ETHI Réunion de comité

    Bonjour, chers collègues.

    Je vois que tout le monde est présent, même si tous ne sont pas à la table. Nous allons commencer, car j'ai un message d'intérêt public à faire avant que nous entendions les témoins.

    Chers collègues, vous le savez sans doute déjà, mais si ce n'est pas le cas, je me permets de vous informer qu'une réception est organisée aujourd'hui afin de souligner le départ de la commissaire au lobbying, Karen Shepherd. Si vous avez l'occasion d'y participer, la réception aura lieu de 15 h 30 à 19 heures, au Mill Street Brew Pub, sur la rue Wellington, juste à côté du pont, si je me souviens bien. Je ferai de mon mieux pour m'y rendre au nom du comité, mais si d'autres membres du comité souhaitent y aller, je crois que ce serait une excellente idée.

    Chers collègues, nous allons entendre aujourd'hui un groupe de personnes très distinguées qui témoigneront toutes par vidéoconférence. Il y a Drew McArthur, commissaire par intérim du Bureau du commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique. Nous vous souhaitons la bienvenue. Michael McEvoy, commissaire adjoint, du même bureau, est aussi des nôtres. Il y a également Jill Clayton, commissaire de l'Office of the Information and Privacy Commissioner of Alberta, qui a déjà comparu plusieurs fois devant le comité. Elle a également des gens pour l'aider. Enfin, Cynthia Chassigneux, juge administrative de la Commission d'accès à l'information du Québec, comparaît également par vidéoconférence.

    Chaque groupe dispose de 10 minutes pour faire sa déclaration liminaire, ce qui occupera les quelque 30 premières minutes de la réunion. Nous poserons ensuite nos questions.

    N'oubliez pas, chers collègues, que l'examen de la Loi sur la protection des renseignements personnels et les documents électroniques porte sur le secteur privé. Si nous pouvons concentrer nos questions sur cet aspect, nous aurons une excellente discussion.

    Qui aimerait commencer, M. McArthur ou M. McEvoy?

    Monsieur McArthur.

    D'accord, merci beaucoup, monsieur.

    La parole est à vous.

    Merci beaucoup, monsieur le président, de nous avoir invités à témoigner dans le cadre de l'examen de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE.

    En Colombie-Britannique, la loi sur la protection des renseignements personnels à laquelle est assujetti le secteur privé est la Personal Information Protection Act, que j'appellerai la « loi de la Colombie-Britannique ». En tant que commissaire par intérim, je veille à l'application de cette loi à laquelle sont assujetties plus de 380 000 organisations du secteur privé, y compris des entreprises, des organismes de bienfaisance, des associations, des syndicats et des partis politiques. La loi de la Colombie-Britannique ressemble beaucoup à la LPRPDE.

    Je vais aborder à tour de rôle des questions soulevées dans la lettre que le commissaire fédéral à la protection de la vie privée a adressée à ce comité.

    Premièrement, le consentement éclairé est un aspect essentiel de la LPRPDE et des lois sur la protection des renseignements personnels du monde entier, y compris la loi de la Colombie-Britannique. Même si ces lois sont conçues pour traiter les technologies de façon neutre, cette neutralité est maintenant mise à mal par les mégadonnées. On craint que certaines organisations expliquent en des termes quelque peu vagues l'utilisation qu'elles font des renseignements personnels.

    Pour donner aux consommateurs une meilleure idée de la façon dont les renseignements personnels sont utilisés, les organisations doivent expliquer clairement dans leurs avis aux consommateurs à quelles fins les renseignements personnels sont analysés. Nous croyons que le cadre actuel fondé sur le consentement permet de le faire. Cependant, l'analyse des métadonnées présente à fois des avantages et des risques pour les personnes.

    Au Canada, nombre de commissaires à la protection de la vie privée ainsi qu'un groupe d'organisations canadiennes ont collaboré avec l'International Accountability Foundation afin de se pencher sur la possibilité de soumettre le traitement des données personnelles à un cadre sur l'éthique en plus des cadres sur la protection des renseignements personnels. Ce sont des problèmes très complexes et difficiles à résoudre. Dans les faits, mon bureau n'a pas vu de cas où le consentement ne pouvait être accordé pour utiliser de l'information à des fins légitimes. J'admets cependant que les organisations pourraient mieux expliquer leur façon de traiter les données lorsqu'elles établissent leurs politiques sur la protection des renseignements personnels et leurs cas d'utilisation. Certains soutiennent que l'on devrait autoriser explicitement les organisations à dépersonnaliser les données afin qu'elles puissent ensuite procéder à une analyse des données sans avoir à obtenir le consentement de la personne concernée. Cette approche permettrait d'analyser des données déjà prélevées à d'autres fins.

    Mes réserves à cet égard viennent du fait qu'il est de plus en plus facile de repersonnaliser des données au moyen d'algorithmes de plus en plus complexes. Dans quelques années, ces techniques de repersonnalisation pourraient devenir si efficaces que l'on serait en mesure de repersonnaliser toute information préalablement dépersonnalisée.

    Certains gouvernements s'attaquent à ce problème en mettant en place des lois qui permettent de traiter des renseignements personnels dépersonnalisés tout en atténuant les risques d'utilisation à des fins illégitimes. L'Australie envisage maintenant d'adopter un projet de loi qui érigerait la repersonnalisation en infraction; la repersonnalisation intentionnelle serait alors considérée comme une infraction criminelle passible d'une peine maximale de deux ans de prison ou d'une amende.

    Au Japon, la loi sur la protection des renseignements personnels a été modifiée de manière à interdire la repersonnalisation et à ce que même les renseignements dépersonnalisés soient protégés.

    Je vais maintenant parler de la vie privée et de la réputation. De nos jours, avec la publication en ligne et le stockage d'information dans des bases de données, les renseignements personnels ont atteint un niveau de durabilité et d'accessibilité sans précédent depuis l'émergence des technologies numériques. Cette facilité d'accès peut parfois avoir des répercussions importantes sur la vie des gens, pour le meilleur et pour le pire.

    À l'instar de la loi de la Colombie-Britannique, la LPRPDE comprend des dispositions limitées concernant la suppression ou la correction de renseignements personnels. Une personne a le droit de révoquer son consentement, mais il y a des exceptions, notamment pour les cas où une telle révocation irait à l'encontre d'une obligation juridique. Une personne a aussi le droit de demander la correction de ses renseignements personnels. Cependant, ce ne sont pas des dispositions exhaustives qui permettent à une personne d'effacer son empreinte numérique en totalité ou en partie.

    Même si la loi de la Colombie-Britannique et la LPRPDE prévoient des recours si des renseignements personnels erronés sont publiés en ligne, la publication de renseignements véridiques peut aussi causer des préjudices. Dans un tel cas, le droit à l'oubli et à l'effacement qui existe en Europe peut aider une personne qui a souffert d'une atteinte à sa réputation à cause de renseignements publiés en ligne.

    Même si je peux voir l'avantage d'accorder un tel droit au Canada, comme d'autres l'ont fait remarquer, il reste encore à déterminer si on peut concilier le droit à l'oubli avec la liberté d'expression dans le cadre du système juridique du Canada. Nous croyons que le droit à l'oubli pourrait avoir de nombreuses conséquences imprévues, et qu'il faut donc aborder cette question avec prudence.

    Parmi ces conséquences, mentionnons le risque que des gouvernements pratiquent la censure ainsi que le fait que le droit à l'oubli est actuellement encadré par des organisations privées.

    Pour ce qui est des pouvoirs d'application, étant donné que les renseignements personnels font partie intégrante du modèle d'affaires de nombre d'entreprises, il est essentiel que chaque commissaire à la protection de la vie privée ait le pouvoir de rendre des ordonnances. Je crois que ce pouvoir doit être utilisé de manière efficace et judicieuse. J'aimerais expliquer comment il est appliqué à mon bureau.

    Pour que les lois sur la protection des renseignements personnels de la Colombie-Britannique soient appliquées de façon efficace, il est essentiel que les organisations concernées collaborent avec les organismes publics, et le pouvoir de rendre des ordonnances peut justement encourager ces organisations à collaborer avec mon bureau. Plus de 90 % des plaintes reçues par mon bureau se règlent à l'étape de la médiation. Les enquêteurs de mon bureau, des spécialistes des lois sur la protection des renseignements personnels de la Colombie-Britannique, aident les parties à comprendre leurs responsabilités et leurs droits respectifs. À l'étape de la médiation, les parties savent que, si elles ne parviennent pas à un règlement, l'affaire peut être renvoyée à un processus d'arbitrage au terme duquel une ordonnance sera rendue. Cela encourage les parties à collaborer avec nous en vue de parvenir à un règlement à l'étape de la médiation. Les ordonnances rendues par mon bureau exigent que les organisations se conforment aux dispositions de la loi sur la protection des renseignements personnels de la Colombie-Britannique auxquelles le secteur privé est assujetti.

    La loi établit les mesures que mon bureau peut prendre. Par exemple, on peut exiger le respect d'une obligation aux termes de la loi de la Colombie-Britannique, et j'ai le pouvoir de préciser les modalités de cette exigence.

    Pour ce qui est d'offrir une protection adéquate, maintenant que l'Europe a adopté le Règlement général sur la protection des données, il serait utile de voir à ce que les lois du Canada en la matière offrent un niveau de protection adéquat afin d'aider les entreprises qui comptent sur l'échange de renseignements personnels entre l'Europe et le Canada. Selon le Règlement général sur la protection des données, on peut décider qu'un pays ou un territoire offre un niveau de protection adéquat qui est essentiellement équivalent à celui offert au sein de l'Union européenne. Fait intéressant, la décision sur la protection adéquate peut cibler un territoire en particulier, si bien qu'une loi provinciale sur la protection des renseignements personnels pourrait être jugée adéquate pour les transferts même si la LPRPDE ne l'est pas. L'objectif est d'offrir une protection essentiellement équivalente; il reste donc des efforts à faire pour maintenir un niveau de protection adéquat.

    J'ai déjà mentionné le droit à l'effacement. Voici deux autres problèmes à étudier.

    Le Parlement s'est déjà penché sur les avis concernant une atteinte à la sécurité des données aux termes de la LPRPDE. En Colombie-Britannique, mon bureau a recommandé de rendre de tels avis obligatoires tant dans le secteur privé que dans le secteur public lors du récent examen des lois sur la protection des renseignements personnels de la Colombie-Britannique, et le gouvernement provincial s'est engagé à le faire.

    En Europe, quiconque omet de communiquer un avis s'expose à une amende administrative pouvant s'élever jusqu'à 10 millions d'euros ou 2 % des revenus annuels de l'entreprise à l'échelle mondiale, selon le montant le plus élevé. Dans d'autres secteurs, les amendes peuvent s'élever jusqu'à 20 millions d'euros ou 4 % des revenus annuels à l'échelle mondiale, selon le montant le plus élevé. Les amendes imposées en Colombie-Britannique et au Canada ne sont pas aussi élevées.

    Avant de conclure, j'aimerais parler d'un autre aspect. En réponse à l'arrêt Spencer de la Cour suprême, des organismes d'application de la loi ont demandé de pouvoir accéder, sans mandat, aux renseignements sur les abonnés en ligne. Un tel changement à la LPRPDE ne respecterait pas les attentes raisonnables des Canadiens. On peut déjà fournir les mandats nécessaires lorsque les circonstances l'exigent, et le contrôle judiciaire est essentiel pour que le public continue d'avoir confiance en la façon dont les renseignements personnels sont publiés ou divulgués.

    Je vous remercie infiniment, et je serais ravi de répondre à vos questions au moment opportun.

    Merci beaucoup, monsieur McArthur.

    Nous allons maintenant passer à la commissaire à l'information et à la protection de la vie privée de l'Alberta, Jill Clayton. Vous avez jusqu'à 10 minutes.

    Je vous souhaite de nouveau la bienvenue, Jill.

    Merci beaucoup.

    Je tiens à remercier le président et les membres du comité de m'avoir invitée à témoigner aujourd'hui dans le cadre de l'examen de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE. Je suis accompagnée ici de Sharon Ashmore, avocate générale, et de Kim Kreutzer Work, directrice de la Gestion du savoir au commissariat à l'information et à la protection de la vie privée de l'Alberta.

    J'ai pensé commencer par vous parler brièvement de la Personal Information Protection Act de l'Alberta, ou PIPA, puis, un peu comme Drew l'a fait dans son allocution, je formulerai de brèves observations sur les quatre sujets auxquels vous vous intéressez, je crois. Je parlerai de la pertinence de la LPRPDE par rapport aux pouvoirs d'exécution de l'Union européenne, et en particulier de ma capacité à ordonner le respect de la loi, ainsi que du consentement valable, de la protection de la vie privée et de la réputation. Je me ferai ensuite un plaisir de répondre à vos questions.

    La Personal Information Protection Act de l'Alberta, ou PIPA, est entrée en vigueur le 1^er janvier 2004. Elle établit un équilibre entre la protection de la vie privée des Albertains et le besoin qu'ont les organisations de recueillir, d'utiliser et de communiquer les renseignements personnels de leurs clients, employés et bénévoles à des fins raisonnables. La PIPA a été déclarée essentiellement similaire à la LPRPDE; c'est donc dire que, en Alberta, les entreprises et organismes privés sous réglementation provinciale sont généralement assujettis à la PIPA, et non à la LPRPDE.

    Mon rôle consiste à assurer la surveillance de l'application de la loi. Je détiens un certain nombre de pouvoirs et de responsabilités, en vertu de la loi, afin de veiller à la réalisation des objets de cette loi. Jusqu'ici, la PIPA a été soumise à deux examens par des comités formés de représentants de tous les partis de l'Assemblée législative de l'Alberta. Il s'agit d'une exigence légale prévue dans la loi.

    Le premier examen a été mené en 2006-2007 et a donné lieu à plusieurs modifications, notamment en ce qui concerne le signalement obligatoire des atteintes à la vie privée et les exigences de notification. Ces modifications sont entrées en vigueur en mai 2010. L'Alberta est ainsi devenue la première province du Canada à imposer ces exigences au secteur privé et, depuis, nous servons de modèle à de nombreuses autres provinces qui envisagent d'effectuer des modifications semblables.

    Je dois mentionner que, depuis 2010, il y a eu près de 750 signalements d'atteinte en vertu de la PIPA et que près de 600 décisions relatives à la notification ont été rendues. Jusqu'à maintenant, nous avons conclu, dans environ 56 % des cas, qu'il existait un risque réel de préjudice grave; j'ai alors exigé que l'organisation avise les personnes concernées.

    Le deuxième examen de la PIPA est plus récent: il a été mené à la fin de 2016. Lors de l'une de mes comparutions devant le comité d'examen, j'ai parlé de l'importance de tenir compte des facteurs internationaux dans le cas des modifications à la loi de l'Alberta. Je crois que ces observations peuvent aussi s'appliquer ici à l'égard du caractère adéquat de la LPRPDE par rapport à l'Union européenne.

    Lorsqu'il entrera en vigueur, le Règlement général sur la protection des données de l'Union européenne, ou RGPD, rendra les lois européennes sur la protection de la vie privée plus strictes et améliorera la protection des renseignements personnels des Européens sur le plan du consentement, de la responsabilité, des cadres de gestion de la protection des renseignements personnels, des avis d'atteinte à la vie privée et des évaluations des facteurs relatifs à la vie privée. Dans une économie mondiale à laquelle participent les entreprises canadiennes et albertaines, où les lois régissant la protection des renseignements personnels dans le secteur privé doivent être adéquates et essentiellement similaires, il faut prendre en considération l'incidence du RGPD dans toute discussion concernant les modifications à notre loi régissant la collecte, l'utilisation et la communication de renseignements personnels.

    Je ne dis pas nécessairement que la LPRPDE ou, par extension, la PIPA sera jugée inadéquate, mais bien qu'il faut tenir compte des considérations mondiales et nationales lorsqu'on envisage des modifications à apporter, afin qu'elles n'affaiblissent pas la loi et qu'elles ne soient pas déphasées. Il est important de se rappeler que bien que les exigences législatives et les règlements puissent parfois sembler lourds, ils constituent néanmoins pour le public, les entreprises et leurs partenaires de services des éléments stables et rassurants qui sont nécessaires pour attirer des clients et faciliter les affaires et la communication de renseignements.

    Sur le plan des pouvoirs d'exécution, je peux rendre des ordonnances en vertu des trois lois dont je surveille l'application: la Freedom of Information and Protection of Privacy Act du secteur public albertain, la Health Information Act du secteur de la santé, ainsi que la PIPA.

    Le pouvoir de rendre des ordonnances n'empêche pas le commissariat de régler des cas au moyen d'un processus informel de médiation plutôt que d'avoir recours au processus d'enquête officiel. D'ailleurs, dans la plupart des cas où nous recevons une demande d'examen ou une plainte, nous menons une enquête et tentons de résoudre le problème de façon informelle. Ce n'est que lorsque les conclusions et les recommandations sont rejetées que l'affaire donne lieu à une enquête officielle. En 2015-2016, environ 80 % des cas concernant la PIPA ont été réglés grâce au processus de médiation et non à une enquête, et depuis 2004, nous avons rendu 134 ordonnances en vertu de la PIPA.

    Dans la plupart des cas, les organisations se conforment aux ordonnances. Les très rares fois où elles ne le font pas, je peux déposer l'ordonnance devant la Cour du Banc de la Reine; l'ordonnance devient alors exécutoire au même titre qu'un jugement de la Cour. J'ai déposé des ordonnances à deux occasions au cours de la dernière année. Dans un cas, c'était en vertu de la Health Information Act et non de la PIPA, et dans l'autre, il s'agissait d'assurer la conformité à une décision relative à un signalement d'atteinte à la protection des renseignements personnels que j'avais rendue en vertu de la PIPA. Dans les deux cas, après avoir déposé l'ordonnance, les affaires se sont réglées avant que la Cour ne les entende. Dans ces exemples, le pouvoir de rendre des ordonnances a été extrêmement utile pour assurer la conformité.

    En ce qui a trait au consentement valable, je dirai d'abord qu'en Alberta nous considérons la PIPA comme une loi fondée sur le consentement, et en général, je pense qu'elle fonctionne bien. En obligeant les organisations à obtenir le consentement d'une personne avant de procéder à la collecte de renseignements personnels et à fournir un avis concernant le but de la collecte, on s'assure que les personnes sont en mesure de prendre des décisions éclairées et d'avoir un certain contrôle sur leurs renseignements personnels.

    Je sais toutefois que, dans certaines tribunes, on laisse entendre actuellement qu'un cadre fondé sur le consentement n'est pas toujours une solution adéquate. J'entends rarement dire qu'il faudrait complètement éliminer le consentement et l'avis, mais on semble trouver qu'en cette époque de mégadonnées, d'analytique prédictive et de systèmes d'information complexes, le consentement et l'avis ne sont peut-être pas adéquats dans tous les cas et qu'ils peuvent nuire à l'innovation et aux initiatives d'intérêt public.

    Je participe souvent à des discussions où nous tentons de définir le problème, si problème il y a, et d'envisager des solutions. Lors de ces discussions, je fais souvent référence à la Health Information Act de l'Alberta, par exemple, qui n'est pas fondée sur le consentement, mais sur un principe de cercle de soins, le concept d'utilisation acceptable prévue par la loi. Nous parlons également du code sur les renseignements personnels prévu dans la PIPA de l'Alberta, selon lequel le consentement, dans une relation employeur-employé, peut ne pas fonctionner et n'est pas requis pour recueillir certains renseignements. Nous nous tournons également vers la Health Information Act en ce qui concerne le cadre relatif à la recherche et aux comités d'éthique de la recherche. Comme Drew l'a dit plus tôt, il y a des commissaires au pays qui s'intéressent à certains projets, notamment celui de l'Information Accountability Foundation, ainsi qu'un projet d'élaboration d'un cadre d'évaluation éthique pour certaines initiatives liées aux mégadonnées.

    Quoi qu'il en soit, je crois que la solution au problème, s'il existe un problème dans ce domaine, comporterait un mélange d'options législatives, réglementaires et volontaires, et je suis assurément en faveur de discussions à ce sujet, y compris des consultations telles que l'exercice entrepris récemment par le commissaire fédéral à la protection de la vie privée.

    Enfin, je voudrais dire quelques mots au sujet de la vie privée et de la réputation. Ces derniers temps, on s'est beaucoup penché sur cette question, en particulier sur le droit à l'oubli, la question de savoir si cela existe ou non au Canada, et si oui, comment on peut l'appliquer dans le contexte actuel de mondialisation.

    J'en ai parlé dans la section portant sur les tendances et les questions d'intérêt de mon rapport annuel de 2014-2015. J'ai dit qu'il s'agissait d'un sujet auquel nous devrions porter attention au cours des prochaines années. Nous avons notamment vu des cas comme celui de la Cour de justice de l'Union européenne, en mai 2014; le cas récent mettant en cause Globe24h devant la Cour fédérale du Canada concernant des renseignements publiés sur un site Web roumain; et une décision en attente de la Cour suprême du Canada dans l'affaire Google c. Equustek Solutions. Je pense que cela montre clairement que ce sont des choses qui se passent dans la vraie vie.

    Notons que ces cas mettent en évidence des questions portant sur la compétence, les limites juridiques et la capacité d'obliger la conformité; la vie privée par rapport à la liberté d'expression; la transparence des personnalités publiques comme les politiciens; et les défis techniques et les coûts pour les entreprises internationales. Ce sont toutes là des questions complexes, mais qui ont toutes abouti dans mon bureau, puisque nous avons eu une hausse du nombre de cas liés au droit à l'oubli. Nous en avions vu environ une demi-douzaine au cours des sept ou huit années suivant l'entrée en vigueur de la loi, mais je pense que nous en avons une demi-douzaine au bureau actuellement. Ces cas concernent généralement des sites Web qui ont publié des renseignements personnels obtenus d'une autre source que la personne concernée. Il y a aussi parfois des plaintes au sujet de renseignements personnels publiés dans les décisions rendues par des organismes décisionnels.

    Puisque nous avons un certain nombre de questions en litige au bureau, en ce moment, je n'entrerai pas davantage dans les détails. Nous rendrons des décisions dans certains de ces cas. Il convient de souligner qu'auparavant ces discussions portaient sur des cas d'autres pays, d'autres contextes et des tribunaux, mais qu'elles portent maintenant sur de vraies plaintes déposées par de vraies personnes que nous voyons dans mon bureau.

    Sur ce, je serai heureuse de répondre à vos questions.

    Merci.

    Merci, madame Clayton.

    C'est maintenant au tour de Mme Chassigneux.

     Vous avez 10 minutes.

    Monsieur le président et membres du Comité, je vous remercie de l'invitation qui a été faite à la Commission d'accès à l'information du Québec de participer aux travaux permettant d'examiner la Loi fédérale sur la protection des renseignements personnels et les documents électroniques.

    Cette invitation va me permettre de vous présenter brièvement la législation applicable au Québec en matière de protection des renseignements personnels dans le secteur privé, ainsi que le rôle de la Commission et son dernier rapport quinquennal.

    Avant d'examiner la Loi sur la protection des renseignements personnels dans le secteur privé, entrée en vigueur le 1^er janvier 1994, il convient de préciser qu'en adoptant cette loi, le Québec devenait la première province canadienne et le premier gouvernement en Amérique du Nord à encadrer la protection des renseignements personnels tant dans le secteur privé que dans le secteur public, ce dernier étant soumis à la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels.

    Une fois cette précision faite, il convient de mentionner que la Loi sur la protection des renseignements personnels dans le secteur privé s'applique à toutes les entreprises qui, au Québec, exercent une activité économique à caractère commercial ou non. Elle encadre la collecte, l'utilisation, la communication, à l'intérieur et à l'extérieur de la province, ainsi que la sécurité des renseignements personnels qu'une entreprise détient. À ce titre, elle énonce un certain nombre de principes ayant trait notamment au consentement, à l'information préalable des personnes concernées ou, encore, à la nécessité pour laquelle les renseignements personnels sont collectés, utilisés ou communiqués.

    Elle régit également le droit qu'a une personne à avoir accès ou à rectifier les renseignements personnels qui la concernent et qui sont détenus par une entreprise. En cas de refus, la personne concernée peut soumettre une demande d'examen de mésentente, qui sera examinée par la section juridictionnelle de la Commission. La Loi sur la protection des renseignements personnels dans le secteur privé précise aussi les fonctions et les pouvoirs de la Commission quant aux inspections et enquêtes menées par sa section de surveillance.

    Avant de présenter le rôle de la Commission, il convient de dire que la Loi sur la protection des renseignements personnels dans le secteur privé, tout comme la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, est prépondérante sur toute autre loi applicable au Québec.

    Cela témoigne de la volonté du législateur de marquer le caractère primordial de ces lois et l'importance des droits accordés aux personnes concernées et des obligations prescrites tant aux organismes publics qu'aux entreprises en matière de protection des renseignements personnels.

    Je vais maintenant dire quelques mots au sujet de la Commission, qui a été créée en 1982.

    La Commission est composée de deux sections, soit une section juridictionnelle et une section de surveillance, dont je suis membre.

    La section juridictionnelle de la Commission agit comme tribunal administratif et décide des demandes présentées par une personne qui s'est vu refuser l'accès ou la rectification des renseignements personnels qui la concernent. Les membres affectés à la section juridictionnelle siègent généralement en audience, au cours de laquelle les parties impliquées ont l'occasion de faire valoir leurs arguments.

    Après avoir entendu les parties, la Commission peut décider de toute question de fait ou de droit et rendre toute ordonnance propre à sauvegarder les droits des parties. La décision que rend la Commission est publique. Cette décision est exécutoire 30 jours après sa réception par les parties, sous réserve d'un droit d'appel prévu à la Cour du Québec sur une question de droit ou de compétence seulement. Lorsqu'une décision devient exécutoire, elle peut être déposée à la Cour supérieure. Elle a alors la même force et le même effet que s'il s'agissait d'un jugement émanant de cette cour.

    Dans le cadre de ses fonctions de surveillance, la Commission est responsable de la promotion de l'accès aux documents et de la protection des renseignements personnels. Elle voit aussi à l'application de la législation en ces matières. Pour ce faire, elle peut réaliser des inspections et des enquêtes au sujet de situations potentiellement problématiques qui sont portées à son attention, afin de s'assurer que les organismes publics et les entreprises respectent les dispositions légales.

    La Commission peut faire des recommandations et rendre des ordonnances exécutoires au terme de ses enquêtes, qui sont faites selon un mode non contradictoire. Les ordonnances prises par la Commission peuvent, en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé, être déposées à la Cour supérieure pour homologation. Par ailleurs, si une ordonnance n'est pas respectée, la Commission peut, dans le cas des entreprises, publier un avis pour en informer le public. Elle peut aussi lancer des poursuites pénales.

    Maintenant, permettez-moi de vous présenter rapidement certains points soulevés dans le Rapport quinquennal 2016 de la Commission. En effet, la Commission doit faire rapport au gouvernement tous les cinq ans, au sujet de l'application de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels dans le secteur privé. Elle y formule des recommandations visant à améliorer la transparence gouvernementale et la protection des renseignements personnels au Québec. Ce rapport, déposé à l'Assemblée nationale, peut donner lieu à des modifications législatives.

    Dans son dernier rapport, tout comme dans le précédent, la Commission insiste notamment sur la nécessité de renforcer la protection des renseignements personnels dans les secteurs public et privé, d'autant plus que la Loi sur la protection des renseignements personnels dans le secteur privé n'a pas fait l'objet de réelles modifications depuis son adoption, il y a plus de 20 ans.

     Entre autres, elle invite le gouvernement à modifier la Loi sur la protection des renseignements personnels dans le secteur privé, afin d'inclure une obligation de responsabilité des entreprises et de prévoir la désignation d'un responsable de l'accès et de la protection des renseignements personnels. Cette modification aurait pour effet de favoriser le développement d'une culture de protection des renseignements personnels au sein des entreprises, d'assurer une meilleure transparence et de renforcer la confiance des citoyens.

    Elle invite également le législateur à actualiser les concepts inhérents à la protection des renseignements personnels dans le secteur privé. En effet, depuis quelques années, la Commission constate, notamment en raison de la multiplication des environnements électroniques, que certains concepts énoncés dans la Loi sur la protection des renseignements personnels dans le secteur privé ne correspondent plus ou s'adaptent avec une efficacité limitée aux nouveaux modèles d'affaires qui en découlent.

    Plusieurs de ces modèles, qu'ils soient gratuits ou payants, s'alimentent des renseignements personnels glanés ici et là auprès des utilisateurs ou à leur insu. Du fait de l'émergence de ces nouveaux modèles d'affaires, on entend souvent dire que les renseignements personnels sont devenus le pétrole du XXI^e siècle, qu'ils valent de l'or ou, encore, qu'ils sont le poumon de l'économie numérique.

    Ainsi, pour faire en sorte que la Loi sur la protection des renseignements personnels dans le secteur privé puisse s'appliquer pleinement à ces nouveaux modèles d'affaires et pour rétablir la confiance des utilisateurs, la Commission, dans son rapport quinquennal, invite le législateur à revoir certains concepts énoncés dans cette loi. Il en va ainsi, par exemple, de la notion de dossier, de l'obligation d'information ou du consentement.

    En ce qui concerne la notion de dossier, il convient tout d'abord de préciser que plusieurs obligations de la Loi sur la protection des renseignements personnels dans le secteur privé sont liées à cette notion. En effet, cette loi impose actuellement des obligations aux entreprises qui constituent ou qui détiennent un dossier concernant une personne physique. Or, force est de constater que de plus en plus d'entreprises recueillent, entre autres, des images, des données d'identification, d'utilisation ou de localisation, dressent des profils pour analyser les comportements des utilisateurs en vue d'améliorer les biens et les services offerts en ligne ou d'attirer leur attention à l'aide d'une publicité ciblée.

    Ces entreprises recueillent des renseignements susceptibles d'identifier une personne physique souvent à son insu et sans forcément établir une relation contractuelle. Même si ces entreprises détiennent des renseignements personnels, elles ne les conservent pas nécessairement dans un « dossier » identifié au nom d'une personne. Ainsi, même si la notion de dossier est suffisamment englobante pour pouvoir être interprétée de façon extensive et s'appliquer aux environnements électroniques, les exemples décrits précédemment font en sorte que la Commission propose que soit remplacée la notion de « dossier » par celle de « finalité de la collecte », principe à la base de plusieurs régimes de protection des renseignements personnels. Les obligations des entreprises seraient ainsi liées au motif initial de la collecte de renseignements personnels.

    En ce qui concerne l'obligation d'information de la personne concernée lors de la collecte de renseignements personnels, la Commission constate que cette obligation est l'une des moins respectées de la Loi sur la protection des renseignements personnels dans le secteur privé. Or, la protection des renseignements personnels est une responsabilité partagée. Comment le citoyen peut-il évaluer la protection qu'une entreprise accorde à ses renseignements personnels et, partant, déterminer si elle est digne de confiance, s'il n'est pas informé minimalement de la nature des renseignements qu'elle détient à son sujet et de l'utilisation qui en sera faite?

    C'est pourquoi, tout comme dans son précédent rapport, la Commission invite le législateur à modifier la Loi sur la protection des renseignements personnels dans le secteur privé, afin de préciser le moment où l'information doit être donnée à la personne concernée, d'y inclure une obligation d'informer la personne des renseignements personnels qui seront recueillis et des moyens par lesquels ils seront recueillis. La Commission insiste également sur l'importance que cette information soit claire, compréhensible et accessible, quel que soit le support utilisé pour recueillir les renseignements personnels.

    En ce qui concerne le consentement, mentionnons que celui-ci est le moteur de la protection des renseignements personnels. En principe, il permet aux utilisateurs de contrôler ce que les entreprises peuvent faire et ne pas faire de leurs renseignements personnels. En principe seulement, car la notion de consentement est de plus en plus critiquée et jugée inadaptée dans certains contextes.

    Se pose dès lors la question de savoir comment redonner au consentement son véritable sens. Comment s'assurer qu'il constitue véritablement l'expression de la volonté d'une personne quant à la gestion et à l'utilisation de ses renseignements personnels par une entreprise, lui laissant de véritables choix en cette matière, plutôt qu'un texte juridique opaque rédigé davantage pour limiter la responsabilité des entreprises en obtenant un « j'accepte » global et irrémédiable?

     Dès lors, même si la Loi sur la protection des renseignements personnels dans le secteur privé contient une disposition indiquant que le consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques et qu'il ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé, la Commission constate que la portée des critères du consentement ne semble pas bien comprise par les entreprises. Elle croit donc que des précisions quant aux obligations des entreprises à l'égard de chacun des critères du consentement devraient être incluses dans la Loi sur la protection des renseignements personnels dans le secteur privé. Elle croit également que le législateur devrait indiquer que le consentement peut être retiré en tout temps sous réserve des restrictions imposées par la Loi.

    En terminant, il convient de préciser que la Commission n'a pas la prétention de croire que ces modifications apporteront une solution à l'ensemble des questions que soulève actuellement le consentement. Elle croit que la réflexion doit se poursuivre et qu'il faut également s'intéresser à d'autres avenues. À ce titre, dans son rapport quinquennal, la Commission insiste sur l'importance de tenir compte des modifications apportées à la législation européenne en matière de protection des renseignements personnels.

    Monsieur le président, je vous remercie. Je répondrai avec plaisir à vos questions et à celles des autres membres du Comité.

    Merci, madame Chassigneux.

    Nous entamons maintenant la première série de questions.

    Nous commençons par M. Bratina, qui dispose de sept minutes. Allez-y, s'il vous plaît.

    Merci beaucoup.

    Je vous remercie tous d'avoir continué à entretenir la confusion sur cette situation très compliquée.

    Je vais d'abord poser quelques questions à M. McArthur. Quel rôle jouent les frontières provinciales ou territoriales dans la définition de la Loi sur la protection des renseignements personnels et les documents électroniques? Nous constatons que l'Europe semble avoir des règles et des sanctions plus strictes et que nous n'avons pas encore été en mesure de nous hisser à son niveau. Cela changera peut-être grâce à ces discussions. Est-ce que ce genre de règlements devraient être pris par un organe plus grand plutôt que par de nombreux organes provinciaux ou territoriaux, si nous voulons réellement garantir l'équivalence dans le monde où nous vivons?

    Tout d'abord, je tiens à dire que, même s'il est vrai que la circulation d'information ne connaît souvent pas de frontières, ce sont les renseignements personnels des citoyens qui revêtent de l'importance pour certaines administrations, qu'il s'agisse de gouvernements fédéral et provinciaux comme au Canada, de gouvernements nationaux ou de l'Union européenne, en Europe. Je pense qu'il est préférable de laisser les législateurs dans ces pays et ces territoires particuliers prendre de telles décisions.

    Je ne crois pas qu'il y a eu des difficultés à comprendre cet enjeu au Canada. En effet, en Colombie-Britannique, il est bien compris que les résidants de la province sont protégés par notre loi provinciale de protection des renseignements personnels dans le secteur privé, et nous pouvons nous pencher sur leurs préoccupations particulières tout en répondant à leurs doléances.

    Allez-y, monsieur McEvoy.

    De plus, les bureaux au Canada ayant compétence sur le secteur privé reconnaissent la nécessité de collaborer. Par exemple, lorsque des atteintes surviennent dans des entreprises actives d'un bout à l'autre du pays, le bureau fédéral et ceux de la Colombie-Britannique, de l'Alberta et du Québec travaillent ensemble de manière coordonnée. Ils agissent ainsi parce que c'est important pour nos citoyens, mais aussi parce que cela permet de présenter un front uni, pour ainsi dire, aux entreprises du secteur privé afin qu'elles sachent qu'elles n'ont pas à faire affaire avec les bureaux individuellement.

    Nous agissons également ainsi avec le secteur international, où nous coopérons de plus en plus avec les autorités de protection des données partout dans le monde pour nous attaquer au problème des atteintes à la sécurité des données. Vous avez peut-être entendu parler de la récente cyberattaque contre le site Web Ashley Madison, dans le cadre de laquelle le Commissariat de la protection à la vie privée du Canada a travaillé avec les autorités des États-Unis, de l'Australie et d'autres pays. Nous avons nous aussi participé à cette initiative. Il y a un niveau de collaboration accru entre les bureaux des commissaires à la protection des données du Canada et de l'étranger.

    Monsieur McArthur, vous avez parlé de médiation. Je serais très intéressé d'entendre un exemple de médiation. Je ne vous demande pas de me fournir des détails. Pourriez-vous simplement me donner une idée générale de la façon dont un tel processus fonctionnerait?

    Essentiellement, toutes les plaintes du secteur privé que notre bureau reçoit sont soumises à un processus de médiation. Dans le cadre de ce processus, on examine les intérêts des parties, et on établit un juste équilibre entre les droits des particuliers et les obligations des organisations. La médiation consiste à traiter une plainte et à trouver une solution qui tient compte des intérêts des deux parties. Puisqu'elles savent que nous possédons le pouvoir de rendre des ordonnances, les organisations ont certes plus envie de collaborer avec nous de façon créative et efficace.

    Madame Clayton, je souhaite vous poser une question sur les 750 signalements d’atteinte à la protection des données en Alberta. Cela semble énorme. Est-ce que votre bureau est capable de tous les traiter?

    Le nombre continue d'augmenter. Chaque année, nous recevons davantage de signalements aux termes de la PIPA. Nous avons réussi à les traiter jusqu'à présent. Je dois dire que j'éprouve une certaine inquiétude. On s'attend à ce que le signalement des atteintes devienne obligatoire dans le secteur de la santé en Alberta dans un avenir relativement proche. Cela grèvera probablement les ressources de mon bureau.

    Je dirai peut-être quelques mots sur la structure des obligations relatives au signalement des atteintes en Alberta parce qu'elles sont assez uniques en leur genre, du moins au Canada. Bien qu'il existe des similarités avec ce qui est proposé pour la LPRPDE en vertu de la Loi sur la protection des renseignements personnels numériques, il y aussi des différences.

    En Alberta, le seuil requis pour signaler un problème à mon bureau pourrait présenter un risque réel de préjudice grave. C'est le même seuil que celui prévu dans la LPRPDE. Toutefois, le cadre en vigueur en Alberta me permet d'obliger une organisation à aviser les personnes concernées. La loi albertaine n'exige pas que les organisations du secteur privé les avisent immédiatement, mais plutôt qu'elles m'informent du problème. S'il existe un risque réel de préjudice grave, à savoir si une personne raisonnable pense que le seuil a été atteint, le fait de ne pas m'en informer constitue une infraction.

    Lorsque nous recevons des signalements, je joue un rôle actif dans leur examen. En tout, 750 signalements ont été donnés en presque six ans. J'examine l'évaluation des préjudices et la probabilité que des préjudices découleront de l'incident, puis je rends une décision sur chaque signalement.

    Devrions-nous harmoniser nos règlements avec ceux de l'Europe? Il semble qu'il s'agisse de la norme de référence.

    Qu'en pensez-vous, madame Clayton?

    Je pense qu'il est très important d'être conscient de ce qui se passe en Europe. Comme je l'ai mentionné, j'ai dit au comité en Alberta examinant notre Personal Information Protection Act que j'étais très satisfaite de l'obligation de signaler les atteintes. Il semble que cette obligation sera également prévue dans le Règlement général sur la protection des données lorsque celui-ci entrera en vigueur, et je pense que nous avons une longueur d'avance en la matière.

    Je crois donc effectivement que c'est une chose dont nous devons être conscients. Nous devons assurément songer à renforcer nos lois. M. McAthur a affirmé que l'information ne connaît pas de frontière et qu'elle circule partout dans le monde. Une approche hétéroclite ne donne pas de bons résultats. Vous ne valez que ce que vaut votre maillon le plus faible ou votre cours le plus bas.

    Merci beaucoup.

    Merci beaucoup, monsieur Bratina.

    Nous passons maintenant à M. Jeneroux. Allez-y, s'il vous plaît.

    Je vous remercie tous d'être ici virtuellement.

    Madame Clayton, je suis heureux de vous voir de nouveau parmi les témoins. Je vais commencer par vous parce que vous venez de ma ville préférée, Edmonton.

    Vous avez parlé brièvement du droit à l'oubli. Pourriez-vous nous dire d'abord pourquoi, selon vous, ce sujet a fait l'objet d'une attention accrue récemment, et nous expliquer comment vous prévoyez trouver un juste équilibre? Il est fascinant de constater que les opinions des gens sur le droit à l'oubli divergent probablement grandement. J'aimerais que vous me parliez de certaines des opinions sur cette question.

    Comme je l'ai dit, madame Clayton, je commencerai par vous, puis je ferai le tour, si cela ne vous dérange pas.

    Je crois que l'explosion ou la prolifération des technologies et des médias sociaux est en partie responsable de l'intérêt à cet égard. On ne peut pas lire les journaux sans qu'il soit question de sextage, de cyberintimidation ou de la publication de renseignements qui ne disparaîtront jamais complètement. Je pense que, de manière générale, Internet, les sites de médias sociaux et l'énorme quantité d'information disponible contribuent à sensibiliser le public.

    Bien sûr, cette sensibilisation accrue a donné lieu à l'augmentation du nombre de certains sites Web en particulier. Dans notre bureau, nous avons vu des sites Web où des personnes peuvent publier des renseignements pas nécessairement exacts sur leur ex-petit ami ou ex-petite amie. Les personnes visées par de tels actes craignent que cette information soit sur Internet indéfiniment et qu'elles ne puissent jamais la faire disparaître. Elles craignent que cela nuise à leur capacité d'occuper ou d'obtenir un emploi. Je pense donc que les conséquences peuvent être réelles.

    Où se trouve l'équilibre? J'ai mentionné dans ma déclaration préliminaire certaines des préoccupations relatives à la vie privée et à la liberté d'expression. La Cour suprême a été saisie d'une affaire portant sur l'équilibre entre la vie privée et la liberté d'expression aux termes de la PIPA, la loi albertaine. La Cour s'est prononcée en faveur de la liberté d'expression en ce qui a trait aux renseignements politiques pouvant être publiés par un syndicat. Je pense que les conversations, les technologies et l'utilisation de médias sociaux font avancer les discussions sur ce sujet. Je crois donc que nous devrons aborder et examiner ces questions. Les décisions judiciaires contribuent aussi à faire progresser la discussion.

    Quant à la façon de trouver un juste équilibre, je crois que les responsables de la réglementation, moi y compris, et ceux d'entre nous comparaissant devant vous, à titre de commissaires à l'information et à la vie privée, doivent jouer un rôle déterminant à cet égard. En vertu des lois sur la liberté d'information, c'est-à-dire des lois sur l'accès à l'information et la protection de la vie privée, nous tentons souvent de trouver l'équilibre entre le respect de la vie privée, l'intérêt public et le droit d'accès à l'information.

    Il y a souvent des tensions qui doivent être réglées. En tant que responsables de la réglementation sur la protection de la vie privée et l'accès à l'information, je pense que nous possédons une certaine expérience en la matière. Je n'entends pas souvent cet argument dans le cadre des discussions sur le droit à l'oubli. On parle plus souvent du risque de contestations fondées sur la Charte et sur la façon dont les tribunaux trancheront les questions. Cependant, je crois que les commissaires à l'information et à la vie privée peuvent aussi avoir un rôle à jouer.

    Est-ce que cela répond à votre question?

    Oui, c'est bien.

    Avant de passer à un autre témoin, est-ce que je pourrais demander rapidement à Mme Clayton si elle croit que le commissaire à la protection de la vie privée devrait avoir des pouvoirs d'exécution?

    Tout à fait. Les pouvoirs d'exécution [Difficultés techniques] peu fréquemment. Comme je l'ai mentionné, près de 90 % des cas qui sont soumis à notre bureau sont réglés de façon informelle. Nous formulons des recommandations, l'organisation accepte d'y donner suite, et le problème est réglé. Le plaignant est satisfait, et l'affaire est classée. Un petit pourcentage de cas passent par un processus d'enquête, ce qui donne lieu au prononcé d'une ordonnance exécutoire. Il s'agit là d'un infime pourcentage. Je pense que, une seule fois en 10 ans, nous avons déposé une requête en cour, mais nous avons réglé l'affaire avant que le tribunal en soit saisi. C'est un outil utile, mais uniquement en dernier recours.

    Monsieur McArthur, vous n'avez pas vraiment parlé du droit à l'oubli. Avez-vous une idée de la façon d'établir un juste équilibre?

    Oui, merci.

    Je souhaite aborder quelques points très importants concernant le droit à l'oubli. Depuis l'arrêt de la cour européenne concernant Google en Espagne, le droit à l'oubli est un droit de déréférencement. En effet, le lien vers les résultats de la recherche disparaît, mais les pages continuent à exister. Dans le RGPD de l'Union européenne, le droit à la suppression va au-delà du déréférencement et de la mise en place de limites sur les résultats des recherches. La différence entre ces deux scénarios, l'un dans le cadre duquel les renseignements personnels d'une personne en particulier peuvent être effacés et l'autre dans le cadre duquel les renseignements personnels ne peuvent simplement pas être affichés par les moteurs de recherche, n'est pas légère. Elle ne peut pas s'expliquer uniquement par une différence d'interprétation du droit à l'oubli. Il faut que nous y songions sérieusement dans le cadre de l'étude de projets de loi.

    Cynthia?

     Au Québec, une autre loi touchant le secteur privé prévoit la possibilité de faire corriger ou de faire supprimer des renseignements qui seraient inexacts, incomplets ou équivoques. D'ailleurs, une demande de rectification provenant d'un particulier a été déposée à la Commission d'accès à l'information. Cette demande a été examinée par la section juridictionnelle, mais pas par ma section, à savoir la section de surveillance. Donc, ce n'était pas une plainte.

    Cette personne avait demandé qu'on supprime ses renseignements personnels sur le site de l'entreprise pour laquelle elle avait travaillé. L'entreprise avait dit que les renseignements avaient été effacés après le licenciement de cette personne. Cette dernière a trouvé que cela n'avait pas été fait et qu'il était toujours possible de la trouver si on faisait une recherche avec un moteur de recherche. La preuve a démontré que les renseignements la concernant venaient d'un site Web qui s'appelle Wayback Machine, qui permet aux gens de faire des saisies d'écran d'un site à une période donnée. Donc, ce n'était pas l'entreprise qui était responsable. L'entreprise avait effacé de sa base de données tous les renseignements qu'elle avait sur cette personne.

    On a considéré que, et je cite: « le droit d'une personne de faire rectifier dans un dossier qui la concerne des renseignements inexacts, incomplets ou équivoques n'est pas de l'ordre du "droit à l'oubli" qui vise à effacer des informations des espaces publics. »

    Oui, une décision a été rendue par la section juridictionnelle, mais à ma connaissance, on n'a pas encore déposé de plainte à la section de surveillance de la Commission. Nous suivons cela de près, compte tenu de ce qui s'est passé en Europe et des différentes décisions qui peuvent avoir été prises, afin de voir comment le règlement européen pourrait s'arrimer à celui du Québec.

    Merci beaucoup.

    Nous passons maintenant à Mme Trudel, qui dispose de sept minutes.

    Bienvenue au comité.

    Merci, monsieur le président.

    Je remercie beaucoup les témoins de leurs présentations.

    Comme le disait mon collègue M. Bratina, c'est un dossier très complexe. Comme je suis nouvelle à ce comité, vous me pardonnerez si je n'ai pas les termes exacts.

    Mes questions vont s'adresser à vous, madame Chassigneux. Je viens du Québec et je suis heureuse de vous parler d'Ottawa.

    Quand vous avez parlé de consentement et du mot « j'accepte », des images ont surgi dans ma tête. Hier, j'étais justement sur un site et il n'y avait pas moyen d'y accéder si je n'acceptais pas de donner mon consentement. Je vais vous poser des questions sur cet aspect, mais avant, j'aimerais connaître votre opinion sur un autre point.

    Dans votre exposé, vous avez dit que la législation européenne avait emprunté d'autres avenues et vous avez terminé là-dessus. J'aimerais vous entendre parler de ces autres avenues. Que devrait-on faire pour se faciliter la vie et pour que la législation au Canada ressemble à la législation européenne?

    Dans mon allocution, quand j'ai parlé d'autres avenues, je faisais aussi allusion au document sur le consentement du commissariat fédéral et celui qui a été remis aux membres du Comité. Ces documents présentent les différentes avenues possibles.

     L'automne dernier, une consultation a été faite par le commissariat fédéral. Les autres avenues envisagées ont trait à la question de savoir si on devrait aller vers des zones interdites où il ne serait pas possible de collecter des renseignements personnels et si on devrait avoir des politiques de confidentialité beaucoup plus détaillées. D'ailleurs, dans son rapport quinquennal de 2011, la Commission d'accès à l'information recommandait déjà aux législateurs d'établir des politiques de confidentialité détaillées.

    Autrement dit, il y aurait une politique générale assez détaillée et une politique simplifiée. C'est ce qu'on appelle des politiques multistrates. Ces politiques simplifiées sont adaptables à chaque outil de communication, que ce soit le téléphone cellulaire, la tablette ou l'ordinateur. Cela pourrait même être des icônes ou des pictogrammes permettant de voir que le consentement demandé concerne des personnes de moins de 13 ans ou des parents. Ce serait quelque chose de très visuel.

    Comme vous l'avez dit, sur certains sites, si on ne clique pas partout ou si on ne remplit pas toutes les cases, on ne peut pas y avoir accès. Est-ce que, pour accorder une simple adresse de courriel, on a besoin de connaître la localisation de la personne et de recueillir toutes sortes d'informations? Cela m'est arrivé en fin de semaine. Je ne dénoncerai pas le site, mais on ne peut pas s'inscrire sur ce site si on ne remplit pas toute une page contenant au moins 10 questions.

    Dans un tel cas, notre consentement est-il vraiment libre et éclairé? Ce sont des questions qu'il faut se poser. Poser la question, c'est y répondre indirectement.

     Je vous remercie. J'apprécie beaucoup ce que vous dites. Nous n'avons peut-être pas consulté le même site, mais la même chose m'est arrivée.

    Je trouve que la question du consentement devrait vraiment être mieux encadrée. En effet, nous n'avons ni la liberté d'accéder à ces sites, ni celle de refuser de divulguer nos renseignements personnels.

    Je vais revenir au modèle de consentement, étant donné que c'est vraiment cet aspect qui me pose problème sur un plan personnel de même que dans l'étude.

    Que pourrait-on faire?

     Vous avez parlé plus tôt d'une personne et du droit d'être oublié. C'est un autre site qui avait capté les images de cette personne. Pour moi, et sans doute pour plusieurs autres, Internet est vraiment vaste. Cela couvre des kilomètres et des kilomètres.

    Ma question est vraiment limitée, mais j'aimerais savoir quelles mesures pourraient être prises pour empêcher que de tels incidents se produisent après qu'une personne a fourni ses renseignements personnels et qu'elle en a accepté la divulgation.

     Pourrait-on mettre en oeuvre des processus plus stricts pour empêcher ce genre de situation, incluant celle que vous avez mentionnée plus tôt?

    Certains pensent que les sites devraient avoir l'obligation de paramétrer les préférences. Quand nous entrons dans un site, nous pouvons accepter que nos renseignements soient communiqués à telle ou telle fin. Il arrive cependant que, par la suite, le site change son modèle d'affaires ou sa façon de faire. Par conséquent, le paramétrage de nos préférences peut être modifié. Or, dans de telles situations, le site devrait normalement nous prévenir que la politique de confidentialité ou les préférences ont été changées. Quand un site change son modèle d'affaires, les préférences que les citoyens ont indiquées sur le site devraient être maintenues. Cette responsabilité incombe aux entreprises. C'est un fait.

    Par contre, comme je le disais plus tôt, le consentement est une responsabilité partagée. Il ne faut pas tout mettre sur les épaules du citoyen. Ce n'est pas ce dernier qui doit s'assurer que les politiques de confidentialité sont adéquates. Un citoyen ou une entreprise du Québec peut lire la politique, mais nous savons tous qu'en général, nous ne disposons pas forcément du temps et de l'énergie nécessaires pour lire les politiques de confidentialité. Des études ont même déterminé combien de temps serait nécessaire pour lire toutes les politiques de confidentialité des sites que nous visitons chaque jour.

    Il s'agirait de faire en sorte que nos préférences soient maintenues si un site change son modèle d'affaires. C'est à nous, par la suite, de vérifier de temps en temps si nos préférences sont toujours les mêmes. C'est une responsabilité partagée, un équilibre à trouver entre les deux. C'est une solution. Il n'y en a pas d'autres qui me vienne à l'esprit pour le moment. Si vous le voulez, je pourrai fournir ultérieurement plus d'informations au Comité à ce sujet.

    Merci beaucoup.

    Merci beaucoup.

    Nous allons passer au dernier tour de sept minutes.

    Monsieur Saini, vous avez sept minutes.

    Merci beaucoup à tous d'être ici.

    Je souhaite aborder certains points soulevés par M. Bratina pour obtenir des précisions.

    Nous savons que le RGPD entrera en vigueur en 2018. Nous venons de signer l'Accord commercial et économique global entre le Canada et l'Union européenne. Nous sommes donc bien conscients du fait que les gens d'affaires du Canada souhaitent que nous respections le RGPD. Si les États-Unis souhaitent faire du commerce avec l'Union européenne, ils auront également à se conformer à ce régime.

    Ma supposition est-elle juste?

    Posez-vous la question à...

    Oui, juste une série de questions...

    Si nous devons nous conformer aux normes du RGPD, je suppose que les États-Unis aussi.

    Il y a quatre régimes de protection des renseignements personnels au Canada. Il y a la LPRPDE, et les lois sur la protection des renseignements personnels de l'Alberta, de la Colombie-Britannique et du Québec, qui se ressemblent beaucoup. À l'échelle nationale, si nous souhaitons à la fois réduire les barrières commerciales interprovinciales et amener les gens d'affaires du Canada à respecter les normes européennes, ne serait-il pas... En ce moment même, il y a des différences entre ce qui se fait en Alberta et en Colombie-Britannique. Les deux provinces permettent trois types de consentements. La loi albertaine a une disposition relative à l'atteinte à la vie privée, mais ce n'est pas le cas de la Colombie-Britannique ou du Québec. Au bout du compte, si nous allons nous conformer aux normes du RGPD afin de poursuivre nos échanges commerciaux, l'ensemble des provinces ne devront-elles pas adopter des lois similaires? De plus, si les États-Unis se conforment à ces normes, ne serait-il pas mieux de créer un régime unique de protection des renseignements personnels pour l'ensemble du pays?

    Puis-je faire une observation au sujet du régime des États-Unis?

    Je crois que les États-Unis sont confrontés à de nombreux défis. En effet, ils ont adopté un mécanisme, décrit à l'origine comme étant un havre sûr, qui est en fait un système presque d'autocertification pour les entreprises américaines qui font affaire en Europe. Ce système a fait l'objet de contestations devant les tribunaux européens, qui ont jugé qu'il était contraire à la loi européenne. Puis, ils ont mis en place un bouclier de confidentialité, et je crois comprendre que ce système-là est également contesté.

    Les États-Unis ont une approche à la protection de la vie privée axée sur des mesures disparates et souvent sectorielles. Il pourrait y avoir une loi sur la protection de la vie privée des enfants de même qu'une loi sur les pratiques commerciales déloyales appliquée par la Federal Trade Commission. Dans ce domaine, l'approche des Américains n'est pas uniforme ou normalisée.

    En toute honnêteté, cela pourrait donner un avantage concurrentiel au Canada dans ses relations commerciales avec l’Europe.

    Je ne veux pas trop insister sur les différences qui existent au sein même du Canada. Il est important de souligner qu'il y a des ressemblances entre les dispositions concernant le consentement. Je pense que nous serions tous d’accord pour dire que nous devrons tous nous conformer aux mêmes normes en ce qui concerne le signalement des atteintes à la protection des renseignements personnels. Heureusement, il y a un certain degré d’uniformité au pays et, comme nous l’avons dit plus tôt, il y a une collaboration entre nos bureaux partout au pays.

    J'ajouterais aussi ce qui suit pour appuyer ce qu'a dit Michael.

    Il ne faut pas oublier que les lois d’Alberta et de Colombie-Britannique ont été rédigées presque au même moment en employant pratiquement le même libellé. Elles sont donc très similaires. Il a été dit qu'elles ressemblent beaucoup à la LPRPDE — la loi québécoise aussi.

    Oui, il est arrivé que certaines provinces aillent de l’avant avec... Nous parlons des lois « conçues en Alberta ». C’est comme cela que le Parlement du début des années 2000 souhaitait que les choses fonctionnent. L’idée était que les lois conçues en Alberta pouvaient mieux répondre aux défis auxquels étaient confrontées les petites et moyennes entreprises. À vrai dire, il y avait beaucoup d'appui à l'époque pour l’application locale de la loi et pour la mise en place d'un commissaire ayant le pouvoir de rendre des ordonnances.

    Cela dit, nous avons été témoins des efforts déployés pour que toutes les administrations respectent les mêmes normes. Des examens ont eu lieu à l’échelle provinciale et à l’échelle fédérale et je suis convaincue que nous nous dirigeons tous dans la même direction, même si nous n’arriverons pas tous à destination au même moment.

    J’aimerais également revenir sur un des commentaires de Michael. Il a dit qu'il y avait de la collaboration partout au pays en ce qui concerne les lois sur la protection des renseignements personnels applicables au secteur privé. En tant que responsables de la réglementation, nous nous réunissons, discutons et déployons des efforts et beaucoup d’énergie afin de veiller à ce que tout se fasse avec cohérence et de façon uniforme, en évitant de créer des obstacles là où il n’y en a pas. Il y a des différences entre les lois, mais, de façon générale, elles sont assez similaires.

    J'aimerais revenir sur le point que vous avez soulevé concernant les enfants et leur vie privée. Aux États-Unis, la Federal Trade Commission gère la protection de la vie privée des enfants âgés de moins de 13 ans. Une fois que le RGPD sera entré en vigueur, l'âge passera à 16 ans. Je ne sais pas si nous avons fixé l'âge des enfants considérés comme mineurs dans la LPRPDE, mais nous savons que les sites Web américains, surtout les sites Web pour enfants, sont plus contrôlés que les sites Web pour adultes.

    Devrait-il être interdit de récolter et de traiter des données sur certains sites Web pour enfants? En ce moment, en vertu de la Federal Trade Commission, tout enfant de moins de 13 ans doit avoir l'approbation d'un parent pour consulter certains sites Web. Les enfants âgés de plus de 13 ans peuvent s'en passer. Devrait-on établir une zone interdite pour certains sites Web pour enfants afin d'éviter que leurs renseignements personnels soient récoltés et pour empêcher toute atteinte à la vie privée?

    Je vais essayer de répondre à cette question.

    L'âge n'est pas un facteur déterminant en matière de récolte, d'utilisation ou de divulgation de renseignements personnels aux termes de la LPRPDE. Les citoyens de tous les âges sont protégés en vertu de la LPRPDE.

    Aux termes de la loi de la Colombie-Britannique, un mineur qui est capable d'exercer ses droits peut le faire légalement. Si l'enfant n'en est pas capable, une personne agissant dans l'intérêt de l'enfant peut intervenir à sa place. Ainsi, les enfants sont déjà protégés en vertu de la loi de la Colombie-Britannique. De plus, les renseignements personnels de tous les citoyens, peu importe leur âge, sont protégés en vertu de la LPRPDE.

     Nous sommes maintenant rendus à la fin de notre tour de table de sept minutes.

     Passons maintenant aux périodes de cinq minutes en commençant par M. Kelly.

    Merci, monsieur le président.

    Madame la commissaire, vous avez parlé au début de votre intervention du fait que nous tentions de cerner les améliorations possibles et les lacunes, s'il y en a, dans le dossier à l'étude. Quelles lacunes avez-vous relevées dans la LPRPDE, ou dans votre propre loi, soit la PIPA?

    Je suis heureuse de répondre à cette question. Je souhaite préciser que je parlais fort probablement des améliorations possibles en matière de consentement. Votre question porte-t-elle précisément sur les limites des modalités du consentement?

    Non.

    Porte-t-elle sur les limites de la loi en général?

    Elle porte sur les limites de la loi en général.

    Je parlerai tout d'abord de la loi albertaine. J'ai récemment présenté une soumission dans le cadre du deuxième examen de la PIPA prévu par la loi, qui s'est terminé à la fin de l'année dernière. La soumission que j'ai présentée comprenait 10 recommandations visant le renforcement de la loi. J'ai affirmé que je pensais que la PIPA fonctionnait bien. C'est une loi solide. Je le répète, la solution des lois conçues en Alberta était censée répondre plus adéquatement aux besoins des petits organismes. Selon la rétroaction que j’ai obtenue des petites et moyennes entreprises, l’application de la loi se fait bien.

    Nous avons obtenu très peu de recommandations. Certaines des recommandations que nous avons reçues ne s’appliquaient pas au contexte fédéral. J’ai eu à élargir la portée de la loi albertaine pour y inclure les organismes sans but lucratif, par exemple. C’était déjà le cas en Colombie-Britannique, mais pas en Alberta.

    Il n'y a donc aucune lacune flagrante qui nécessite des mesures immédiates?

    Je pense qu'il y en a. C'est cela qui me préoccupe.

    L'une des choses dont nous avons parlé — et ce fut une des recommandations que j'ai faites en vue de modifier la loi provinciale — était d'obliger les organismes à mettre sur pied un programme de gestion de la protection de la vie privée. C'est d'ailleurs ce que l'on s'attend à voir quand le RGPD entrera en vigueur. Les commissaires à la protection de la vie privée du Canada, de l'Alberta et de la Colombie-Britannique se sont réunis en 2012 pour élaborer un document d'orientation intitulé « Un programme de gestion de la protection de la vie privée: la clé de la responsabilité ». Les lignes directrices contiennent des éléments de base utiles dont les organismes doivent tenir compte au moment de mettre sur pied leur programme de gestion des renseignements personnels. Il y est écrit qu'avant de s'attarder à la vérification du respect des renseignements personnels, il faut que les éléments de base énumérés dans le document soient en place. Nous avons tous été d'accord là-dessus.

    Cette recommandation n'est-elle pas un peu trop lourde pour les très petites entreprises, surtout les organismes et les entreprises qui ne font pas affaire sur Internet? Le club de curling local doit-il avoir un agent chargé de la protection de la vie privée, une politique de protection de la vie privée écrite et un cadre de gestion de la protection des renseignements personnels afin que des gens puissent y jouer au curling?

    Je pense que quelqu'un devrait être responsable de la protection des renseignements personnels, et c'est déjà prévu par la loi. Les organisations doivent avoir des politiques, mais les politiques ne doivent pas nécessairement être écrites, selon la PIPA de l'Alberta. Je ne sais pas si l'obligation est la même dans la LPRPDE ou la PIPA de la Colombie-Britannique. À mon avis, toute exigence prévue par la loi d'avoir un programme de gestion de la protection de la vie privée doit permettre d'adapter ce programme à l'organisation. Je ne suis pas convaincue que les petites organisations ne devraient pas se préoccuper de la protection des renseignements personnels, car une très petite organisation comptant seulement deux employés pourrait collecter, par exemple, des renseignements sur les cartes de crédit. En tant que consommatrice, je tiens à savoir que si je donne mon numéro de carte de crédit à cette très petite organisation, elle est obligée de protéger mes renseignements. Je pense que c'est adaptable.

    Merci beaucoup, monsieur Kelly. Vos cinq minutes sont écoulées.

    Monsieur Erskine-Smith, vous avez cinq minutes.

    Merci beaucoup.

    J'aimerais parler d'abord des pouvoirs d'exécution. Il existe plusieurs modèles, notamment le pouvoir de rendre des ordonnances, le pouvoir d'imposer des amendes ou des sanctions administratives pécuniaires, ou encore une combinaison des deux.

    Un témoin nous a dit récemment que l'Union européenne conférait le pouvoir d'imposer des amendes considérables. Je pense qu'elles peuvent atteindre 4 % des revenus de l'entreprise.

    D'après vous, devrions-nous donner au Commissariat à la protection de la vie privée le pouvoir d'imposer de telles sanctions administratives pécuniaires? Serait-ce une bonne idée?

    La loi de la Colombie-Britannique prévoit des amendes, mais cette disposition n'a jamais été appliquée.

    En ce qui concerne la conformité au RGPD et la protection adéquate par rapport au règlement, selon moi, le Canada et les provinces devront examiner les montants de leurs amendes et les harmoniser avec ceux prévus par le RGPD pour que la protection soit considérée comme adéquate.

    Au sujet de la transparence, le commissaire à la protection de la vie privée précédent a proposé d'imposer des obligations en matière de rapports publics. En vertu de la LPRPDE, les organismes d'application de la loi et les institutions peuvent obtenir des renseignements personnels auprès d'entreprises sans consentement et sans mandat pour une variété de raisons. Le commissaire précédent a recommandé d'informer le public de la fréquence à laquelle cela se produit. Trouvez-vous cela juste?

    Vous opposez-vous à cette idée? C'est peut-être une meilleure façon de formuler la question.

    Je trouve important que le public soit informé de la fréquence à laquelle les organismes d'application de la loi s'adressent à certaines organisations, et à quels moments. Aujourd'hui, des organisations publient volontairement des rapports de transparence dans lesquels elles indiquent combien de fois elles ont été sollicitées.

    Dans certaines circonstances, on peut interdire à une organisation de publier de tels rapports, et les lois actuelles le reconnaissent. L'organisation n'a peut-être pas le droit de divulguer le fait qu'un organisme de sécurité nationale ou d'application de la loi s'est adressé à elle, mais en règle générale, je trouve important que les Canadiens soient informés de la fréquence à laquelle leurs renseignements personnels sont demandés légalement.

    Ainsi, vous êtes pour l'ouverture par défaut, sous réserve de la sécurité nationale ou d'autres questions prépondérantes d'intérêt public?

    C'est exact.

    Toujours par rapport à la responsabilité, le commissaire à la protection de la vie privée précédent a parlé d'ententes exécutoires. Lorsque le CPVP procéderait à un audit et donnerait des recommandations en matière de conformité à des organisations, on conclurait des ententes exécutoires. Il a également recommandé que les principes relatifs à la responsabilité prévus par la loi, à l'article 4.1 de l'annexe 1, puissent faire l'objet d'une révision par un tribunal fédéral.

    Je ne sais pas si vos trois bureaux ont un avis à ce sujet. Vous opposeriez-vous à ces recommandations?

    Je ne m'y opposerais pas, mais je pense qu'il faudrait les considérer relativement à l'ensemble des pouvoirs d'exécution. Par exemple, je n'ai pas témoigné devant le comité qui a examiné la PIPA pour parler du besoin d'avoir le pouvoir de conclure des ententes exécutoires parce que j'ai le pouvoir de rendre des ordonnances.

    Si vous considérez quelque chose comme le pouvoir de rendre des ordonnances, les ententes exécutoires ne seraient peut-être pas...

    C'est logique.

    Le comité a reçu le commissaire il y a quelques jours. Il a dit qu'il faudrait peut-être remplacer le modèle de consentement qui se trouve dans la LPRPDE. J'ai trouvé cela étrange, en partie parce que je croyais comprendre que le modèle de consentement de la LPRPDE était très flexible et adaptable à l'évolution des différentes technologies. Devrions-nous songer à remplacer le consentement?

    Dans le cas de la loi de la Colombie-Britannique, j'ai déjà affirmé que nous n'avons pas eu de difficultés. Toutefois, la technologie va dans une certaine direction sur le plan des données massives; on parle beaucoup des analyses auxquelles on peut soumettre des données n'ayant pas été collectées à une fin que ces analyses pourraient faire ressortir.

    Le défi actuel concerne la possibilité pour les organisations d'innover avec les données auxquelles elles ont accès dans le contexte du consentement, sans nécessairement comprendre ce que l'analyse pourrait dévoiler.

    La technologie augmente les possibilités. Au bout du compte, nous sommes d'avis qu'il faut de la protection. Les gens doivent savoir que leurs renseignements seront analysés. Si les données sont rendues anonymes, il faut prévoir des mesures de protection qui empêchent de renverser l'anonymisation.

    Mon temps de parole est écoulé, mais si vos bureaux ont des modèles différents susceptibles de remplacer le consentement que le comité devrait examiner, je vous demanderais de nous envoyer vos idées par écrit.

    Merci beaucoup.

    Merci beaucoup.

    Je donne maintenant la parole à M. Jeneroux. Vous avez cinq minutes.

    Excellent. Merci encore, monsieur le président.

    Vos bureaux s'intéressent aux entreprises et aux relations que les gens ont avec elles. J'aimerais savoir si vous pouvez nous fournir des indicateurs de rendement, des mesures de satisfaction ou de l'information issue de vos consultations publiques qui appuient ou réfutent vos observations.

    Mme Clayton d'abord, encore une fois.

    Cela dépend des sujets par rapport auxquels vous cherchez des indicateurs de rendement. Nous avons réalisé une enquête auprès de la population générale en 2015 pour savoir ce que les particuliers pensent de la protection de la vie privée. Nous leur avons demandé s'ils trouvaient cela important, s'ils sentaient que leurs données étaient protégées, s'ils connaissaient notre bureau et s'ils trouvaient le dossier important. Les résultats se trouvent sur notre site Web.

    Nous avons également mené une enquête auprès des intervenants que nous surveillons dans les trois secteurs. Nous leur avons posé des questions concernant leurs programmes de gestion de la protection de la vie privée. Offrent-ils de la formation? Ont-ils des politiques écrites? Ont-ils des mécanismes de présentation de rapports d'incidents? Procèdent-ils à des évaluations des facteurs relatifs à la vie privée? Nous avons posé maintes questions de ce genre et d'autres, notamment sur nos propres démarches.

    Ces documents et ces rapports se trouvent sur notre site Web. Le plan est d'avoir un intervalle de cinq ans; nous mènerons donc une autre enquête probablement l'année prochaine pour voir s'il y a eu des changements.

    D'accord.

    Monsieur McArthur.

    Tout d'abord, nous publions — comme d'autres commissariats — des rapports annuels sur la façon dont la loi est exécutée et sur nos activités d'exécution de la loi. Nous venons d'effectuer notre premier sondage de sensibilisation pour évaluer la connaissance que les gens ont des fonctions de notre bureau et de leurs droits à la protection de la vie privée, tant par rapport au secteur public qu'au secteur privé.

    Nous n'avons pas de données à ajouter qui indiquent si les gens sont satisfaits ou non du rendement des entreprises à cet égard.

    Pardonnez-moi, je veux juste que ce soit clair: est-ce que cela concerne non seulement les particuliers, mais aussi les entreprises? Vous demandez, comme Mme Clayton l'a dit, aux intéressés habituels...

    Nous avons mené notre sondage de sensibilisation auprès d'environ 1 000 citoyens. Il portait principalement sur leur connaissance de nos fonctions et de leurs droits. Il ne contenait pas de questions sur des entreprises précises et on n'y demandait pas s'ils étaient à l'aise avec les pratiques des entreprises.

    D'accord.

    Madame Chassigneux.

     Au Québec, c'est la même chose. Nous publions aussi des rapports annuels qui font état du nombre de dossiers, du nombre de plaintes déposées à la Commission d'accès à l'information et de celles qui ont été réglées.

    Je ne pense pas qu'une enquête de satisfaction ait été faite récemment. Il y en a peut-être déjà eu une, mais il faudrait vraiment que je vérifie. Cela va faire six ans que je suis à la Commission d'accès à l'information et je n'ai pas souvenir qu'on ait fait une telle enquête de satisfaction auprès des particuliers, des entreprises ou des organismes publics. Je sais qu'on fait des campagnes de sensibilisation pour informer les particuliers, les entreprises et les organismes publics de l'existence de la Commission et de son rôle.

    Pour l'instant, je ne saurais répondre à cela, mais je pourrais vérifier et transmettre l'information au Comité.

    Je vous en prie.

    Vous n'avez donc rien, madame Chassigneux, qui indique que les entreprises sont satisfaites ou qu'il y a trop d'exigences?

    Il y a eu des orientations gouvernementales fin 2015 ou début 2016. Il y a eu une commission parlementaire et des personnes ont présenté des mémoires. Les seuls chiffres qui me viennent en tête ne concernent pas forcément les délais. Les plaintes pourraient porter davantage sur les délais de traitement des dossiers de la Commission, tant en matière juridictionnelle qu'en matière de surveillance pour les autorisations de recherche. On entend beaucoup plus parler de cela dans les journaux, mais je n'ai pas du tout les chiffres en tête. Comme je l'ai dit, je pourrais vérifier auprès du secrétariat général.

    Merci.

    Monsieur Dubourg, s'il vous plaît. Vous avez cinq minutes.

     Merci, monsieur le président.

    C'est à mon tour de saluer les témoins qui sont venus présenter leurs mémoires. Je les en remercie.

     Il est vrai qu'on ne cesse de dire que c'est un sujet complexe. Je vais d'abord adresser mes questions à M. McArthur.

    Au cours de votre présentation, vous avez parlé de médiation. Vous avez dit que vous réglez surtout par la médiation les cas qui vous sont présentés. Vous avez aussi dit que les amendes au Canada sont tout à fait insignifiantes par rapport à celles qui sont prévues en Europe.

    Étant donné que vous ne semblez pas imposer de pénalités, seriez-vous d'accord que la LPRPDE prévoie des pénalités aussi sévères ou similaires à celles en Europe?

    Oui, nous serions d'accord, et nous avons recommandé à notre comité d'examen parlementaire d'augmenter les amendes prévues par les dispositions législatives visant le secteur public et le secteur privé afin d'en accroître l'effet dissuasif. Nous ne voyons pas beaucoup de cas dans le secteur privé, mais nous en voyons dans le secteur public. Dans ce secteur, les gens accèdent à l'information de manière inappropriée, même s'ils connaissent leurs obligations à cet égard. Nous sommes d'avis qu'il faut augmenter l'effet dissuasif en imposant des amendes plus élevées.

    Je vous remercie.

    J'aimerais vous adresser une dernière question.

    Vous connaissez sûrement M. Vincent Gogolek, de la BC Freedom of Information and Privacy Association. Il a comparu devant ce comité. Il nous a dit, entre autres choses, que les partis politiques fédéraux devraient eux aussi assujettis à la LPRPDE.

    Qu'en pensez-vous?

    Je suis d'accord avec M. Gogolek que les renseignements personnels des Canadiens devraient être protégés, peu importe quelle organisation en fait la collecte. Comme je l'ai dit plus tôt, en Colombie-Britannique, les partis politiques sont assujettis à la loi. Si un parti politique fédéral recueillait les renseignements d'un citoyen de la Colombie-Britannique, nous pourrions déclarer vouloir le pouvoir de mener une enquête et nous le ferions.

    Merci beaucoup.

    Madame Chassigneux, dans les quelques minutes qu'il me reste, j'aimerais vous poser aussi quelques questions.

    Au cours de votre témoignage, vous avez dit que le consentement est en principe seulement, et que le terme n'est pas bien compris par les entreprises. Selon cette loi, le consentement est très important, pour ne pas dire primordial.

    Comment peut-on faire comprendre cette notion de consentement aux PME et à toutes les entreprises?

    Tout d'abord, j'espère que je n'ai pas dit que le consentement était juste un principe.

    Vous avez dit « en principe ».

    C'est en principe seulement, mais il n'est pas qu'un principe, car c'est quand même un élément clé de la protection des renseignements personnels. Si c'est précisé, c'est correct.

    Dans la Loi sur la protection des renseignements personnels dans le secteur privé, il est clairement indiqué que le consentement doit être recueilli auprès de la personne concernée le plus régulièrement possible, et pas forcément à son insu ou auprès de tiers. Si le consentement doit être recueilli auprès de tiers, cela peut se faire avec le consentement de la personne concernée ou, dans certaines circonstances, à son insu.

    Dans son dernier rapport quinquennal, la Commission d'accès à l'information demande aussi qu'on modifie le consentement en ce qui concerne le fait d'entrer dans un espace public ou dans une boutique où il y a des caméras de surveillance, par exemple. Il faudrait informer les personnes concernées qu'il y a cette collecte d'informations et qu'elles sachent qu'elles sont dans un lieu surveillé. Il faudrait que cette forme de collecte d'informations à l'insu d'une personne lui soit communiquée, afin qu'elle sache que, lorsqu'elle entre à cet endroit, elle sera filmée. C'est une forme de consentement implicite ou explicite.

     Je comprends.

    Très rapidement, monsieur le président.

    Allez-y, monsieur Dubourg, très rapidement, s'il vous plaît.

    J'aimerais demander à Mme Chassigneux si elle a de l'information à nous soumettre. Elle a soulevé un point que je trouve aussi très important. Elle a parlé de dossiers et de renseignements personnels qui se trouvent dans les dossiers. Elle souhaite maintenant qu'on aille vers la finalité de la collecte.

    Madame Chassigneux, étant donné que je n'ai plus de temps à ma disposition, j'apprécierais que vous puissiez nous envoyer ces informations.

    Il n'y a pas de problème.

    Je vous remercie.

    Nous avons parlé de cela dans notre dernier rapport quinquennal, mais je serai heureuse de vous envoyer l'information.

    Merci beaucoup.

    Merci, monsieur Dubourg.

    La dernière intervention officielle de trois minutes va à Mme Trudel, du Nouveau Parti démocratique.

    Toutefois, chers collègues, il nous reste un peu de temps. Si d'autres ont des questions, surtout ceux qui n'en ont pas encore posées — je vois M. Long faire signe qu'il en a —, nous aurons un peu de temps avant la pause.

    Par la suite, nous avons quelques questions à régler liées aux travaux du comité et à notre budget; nous nous occuperons donc aussi de cela.

    La parole est à vous, madame Trudel.

    Merci, monsieur le président.

     Je vais continuer à poser des questions à Mme Chassigneux.

    Un peu plus tôt, on a terminé en parlant des paramètres de certains sites Internet qui sont changeants. Y a-t-il des applications connexes qui permettent d'aller chercher des informations, par exemple, dans un site Web et de les transférer dans un autre site Web?

    La question de l'interconnectivité des plateformes fait-elle partie de la question du libre consentement relativement aux informations personnelles?

    Normalement, quand on collecte des informations sur un site et qu'elles peuvent être transférées vers un autre site, les responsables du premier site devraient informer les personnes dont ils collectent les informations que celles-ci pourraient être transférées vers le deuxième site.

    Ainsi, si vous avez un téléphone cellulaire, vous avez des applications mobiles. Vous avez aussi la possibilité de savoir si les applications mobiles peuvent recueillir ou non l'information contenue dans votre cellulaire. À partir du moment où il y a un transfert d'informations d'un site vers un autre site, il faut que ce soit transparent. Il faut que les personnes puissent savoir comment circulent leurs informations.

    Est-ce que cela reste dans le premier site? Vont-t-elles du premier site au deuxième site? Où se situent ces informations? Où vont-elles être conservées? Est-ce que ce sera au Québec, si on prend l'exemple du Québec? Est-ce que ce sera conservé à l'extérieur du Québec?

    Tout cela doit être transparent et les entreprises doivent être transparentes. Nous disons donc qu'il faut qu'une culture de la protection des renseignements personnels soit instaurée au sein des entreprises. Je ne dis pas qu'il n'y a pas à l'heure actuelle une telle culture au sein des entreprises. Ce n'est pas ce que je veux dire. Je ne sais plus lequel des deux commissaires en a parlé, mais je pense que c'est Mme Clayton. Il s'agit des évaluations de l'impact de la mise en place d'un programme. Il faut vraiment savoir ce qui est vrai, comment c'est fait, pour qui c'est fait et pourquoi c'est fait. C'est important pour le citoyen et l'internaute ou pour n'importe qui ayant ces renseignements qui vont être communiqués et recueillis.

    Je ne sais pas si j'ai répondu à votre question.

    Oui, très bien. Je vous remercie.

    Merci beaucoup.

    Monsieur Long, s'il vous plaît.

    Merci, monsieur le président.

    Je suis heureux de retrouver le comité après une semaine d'absence. Vous vous êtes ennuyés de moi.

    J'ai une question. Je veux poursuivre le questionnement de M. Saini concernant les enfants. J'aimerais avoir l'opinion de Mmes Clayton et Chassigneux sur le consentement valable.

    Comment pouvons-nous contrôler et gérer cela? Comme M. Saini l'a dit, il y a des sites pour enfants aux États-Unis qui utilisent beaucoup plus de logiciels de suivi que les sites pour adultes. Mes amis ont des enfants âgés de 10, 11 et 12 ans qui passent tout leur temps sur Internet, et c'est une préoccupation majeure pour les parents de savoir exactement quels sites ils visitent, sur quoi ils cliquent et quelles informations ils fournissent.

    Madame Chassigneux, je vais vous demander de répondre en premier. À votre avis, la LPRPDE protège-t-elle suffisamment les enfants? Quelles modifications y apporteriez-vous?

     En ce qui a trait à la loi fédérale, je n'oserais pas me prononcer. Cependant, une chose est sûre. Comme cela a été mentionné plus tôt, au Québec et en Colombie-Britannique, quand on parle de renseignements personnels et de protection des renseignements personnels, c'est pour toutes les personnes, peu importe leur âge.

     Par ailleurs, il est vrai que le Québec, dans son rapport quinquennal de 2011, avait recommandé qu'on prenne en considération la protection des mineurs. Ceux-ci vont de plus en plus sur des sites Internet ou, comme vous le dites, surfent toute la journée sur Internet et sur des applications mobiles. Il y a donc une préoccupation au Québec à ce sujet. On a même fait des campagnes de sensibilisation à cet égard.

    Dernièrement, la ministre responsable de l'accès à l'information et de la réforme des institutions démocratiques a mis en place une campagne d'information et la Commission d'accès à l'information du Québec avait aussi mené en 2011-2012 une campagne de sensibilisation dans les écoles auprès des élèves. C'est important. On continue à recommander cela dans notre rapport. Je pense que la loi fédérale devrait quand même prendre cela en considération. En fait, si nous prenons cela en considération, cela devrait l'être également au plan fédéral.

    Merci.

    Madame Clayton, puis-je avoir votre avis, s'il vous plaît?

    Je pense que la situation en Alberta est la même que celle décrite pour ce qui concerne la Colombie-Britannique et le Québec. La loi protège les renseignements personnels de tous les citoyens, peu importe leur âge. Nous avons le principe du mineur mature capable d'exercer judicieusement ses droits en vertu de la loi, qui peut faire une demande d'accès, par exemple, et déposer une plainte auprès de notre bureau. C'est arrivé récemment — une affaire qui a occasionné la publication d'un ordre pour le secteur public. Le dossier concernait une élève transgenre qui avait déposé une plainte à notre bureau.

    La loi de l'Alberta ne mentionne pas précisément les enfants. Sont-ils particulièrement vulnérables? C'est une question à laquelle je tenterais de répondre. Nous recevons parfois des déclarations volontaires d'atteinte, et c'est un facteur que je prends en considération lorsque vient le temps d'avertir les personnes touchées. À qui appartiennent les renseignements concernés? Y a-t-il un groupe vulnérable? Y a-t-il des personnes âgées, des personnes à charge, des adultes, des enfants? Beaucoup de groupes peuvent être vulnérables.

    Il y a quelques années, nous avons participé, avec les autres témoins, au ratissage dirigé par le Global Privacy Enforcement Network des sites Internet et des applications, précisément ceux qui ciblent les enfants. Certains résultats étaient troublants. Beaucoup de sites Web et d'applications collectent les renseignements des enfants. Ils ne sont pas particulièrement transparents par rapport aux données qu'ils recueillent et ils ne recueillent pas seulement les renseignements nécessaires à leurs fins, par exemple, le service offert par l'application. Toutefois, il ne faut pas nécessairement pour autant prendre des mesures spéciales ou modifier la loi actuelle, car je ne suis pas convaincue que tous ces sites Web et applications soient conformes à la loi existante. Je pense que les dispositions actuelles permettent de s'attaquer à certains de ces problèmes.

    Monsieur Long.

    Très bien.

    Est-ce que quelqu'un d'autre a des questions?

    Non?

    Au nom de tous les membres du comité, je remercie nos témoins d'avoir pris le temps d'être des nôtres, malgré leur emploi du temps très chargé, pour contribuer à notre examen de la loi fédérale relativement à la protection des renseignements personnels dans le secteur privé.

    Chers collègues, je vais maintenant suspendre la séance. Nous allons poursuivre à huis clos pour discuter de quelques points.

    Merci à nos témoins. Nous savons que nous pouvons communiquer avec vous à nouveau au besoin. Pour ceux qui se sont engagés à nous transmettre des renseignements complémentaires, nous sommes impatients de les recevoir.

    Merci beaucoup. Bonne journée.

    [La séance se poursuit à huis clos.]