protections accordées en vertu de la constitution.
C’est possible. Nous sommes inquiets, mais nous examinons la situation. C’est une question complexe et il faut examiner tous les instruments juridiques qui entrent en ligne de compte.
Je suis conscient qu’il s’agit d’une question complexe. Je ne suis pas avocat, alors je ne peux qu’envier ceux qui se penchent sur cette question. Je crois qu’il y a beaucoup d’incertitudes.
C’est ce que je perçois de l’industrie canadienne et de l’ensemble des Canadiens sur les renseignements personnels, comme vous l’avez souligné dans vos statistiques, notamment en ce qui a trait à la xénophobie dont fait preuve l’administration américaine. Un tel décret serait… Évidemment, il doit être précis, mais il serait très utile d’agir rapidement pour apaiser ces craintes. Le gouvernement canadien devrait-il réagir et informer les Canadiens qui souhaitent franchir la frontière pour des raisons professionnelles, notamment ceux qui sont de descendance marocaine ou iranienne, comme nous l’avons remarqué, ou tous ceux qui présentent une caractéristique qui dérange l’administration actuelle?
OpenMedia, une ONG, a communiqué avec nous pour nous signaler ces problèmes et nous examinons activement la question. Vous voulez savoir si le gouvernement devrait intervenir? J’espère que le gouvernement examine l’impact de ce décret et qu’il communiquera aux Canadiens ses impressions à cet égard.
Rien n’a été fait à ce chapitre jusqu’à maintenant. Certains laissez-passer NEXUS ont été saisis. De jeunes athlètes canadiens ont été refoulés à la frontière.
Cela dépasse largement mes compétences, mais j’aurais une brève question à vous poser sur la collecte des renseignements personnels. Lorsqu’une personne utilise un service gratuit — lorsqu’elle fait une recherche sur Google ou qu’elle utilise un compte Facebook —, elle jouit d’une certaine protection. Pourriez-vous nous donner votre interprétation de la loi concernant les entreprises qui recueillent et vendent ces données à une tierce partie à des fins commerciales? Que dit la loi en vigueur et devrait-elle être modifiée?
Vous parlez des renseignements accessibles au public par l’entremise des médias sociaux, par exemple?
Ce n’est pas public… Enfin, ils sont théoriquement accessibles au public, mais je fais référence aux sujets de recherche des gens, à leurs intérêts, à leurs activités sur les médias sociaux, aux renseignements recueillis par ces entreprises — qui sont protégées, car le service est offert gratuitement — et vendus à des fabricants de produits de consommation courante. Nous savons tous que lorsque nous faisons une recherche sur des chaussures dans Google, nous sommes ensuite assaillis de publicités sur les chaussures. Ces données vendues à des tiers ne sont assujetties à aucune protection, c’est exact?
Je distinguerais entre deux notions juridiques. Vous faites référence à des informations publiées dans Internet dans un contexte public, sur les médias sociaux, par exemple. La LPRPDE propose une définition très limitée de ce qui constitue une information « accessible au public » et dont l’utilisation et la divulgation ne seraient pas permises, à proprement parler, sauf si l’information correspond à la définition en question. Dans votre exemple, ce ne serait pas le cas. Par contre, il est possible que dans le formulaire de consentement il y ait une clause relative à la collecte de données qui autorise l’organisation à utiliser l’information, à la vendre à des annonceurs…
Peut-être pourrons-nous parler davantage de ces formulaires de consentement lors de ma prochaine intervention.
Merci beaucoup.
Notre prochain intervenant sera M. Erskine-Smith qui disposera de cinq minutes.
Je suis très généreux. Tous les intervenants ont dépassé largement les sept minutes qui leur étaient allouées. Par conséquent, nous n’avons plus suffisamment de temps pour permettre à tous de prendre la parole dans le cadre de la prochaine série de questions. Je demanderais aux intervenants de poser des questions très brèves.
Monsieur Erskine-Smith, vous avez la parole.
Merci beaucoup.
J’aimerais d’abord revenir sur les recommandations de votre prédécesseur concernant la LPRPDE. Commençons par les pouvoirs en matière d’application dont vous avez parlé.
Mme Stoddart n’a fait aucune recommandation claire. Selon elle, les pouvoirs en matière d’application devaient être renforcés. Elle a aussi dit que nous accusons du retard par rapport à d’autres pays. Elle a recommandé l’ajout de dommages-intérêt d’origine législative, du pouvoir de signer des décrets, du pouvoir d’imposer des sanctions administratives pécuniaires ou une combinaison de ces options. Elle a souligné qu’en 2013, le U.K. Information Commissioner’s Office a imposé à Sony une peine de 250 000 £ pour une violation ayant touché des millions d’utilisateurs de la console de jeux PlayStation.
Selon vous, devrions-nous envisager l’ajout de dommages-intérêt? Devrions-nous vous accorder des pouvoirs exécutoires ou le pouvoir d’imposer des sanctions administratives pécuniaires? Laquelle de ces options serait la plus efficace?
Je dirais une combinaison du pouvoir exécutoire et de la capacité d’imposer des sanctions pécuniaires.
L’autre jour, quelqu’un a proposé que cela soit encadré. Nous appuyons cette proposition.
Mme Stoddart a également recommandé que le signalement des atteintes soit obligatoire et elle a souligné que la plupart des États américains ont adopté une mesure législative en ce sens.
J’imagine que vous…
Cela est inclus dans le projet de loi S-4 qui entrera bientôt en vigueur.
Excellent.
Concernant la reddition de comptes, Mme Stoddart a recommandé que l’annexe 1 soit modifiée de façon à ce que les organisations soient tenues de démontrer, à votre demande, qu’elles ont adopté des pratiques de conformité relative à la protection des renseignements personnels. Elle a aussi recommandé de conclure des ententes exécutoires en vertu de la LPRPDE. Êtes-vous d’accord?
Oui. Ce serait un geste important et proactif que nous pourrions prendre sans avoir à attendre que des plaintes soient déposées.
Pour accroître la transparence, Mme Stoddart a recommandé d’adopter des exigences en matière de reddition de comptes publique par rapport à une exception qui figure dans la LPRPDE concernant l’autorité légitime. Les organismes d’application de la loi obtiennent des renseignements auprès d’entités commerciales. Pour l’heure, nous ignorons à quelle fréquence cela se produit.
Êtes-vous d’accord avec Mme Stoddart qu’il devrait y avoir une exigence relative à la reddition de comptes publique de façon à mieux comprendre cette exception qui permet aux organismes et institutions d’application de la loi d’obtenir des renseignements personnels sans consentement ou mandat?
Oui, et nous avons fait des progrès à ce chapitre. Il y a quelques années, le ministère de l’Industrie a publié des lignes directrices à ce sujet et celles-ci ont été partiellement mises en œuvre. Une exigence juridique permettrait d’améliorer la situation.
Vous dites travailler à l’ébauche d’un document sur le consentement que vous devriez publier cet été. Dans votre exposé, vous avez parlé de consentement valable et de solutions de rechange au consentement.
Le CPVP n’a formulé aucune conclusion fondée pour le moment sur la façon de moderniser le modèle de consentement de la LPRPDE. J’imagine que cela fera partie du rapport qui sera publié cet été?
Ce serait très bien.
Concernant les solutions de rechange au consentement, une des options proposées par votre prédécesseur serait de simplifier les avis de confidentialité de façon à ce qu’ils attirent l’attention des consommateurs sur les pratiques qui diffèrent de la norme et les renseignements les plus pertinents. Peut-être est-ce une proposition que vous allez réitérer.
Concernant les lois sur la protection du consommateur, il existe parfois des dispositions qui interdisent à l’organisation et au consommateur de céder leurs responsabilités, car c’est dans l’intérêt public du consommateur.
Si vous avez d’autres points à l’étude, peut-être pourriez-vous nous en parler.
Plusieurs améliorations peuvent être apportées sans adopter de nouvelles lois, dont des améliorations aux avis de confidentialité. À mon avis, tout dépend de la volonté de l’industrie à mieux informer les consommateurs avant de recueillir leurs données. Il n’est pas nécessaire d’adopter une loi pour cela.
L’éducation du public et nos recommandations font également partie de la solution. Il n’est pas nécessaire d’adopter une loi pour cela.
Je vais vous parler des problèmes avec lesquels nous sommes aux prises et je vous recommande de vous informer sur ce qui suit.
La raison pour laquelle le modèle de consentement est remis en question, c’est qu’en vertu de la LPRPDE, la relation entre les entreprises et les consommateurs est essentiellement bilatérale. Auparavant, d’un côté, il y avait le fournisseur de service ou l’entité qui cherchait à vendre un produit, et de l’autre côté, il y avait le consommateur qui comprenait assez bien pourquoi ses données étaient recueillies. Aujourd’hui, cette relation est beaucoup plus complexe, notamment lorsqu’une entreprise travaille avec des métadonnées ou l’intelligence artificielle. Le problème, d’un point de vue juridique, c’est qu’il peut être très difficile de définir à l’avance, soit avant que les informations ne soient recueillies, la raison pour laquelle les informations sont demandées et l’utilisation qui en sera faite.
Oui, car le but de la collecte de renseignement est difficile à définir. Le consentement obtenu du consommateur n’est pas très significatif, puisque le consommateur ignore à quelle fin ses informations seront utilisées.
Mais — et vous me corrigerez si j’ai tors —, la loi en vigueur ne précise-t-elle pas que le consommateur donne son consentement pour un but bien précis et que, si ce but change, l’entreprise doit lui redemander son consentement?
Oui, c’est ce que dit la loi dans sa forme actuelle.
Dans le cadre de nos consultations, certaines entreprises nous ont dit que cette exigence de redemander le consentement du consommateur une fois que le but a été précisé est trop onéreuse et difficilement applicable.
Mais, oui, selon la loi en vigueur, l’entreprise doit redemander le consentement du consommateur une fois le but précisé. Selon certaines entreprises, ce n’est pas pratique. Si c’est le cas, nous devons trouver une solution.
Chers collègues, compte tenu du temps qu’il reste à cette séance et au fait que nous devons laisser le temps au premier groupe de témoins de quitter la pièce pour laisser place au second groupe — il nous reste environ 12 minutes —, je vous demande votre avis.
Il nous reste quatre intervenants. Ils disposeraient donc de trois minutes chacun. Je pourrais également permettre deux interventions de 5 minutes. Comment voulez-vous procéder?
D’accord. Je vous remercie pour votre esprit de décision.
Monsieur Kelly, vous avez la parole pour cinq minutes.
J’aimerais vous demander votre opinion sur la question du consentement et la façon dont tout cela fonctionne concrètement en ce qui concerne les différences, et peut-être les problèmes que vous…
En fait, j’aimerais d’abord vous poser la question suivante. Si j’ai bien compris, vous travaillez à une ébauche de document sur le consentement.
Nous avons publié un document de discussion aux fins de commentaires, mais sans prendre position. Nous prendrons position d’ici l’été.
D’ici l’été, vous aurez pris position sur la question du consentement. D’accord.
Aux fins du compte rendu, pourriez-vous nous expliquer, brièvement et aussi simplement que possible, la différence entre un consentement implicite, un consentement éclairé et un consentement exprès?
Le consentement implicite découle du contexte, alors que le consentement exprès est demandé expressément pour la raison pour laquelle l’information est recueillie. C’est une explication simple.
Le consentement éclairé signifie que la personne qui donne son consentement sait pour quelle raison elle fournit ses renseignements et à quelle fin ses renseignements seront utilisés.
Le libellé de la loi est générique. Je laisserai ma collègue vous donner plus de détails dans un instant.
L'un des problèmes, c’est que les organisations et entreprises utilisent parfois un libellé très large et générique, comme les données recueillies seront utilisées afin « d’améliorer l’expérience client », et c’est la raison donnée pour demander le consentement du consommateur. Selon moi, ce n’est pas un consentement valable. Le consommateur ne peut pas comprendre ce qu’il adviendra de ses renseignements si ceux-ci sont recueillis pour améliorer l’expérience client.
Merci pour cette question.
Je tiens à préciser une chose; que le consentement soit implicite ou exprès, il doit être éclairé. En vertu de la LPRPDE, la validité du consentement dépend s’il est éclairé.
Pour déterminer si le niveau de consentement convient selon les circonstances, qu’il soit implicite ou exprès, nous avons dit au fil des ans que cela dépend de la sensibilité des renseignements et des attentes raisonnables du consommateur. Ces facteurs aident à déterminer si le consentement doit être exprès ou implicite, selon les circonstances.
En rendant sa décision récemment dans l’affaire Royal Bank of Canada c. Trang, la Cour suprême a confirmé ces facteurs. Elle a confirmé ces conditions générales et établi un cadre analytique très utile pour déterminer, selon les circonstances, si l’entreprise doit demander un consentement exprès ou implicite.
D’accord. Quel sera l’impact du concept de consentement sur une loi ou mesure législative future qui définit le droit à l’oubli?
Je crois qu’il y aura deux impacts distincts. Le consentement concerne les conditions dans lesquelles les renseignements sont recueillis, utilisés et divulgués, alors que le droit à l’oubli dans nos lois concerne davantage la période de temps pendant laquelle les renseignements peuvent être conservés en fonction de la raison pour laquelle ils ont été recueillis.
Dans le cadre de nombreuses transactions, cela pourrait être précisé dans le consentement. Je consens à ce que les renseignements que je fournis soient conservés pour une période X. Pourrait-on procéder de la sorte dans le cas de l’oubli? Si un fournisseur de services n’a pas le droit de conserver vos renseignements pour une période dépassant celle pour laquelle vous avez donné votre consentement…
Dans Mission: Impossible, vous acceptez votre mission et l’enregistrement s’autodétruit cinq secondes plus tard. Pourquoi la technologie ne permet-elle pas une élimination progressive, à moins d’un consentement… J’essaie d’être créatif. Pouvez-vous imaginer un protocole technologique qui permettrait la destruction automatique des renseignements en l’absence d’un nouveau consentement?
Oui, mais il faudrait d’abord qu’il y ait une règle ou une entente légale pour établir la période en question. Ensuite, oui, une telle technologie pourrait être utilisée.
Je suis convaincu que cette discussion est déjà amorcée dans de nombreux pays. Nous avons le droit de la mer et l’Organisation de l’Aviation civile internationale qui régit la circulation aérienne. Ne devrait-on pas organiser une conférence internationale sur ces sujets ou avez-vous participé récemment à une telle conférence?
Il y a deux ans, les Nations unies ont nommé un rapporteur spécial sur le droit à la vie privée lui donnant le mandat de tenter de créer un instrument applicable à l’échelle internationale, mais nous n’aurons pas un tel instrument de sitôt. C’est souhaitable, mais ce n’est pas pour demain.
En ce qui a trait au droit à l’oubli, vous voulez savoir s’il devrait y avoir une règle internationale sur le sujet. Comme je l’ai déjà dit, le droit à l’oubli concerne l’équilibre entre les droits importants protégés par la constitution, comme la liberté d’expression, et le droit à la vie privée. Le droit à la vie privée repose, entre autres, sur certains principes internationaux, mais leur application dépend, en partie, de la culture de l’endroit. Les pays n’ont pas tous le même point de vue en ce qui concerne le droit à la vie privée et n’offrent certainement pas les mêmes protections constitutionnelles pour ce droit. Donc, oui, nous devrions aller de l’avant ou étudier sérieusement la question du droit à l’oubli, mais nous devrions également tenir compte de notre cadre constitutionnel et de nos valeurs pour définir jusqu’où nous pouvons aller.
Vous examinez la situation des banques et le fait que les gens peuvent cacher de l’argent aux îles Cayman, entre autres. Selon vous, est-ce possible qu’un jour il y ait des endroits, à l’étranger, où les données des gens pourraient être conservées et utilisées au besoin? Selon vous, est-ce un problème dont il faudrait tenir compte? C’est, en quelque sorte, une option secondaire à ce que vous venez de dire.
Bien qu’un instrument international ne soit pas pour demain — je vais tenter d’être plus optimiste —, des pays discutent déjà de la façon d’harmoniser les lois sur la vie privée — pas de les uniformiser, mais bien de les harmoniser. Nous travaillons avec d’autres bureaux comme le nôtre à l’application de ces lois afin d’obtenir des résultats similaires. Donc, nous n’aurons peut-être pas bientôt de règles internationales, mais des démarches sont en cours pour harmoniser les lois relatives.
Nous n’avons pas suffisamment de temps pour une autre intervention de cinq minutes. Donc, chers collègues, j’ignore comment vous voulez procéder. Si vous n’y voyez pas d’inconvénient, je vais utiliser le temps qu’il reste pour intervenir.
Des voix: Oh, oh!
Le président: Monsieur Therrien, j’aurais une brève question à vous poser. En discutant avec notre analyste, je me suis souvenu d’un point soulevé lors de la dernière réunion.
Un autre témoin a parlé des dossiers de santé électronique. Après enquête, nous avons découvert que si les dossiers de santé électroniques, les données ou les dossiers du médecin — les dossiers médicaux de ses patients — sont conservés dans le cabinet privé du médecin, ils sont assujettis à la législation provinciale ou fédérale relative à la protection de la vie privée dans le secteur privé. Toutefois, s’ils sont conservés dans un hôpital, ils sont assujettis à la législation provinciale ou fédérale relative à la vie privée dans le secteur public, selon l’endroit où ils sont conservés.
Si je fournis mes renseignements à mon comptable à des fins d’impôts, j’imagine que ma relation avec mon comptable est assujettie à la législation relative à la protection de la vie privée dans le secteur privé. Toutefois, mon comptable soumettra, en mon nom, ma déclaration de revenus au gouvernement, ce qui fait que mes renseignements seront alors assujettis à la législation relative à la protection de la vie privée dans le secteur public.
Donc, compte tenu de tout ce chevauchement, de toute cette confusion entre le secteur privé et le secteur public et de l’échange de renseignements, ne serait-il pas logique d’avoir deux ensembles de lois, l’une pour le secteur privé et l’autre pour le secteur public?
C’est tout le temps que nous avons.
Des députés: Ha, ha!
Le président: Si vous avez quelque chose à ajouter, cela nous serait très utile.
Chers collègues, je vous remercie de m’avoir laissé cette occasion d’intervenir.
Merci beaucoup, monsieur Therrien, d'avoir accepté de venir témoigner de nouveau. Je suis convaincu qu’il serait utile, d’ici la fin de notre étude, lorsque nous aurons recueilli d’autres témoignages, de vous réinviter afin que vous puissiez nous apporter des précisions et éloigner certaines de nos préoccupations. Donc, ne soyez pas surpris si nous vous invitons de nouveau.
Nous allons suspendre la séance quelques instants afin de nous préparer à accueillir notre prochain groupe de témoins.
Le président: Reprenons. Afin de respecter l’horaire, cette fois-ci, je serai plus rigoureux dans le respect du temps alloué pour les interventions de sept et de cinq minutes. C’est la seule façon de respecter la durée prévue des séances. Alors, allons-y.
Nous accueillons, par vidéoconférence, M. Vincent Gogolek, directeur général, B.C. Freedom of Information and Privacy Association. M. Gogolek n’en est pas à son premier témoignage devant le Comité.
Nous vous sommes reconnaissants d’avoir accepté, encore une fois, notre invitation.
Nous accueillons également, à titre personnel, Mme Valerie Steeves, professeure titulaire, Département de criminologie, Université d’Ottawa.
Madame Steeves, vous avez la parole pour 10 minutes.
Tout d'abord, je tiens à remercier le Comité d'avoir entrepris cette étude. Je crois que c'est une étude très importante et qui tombe à point en raison des changements que nous avons observés depuis l'adoption de la LPRPDE.
Lorsque je pense à cette période, trois choses me viennent toujours à l'esprit. La LPRPDE, comme vous le savez, a été mise en oeuvre pour créer un climat de confiance sur le marché des renseignements. Deuxièmement, au moment de son adoption, il ne faisait aucun doute que l'intention de la LPRPDE était de créer un seuil de consentement, et non une limite. Enfin, la protection des données et les dispositions contenues dans la LPRPDE faisaient partie d'une stratégie plus vaste conçue pour protéger la vie privée à titre de droit de la personne. À l'époque, on considérait que la LPRPDE était un élément nécessaire de cette protection, mais qu'elle n'était pas suffisante à elle seule.
Au cours des 20 dernières années, j'ai passé beaucoup de temps à mener des recherches sur l'attitude et l'expérience des enfants en ce qui concerne le droit à la vie privée et l'égalité dans les espaces réseau. Je crois que ces recherches soulèvent de réelles préoccupations liées au premier de ces points, c'est-à-dire la mesure dans laquelle la LPRPDE réussit à créer un climat de confiance sur le marché des renseignements.
Vous pourriez faire valoir que c'est en partie imputable au manque d'éducation. En octobre et novembre dernier, je suis allée sur le terrain pour parler à des jeunes de 13 à 16 ans. Nous leur avons demandé s'ils connaissaient des pratiques équitables en matière de renseignement, et pas un seul d'entre eux n'a été en mesure de nommer une seule pratique. En fait, aucun d'eux — ou presque — ne pouvait se souvenir du moment où il ou elle avait donné son consentement à la collecte de ses renseignements personnels lors de son inscription sur Snapchat ou Instagram ou lorsqu'il ou elle a publié du matériel dans ces applications.
Lorsqu'on mentionne le régime de réglementation aux jeunes, ils parlent certainement des politiques en matière de protection des renseignements personnels, et ils en parlent en termes peu flatteurs. Selon eux, ces politiques ont été délibérément rédigées pour les vexer et les embrouiller, afin de les empêcher de comprendre ce qui se passe et faire en sorte qu'ils se sentent impuissants.
Ils nous répètent — de plus en plus, au fil des ans — que la surveillance commerciale dont ils font l'objet sur ces plateformes est dérangeante —, et c'est important, car habituellement, cela signifie qu'on a porté atteinte à la vie privée d'une personne. C'est un marqueur. Mais en même temps, étant donné que la technologie est intégrée à leur vie à l'école, à la maison, au travail et dans leurs loisirs, ils n'ont pas l'impression d'avoir le choix.
Je crois qu'une bonne façon de commencer votre étude serait de reconnaître que même si de nombreux jeunes et adultes canadiens envahissent ces plateformes, cela ne signifie pas qu'ils sont à l'aise avec le cadre de réglementation en vigueur.
En 2015, nous avons mené un sondage auprès de 5 500 jeunes de 10 à 17 ans de partout au pays. Nous leur avons demandé qui devrait être en mesure de voir ce qu'ils publient en ligne, et 83 % d'entre eux ont répondu que les entreprises propriétaires des plateformes sur lesquelles ils publient des renseignements ne devraient pas avoir accès à ces renseignements. Donc, si je publie quelque chose sur Facebook, Facebook ne devrait pas examiner ce contenu. Et 95 % d'entre eux ont affirmé que les spécialistes en marketing ne devraient pas être en mesure de voir leurs publications. Ils jugeaient que ce contenu était privé, qu'il soit publié dans un espace public ou privé.
Lorsque les jeunes parlent de vie privée, ils ne parlent habituellement pas de non-divulgation, mais de contrôle de l'audience, et les spécialistes en marketing ne faisaient pas partie de l'audience qu'ils souhaitaient ou qu'ils prévoyaient atteindre. Environ 96 % d'entre eux ont indiqué que les entreprises qui leur vendent des téléphones intelligents et d'autres appareils ou applications dotés d'un GPS ne devraient pas être en mesure de l'utiliser pour connaître leur emplacement dans le monde réel. De plus, 99 % d'entre eux ont affirmé que les spécialistes en marketing ne devraient jamais être en mesure d'utiliser le GPS pour déterminer où ils se trouvent dans le monde réel.
Je crois que cet aperçu laisse fortement penser qu'il y a un manque de cohérence entre le modèle de réglementation et les expériences vécues par les gens qui se divertissent, magasinent, étudient et passent du temps sur ces plateformes.
Je crois que ce manque de cohérence est réellement attribuable à un élément de fiction qui se dégage de la LPRPDE. En effet, la LPRPDE présume que lorsqu'une personne publie une photo sur Instagram ou publie du contenu à minuit sur Snapchat, cette personne sait parfaitement bien qu'elle conclut une transaction commerciale, c'est-à-dire qu'elle échange ses renseignements personnels contre un accès à une plateforme.
Toutefois, selon le point de vue des gens qui vivent sur ces plateformes, il ne s'agit pas d'une transaction commerciale. Si je suis sur Snapchat, je discute avec mes amis, je fais mes devoirs, je signe une pétition, j'exerce mon droit de parole ou mon droit à la liberté d'association. Je ne crois pas que ce point de vue est exagéré. C'est certainement la façon dont nous voyons nos lignes terrestres. Même si je dépense 70 $ par mois pour la ligne téléphonique que Bell a installée dans ma maison, ce qui me permet de parler à des gens, je ne m'attends certainement pas à ce que Bell écoute mes appels.
L'autre jour, je parlais à un peintre. Je ne m'attends certainement pas à ce que Bell interrompe ma conversation avec ce peintre pour me dire que la peinture est actuellement en vente chez Home Depot et tenter de conclure une vente. Et je ne m'attends certainement pas à ce que Bell recueille tous ces renseignements et les entre dans un algorithme pour déterminer si je suis une criminelle ou non.
Si nous revenons à cette période, je crois que pour retrouver l'intention initiale de la LPRPDE, il faut mettre la vie privée ou la protection des données dans un contexte beaucoup plus vaste.
Il faut revenir au rapport Finestone de 1997, dans lequel on considérait que la vie privée était une valeur sociale et démocratique, ainsi qu'un droit de la personne. Je crois que cette perspective élargie offre deux avantages à votre Comité.
Le premier, c'est que c'est exactement le type d'approche que vous devrez utiliser si vous avez l'intention d'uniformiser notre régime de protection de la vie privée avec le Règlement général sur la protection des données de l'Union européenne qui entrera en vigueur en 2018. Je crois qu'on peut faire valoir que l'Europe a beaucoup mieux réussi que l'Amérique du Nord à relever les défis qui se sont présentés dans les espaces réseaux au cours des 15 dernières années, précisément en raison d'un engagement ferme à l'égard des droits de la personne et d'une solide jurisprudence liée à cet engagement.
Je crois également que cette perspective élargie selon laquelle la protection des données est une mesure nécessaire, mais insuffisante en soi pour protéger la vie privée à titre de droit de la personne, nous aidera à devenir un intervenant plus efficace dans le débat sur le consentement. Comme je l'ai dit, au moment de l'adoption de la LPRPDE, on a exprimé clairement que le consentement devait être un seuil et non une limite, et après six mois, on a certainement eu l'impression que cette limite se pointait.
Étant donné les commentaires sur les mégadonnées formulés par le commissaire, des pressions sont certainement exercées en vue d'affaiblir les dispositions sur le consentement et de rendre plus de renseignements publics, précisément pour permettre aux entreprises de contourner les dispositions en vigueur. De plus grandes pressions sont exercées en vue d'anonymiser les renseignements et d'accepter ces renseignements comme étant des renseignements non personnels dans le cadre de la Loi.
C'est toujours lié à la promesse des mégadonnées, c'est-à-dire que si nous pouvons simplement garder tous les renseignements, nous serons en mesure d'apprendre de nouvelles choses, car l'intelligence artificielle cernera des tendances que nous ne voyons pas, ce qui nous permettra de prévoir les comportements et devenir plus efficaces. Je crois que la protection de la vie privée est la meilleure façon d'aborder la question et de commencer à examiner les préoccupations éthiques qui découlent de ce type d'utilisation des renseignements. Les mégadonnées ne sont pas prévisionnelles. Cela revient à ma préoccupation liée aux droits de la personne. Les mégadonnées ne permettent jamais de faire des prédictions, car elles peuvent seulement offrir un aperçu du passé. Ces données présument que je ferai plus tard ce que j'ai déjà fait auparavant, mais il y a pire, car elles présument également que je ferai ce que les gens comme moi ont fait dans le passé.
Lorsqu'il s'agit de ces types d'infrastructures de l'information, on craint réellement de recréer, de façon non intentionnelle et inconsciente, des préjugés dans nos systèmes de renseignements. Soit nous les programmerons dans le système par fausse procuration, soit ils seront appris par les algorithmes eux-mêmes. Nous pouvons penser à l'exemple qui s'est produit en Angleterre lorsqu'on a tenté d'identifier de jeunes criminels. Le plus jeune criminel potentiel identifié était âgé de trois ans, et il a été identifié parce qu'il était d'une certaine race et pauvre et qu'il vivait dans une région précise. Des résultats discriminatoires se cachent dans ce système de gestion des renseignements.
Même si on fait valoir que l'algorithme sera en mesure d'apprendre, je crois qu'il suffit de penser à Tay, l'expérience de Microsoft, pour se rendre compte que cette chasse aux renseignements entraînera des conséquences imprévues qui causeront des torts aux personnes les plus marginalisées de notre société.
J'aimerais formuler cinq suggestions concrètes.
Je crois que nous devons renforcer les dispositions liées aux motifs raisonnables. J'ai eu la chance de participer à la réunion du commissaire sur le consentement, et c'était très intéressant. Nous avons eu tout un débat, parce que les représentants des entreprises avec lesquels j'étais assise soutenaient que les entreprises avaient le droit de recueillir des renseignements, alors que je soutenais qu'elles n'avaient pas ce droit. Les gens ont des droits; les entreprises ont des besoins et des désirs. J'ai trouvé très intéressant que les intervenants mentionnent sans arrêt la disposition sur les motifs raisonnables. Je crois que nous avons l'occasion d'améliorer notre engagement à l'égard des droits de la personne dans le cadre de la LPRPDE en mentionnant et en réaffirmant la nécessité de protéger les droits des personnes contre les utilisations commerciales, plutôt que de protéger les « droits » des entreprises.
Deuxièmement, j'imagine que vous envisagez sérieusement d'ajouter un droit à la dissociation des renseignements s'ils n'ont aucune valeur publique. C'est la disposition sur le droit à l'oubli. Du point de vue des jeunes, c'est absolument essentiel. C'est ce qu'ils répondent lorsqu'on leur demande quels risques les préoccupent en ligne. Ils craignent qu'une gaffe qu'ils ont faite à 16 ans leur cause des problèmes plus tard et que cela les suive toute leur vie. Je crois que c'est un point très important qu'il faut examiner.
De plus, les jeunes demandent certainement aux organismes de réglementation d'exiger plus de contrôles techniques, afin qu'ils puissent contrôler plus facilement leur audience et retirer du contenu. Personnellement, ce qui m'inquiète, c'est que les entreprises créent des normes communautaires et que nos représentants élus ne sont pas actifs dans ce milieu pour établir des normes régissant les types de discours appropriés dans le contexte canadien.
Quatrièmement, je vous encourage vivement à envisager d'exiger une certaine forme de transparence pour les algorithmes. Un grand nombre de ces pratiques sont cachées et la situation ne fait que s'aggraver. Je crois donc qu'on devrait exiger que les entreprises fassent preuve d'une transparence complète en ce qui concerne leurs pratiques de gestion des renseignements, surtout en raison de la préoccupation liée aux résultats en matière de discrimination.
Enfin, j'aimerais vous demander d'envisager de rendre les entreprises responsables de ces résultats en matière de discrimination lorsque leur accès à ces renseignements leur procure un avantage. C'est comme la pollution, quelqu'un finira par payer pour l'eau polluée. Étant donné que nous bâtissons ce système dès le départ, nous devrions déterminer qui assumera ce fardeau, et je pense que cette responsabilité devrait revenir aux gens qui en tirent profit.
Merci beaucoup.
Merci beaucoup, madame Steeves.
La parole est maintenant à M. Gogolek. Il a 10 minutes.
Allez-y, monsieur.
Tout d'abord, je tiens à m'excuser, car je dois absolument me limiter à votre échéance de 14 h 30, car nous avons un problème d'atteinte à la vie privée en Colombie-Britannique — quelle coïncidence — qui touche les secteurs public et privé. Je devrai donc partir à 14 h 30.
Je tenterai également d'être aussi bref que possible pour consacrer le maximum de temps aux questions. Je me limiterai à quatre points soulevés par le commissaire dans sa lettre du 2 décembre au président, ainsi qu'à deux autres points supplémentaires.
Nous avons également présenté deux mémoires détaillés dans le cadre du processus du commissaire, et je crois qu'ils sont disponibles. Je serai donc heureux de vous les fournir.
Le consentement pour la cueillette, l'utilisation ou la divulgation de nos renseignements personnels est le fondement de la LPRPDE. Les tentatives visant à s'éloigner de ce fondement ou à le modifier devraient éveiller la méfiance. En même temps, il est important de souligner que dans de nombreux cas, le consentement est réellement illusoire. En effet, les conditions acceptées sont souvent présentées sous la forme de longues et vagues conditions d'utilisation et d'autres services contractuels. Le choix offert aux consommateurs se résume souvent à accepter toutes les conditions ou à ne pas utiliser le service. Par conséquent, dans de nombreux cas, un organisme se sent libre d'utiliser comme bon lui semble les renseignements recueillis sous prétexte que la personne a donné son consentement.
Par exemple, dans notre étude Le véhicule connecté menée en 2015 — étude généreusement appuyée par le programme des contributions du commissaire à la protection de la vie privée —, nous avons conclu que plusieurs accords, politiques et contrats entraient en jeu lorsqu'une personne tentait d'acheter un véhicule. En effet, l'acheteur est censé avoir lu et compris toutes ces politiques. Dans de nombreux cas, elles ne sont pas publiées sur le site Web canadien du fabricant. Elles sont seulement disponibles sur le site Web américain, et on n'indique pas clairement si elles s'appliquent ou non. Ces politiques et ces conditions ont tendance à contenir des utilisations et des conditions ouvertes qui permettent d'utiliser les renseignements pour toute raison jugée valable, pour mener des recherches ou pour la commercialisation. En fait, certaines de ces politiques peuvent être contradictoires. Leur origine n'est pas certaine. Par conséquent, dans notre rapport Le véhicule connecté, nous formulons la recommandation suivante:
Plutôt que de se fier à l’illusion du choix et du consentement de cette industrie, il faut définir des limites claires, précises et pertinentes pour la collecte, la conservation, l’utilisation et la divulgation des données personnelles des consommateurs. Nous avons besoin de règlements sur la protection des données adaptés à l’industrie des véhicules connectés.
Nous avions également formulé plusieurs recommandations précises en matière de consentement pour l'industrie automobile. J'aimerais vous communiquer quatre suggestions présentées par le professeur Michael Geist, de l'Université d'Ottawa, car elles représentent un fondement utile pour aborder la question du consentement en général. Tout d'abord, le consentement à adhésion facultative devrait être le modèle utilisé par défaut. Deuxièmement, il faut améliorer les règlements sur la transparence. Troisièmement, les consommateurs doivent être en mesure d'exercer un choix autre qu'à « prendre ou à laisser ». Et quatrièmement, les pouvoirs d'application de la loi doivent être renforcés et les pénalités doivent être plus sévères.
En ce qui concerne la réputation et la vie privée, en raison de l'accroissement de l'importance du milieu en ligne, des situations qui préoccupaient autrefois surtout les biens-nantis et les personnes célèbres — par exemple, les dommages à la réputation — sont maintenant beaucoup plus répandues et préoccupent la plupart des gens qui mènent des activités en ligne. Ce qui n'était autrefois qu'un simple potin de voisinage peut maintenant faire partie d'une campagne diffamatoire menée à l'échelle mondiale. Les gens ordinaires qui n'ont pas des moyens financiers importants ou accès à des ressources juridiques doivent assurer leur propre défense et celle de leur réputation dans ce nouvel environnement. La FIPA a présenté une demande de consultation au commissaire à la protection de la vie privée à cet égard, et je vous encourage à consulter ce document pour obtenir un portrait plus détaillé de certains de ces enjeux.
Nous n'avons pas formulé de recommandations précises, mais nous avons souligné plusieurs points qui devraient être pris en compte lorsqu'on aborde cette question.
Lorsqu'il s'agit de l'application de la loi et, comme nous l'avons dit plus tôt, de la Loi sur l'accès à l'information et du commissaire à l'information ou de la Loi sur la protection des renseignements personnels et du commissaire à la protection de la vie privée, nous sommes également d'avis que dans le cadre de la LPRPDE, le commissaire à la protection de la vie privée devrait être au même échelon que ses homologues provinciaux qui ont le pouvoir d'émettre des ordonnances. Ce système fonctionne depuis plus d'une décennie en Colombie-Britannique, et on n'a observé aucun problème systémique lié au pouvoir d'émission d'ordonnances accordé au commissaire. Sur le plan de la protection des droits de la personne, cela leur permettrait également d'obtenir une réparation immédiate dans le cadre du régime fédéral, ce qui n'est pas le cas actuellement, car une personne doit choisir, par exemple en Colombie-Britannique, de déposer une plainte liée à un comportement à l'échelon provincial ou fédéral.
De plus, à mon avis, le pouvoir d'émettre des ordonnances aurait un effet positif sur la capacité perçue de la LPRPDE de protéger adéquatement la vie privée.
J'aimerais soulever deux points supplémentaires.
Tout d'abord, le premier point a été soulevé, je crois, au cours de nos discussions sur la Loi sur la protection des renseignements personnels, et il s'agit de la question de savoir si les partis politiques sont visés. À notre avis, les partis politiques fédéraux, qui ne sont visés par aucune loi protégeant le droit à la vie privée et les renseignements personnels des citoyens, devraient être visés par la LPRPDE. En Colombie-Britannique, la Personal Information Protection Act, une loi provinciale en grande partie similaire, protège les partis politiques de la province. On pourrait faire valoir qu'elle pourrait également protéger les succursales des partis fédéraux qui sont constitués en personne morale à l'échelon provincial. Le commissaire a réussi à mener ou produire au moins deux enquêtes et rapports sur les deux plus grands partis de la Colombie-Britannique, et nous continuons de jouir d'une démocratie parlementaire à l'échelon provincial. Nous sommes donc d'avis que rien n'empêche d'ajouter les partis politiques fédéraux à la protection offerte par la LPRPDE.
Enfin, j'aimerais appuyer ce qu'a dit la Pre Steeves sur la transparence des algorithmes. C'est un point très important, et cet enjeu a déjà été soulevé relativement à la Loi sur la protection des renseignements personnels.
J'ai hâte de répondre à vos questions.
Merci beaucoup.
Merci beaucoup, monsieur Gogolek.
Comme je l'ai indiqué, mesdames et messieurs, je vais limiter l'intervention à sept minutes cette fois, sinon, nous ne pourrons effectuer deux tours complets.
Monsieur Bratina, vous avez la parole pour sept minutes seulement.
Merci.
Madame Steeves, il semble qu'il y ait deux comportements différents à corriger, l'un du côté du consommateur et l'autre du côté de l'entreprise. Il faut faire de l'éducation auprès du consommateur et appliquer la loi dans le cas des entreprises.
C'est vraiment stupéfiant de vous entendre parler de l'impression qu'ont les jeunes à ce sujet et du fait qu'ils ne comprennent pas qu'ils font un pacte avec le diable, si l'on veut, en appuyant sur le bouton « Accepter ». Quelles mesures sérieuses pourrions-nous prendre pour corriger la situation?
Au cours du dernier examen de la LPRPDE, le CDIP a proposé d'instaurer des niveaux, fondés sur l'âge, concernant les renseignements qui peuvent être recueillis auprès des jeunes, ainsi que des zones interdites où on ne pourrait même pas recueillir de renseignements auprès des jeunes de moins de 13 ans. On constate certainement qu'au chapitre du développement, les plus jeunes tendent à être très matures et ne publient pas grand-chose. Ce sont les jeunes de 13 à 15 ans qui courent le plus de risques.
Je ne suis pas certaine que l'éducation soit nécessairement... Nous faisons certainement beaucoup d'éducation. J'en fais moi-même beaucoup, mais je ne suis pas certaine que ce soit une réponse adéquate, car les jeunes diront qu'ils sont obligés d'utiliser la technologie à l'école, que leur mère les oblige à aller sur Facebook pour voir ce que leurs cousins font afin de la tenir informée, mais qu'en même temps, on les réprimande et on leur dit de ne pas publier d'information sur le réseau. Dans les études que nous avons réalisées sur les jeunes, il est manifeste que le réseau est conçu de manière en encourager les gens à publier de l'information.
Je pense que nous devons examiner et vraiment évaluer ces incitatifs, ce qui nous ramène à ce qui a été dit plus tôt sur la nécessité de limiter les usages. On crée des pots de miel, particulièrement avec les jeunes, et les entreprises recueillent tous les renseignements, car les conditions ont une très large portée. Si nous étions beaucoup plus attentifs aux fins de la collecte de données, pas seulement pour assurer la transparence, mais aussi pour indiquer que les entreprises ne peuvent faire certaines choses, en ce qui concerne particulièrement les jeunes, je pense que nous améliorerions considérablement la situation.
Mais non.
Je suppose que je devrai mettre la main sur ce rapport et le lire pour voir de quoi un rapport préparé sur la question il y a 20 ans aura l'air dans la réalité d'aujourd'hui.
Ce qui est intéressant, c'est qu'il fournit un contexte plus vaste.
Ce que j'ai remarqué quand la LPRPDE a été adoptée, c'est qu'avant cette adoption, le gouvernement fédéral assumait un important rôle de chef de file et investissait des sommes substantielles dans les points d'accès publics. Il a appuyé des espaces non commerciaux, comme Rescol, un site phénoménal, et il a créé des endroits où les gens pouvaient communiquer et participer au débat public sans signer de pacte avec le diable, comme vous l'avez indiqué. Deux ans après l'adoption de la LPRPDE, tout cela avait disparu.
Le gouvernement fédéral a en quelque sorte délaissé ce rôle. Je pense que le moment serait propice pour revenir en arrière et dire: « Wow, notre intention était d'unifier les initiatives disparates de protection des renseignements personnels en une mesure globale qui protégerait la vie privée à titre de droit de la personne. »
Mais comme nous ne l'avons pas fait, nous accusons du retard à certains égards, notamment au chapitre de la sécurité nationale et de l'éducation. Ce qu'il se passe au chapitre du logiciel éducatif est terrifiant.
Monsieur Gogolek, vous avez fait quantité d'excellentes interventions, et je voulais vous poser la question suivante, car mon temps sera bientôt écoulé.
Pour l'amour de Dieu, si nous ne faisons rien d'autre, que devrions-nous envisager sérieusement de faire en priorité?
Je m'occuperais du consentement pour veiller à ce que ce consentement soit valide et éclairé.
Nous nous préoccupons beaucoup des tentatives visant à élargir le consentement implicite, en vertu duquel on considère que les gens auraient dû savoir que les renseignements seraient utilisés. Les gens appuient sur le bouton « accepter » pour utiliser un service ou un équipement, et tout à coup, les informations se retrouvent à des endroits bizarres, ce qui pourrait avoir de lourdes conséquences.
Tout d'abord, les gens doivent donner un consentement véritable au lieu de cocher une case et de s'exposer ainsi à à peu près n'importe quoi.
C'est intéressant. Parfois, j'appuie sur le bouton « accepter » sur un appareil portatif que je peux à peine voir dans ma main et où je peux encore moins voir le bouton, mais il y a aussi un ou deux paragraphes à lire dans ce processus d'acceptation.
virtuellement. Vous êtes maintenant en haute définition, je pense. C'est une image un peu plus nette que celle que nous avions de vous. Vous avez bonne mine, monsieur.
Merci, monsieur le président.
Je vous remercie tous les deux de témoigner.
Monsieur Gogolek, je suis heureux de vous revoir. Je veux traiter de la question du droit à l'oubli. Vous n'en avez pas beaucoup parlé dans votre exposé, mais j'aimerais savoir si vous avez une opinion sur l'orientation que nous devrions prendre à ce sujet.
Je veux aborder la question fort préoccupante soulevée par Mme Steeves à propos du fait que les jeunes, les milléniaux, peuvent faire à 16 ans quelque chose qui aura des répercussions plus tard au cours de leur vie.
À certains moments... D'un côté, je suppose que je peux comprendre, mais il faut également tenir compte de l'autre côté de la médaille. Il peut arriver qu'un acte antérieur ait des conséquences substantielles sur quelqu'un, comme on peut le voir en politique, notamment pendant la campagne électorale. Il me semble qu'un certain nombre de candidats de chaque parti se sont fait rattraper par leur passé. Quand quelqu'un convoite une charge publique, il importe que nous soyons informés au sujet de son passé.
Je vais vous laisser la parole.
Monsieur Gogolek, auriez-vous l'obligeance de traiter du droit à l'oubli? Je demanderai ensuite à Mme Steeves de répondre également.
Mon organisation n'a pas de position officielle à ce sujet. Nous n'intervenons pas dans l'affaire Equustek-Google ou dans le dossier de Facebook. Dans le mémoire que nous avons présenté dans le cadre de la consultation du commissaire à la protection de la vie privée, nous avons énoncé quelques conditions importantes et certaines préoccupations que nous avons à l'égard de la manière dont on procède en Europe.
Nous nous inquiétons notamment du fait que les intermédiaires, comme Google et d'autres entreprises, se voient conférer des pouvoirs quasi législatifs ou quasi judiciaires leur permettant de décider ce qui sera éliminé ou non de ce qui est presque un service public. Google est maintenant utilisé comme verbe. Si quelque chose n'est pas sur Google, on tend à considérer que cela n'existe pas. Les gens ne se rendent pas jusqu'à la page 12 ou 112 pour essayer de trouver un rapport sur la question. Les intermédiaires jouent un rôle important, mais ils ne devraient pas avoir de pouvoir décisionnel à ce sujet. C'est un point à considérer.
Il y en a d'autres, mais nous voulons nous assurer que si un renseignement est enlevé, il y a une sorte d'avis ou d'indication à ce propos. Quand les gens cherchent quelque chose, ils présument que toute l'information est là. Si des renseignements ont été enlevés, il faudrait qu'une indication — que je ne pourrais vous décrire en détail — avise les gens que les résultats de leur recherche ne comprennent pas tout, si c'est dans cette voie que nous nous dirigeons.
Ma collègue Jacquelyn Burkell, de l'Université Western Ontario, a indiqué que ce ne devrait pas être un droit à l'oubli, mais un droit d'oublier. Nous le faisons tous. Nous nous réinventons. Nous faisons tous des expériences que nous ne voudrions pas nécessairement nous faire rappeler plus tard. Je pense que le droit à l'oubli comme on le conçoit en Europe concerne en fait la facilité d'accès, particulièrement quand l'intérêt public est en jeu. C'est donc une question d'équilibre. Mais même en ce qui concerne les dossiers des tribunaux, ces renseignements doivent être publics, puisque la justice doit être publique et il faut qu'on l'on puisse constater que justice a été rendue. Cependant, quand on a commencé à publier les dossiers matrimoniaux et que les gens effectuaient des recherches pour connaître le revenu de leurs voisins, cela a causé une kyrielle de problèmes; on a donc retiré ces renseignements d'Internet. Cependant, il s'agit toujours de renseignements publics et accessibles. C'est la facilité d'accès qui posait problème.
Le droit à l'oubli a du potentiel, car il concerne la facilité d'accès. Google n'est pas une bibliothèque. Il ne permet pas de tout trouver. Quand l'information a de la valeur pour le public, les journalistes peuvent toujours y avoir accès par l'entremise des tribunaux ou d'autres méthodes d'enquête. Pour donner suite à vos propos, cela concerne, dans une certaine mesure, le fait est nous nous fions aux entreprises de technologie pour agir à titre de conservateurs, de bibliothécaires ou de journalistes. La crise des fausses informations qui fait rage actuellement n'est pas attribuable aux journalistes. Nous constatons qu'il importe, dans une démocratie, que des gens cherchent des renseignements et les recueillent à certaines fins, et les entreprises ne jouent pas ce rôle. Ce n'est même pas quelque chose qu'elles peuvent faire.
Je pense que le défi ici consiste à trouver de nouvelles manières de nous permettre, à titre de démocratie, d'organiser les renseignements de manière assurer la protection des renseignements personnels dont les gens ont besoin pour vivre leur vie, tout en permettant au débat public d'être nourri et enrichi par un journalisme d'enquête solide et d'autres sources d'informations semblables.
C'est excellent.
Il me reste environ 45 secondes.
Brièvement, monsieur Gogolek, considérez-vous que la LPRPDE protège suffisamment les enfants? Le commissaire à la protection de la vie privée a affirmé que c'est le cas, alors qu'un autre groupe de défense de l'intérêt public a indiqué le contraire. Jugez-vous qu'il faille élaborer une mesure distincte pour régir la question, en tenant compte des compétences qu'ont les provinces sur une bonne partie de la question?
C'est une question très complexe, qui touche aux champs de compétences. Je pense que nous nous sentirions plus à l'aise de régler d'emblée la question du consentement en décidant si les enfants d'un certain âge sont capables d'accorder ce consentement, plutôt que de les séparer du reste d'entre nous [inaudible].
Merci beaucoup.
Merci de témoigner.
Madame Steeves, je veux traiter de la décision récente de la Cour fédérale au sujet du droit à l'oubli. Les dossiers judiciaires étaient publiés sur un site Web étranger et pouvaient faire l'objet de recherches. On pouvait donc taper le nom de son voisin et trouver toutes sortes de choses. A-t-on commencé à réaliser des progrès quant au droit d'oublier ou au droit à l'oubli?
C'est une question de désindexation. À mon avis, les activités de l'Institut canadien d'information juridique s'apparentent davantage à la manière dont les tribunaux ont réagi dans le cas de leurs dossiers papier; il me semble donc que nous ne sommes donc pas encore tout à fait rendus au but. Il vaudrait mieux régir la question avec une mesure législative soigneusement réfléchie.
Une mesure législative...
Vous avez laissé entendre que les journalistes ou les bibliothécaires jouent un rôle d'arbitre sur le plan de la recherche d'information.
Eh bien, un conservateur est doté de pouvoirs considérables. Cela signifie que nous les laisserons organiser l'information et décider ce qui pourra être accessible et faire l'objet de recherche. Qui joue ce rôle? Ce n'est certainement pas le commissaire à la protection de la vie privée ou le Parlement.
Eh bien, à l'heure actuelle, nous laissons Google...
M. Nathan Cullen: En effet.
Mme Valerie Steeves: ... et quand l'information est entre les mains de bibliothécaires, il existe toutes sortes de bibliothèques et de magasins de données où je peux me rendre pour accéder à l'information. De même, dans le domaine journalistique, un large éventail d'organes de presse peut alimenter le débat public.
J'admets que le fait que Google se charge de cette tâche pose problème, compte tenu du motif pécuniaire que cette entreprise peut avoir et du fait qu'elle organise l'information de la manière la plus avantageuse pour elle. Cependant, je ne suis pas certain que les solutions de remplacement que vous avez proposées, comme les bibliothécaires en général ou un magasin de données... Je pense qu'en trouvant la bonne solution, nous serions mieux à même de déterminer la teneur de cette mesure législative afin de voir comment nous organisons les renseignements personnels.
Pour ce qui est du droit à l'oubli, je remercie Dieu chaque jour que les médias sociaux n'existaient pas quand j'étais jeune. Je ne vous dirai pas pourquoi, mais je doute que j'aurais été élu si toute l'information avait été publiée, et je pense qu'on pourrait en dire autant de certains de mes collègues ici présents.
Je vous le dirai plus tard, monsieur le président.
Des voix: Ah, ah!
M. Nathan Cullen: Je ne dispose pas de beaucoup de temps, monsieur Gogolek. Je présume que vous vous intéressez à l'atteinte à la protection des renseignements personnels dont il est question aujourd'hui en Colombie-Britannique, dans le cadre de laquelle PharmaNet a laissé fuir les renseignements médicaux personnels de 7 500 habitants de cette province — y compris, dans certains cas, le nom de tous les médicaments et l'historique médical — par le réseau qui vise à assurer le suivi et à permettre l'échange de renseignements entre les pharmaciens, ce qui est un noble objectif, puisque nous voulons que les pharmaciens puissent suivre les dossiers pour toutes sortes de bonnes raisons ayant trait à la santé publique. Je crois comprendre que le gouvernement était au courant de la situation l'automne dernier et que ce n'est qu'aujourd'hui que l'affaire s'est sue. Comment se fait-il que la loi sur la protection des renseignements personnels de la Colombie-Britannique ou les mesures du gouvernement fédéral n'aient eu aucune incidence sur la décision d'un gouvernement ou d'un organisme gouvernemental qui, sachant qu'il s'était produit une atteinte à la protection des renseignements personnels, a choisi de se taire pendant des mois?
Cette situation met en lumière la lacune qui existe en Colombie-Britannique, alors que la LPRPDE a été modifiée pour exiger des avis d'atteinte à la protection des données. En Colombie-Britannique, des recommandations ont été formulées il y a deux ans. Or, le gouvernement provincial, pour des raisons qu'il est le seul à connaître, a choisi de ne pas y donner suite.
En quoi consiste cet avis d'atteinte à la protection des données actuellement en Colombie-Britannique et en quoi devrait-il consister au gouvernement fédéral?
Le gouvernement fédéral devrait adopter une mesure plus sévère que celle que prévoit actuellement la LPRPDE, qui exige actuellement l'envoi d'un avis d'atteinte à la protection de données par suite de l'adoption du projet de loi S-4 au cours de la dernière législature.
Pour que tout soit bien clair, quand une atteinte à la protection des renseignements personnels survient, quelle loi indique quand il faut émettre un avis actuellement Colombie-Britannique?
D'accord. C'est peut-être un problème à souligner. Si des dossiers médicaux personnels ont fait l'objet d'une atteinte...
M. Vincent Gogolek: Oui.
M. Nathan Cullen: ... et que l'historique médical des gens est entre les mains de Dieu sait qui et qu'il peut être communiqué ou vendu, le fait est que le gouvernement peut décider de n'en souffler mot à personne.
Eh bien, c'est là le problème, mais bien entendu, c'est un problème dans la province.
Il faut également se demander, et il en a également été question ici, ce qui arrive aux gens qui, par exemple, risquent d'être victimes de vol d'identité. Devrait-on exiger que tout l'argent qu'ils devront payer à EQUIS, à TransUnion, ou aux autres...
J'essaie seulement de comprendre ce qu'est le rôle du gouvernement pour un cas comme celui de PharmaNet. Il ne fait pas partie du gouvernement, et pourtant le gouvernement de la Colombie-Britannique — ou le gouvernement fédéral, si nous parlons de la LPRPDE — établit les règles pour — en cas d'atteinte — une situation où une entreprise qui détient des renseignements médicaux personnels, par exemple, doit dire au public ce qui s'est passé.
Vous dites qu'il n'y a pas d'avis d'atteinte à la vie privée.
Ce n'est pas obligatoire.
J'ai une brève question à laquelle peut répondre n'importe lequel de nos témoins. Elle porte sur les partis politiques et l'information qu'ils recueillent. Quelle loi fédérale nous régit à l'heure actuelle sur la façon dont les données sont gérées et dont la collecte de renseignements personnels de citoyens canadiens est divulguée aux gens qui nous fournissent l'information?
Vous êtes libres de faire ce que vous voulez. Vous n'êtes pas visés par la LPRPDE. Vous n'êtes pas couverts.
En Colombie-Britannique, les partis sont couverts. D'aucuns soutiennent que les partis fédéraux qui ont des sections en Colombie-Britannique seraient possiblement assujettis à la loi provinciale. Cela créerait une situation intéressante dans laquelle, si le parti fédéral viole des normes relatives à la protection des renseignements personnels, quelqu'un, en Colombie-Britannique pourrait déposer une plainte auprès du commissaire, mais ce ne serait pas le cas pour une personne de l'Ontario qui est assujettie à la LPRPDE. Cela semble malheureux, c'est le moins qu'on puisse dire, et devrait être changé.
Merci beaucoup.
C'est maintenant au tour de M. Dubourg, qui dispose de sept minutes. Allez-y, s'il vous plaît.
[Français]
Merci, monsieur le président.
Je voudrais commencer par remercier les témoins, Mme Steeves et M. Gogolek, qui sont ici avec nous. Leurs témoignages présentent beaucoup d'intérêt pour notre comité.
Ma première question s'adresse à M. Gogolek, puisqu'il vient de Vancouver, dans une province très éloignée de celle où nous nous trouvons.
Êtes-vous au courant que le gouvernement du Québec a entrepris une tournée de sensibilisation auprès des jeunes des écoles secondaires? Y a-t-il des mesures de ce genre qui sont prises dans votre coin?
Je ne suis pas au courant de ce qui se passe au Québec. En Colombie-Britannique, le bureau de notre commissaire a produit des ressources susceptibles d'aider à mieux gérer ses renseignements personnels, lesquelles sont destinées aux jeunes et à la population en général. Nous voulons ainsi les informer de leurs droits et leur donner des conseils sur la façon de se protéger et de se conduire sur Internet et dans d'autres contextes.
D'accord. Je comprends que des mesures de sensibilisation sont prises de façon continue.
Vous avez aussi affirmé, à un moment donné, que le consentement était un élément important et que cela constituait pour vous une priorité.
À ce sujet, êtes-vous d'avis qu'il faille mettre une limite de temps au consentement, par exemple? Croyez-vous que ce serait une bonne chose?
Je pense que oui.
Évidemment, ce sont les législateurs qui rédigent les lois et recherchent des moyens pour atteindre le but désiré. Je n'ai pas de recommandation précise en ce qui concerne une limite de rétention, mais, en principe, le consentement ne devrait pas être d'une durée infinie. Il ne faudrait pas qu'on garde les renseignements en se disant que, à un moment indéterminé dans l'avenir, on pourrait vouloir s'en servir. Le consentement doit être utilisé à des fins claires, et une limite de rétention devrait refléter ce principe.
D'accord, merci.
Madame Steeves, vous avez beaucoup parlé des enfants dans votre témoignage, et je trouve qu'il est en effet très préoccupant de savoir que ce qui est publié par nos jeunes, qui peuvent être très jeunes — comme l'a dit mon collègue —, sur Facebook ou un autre média finit par nous rattraper quelques années plus tard.
Vous avez également mentionné que la législation en Europe est beaucoup plus féroce, qu'elle est même meilleure, que celle du Canada.
Selon vous, la législation adoptée en Europe est-elle beaucoup plus contraignante en ce qui concerne les enfants que celle du Canada, par exemple la LPRPDE?
[Traduction]
En fait, la Communauté européenne et l'Union européenne ont entrepris récemment un certain nombre d'études qui ont explicitement inscrit la protection de la vie privée des enfants dans la Convention relative aux droits de l'enfant. Si l'on prend la cyberintimidation, par exemple, dans le contexte canadien, nous avons été beaucoup trop portés à envahir la vie privée des enfants afin de les protéger. En raison de cet engagement pris dans le cadre de la Convention relative aux droits de l'enfant, les discussions en Europe portent davantage sur l'établissement d'un équilibre entre le besoin de protéger et les bienfaits de veiller à ce que la vie privée des jeunes soit protégée dans les espaces virtuels précisément parce que la vie privée est un proto-droit. Cela leur permet d'accéder à de l'information, à en apprendre sur leur propre culture, etc. Je crois que des modèles très intéressants existent.
[Français]
D'accord.
De plus, l'Europe a prévu des sanctions dans sa législation, ce qui n'est pas le cas au Canada.
Selon vous, devrions-nous infliger des sanctions, nous aussi, surtout lorsqu'il y a utilisation frauduleuse des renseignements personnels?
[Traduction]
C'est intéressant. Je pense qu'une partie du problème tient au fait que pour ce qui est des jeunes, lorsque nous créons ce type de solutions, ils sont moins portés à les utiliser. Ce qu'ils veulent, c'est un plus grand contrôle sur leur information. Encore une fois, si l'on prend l'exemple de la cyberintimidation et les politiques de tolérance zéro qui sont assorties de sanctions, si une personne affiche quelque chose sur moi qui tombe dans cette zone... Les jeunes nous disent que le problème à cet égard, c'est que s'ils en parlent à des adultes, les choses s'enveniment, et ils perdent soudainement le contrôle, et ce qu'ils veulent vraiment, c'est pouvoir faire retirer ces renseignements. Ils veulent que de meilleurs mécanismes soient mis en place pour pouvoir communiquer l'information et dire « cela porte sur moi et je veux que ce soit retiré ».
[Français]
J'aimerais vous poser une dernière question.
Vous avez beaucoup parlé de la transparence pour ce qui est des algorithmes; vous avez notamment affirmé qu'il faudrait revoir cette façon de faire.
Quelles sont vos idées par rapport à cela? Comment devrions-nous revoir ces algorithmes? Devrions-nous aussi infliger des sanctions aux utilisateurs des renseignements personnels lorsque des situations ne sont pas très claires?
[Traduction]
J'attirerais votre attention sur la déclaration du Electronic Privacy and Information Center. Il a un énoncé des droits intéressant concernant la transparence algorithmique. À bien des égards, c'est déjà dans nos lois. Ils doivent nous dire ce qu'ils font et pourquoi ils le font. Ils doivent nous dire quels sont les résultats. C'est seulement que très souvent, c'est enterré dans l'algorithme d'une manière qui rend cela même moins transparent, et un certain nombre d'entre nous, dans le secteur de la société civile, sont très préoccupés par cela et pensent qu'il serait bon d'avoir une disposition distincte.
Cela requiert en grande partie également que les entreprises soient plus responsables des résultats. Oui, je crois que des sanctions devraient être imposées lorsqu'il y a des résultats discriminatoires en particulier, et je pense que cela créerait une situation où les gens seraient beaucoup plus prudents lorsqu'ils utilisent des algorithmes qui changent de façon très importante les résultats concernant la vie des gens.
C'est intéressant.
Merci beaucoup.
Il nous reste assez de temps pour deux interventions de cinq minutes.
Je céderai la parole à M. Kelly, qui sera suivi de M. Saini. Veuillez donc vous en tenir aux cinq minutes, s'il vous plaît, chers collègues.
Monsieur Kelly.
Merci, monsieur le président.
Jusqu'à maintenant, la plupart des témoignages semblent avoir été axés sur les grandes entreprises, les médias sociaux, comme Facebook et Google. On n'a pas mentionné Facebook très souvent, mais j'ai l'impression que c'est ce dont on parle essentiellement. Or, cette loi, tout comme les lois provinciales sur la protection des renseignements personnels qui s'appliquent au secteur privé, le cas échéant, vise toutes les entreprises au Canada.
Ma question s'adresse aux deux témoins. Dans quelle mesure tous les organismes qui sont visés par cette loi comprennent leurs obligations, à votre avis? Gary Dickson, l'ancien commissaire à la vie privée de la Saskatchewan, nous a parlé d'audits ou d'un examen sur la conformité, et il a découvert que les organismes connaissaient très peu leurs obligations en vertu de la LPRPDE.
Et c'est certainement ce qu'ont révélé des études menées par CPIC, par exemple. Andrew Clement a constaté la même chose dans le cadre des travaux qu'il a menés à l'Université de Toronto. D'après ce que nous indiquent les recherches, le degré de conformité est assez faible.
Dans le cadre de mes travaux, ce qu'ont dit les entreprises est intéressant. Encore une fois, on dit « j'ai droit à l'information, et la personne doit la fournir parce qu'il y a une loi ». Je pense donc qu'il y a un volet très important pour ce qui est de l'information à cet égard, surtout pour les petites entreprises. Je sais que le commissaire a du matériel sur son site pour combler ce vide, mais il est certain que nous avons beaucoup de travail à faire sur ce plan.
Dans le cadre des témoignages, nous ne sommes pas allés assez loin dans nos discussions sur le tort causé par la non-conformité. Une chose qu'ils ont peut-être découverte concernant une petite entreprise, c'est que le propriétaire ne connaissait pas les obligations et ne s'est pas acquitté de certaines obligations, comme celle de nommer un responsable de la protection de la vie privée. Or, où a-t-on découvert que du tort avait été causé? Quels types d'entreprises causent du tort au public en ne respectant pas la LPRPDE?
Dans tout processus permettant de porter plainte, on se rendra compte de ce qui se passe seulement si une personne est fâchée au point de porter plainte. Donc, en tant que pointe de l'iceberg, la libre circulation d'information sur la santé s'est traduite par un certain nombre de plaintes. Puisqu'on passe de dispositions visant le secteur privé à des dispositions visant le secteur public, cela inquiète vraiment les gens et lorsqu'ils découvrent que des gens ont accès à cela, ils veulent porter plainte.
Serais-je aussi préoccupée si la salle de quilles où je vais recueillait cette information à mon sujet? Encore une fois, pour l'instant, sa capacité de recueillir de l'information est limitée en raison de la nature des activités de l'entreprise ou de la technologie et des ressources qu'elle peut utiliser. À mon avis, voilà ce qui explique que les principales plaintes sur ces plus grandes questions concernent ces grandes entreprises. Elles sont tout simplement plus en vue.
Nous en apprendrons probablement plus au sujet de ce qui se passe ici, en Colombie-Britannique, où, semble-t-il, il y a le problème dont parlait Mme Steeves concernant le fait que les cabinets de médecin et PharmaNet sont visés par notre loi équivalente à la LPRPDE pour le secteur privé. On s'interrogera sur ce qui se passe et qui a failli à la tâche à cet égard. Cela touchait peu de cabinets — quatre, je crois. Je dirais que nous surveillons la situation de près en Colombie-Britannique pour avoir une idée de la mesure dans laquelle les choses peuvent mal tourner.
Je vais poser deux questions, mais je veux en quelque sorte en finir avec une question. Nous avons parlé du droit à l'oubli, et d'autres personnes ont parlé des mineurs, et vous aussi. Concernant le droit à l'oubli, pensez-vous qu'on devrait recommander une disposition spéciale pour les mineurs qui peuvent avoir donné leur consentement à un certain âge? Pensez-vous qu'une disposition devrait être adoptée pour que ce soit éliminé complètement?
Oui, je ne sais pas si c'est 18 ans. Je crois que pour les personnes âgées de moins de 18 ans, il devrait être possible de nettoyer l'ardoise et de faire simplement tout disparaître.
Je l'ai dit parce que vous l'avez mentionné dans votre préambule.
Si vous vous souvenez du cas en Espagne concernant Google, il y avait deux choses. Le moteur de recherche ne pouvait pas fournir un lien vers l'information, mais le lien se trouvait dans un journal qui avait été archivé, de sorte que bien qu'il n'était pas partout, c'était encore possible de le trouver. De quelle façon pouvons-nous procéder sur le plan technologique? Existe-t-il un moyen?
Encore une fois, cela revient à ce que l'on disait plus tôt. C'est le type de solution qui fonctionnerait bien avec les médias sociaux, par exemple. Je sais où se trouve mon information parce que je l'ai donnée à tel organisme.
L'information qui circule à mon sujet n'est en règle générale signalée que lorsque cela me cause du tort d'une certaine façon, et la solution que la plupart des jeunes veulent, c'est de pouvoir la faire retirer du compte de média social d'une autre personne. Cela reflète vraiment la façon dont les jeunes se réunissent dans des endroits en particulier. Les médias sociaux sont un point chaud.
L'éducation est un autre sujet de préoccupation, car un certain nombre d'entreprises recueillent les moindres détails de ce qu'apprennent les jeunes et les commercialisent.
C'était intéressant — nous avons commencé à examiner l'économie politique dans ces deux secteurs. L'une des raisons pour lesquelles nous parlons beaucoup des gros joueurs, c'est qu'ils achètent les petits. Dès qu'une plateforme d'information attire beaucoup de renseignements et devient très commercialisable, elle est achetée par un plus gros joueur. Encore une fois, on crée des pots de miel. Si nous pouvions nous pencher sur cela, ce serait utile.
Je vais vous poser une question d'ordre technique. Elle porte sur une disposition de la LPRPDE.
Il y a deux choses sur lesquelles j'aimerais obtenir des précisions.
Premièrement, pouvez-vous m'expliquer la différence entre la destruction des données et leur dépersonnalisation?
Deuxièmement, croyez-vous que donner un choix dans le cadre législatif crée une échappatoire?
Ce sont de bonnes questions.
Il me semble que détruire les données signifie les faire disparaître de sorte qu'elles ne sont plus conservées nulle part.
Je suis très sceptique en ce qui concerne la capacité de dépersonnaliser les données, et je crois que l'échappatoire que cela crée, c'est cet espace pour les données dépersonnalisées, lesquelles peuvent être facilement personnalisées à nouveau, avec si peu de facteurs pris en compte. Cela nous ramène au concept de rétention également.
L'objectif a toujours été le suivant: « dites-moi pourquoi vous les voulez, et j'accepterai; une fois que vous avez terminé, faites-les disparaître ». Or, cette information a une valeur, et nous laissons les entreprises conserver cela indéfiniment.
Je crois que c'est une échappatoire. C'est une autre échappatoire qui leur permet de conserver les données parce qu'elles pourraient valoir de l'argent.
Merci beaucoup. Il nous reste une minute.
Madame Steeves, dans votre déclaration préliminaire, vous avez dit quelque chose qui a retenu mon attention et je l'ai pris en note. J'ignore si quelqu'un a posé une question directement à ce sujet.
Pourriez-vous en dire un peu plus sur la façon dont les jeunes voient le contrôle de l'auditoire?
D'accord.
En règle générale, comme je l'ai dit, dans un régime de réglementation, nous disons que si une personne divulgue quelque chose, alors ce n'est plus confidentiel, tandis que de leur côté, ils conçoivent la notion de la vie privée d'un point de vue relationnel, et ils veulent négocier cela avec différents auditoires.
Si j'affiche quelque chose sur mon compte Instagram, et que mon compte est destiné à mes amis, je ne veux pas que ma mère le voie. Je veux un mécanisme qui dira « non, ce n'est pas le compte de ma famille, mais celui de mes amis ».
En règle générale, lorsqu'ils craignent des atteintes à la vie privée, c'est parce que les barrières qui séparent les différents auditoires ont été retirées. C'est retiré du monde des médias sociaux et rendu accessible à tous les gens qui ne font pas partie de ces auditoires, ce qui leur cause du tort.
Deux jeunes de 13 ans sont allés en vacances à Toronto. À leur retour, ils parlaient de leur bronzage, en ligne. L'un deux a dit « je suis plus foncé que toi », et la direction de leur école les a rencontrés pour intimidation raciste, car il s'avère que les deux enfants sont afro-canadiens.
Ils se sont dit « je suis en train de parler à mon ami, mais parce que cette information peut être saisie, maintenant mon école me surveille et je lui suis redevable pour tout ce que je dis ». Ce qui compte pour eux, c'est la possibilité de maintenir ces barrières fermement.
Merci beaucoup.
Merci beaucoup, chers collègues.
Monsieur Gogolek, je crois que nous vous avons fait dépasser le temps que vous aviez prévu. J'espère que vous serez en mesure de faire ce que vous deviez faire.
Nous vous remercions beaucoup tous les deux d'avoir comparu devant le Comité.
Chers collègues, nous nous reverrons mardi prochain.
La séance est levée.
Explorateur de la publication
Explorateur de la publication