ETHI Réunion de comité

    Bonjour, chers collègues.

    Je tiens d'abord à remercier les témoins qui sont parmi nous aujourd'hui. Je m'excuse de ne pas avoir réussi à commencer la séance à l'heure. Nous avons été retenus par des votes qui se sont éternisés un peu, mais nous sommes là maintenant. Nous avons le quorum. Pour nous assurer d'entendre tous les exposés et d'avoir le temps de poser des questions, nous ferons le plus vite possible. Je sais qu'il y a quelques députés qui pourraient se joindre à nous un peu plus tard.

    Nous avons le plaisir de poursuivre aujourd'hui notre étude de la Loi sur la protection des renseignements personnels et les documents électroniques, qu'on appelle communément la LPRPDE.

    Nous avons également le plaisir d'accueillir Mme Jennifer Stoddart. Bienvenue, ex-commissaire. Nous recevons aussi M. Tamir Israel, qui comparaît au nom de la Clinique d'intérêt public et de politique d'Internet du Canada et qui n'est pas étranger au Comité pour avoir déjà participé à toutes nos études antérieures. Bien sûr, nous accueillons enfin Suzanne Morin, vice-présidente de la Section nationale du droit de la vie privée et de l'accès à l'information à l'Association du Barreau canadien.

    Vous disposerez de 10 minutes chacun pour nous présenter vos exposés, après quoi nous passerons immédiatement aux questions. Nous procéderons dans l'ordre dans lequel je vous ai présentés.

    Madame Stoddart, la parole est à vous.

    Merci beaucoup, monsieur le président.

    Bonjour à tous.

    C'est pour moi un honneur d'avoir été invitée ici. À titre de retraitée, je n'ai pas préparé de mémoire officiel, j'espère que vous m'en excuserez. Vous avez tout de même reçu un document qui contient les notes sur lesquelles je fonderai mes observations.

    J'ai lu les transcriptions des délibérations avec beaucoup d'intérêt. Vous avez entendu une grande diversité d'opinions de personnes très compétentes. Je mettrai l'accent, dans mon court exposé, sur les éléments sur lesquels j'estime avoir le plus d'expérience. Je procéderai en ordre chronologique, c'est-à-dire que je parlerai d'abord de ce qui s'en vient, ensuite de ce qui est en place actuellement, puis de ce qui vous a déjà été proposé.

    Je commencerai donc par l'avenir, par les défis qui se posent pour la LPRPDE. Vous ne serez pas surpris de m'entendre mettre en relief les effets du Règlement général sur la protection des données adopté par l'Union européenne. Depuis que j'ai pris ma retraite, j'ai travaillé en partie avec d'autres personnes à la rédaction d'un article scientifique sur l'administration du principe de la protection adéquate. C'est donc une question plus fraîche que d'autres à mon esprit.

    Vous aurez déjà entendu qu'il existe des critères plus rigoureux que ceux que préconisait la LPRPDE jusqu'ici, soit les critères de l'équivalence. Le problème, c'est que ces critères ne sont pas définis de façon précise. Le problème le plus grave, c'est qu'au sein de l'Union européenne, selon mon étude de toutes les décisions où il a été déterminé que le niveau de protection était adéquat ou qui ont donné lieu à une analyse, l'historique d'évaluation des cadres de protection des renseignements personnels est très inégal d'un pays à l'autre.

    Il faut aussi comprendre qu'il y a énormément de pressions au sein de l'Union européenne depuis l'affaire Snowden, tant de la part des militants que des partis politiques, pour que les normes européennes soient imposées avec rigueur au reste du monde.

    Quand on se demande de quoi on aurait besoin pour la LPRPDE à l'avenir, je dirais qu'il vaut mieux placer la barre haut et nous rappeler que la même logique s'applique aux normes européennes, c'est-à-dire à l'utilisation des renseignements personnels dans le secteur public. À mon avis, il y a un chevauchement, dans la loi de l'UE, entre le droit à l'effacement ou à la correction, que garantit déjà la LPRPDE, et le droit à l'oubli. Plusieurs des témoins qui ont comparu devant vous ont affirmé ne pas savoir si le droit à l'oubli existe bel et bien en droit canadien.

    En réalité, il existe dans les lois du Québec, et comme notre pays possède deux systèmes juridiques, ce concept existe depuis longtemps en droit canadien. J'ai entendu parler du droit à l'oubli dès l'époque où je fréquentais l'école de droit, et j'ai obtenu mon diplôme en 1980, donc cela remonte à longtemps. Il existe une jurisprudence sur le droit à l'oubli, et j'invite le Comité à en prendre connaissance.

    Je vous invite aussi à faire une distinction que tous vos témoins n'ont pas faite, entre le droit à l'oubli, qui est interprété jusqu'à maintenant dans l'Union européenne comme le droit à la suppression des liens vers des renseignements dans les moteurs de recherche, et la destruction elle-même de l'information d'origine. Je crois n'avoir entendu personne en parler, alors que c'est un épouvantail qu'on agite chaque fois qu'on parle du droit à l'oubli. Ce n'est pas du tout ce dont il s'agit.

    Vous ne devez pas oublier non plus que la LPRPDE ne régit que les entreprises sous le régime de la réglementation fédérale, une distinction que tous les témoins n'ont pas faite, à mon avis. Elle ne régit pas les personnes individuellement, pas plus qu'elle ne régit toutes sortes de choses de compétence provinciale.

    Pour revenir au droit à l'oubli, il est intéressant de souligner que l'attendu — qui correspond en Europe à ce qu'on appelle ici le préambule — qu'on trouve dans le Règlement général sur la protection des données énumère les raisons justifiant ce règlement, notamment le droit de faire retirer des publications qu'on a pu diffuser sur Internet dans sa jeunesse et qu'on regrette maintenant. Je vous somme donc de réfléchir à cela comme justification afin de permettre davantage d'exiger le retrait de certaines publications. Je vous invite à y réfléchir dans le contexte du droit humain à la dignité, ce droit que nous avons tous, à mon avis, d'être une personne qui évolue. Ce qu'on fait à 16 ans n'est pas ce qu'on fera à 36, le jour où l'on envisagera de se porter candidat aux élections ou autre chose. Je pense qu'il s'agit simplement de tenir compte de la nature humaine et d'assurer le respect nécessaire de la dignité humaine.

    Le Comité a entendu d'autres idées, dont celle de prévoir des règles spéciales pour les enfants. Encore une fois, je vous invite à réfléchir au partage des pouvoirs, une réalité inéluctable selon la Constitution canadienne.

    Vous pourriez envisager la possibilité de faire une mention spéciale du Commissariat à la protection de la vie privée ou du commissaire dans la LPRPDE, afin de souligner son rôle en matière d'harmonisation juridique, son devoir de discuter avec ses homologues provinciaux et de favoriser l'adoption de lois fortes et compatibles partout au Canada, compte tenu de l'ampleur de la protection des renseignements personnels qui relève de la compétence des provinces. Je le dis parce qu'à mon avis, la meilleure solution n'est pas toujours de criminaliser les comportements. C'est pourtant la compétence dont jouit le gouvernement fédéral pour régir les comportements personnels. Ce n'est pas la meilleure façon de gérer bien des choses.

    Monsieur le président, je vais maintenant vous parler des tendances et des valeurs actuelles des Canadiens.

    Je crois que la transparence est un étendard des démocraties de l'après-Snowden. Nous avons vu récemment des exemples de cas où la population exige une plus grande transparence des personnalités publiques, entre autres.

    C'est très différent de la grande opacité qui prévalait il y a une vingtaine d'années, quand la loi a été rédigée, et du système en fonction duquel la LPRPDE est administrée. La question n'a pas été analysée en profondeur à l'époque, parce que le public ne se préoccupait alors pas outre mesure de ce qu'il pouvait voir ou comprendre de l'application de la protection des renseignements personnels. Le modèle mis en place était le modèle assez pratique de l'ombudsman. Il a été adopté par le gouvernement canadien vers la fin des années 1970, sur le modèle de la Scandinavie, à une époque où les pays scandinaves étaient presque totalement homogènes, ethniquement et socialement, et où il y avait encore une grande confiance du public envers le gouvernement, comme il y en a toujours.

    Je crois également que le public devrait en savoir plus sur les plaintes portées contre les organisations commerciales, parce que beaucoup de choses ne semblent pas s'améliorer avec le temps dans le régime actuel. Je vous cite l'exemple d'une publication récente du Commissariat à la protection de la vie privée du Canada, qui date du 15 mars dernier, concernant une plainte sur l'utilisation de renseignements personnels par une banque canadienne. Je pense que l'affaire aurait beaucoup plus d'effet sur le public si la banque et le détaillant en cause dans l'incident étaient nommés.

    Toujours sur le thème de la transparence, je vous rappelle que les entreprises elles-mêmes devraient faire preuve de transparence quant à l'utilisation des renseignements personnels qu'elles transmettent aux organismes gouvernementaux, aux services policiers, au SCRS et aux autres, en espérant qu'elles le font toujours légalement.

    Ensuite, encore concernant la transparence, j'aimerais vous parler du pouvoir individuel. Le Commissariat à la protection de la vie privée du Canada bénéficie d'un budget important, mais sans commune mesure avec le défi que présente la protection des renseignements personnels de nos jours. Je ne trouve pas très productif qu'il prenne autant de temps à enquêter sur des plaintes individuelles pour essayer de faire respecter les droits à la protection de la vie privée des Canadiens. Ce système devrait être modifié. Le commissaire devrait pouvoir faire comme la Federal Trade Commission des États-Unis, c'est-à-dire voir les plaintes déposées comme un baromètre de l'opinion publique, puis choisir les plaintes sur lesquelles il souhaite mener enquête et donner essentiellement à ces personnes le droit d'intenter des poursuites devant la Cour fédérale.

    Enfin, pour clore sur le thème de la transparence, je crois qu'il faudrait permettre au commissaire à la protection de la vie privée de se concentrer sur les nouvelles menaces sérieuses qui se posent dans le contexte de l'évolution des nouvelles technologies et des nouveaux comportements et donc, de ne pas mener enquête sur toutes les plaintes. Il faudrait pour cela lui accorder de vastes pouvoirs de vérification ou le pouvoir de lancer lui-même une enquête. Ces mesures seraient nécessaires pour renforcer le principe de la responsabilité, qui se pose de plus en plus comme un principe très difficile, comme celui du consentement, pour toutes sortes de raisons technologiques, dont l'apparition des mégadonnées. Il devient essentiel, dans le modèle d'application de la loi d'aujourd'hui, d'être prêt à faire la preuve de sa responsabilité.

    J'ai également mentionné l'éthique, mais je crois que l'éthique doit se situer dans un cadre plus rigoureux.

    Enfin, pour ce qui est des lacunes déjà cernées, des suggestions ont été faites il y a longtemps concernant la révision de la LPRPDE. Rappelons-nous le rapport de 2013 et ses quatre points, de même que la recommandation que j'ai faite, il y a quelques années, voulant que les partis politiques soient eux-mêmes assujettis à la LPRPDE.

    Dans la foulée de deux décisions de la Cour suprême du Canada, dont une a été rendue il y a quelques mois à peine, je suis d'avis qu'une éventuelle révision de la Loi doit prévoir l'octroi au commissaire d'un pouvoir plus clair de faire des enquêtes, et ce, nonobstant la protection de la jurisprudence et la loi portant sur les privilèges. Le privilège de l'avocat dans notre société a énormément évolué depuis le XIX^e siècle. Je crois que ce privilège n'a plus sa raison d'être relativement aux plaintes ou allégations d'usage inapproprié des renseignements personnels et à la possibilité qu'un commissaire fasse enquête à ce sujet. La Loi doit donc avoir un langage plus clair et plus fort.

    Je conclurai en portant à votre attention des travaux récents, probablement les plus contemporains sur la réglementation intelligente. Ils sont l'oeuvre du professeur Christopher Hodges, de l'Université d'Oxford, qui définit les caractéristiques d'un bon règlement.

    Un bon règlement réussit surtout à influencer les comportements et ce, de diverses façons, selon le contexte, selon l'enjeu, selon ce qu'on appelait jadis l'« industrie » mais qui est peut-être le« secteur » ou l'« activité ». Il peut s'agir de communiquer de l'information aux consommateurs. Il peut s'agir d'établir un dialogue constant avec les entités réglementées. Il peut s'agir de créer une pression uniformisante par des mesures prises dans ce secteur ou ce domaine d'activité.

    Il s'agit d'intervenir d'une manière qui semble ciblée, juste, proportionnelle au problème et non automatique ou parce que c'est ce que dicte la loi: « Nous allons mener enquête sur vous parce que je dois examiner toutes les plaintes, donc vous devrez payer des frais d'avocat pour vous en sortir. » Je crois que ce n'est pas nécessairement juste ni proportionnel à l'enjeu. Il faut plutôt récompenser ceux qui font preuve de conformité et sanctionner ceux qui adoptent des comportements inappropriés.

    Je vous invite donc à prendre cette orientation et à accorder une plus grande souplesse au Commissariat à la protection de la vie privée du Canada, afin d'élargir son éventail d'outils réglementaires, compte tenu de l'évolution des besoins dans le temps.

    Je vous remercie beaucoup de votre attention.

    Merci, madame Stoddart.

    Passons maintenant à M. Israel pour 10 minutes, s'il vous plaît.

    Merci, monsieur le président.

    Je vous remercie de me recevoir de nouveau. Je m'appelle Tamir Israel et je suis avocat-conseil à l'interne à la CIPPIC, la Clinique d'intérêt public et de politique d'Internet du Canada Samuelson-Glushko du Centre de recherche en droit, technologie et société de l'Université d'Ottawa, qui en est en fait la faculté de droit. La CIPPIC est la clinique juridique qui travaille à l'avancement de l'intérêt public dans les débats politiques au confluent du droit et de la technologie.

    Je souhaite vous remercier de nous inviter encore une fois à contribuer au travail important du Comité, dans ce cas-ci dans le cadre de l'examen de la LPRPDE.

    Nous affirmons d'entrée de jeu qu'à notre avis, le cadre raisonné proposé dans la LPRPDE a très bien résisté à l'épreuve du temps. C'est sa souplesse générale qui lui a permis de suivre le rythme de l'évolution technologique et sociale souvent rapide et profonde. Cela dit, certaines clarifications et certains ajouts aux mécanismes prévus par la LPRPDE en ce qui concerne le consentement et la transparence seraient souhaitables, tandis que la pleine réalisation des droits importants que la LPRPDE garantit aux Canadiens reste compromise par la difficulté de la mettre efficacement en application.

    Comme les membres du Comité l'ont entendu, l'un des piliers de la LPRPDE a souffert de la réalité contemporaine: le consentement. La pression vient de la nature de plus en plus complexe des pratiques modernes de gestion de données, qui créent de l'opacité et des incitatifs puissants souvent à l'opposé direct des intérêts des consommateurs. Parallèlement à cela, les politiques régissant la protection de la vie privée, qui devraient réduire cette complexité, sont inaccessibles, ou à l'autre extrême, elles rendent la gestion des données obscures afin de préserver toute la marge de manoeuvre possible pour les pratiques commerciales futures.

    À la lumière de cette complexité, il n'est ni pratique ni souhaitable de s'attendre à ce que chaque personne acquière l'expertise nécessaire pour évaluer la gestion de données de tous les services auxquels elle est confrontée chaque jour. Il serait toutefois tout aussi dommageable de sacrifier le concept du consentement à la faveur d'un cadre de responsabilité fondé sur le risque. Ce genre de cadre ouvrirait la porte à une chasse ouverte aux renseignements personnels. De plus, il risquerait fort de compromettre l'adoption et l'utilisation de services, puisque les recherches empiriques portent à croire que la confiance des consommateurs envers les services et leur adoption sont grandement liées à leur aptitude à exprimer leur consentement à l'égard des méthodes de gestion de données.

    Malheureusement, cette confiance est trop souvent mal placée. Bien souvent, les attentes des consommateurs ne se reflètent tout simplement pas dans les politiques sur la protection de la vie privée et les pratiques de gestion de données, qui sont contre-intuitives et impliquent souvent un consentement implicite. Ainsi, il pourrait être utile d'officialiser certains éléments du cadre raisonné découlant de la LPRPDE pour rendre les pratiques plus conformes aux attentes.

    La LPRPDE admet de manière générale qu'un consentement explicite est nécessaire lorsque s'observe une telle déconnexion, particulièrement lorsque les données visées sont sensibles. En outre, le fait de reconnaître explicitement la protection des données personnelles par défaut mettrait d'autant plus en relief la nécessité d'obtenir l'approbation de l'utilisateur à l'égard des mécanismes de protection des renseignements personnels, ce qui contribuerait à réduire l'écart entre les attentes individuelles et la pratique.

    Si le commissaire à la protection de la vie privée détenait officiellement le pouvoir d'imposer des restrictions adaptées au contexte, les dispositions actuelles de la LPRPDE permettant déjà de désigner certaines pratiques inacceptables et d'établir des politiques réglementaires adaptées pourraient être davantage utilisées. L'utilisation de ces outils pourrait accroître la certitude et la cohérence du côté des entreprises, tout en permettant au commissaire à la protection de la vie privée d'adopter plus fréquemment des politiques proactives. De plus, un mécanisme officiel d'élaboration de politiques de ce type permettrait de renforcer la qualité et la légitimité des politiques.

    Enfin, certaines mesures pourraient être envisagées pour mieux protéger les données des courtiers en données. En effet, ces entités amassent les profils détaillés de personnes de différentes sources en ligne et hors ligne, habituellement sans la connaissance ni l'accord de la personne visée, qui est habituellement totalement écartée du processus de collecte de données. L'information détenue par les courtiers en données est de plus en plus utilisée par diverses entités secondaires, qui s'en servent pour prendre des décisions ayant souvent une grande incidence sur les personnes. Dans un rapport publié en 2014, la Federal Trade Commission recommandait d'obliger les courtiers en données à créer des portails facilement accessibles qui permettraient aux particuliers de déterminer aisément si un courtier détient des données à leur sujet et d'où proviennent ces données. Cet outil permettrait également l'exercice d'autres droits, comme les droits de correction et d'effacement, qui font déjà partie intégrante des mécanismes prévus par la LPRPDE pour assurer la qualité des données.

    Ce cadre pourrait être imposé par le commissaire à la protection de la vie privée, selon une politique réglementaire par secteur prise en vertu du paragraphe 5(3) de la LPRPDE, mais le mécanisme pourrait être encore plus fort et plus clair s'il était carrément inscrit dans la Loi.

    Par ailleurs, le modèle fondé sur des recommandations et le recours à une deuxième instance pour l'application de la LPRPDE est complètement déconnecté de la réalité moderne des régimes de protection des données. Comme de nombreuses organisations gèrent les choses en fonction des enjeux individuels et des contre-indications, nous avons besoin d'un régime réglementaire combinant efficacité et capacité d'adaptation. Le mécanisme d'application de la LPRPDE est complexe du point de vue procédural, exige trop de temps et ne respecte pas suffisamment l'expertise du commissaire à la protection de la vie privée.

    Dans l'ère de l'information, les données personnelles constituent la marchandise principale et exigent un cadre réglementaire structuré en conséquence. Il ne faut donc pas s'étonner de constater que la plupart des gouvernements administrant des régimes de protection des données ont instauré des mesures d'application tenant compte de cette réalité fondamentale. En conférant le pouvoir de rendre des ordonnances au commissaire à la protection de la vie privée, on faciliterait ses interactions avec les grandes organisations multinationales, ce qui lui permettrait de s'acquitter de son mandat en exerçant l'autorité d'une instance réglementaire.

    En outre, la possibilité que l'on puisse un jour être indemnisé à la suite d'infractions à la LPRPDE demeure lointaine, et le montant d'une indemnisation semblable devrait être très réduit. Des changements apportés récemment au droit de la responsabilité délictuelle ont permis de combler cette lacune dans une certaine mesure et ont mené à une amélioration notable au chapitre de la conformité proactive, notamment au vu de la possibilité d'intenter des recours collectifs à l'égard de considérations touchant la protection de la vie privée.

    Les recours collectifs découlant du droit de la responsabilité délictuelle sont toutefois de portée limitée, ne touchant que certains types d'atteinte à la vie privée, et il n'y a que peu d'incitations à mettre en place un régime efficace de conformité proactive à l'égard des autres éléments cruciaux de la LPRPDE. Nous serions donc favorables à ce que l'on attribue au Commissariat à la protection de la vie privée le pouvoir d'imposer des sanctions pécuniaires administratives, un peu comme on l'a fait récemment avec le Conseil de la radiodiffusion et des télécommunications canadiennes.

    Nous recommandons de plus l'instauration d'un droit de recours individuel indépendant, qui permettrait à des particuliers et à des catégories de requérants de soumettre directement leurs recours. On pourrait ajouter à cela des dommages-intérêts préétablis à l'égard d'infractions et de principes visés par la LPRPDE ou pour la totalité des dispositions de la loi. Nous aurions ainsi un régime analogue d'application via des recours individuels, ce qui motiverait d'autant la conformité.

    Enfin, différents mécanismes visant la transparence pourraient permettre de régler certains problèmes pressant dans l'application actuelle du régime de la LPRPDE. Dans de nombreuses industries, et notamment celles qui s'emploient à faciliter les communications électroniques, il est devenu pratique courante de présenter des rapports périodiques sur la portée et la nature des demandes de renseignements sur la clientèle formulées par l'agence nationale. Bien que l'on pourrait prétendre que des rapports semblables sont déjà exigés en vertu du principe d'ouverture établi dans la LPRPDE, nous recommanderions l'adoption d'une mesure législative qui habiliterait explicitement le commissaire à la protection de la vie privée afin qu'il impose des obligations détaillées de production de rapports aux fins de la transparence dans les différents secteurs. Nous bénéficierions ainsi d'une plus grande uniformité dans la production de rapports normalisés, comparativement au régime actuel où cela se fait sporadiquement et de façon incomplète.

    L'adoption de mesures législatives serait également avantageuse du point de vue de la transparence en ce qui concerne les décisions prises au moyen d'algorithmes. De plus en plus de choix ayant un impact considérable sur la vie des gens sont ainsi faits sur la base de processus automatisés. Il ressort de différents travaux de recherche et d'analyse juridique que le recours à des algorithmes sert souvent de justification pour une prise de décisions discriminatoire basée sur des motifs liés à la religion, à l'origine ethnique, à la race, à la situation d'invalidité, au sexe et à d'autres considérations visées par la loi. La prise de décisions en fonction d'algorithmes peut aussi masquer d'importantes distinctions individuelles au bénéfice de la généralisation, ce qui ne produit pas les résultats souhaités pour les personnes touchées. D'une manière plus générale, l'utilisation d'algorithmes brouille souvent le raisonnement à l'origine d'une décision donnée, ce qui fait par exemple qu'il devient impossible de savoir exactement pour quelle raison un enseignant a été congédié, un client s'est vu refuser certains avantages ou une demande de crédit a été rejetée. En pareil cas, il devient très difficile de déterminer si la décision prise est juste et équitable, ou si elle est plutôt discriminatoire.

    Une plus grande transparence dans l'utilisation d'algorithmes va directement dans le sens des principes fondamentaux de protection appliqués de longue date pour assurer la qualité des données utilisées pour la prise de décisions. La LPRPDE mise à cette fin sur le principe de l'exactitude des données et le droit de chacun d'avoir accès aux renseignements personnels détenus par une organisation à son sujet. Cependant, on invoque de plus en plus souvent le secret commercial pour escamoter la logique étayant une décision fondée sur des algorithmes. En outre, en l'absence d'obligations rigoureuses en matière de transparence, on voit apparaître des algorithmes de plus en plus complexes qui dissimulent complètement ces considérations sous-jacentes, et ce, même pour les entreprises qui s'en servent.

    CIPPIC recommanderait donc l'ajout de droits distincts d'accès à la logique sous-jacente de tout processus automatisé de prise de décisions, surtout lorsque ces décisions ont un impact considérable sur la vie des gens, leur accès à des débouchés économiques et le traitement auquel ils ont droit lorsqu'il est fondé sur des motifs de distinction illicites.

    Le Comité pourrait également envisager une étude plus approfondie des enjeux liés à la prise de décisions automatisée dans les secteurs privé et public.

    Je conclus ainsi mon exposé. Je me ferai un plaisir de répondre à toutes vos questions.

    Merci, monsieur Israel.

    Nous allons maintenant entendre Mme Morin de l'Association du Barreau canadien.

    Vous avez la parole pour un maximum de 10 minutes.

    Merci. J'utilise cette minuterie pour éviter que nous dépassions largement le temps imparti comme nous l'avons fait la dernière fois, Tamir et moi.

    Nous avons profité de la trentaine de minutes d'attente pour avoir une bonne discussion.

    Bonjour à tous. Merci beaucoup, monsieur le président et honorables membres du comité. Je vous suis reconnaissante de m'avoir invitée à comparaître aujourd'hui pour vous faire part des points de vue de la Section nationale du droit de la vie privée et de l'accès à l'information et de l'Association canadienne des conseillers juridiques d'entreprises, deux divisions de l'Association du Barreau canadien, au sujet de la Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE.

    L'Association du Barreau canadien, ABC, est une association nationale qui regroupe quelque 36 000 avocats, étudiants en droit, notaires et universitaires. Notre association s'emploie notamment à favoriser l'amélioration du droit et de l'administration de la justice. C'est dans le contexte de cet important objectif que je vais m'adresser à vous aujourd'hui.

    Nos deux sections regroupent des avocats spécialisés en droit de la protection des renseignements personnels et de l'accès à l'information dans les différentes régions du pays. Ce sont des avocats en pratique privée, des juristes d'entreprise qui travaillent pour des sociétés publiques ou privées, des sociétés d'État, des organismes gouvernementaux et réglementaires, des municipalités et des hôpitaux. Bref, nous couvrons à peu près tous les secteurs.

    Je m'appelle Suzanne Morin et je suis vice-présidente de la Section nationale du droit de la vie privée et de l'accès à l'information. Je travaille pour Sun Life.

    Nous nous sommes prononcés à maintes reprises au sujet de la LPRPDE depuis son entrée en vigueur en 2001. En l'absence d'un besoin pressant de modification législative, nous continuons d'appuyer de manière générale le maintien du modèle actuel de la LPRPDE qui est axé sur le consentement et le rôle du protecteur du citoyen. Nous préconisons en outre une surveillance étroite du niveau de conformité du Canada par rapport aux normes de l'Union européenne, comme l'indiquait Mme Stoddart.

    Dans le cadre de ces modèles, il y aurait cependant lieu de modifier la Loi sous deux aspects. Premièrement, il faut s'assurer que le concept de l'accès public aux renseignements continue de s'appliquer sans égard à la technologie utilisée. Deuxièmement, il faudrait permettre au commissaire à la protection de la vie privée de formuler des avis préalables non exécutoires.

    Je vais traiter brièvement de ces deux questions.

    Étant donné qu'il ne nous apparaît pas absolument nécessaire d'apporter des modifications à la LPRPDE, nous recommandons le maintien du modèle actuel fondé sur le consentement ainsi que de l'approche de la trousse d'outils polyvalente aux fins de la protection de la vie privée au Canada. Les droits, les obligations et les recours en matière de la protection de la vie privée s'inscrivent au Canada dans un vaste cadre juridique qui comprend des lois fédérales et provinciales sur la protection de la vie privée dans les secteurs public et privé, des lois pénales et relatives aux droits de la personne, de nouveaux recours en matière de common law et de droit civil, et des nouveautés dans le régime de responsabilité civile du Québec.

    La LPRPDE énonce directement les principes fondamentaux du consentement dans le secteur privé, qui sont à l'origine de l'obligation pour les entreprises d'obtenir le consentement valable et de l'interdiction de forcer quiconque à consentir à ce que ses renseignements personnels soient utilisés autrement qu'aux fins légitimes indiquées. Le modèle de consentement de la LPRPDE s'appuie sur 10 principes relatifs à l'équité dans le traitement de l'information. D'une manière générale, tout traitement de renseignements personnels est assujetti au « critère de la personne raisonnable », qui limite l'utilisation des renseignements à ce qui est raisonnable dans les circonstances. Tout cela s'inscrit dans le contexte qui vient d'être exposé.

    À notre avis, le modèle de consentement de la LPRPDE, appuyé par le cadre juridique plus large, protège toujours efficacement la vie privée des Canadiens, y compris ceux faisant partie des groupes vulnérables, en offrant une solution suffisamment souple alors même que les entreprises doivent composer avec l'évolution rapide des technologies, des modèles d'affaires et des attentes des clients en matière de protection de la vie privée.

    Les sections de l'ABC recommandent le maintien du modèle de protecteur du citoyen en l'absence de preuve d'un besoin impératif de modifier les pouvoirs de contrainte du Commissariat à la protection de la vie privée. Le Commissariat protège le droit à la vie privée en utilisant les pouvoirs prévus actuellement dans la LPRPDE pour mener des enquêtes, en publiant le nom de parties lorsqu'il est jugé dans l'intérêt public de le faire; pour vérifier les pratiques des organisations lorsqu'il a des raisons de croire qu'elles ne se conforment pas aux obligations prévues dans la LPRPDE; et pour traduire en justice les organisations ayant manqué à leurs obligations en matière de protection de la vie privée.

    Pour leur part, les tribunaux canadiens se sont montrés particulièrement qualifiés pour évaluer les dommages-intérêts découlant des enquêtes menées par le Commissariat. Ils peuvent également juger de nouvelles actions civiles dans le domaine de la protection de la vie privée et du droit de la responsabilité délictuelle, élargissant ainsi le cadre de protection juridique de la vie privée au Canada. Tout bien considéré, cette approche de la trousse à outils s'est révélée efficace pour forcer les organisations de toutes tailles, d'ici et d'ailleurs, à réviser leurs pratiques de protection de la vie privée grâce aux efforts considérables déployés par d'anciens commissaires comme Mme Stoddart.

    Il vaut mieux demeurer prudent en attendant de voir comment sera interprété et utilisé le nouveau pouvoir du commissariat de conclure des ententes de conformité contraignantes avec les organisations en ayant recours aux tribunaux, et comment le nouveau régime d'obligation de signalement des atteintes — pas encore en vigueur — qui permet l'imposition d'amendes prendra forme au cours de la prochaine année.

    Troisièmement, les sections de l'ABC recommandent de modifier la LPRPDE afin d'autoriser explicitement le Commissariat à la protection de la vie privée à produire des avis préalables non exécutoires à la demande d'organisations envisageant de nouveaux programmes, de nouvelles technologies ou méthodes, ou des transactions précises. Bien que le commissariat offre actuellement des conseils généraux sous forme de résumés d'enquête et de bulletins d'interprétation, il fournit des conseils s'adressant à une organisation précise seulement dans le cadre d'une enquête ou d'une vérification.

    Si ce pouvoir était expressément énoncé, il deviendrait clair que le commissariat est tenu de remplir cette fonction en formulant des avis précis permettant aux organisations de s'assurer que leurs nouvelles initiatives sont conformes du point de vue de la protection de la vie privée. Le commissariat pourrait en outre anonymiser et publier les avis préalables de portée générale afin d'aider les autres organisations qui envisagent des initiatives comparables.

    Quatrièmement, pour ce qui est des renseignements auxquels le public a accès, nous recommandons de modifier la LPRPDE et ses règlements pour qu'ils s'appliquent à toutes les technologies et puissent s'adapter aux modèles d'affaires et aux attentes des clients d'aujourd'hui et de demain relativement à l'utilisation des renseignements personnels que les clients choisissent de rendre publics.

    La LPRPDE a été rédigée de manière à s'appliquer à toutes les technologies et je dois convenir, après plus de 15 ans d'observation, qu'elle continue de résister à l'épreuve du temps en permettant aux organisations d'adapter leurs pratiques de protection des renseignements personnels en fonction de tous les changements qui surviennent. Bien que la LPRPDE soit fondée sur le consentement, elle prévoit des exceptions pour les cas où l'obtention de ce consentement est trop compliquée ou n'est pas nécessaire, notamment pour les renseignements accessibles au public.

    Cependant, contrairement à la loi elle-même, les règlements accompagnant la LPRPDE ratent la cible à certains égards et ont créé de l'incertitude quant au degré de consentement requis pour utiliser les renseignements personnels que des personnes ont choisi de rendre publics. Nous proposons dans notre mémoire différentes options que vous pouvez considérer à ce sujet.

    Cinquièmement, les sections de l'ABC recommandent de surveiller de près le statut du Canada quant au caractère adéquat de son niveau de protection aux yeux de l'Union européenne. Nous avons toutefois une mise en garde à vous faire. Il serait prématuré de vouloir modifier la LPRPDE en prévision des changements qui pourraient être nécessaires au maintien de notre statut. Depuis 2001, le Canada jouit d'un statut reconnaissant le niveau adéquat de ses mesures de protection des renseignements personnels aux termes de la Directive générale sur la protection des données (DGPD) de 1995 de l'Union européenne. L'Union européenne peut ainsi transférer des renseignements personnels aux organisations canadiennes sans qu'il soit nécessaire d'enclencher d'autres mécanismes.

    De récents changements dans le droit de la vie privée de l'Union européenne ont toutefois remis en question le caractère adéquat du niveau de protection assuré par le Canada. On ignore encore quelle sera la nouvelle approche de l'Union européenne. Nous savons toutefois que, le moment venu, la Commission européenne va examiner, comme l'indiquait Mme Stoddart, la totalité du cadre juridique canadien dans les secteurs public et privé, y compris nos lois sur la sécurité publique, la défense et la sécurité nationale; nos lois pénales; et nos autres engagements internationaux.

    La LPRPDE n'est qu'un élément du cadre de protection de la vie privée du Canada; elle ne constitue pas nécessairement l'unique moyen ou le véhicule approprié pour régler les problèmes pouvant se poser quant au caractère adéquat de notre régime. La reconnaissance de notre statut à ce chapitre est un objectif louable, mais pas à n'importe quel prix, et nous croyons que l'on serait malavisé de procéder à des changements dès maintenant.

    Un mot en terminant au sujet du droit à l'oubli. Nous n'avons pas explicitement recommandé qu'un droit à l'oubli soit inclus dans la LPRPDE ou dans notre cadre juridique de manière plus générale, mais c'est un enjeu que nous ne devons pas perdre de vue. La LPRPDE ne prévoit pas directement le droit à l'oubli, du moins pas dans la forme qu'il a prise dans l'Union européenne. La LPRPDE permet toutefois à une personne de retirer son consentement et de faire supprimer certains renseignements tout en obligeant les organisations à utiliser les renseignements de manière compatible avec les fins auxquelles ils ont été publiés et à les supprimer lorsqu'ils ne sont plus nécessaires.

    Nous devons nous rappeler que la LPRPDE et les autres lois en matière de protection de la vie privée ne sont pas une panacée aux problèmes causés par les progrès technologiques. Outre la LPRPDE, de nombreux autres éléments mériteraient réflexion, notamment la liberté d'expression, fondement de notre démocratie inscrit dans la Charte.

    Je suis ravie d'avoir eu l'occasion encore une fois de vous présenter les points de vue des sections de l'Association du Barreau canadien concernant la LPRPDE.

    Je répondrai avec plaisir à vos questions.

    Merci.

    Merci, madame Morin.

    Il nous reste une quarantaine de minutes avant la fin de la séance, et je crois que nous devrions les consacrer entièrement à des questions. Si cela vous convient, nous allons pouvoir faire un tour de sept minutes puis la moitié d'un second tour.

    Nous débutons par M. Saini. Vous avez sept minutes.

    Bonjour à tous. Je suis désolé d'être arrivé en retard. Les échanges d'aujourd'hui sont tout aussi importants que nécessaires.

    Je veux commencer par l'épouvantail dont parlait Mme Stoddart. Nous avons entendu des points de vue très divergents au sujet du droit à l'oubli. Il y a même des gens qui se demandent si un droit semblable pourrait résister à une contestation en vertu de la Charte. La représentante de l'Association du Barreau canadien nous a dit que la LPRPDE n'en traite pas explicitement, mais qu'elle permet à une personne de retirer son consentement. Vous avez indiqué pour votre part que ce droit à l'oubli est déjà prévu dans les dispositions de la loi.

    Compte tenu de la diversité des opinions exprimées à ce sujet, j'aimerais que chacun d'entre vous nous dise exactement ce qu'il pense de la situation du droit à l'oubli. Il faut savoir que le droit à l'oubli a été intégré au Règlement général sur la protection des données en raison d'un jugement qui l'officialisait. Je suis persuadé que vous avez entendu parler de la cause opposant Google et l'Espagne.

    Les Européens ont-ils réagi de façon excessive? Que devrions-nous faire au Canada? Devrions-nous instaurer ou non un droit à l'oubli? Si un tel droit est déjà prévu dans le RGPD qui entrera en vigueur en 2019, nous devrons prendre des mesures en ce sens si nous voulons maintenir notre statut quant au niveau de protection adéquat.

    J'aimerais donc savoir ce que vous pensez tous les trois du droit à l'oubli de manière à vider la question une fois pour toutes.

    Ceci dit très respectueusement, monsieur le député, je crois qu'il faudra sans doute une génération pour vider la question.

    J'essayais de me montrer encourageant.

    Oui, je sais. Je n'aime pas brimer ainsi votre enthousiasme, mais je crois qu'il faut mettre les choses en perspective.

    Comme je l'ai indiqué, le droit à l'oubli existe déjà dans le droit canadien. Le pardon en est sans doute l'équivalent le plus manifeste dans notre droit découlant de la common law. Sauf erreur de ma part, il est toujours possible d'obtenir un pardon dans le droit pénal canadien. Une personne qui s'est rendue coupable d'un acte criminel peut, après une période d'attente de cinq ans, si les choses n'ont pas changé, présenter une demande de pardon au gouverneur général. Vous êtes ainsi à l'abri des demandes pour connaître vos antécédents, à moins qu'elles ne viennent de la police. Je ne sais pas si c'est toujours le cas, compte tenu de l'évolution des mesures de sécurité touchant notamment la vérification du casier judiciaire, mais c'est un principe qui est inscrit dans notre droit depuis très longtemps.

    On vise en fait la rédemption, la réadaptation. C'est selon moi une initiative tout à fait louable pour toute société qui valorise l'être humain, et j'estime donc que nous devrions nous pencher sur l'évolution récente du droit à l'oubli en Europe — dans un contexte de droit civil et non pénal — étant donné que nous avons déjà un droit à la rectification qui pourrait être renforcé pour devenir un droit à la suppression.

    Il demeure difficile pour notre organisation d'en arriver à une conclusion quant à la forme que pourrait prendre un éventuel droit à l'oubli. Nous avons procédé à une analyse pour essayer de déterminer les éléments auxquels il devrait s'appliquer et les écueils qu'il convient d'éviter.

    Je pourrais peut-être vous communiquer cette analyse si cela peut vous être utile.

    Certainement. Ce serait formidable.

    J'espère que je n'embrouillerai pas davantage les choses.

    En fait, nous voyons cela moins comme un droit à l'oubli, comme le disent d'autres personnes, mais davantage comme un élément lié au principe de l'exactitude des données de la LPRPDE. Les gens qui ont des problèmes concernant le « droit à l'oubli » nous disent que cela crée une mauvaise perception de leur réputation parce que des choses précises qui ne définissent pas nécessairement leur réputation ressortent.

    D'entrée de jeu, nous préférons même ne pas vraiment y penser. Leur solution ne consiste pas nécessairement à faire disparaître l'information, mais à la dissimuler, dans une certaine mesure, de sorte que ce ne soit pas la première chose que les gens apprennent sur eux, d'une façon qui crée une mauvaise perception de leur réputation.

    Cela dit, la réputation est une question délicate. Pour bon nombre d'entre nous, il y a de l'information à notre sujet par laquelle nous ne voudrions pas être définis, mais qui devraient, pour des raisons légitimes, faire partie de notre réputation. Il y a un élément objectif. C'est là que réside la difficulté, à notre avis. Il s'agit de déterminer comment nous formulons quelque chose qui règle ce qui constitue un problème pour certaines personnes.

     En ce qui concerne le droit instauré par l'Union européenne, nous pensons qu'un droit canadien aurait probablement une portée plus limitée, en ce sens qu'il s'appliquerait à tout le moins à un plus petit sous-ensemble de questions. Il pourrait ne pas s'appliquer à chaque information périmée sur moi, mais peut-être à de l'information sensible, soit de l'information qui a manifestement des répercussions négatives — problèmes de santé et information financière qui est apparue indépendamment de la volonté de la personne concernée, par exemple. Je crois que la portée d'un droit élaboré au Canada serait plus restreinte, et dans certaines décisions judiciaires, il a été question de ce qu'est une atteinte à la vie privée dans ce contexte, ce qui est pertinent.

    Il y a également d'autres problèmes concernant la mise en oeuvre de ce droit.

    L'Union européenne s'est fondée sur des moteurs de recherche intermédiaires pour l'exercice de ce droit. Ce sont ces moteurs qui enlèvent ou radient du contenu de la liste. Ce modèle intermédiaire a causé de nombreux problèmes dans bien des contextes juridiques. J'ai entendu dire que, de façon similaire à une décision récente de la Cour fédérale, l'affaire Globe24h, le commissaire à la protection de la vie privée s'est plutôt attaqué au site hôte et a dit qu'il pouvait conserver l'information — de sorte qu'elle n'est pas oubliée; elle est encore là —, mais qu'il fallait protéger certains types d'information de ce qui peut être révélé dans une recherche.

    Quelque chose de ce genre, qui porte sur le site principal plutôt que sur le site intermédiaire, conviendrait peut-être davantage et permettrait de résoudre une partie des problèmes soulevés dans ce contexte.

    Voilà où nous en sommes. J'espère que c'est un peu utile.

     Ils sont peut-être allés plus loin que nous. Nous sommes peut-être plus prudents dans nos observations parce qu'il y a une volonté de réfléchir rapidement à la façon dont nous pouvons modifier la LPRPDE pour nous assurer du caractère adéquat, et je préférerais examiner la situation sous un autre angle et déterminer si nous avons besoin d'instaurer un droit à l'oubli au Canada et si c'est ce que nous souhaitons faire, en ne perdant pas de vue le droit à la liberté d'expression et d'autres droits que nous valorisons dans notre société démocratique. Nous pouvons alors examiner le caractère adéquat, car il y a encore des transferts de données entre les pays dont le niveau des mesures n'est pas adéquat.

    Encore une fois, je dirais que c'est formidable et très pratique, mais nous ne devrions pas aller à l'encontre de nos valeurs démocratiques.

    J'ai une autre question importante que j'espère pouvoir poser, mais je vous remercie tous beaucoup de votre consensus

    Merci, monsieur Saini.

    C'est maintenant au tour de M. Kelly.

    Merci.

    Avant d'interroger les témoins, monsieur le président, je vais présenter la motion dont j'ai donné préavis lors de la dernière réunion: que le comité invite le président du Conseil du Trésor, l'honorable Scott Brison, à comparaître devant lui dès que possible pour discuter de la récente décision de reporter sa réforme proposée de la Loi sur l'accès à l'information.

    Monsieur Kelly, votre motion est recevable et les 48 heures sont passées. Le Comité est donc saisi de la motion.

    Voulez-vous parler de votre motion, monsieur Kelly?

    Oui.

    Nous y avons consacré beaucoup de temps au début. Nous avons travaillé très fort pour préparer un rapport dont nous étions tous satisfaits, je crois, et qui tenait compte des préoccupations soulevées par de nombreux témoins, dont les témoins d'aujourd'hui. Je crois que les trois d'entre vous ont participé à cette étude.

    Dans la lettre de mandat destinée au président du Conseil du Trésor, on lui demande d'entreprendre cette réforme. Bon nombre des témoins qui ont comparu à ce sujet ont dit que cette réforme était urgente. Durant la campagne électorale, la plateforme du Parti libéral incluait la promesse d'entreprendre cette réforme, mais voilà que le ministre la reporte. Il semble qu'il n'a pas tenu sa promesse jusqu'à ce jour, et compte tenu de l'échéancier qu'il se donne maintenant, il semble être en bonne voie de ne pas tenir sa promesse de faire cette réforme avant la prochaine élection.

    Je crois qu'il est important qu'il comparaisse devant nous. Je propose que nous lui demandions de s'expliquer.

    Merci beaucoup, monsieur Kelly.

    On vient de commencer à établir une liste d'intervenants.

    Monsieur Jeneroux, allez-y, s'il vous plaît.

    Merci, monsieur le président, et je remercie les témoins de leur présence.

    Bien que ceci soit de la plus grande importance pour le Comité, nous pensions que le ministre faisait preuve de bonne volonté à cet égard. Lorsqu'il a comparu devant nous, il a même apporté une modification auparavant concernant les frais à 5 $, ce qui, à notre avis, était un geste de bonne volonté. Nous croyions avoir établi une bonne relation avec le ministre. Toutefois, maintenant, il semble qu'il ait annoncé dans les médias qu'il ne ferait pas adopter de modifications à la Loi sur l'accès à l'information, ce qui devrait être une priorité pour le Comité, car, bien honnêtement, nous y avons consacré beaucoup de temps.

    On lui a donné la priorité pour que ce soit fait, et ce, rapidement. Je crois qu'il a dit que les changements seraient apportés au début de l'année 2017. Malheureusement, nous sommes au début de 2017, et il est revenu sur sa parole.

    Comme le Comité le sait, dans le document intitulé Changer ensemble qu'il a utilisé durant la campagne électorale — que j'ai déjà cité à maintes reprises auparavant —, le Parti libéral indique, au tout début de la partie qui porte sur l'ouverture et la transparence d'un gouvernement, ceci: « nous modifierons la Loi sur l'accès à l'information ». Il semble que ce soit un autre exemple qui montre que cette promesse a été abandonnée. Il semble que ce soit une tendance dans ce gouvernement.

    Nous aimerions tuer le problème dans l'oeuf et faire comparaître le ministre devant nous pour qu'il nous explique pourquoi il a décidé de revenir sur sa promesse.

    Il n'y a plus d'intervenants sur la liste. Je vais alors mettre la question aux voix.

    (La motion est rejetée.)

    Le président: M. Kelly a la parole à nouveau. Vous avez déjà utilisé 30 secondes. Il vous reste six minutes et demie pour poser des questions à nos témoins.

    Merci. Je vais probablement céder une partie de mon temps à M. Jeneroux.

    Je vais commencer par M. Israel. Vous avez dit que la Loi était bien adaptée, de façon générale, mais qu'il manque des mesures d'application. Pouvez-vous me dire exactement ce qui est le plus important à votre avis? Faut-il simplement établir les pouvoirs de rendre une ordonnance et d'imposer des amendes?

     Nous proposons de légères modifications précises qui, selon nous, feront en sorte que la Loi permettra davantage de résoudre certains problèmes qui se posent aujourd'hui, mais nous pensons que le caractère exécutoire et l'inclusion de l'incitatif au respect constituent les étapes les plus importantes, en partie parce que cela a des conséquences d'une portée considérable. Cela amène les organisations à prendre cela plus au sérieux et à examiner leurs pratiques de façon plus proactive et à ne pas nécessairement attendre qu'une plainte soit déposée auprès du commissaire ou que le commissaire frappe à la porte.

    D'après ce qu'ont dit des avocats qui conseillent régulièrement des entreprises de différentes tailles, et d'après notre expérience de travail auprès d'entreprises à l'échelle internationale à cet égard, nous pensons simplement qu'elles y accorderont plus d'importance si une amende peut être imposée.

    Nous croyons que c'est la principale chose.

    C'est maintenant au tour de M. Jeneroux.

    Merci.

    Je vous remercie encore une fois de votre présence. Je m'excuse du retard.

    Madame Stoddart, je veux m'exprimer le plus poliment possible; dans votre déclaration préliminaire, vous avez vous-même montré que vous êtes là depuis longtemps, compte tenu de votre longue expérience dans ce domaine, si l'on veut.

     Oui.

    Alors, je ne me sens pas mal de mentionner que vous étiez ici lors du dernier examen de la LPRPDE, en 2007. À l'époque, vous aviez recommandé des modifications à la loi.

    Voici les trois recommandations que vous aviez faites: les pouvoirs du commissaire ne devraient pas être élargis; la communication transfrontalière de renseignements personnels devrait être contrôlée au moyen des lois actuelles et d'ententes contractuelles dans le secteur privé; et enfin, le processus consistant à désigner des organismes d'enquête devrait être établi et réglementé aux termes de la loi.

    Vous avez parlé un peu de ces éléments, mais voudriez-vous dire clairement, à nous et aux analystes, quelle a été votre position au cours des 10 dernières années et si votre point de vue a changé.

    Voulez-vous que je les répète?

    J'ai oublié la première recommandation, mais mon point de vue a assurément changé. Il a changé à l'époque où j'étais commissaire à la protection de la vie privée. Le monde change rapidement, et ce qui me préoccupe maintenant correspond à ce dont je vous ai parlé ici de manière très générale.

    Certaines de ces questions ont été réglées et n'étaient plus incluses dans mes rapports subséquents ou dans des examens de la LPRPDE subséquents. Je crois qu'il serait plus utile d'examiner des points de vue plus récents.

    D'accord. C'est utile. Merci.

    Le Règlement général sur la protection des données entrera en vigueur en 2018. Il fera partie des mesures de protection de la vie privée de l'Union européenne. Dans ce contexte, nous avons parlé un peu du droit à l'effacement. Mon collègue, M. Saini, a soulevé la question. Y a-t-il d'autres mesures en vertu des changements reflétés dans le Règlement général sur la protection des données que nous devrions considérer comme étant importants, en sachant que le Règlement entrera en vigueur dans environ un an?

    La question s'adresse à tous les témoins. Peut-être que Mme Morin pourrait commencer.

     J'examinerais peut-être la question sous un autre angle, comme je l'ai fait à la fin de mes remarques de tout à l'heure. Nous devrions chercher à apporter les changements que nous croyons qu'il est nécessaire d'apporter pour que notre cadre législatif sur la vie privée se fonde sur nos valeurs et notre propre système démocratique tant dans la common law que dans le droit civil.

    Permettez-moi de vous interrompre. Je suis désolé de le faire.

    Voici ce que je veux savoir. Puisque de telles mesures entreront déjà en vigueur dans l'Union européenne, et si l'on tient compte du fait que tandis que nos lois et nos valeurs canadiennes sont importantes, cela pourrait avoir ou aura des répercussions sur nous ici au Canada également, y a-t-il une chose sur laquelle nous devrions nous concentrer qui nous forcerait à axer nos efforts peut-être d'une façon un peu différente.

    À bien des égards, l'Europe rattrape son retard concernant des éléments que comprend déjà notre régime de protection des renseignements personnels depuis longtemps, comme le principe de la responsabilité. Les atteintes, c'est un volet qui existe ici, mais qui est plus récent en Europe. Les évaluations des répercussions sur la vie privée et le respect de la vie privée dès la conception, ce sont des modalités et des pratiques qui ont été conçues ici au Canada. L'Europe fait du rattrapage et essaie de brûler des étapes, à certains égards.

    La position que l'Association du barreau canadien essaie de présenter aux membres du Comité, c'est que nous ne devrions pas modifier nos lois simplement parce que l'Union européenne le fait. Cela aura-t-il des répercussions sur nous? Je crois que c'est inévitable. L'obsession à l'égard du caractère adéquat, comme je l'ai mentionné, c'était formidable et pratique, et c'était très bon pour les entreprises canadiennes, parce que le transfert d'information en était simplifié. Ce n'est pas la seule façon de procéder. Il existe d'autres mécanismes que d'autres pays utilisent.

    Si nous pouvions faire les choses facilement, je pense que bon nombre de personnes donneraient leur appui, mais je ne crois pas que nous voulons faire cela à tout prix. Je crois que certains éléments du Règlement général sur la protection des données vont peut-être trop loin, en fait.

     D'accord.

    Voulez-vous intervenir, monsieur Israel?

    Comme l'ont fait mes collègues, je veux seulement dire qu'il est difficile de prédire comment ces obligations se traduiront pour ce qui est du caractère adéquat. Il ne s'agira probablement pas d'un copier-coller direct, et il sera donc probablement plus facile de présenter des arguments en faveur de cela si nous avons des éléments qui tiennent compte de nouveaux développements clés, mais qui concordent également avec les lois canadiennes. Encore une fois, je ne veux pas ressasser la même rengaine, mais je pense que les choses seront peut-être difficiles sur le plan de l'application dans ce processus parce que c'est un volet dans lequel nous sommes en décalage par rapport à d'autres commissariats à la protection des données dans le monde, et que l'Union européenne a amélioré les choses de façon considérable sur ce plan récemment.

    Merci beaucoup.

    C'est maintenant au tour de Mme Trudel, qui dispose de sept minutes. Allez-y, s'il vous plaît.

    Merci.

    Bonjour à tous et à toutes.

    Tout d'abord, j'ai une demande spéciale, monsieur le président. Étant donné qu'il y a un délai avant d'entendre l'interprétation, j'aimerais que, lorsqu'il y a des votes, on tienne compte du fait que je peux répondre avec un peu de retard. Je pense que vous avez manqué ma réponse au premier vote.

    Donc, lorsqu'il y a des votes, il faudrait penser à moi et au fait qu'il y a un délai dans l'interprétation.

    Ne vous inquiétez pas.

    Merci.

    Votre vote a été compté.

    Des députés: Ah, ah!

    Merci.

    Je signale que le résultat était le suivant: trois contre six.

    Je m'excuse de cette intervention, mais il faut que je me fasse entendre.

    Je vous souhaite donc la bienvenue au Comité.

    Je m'excuse également du retard; nous avons été retardés à la Chambre.

    Merci de votre présentation.

    Vous avez parlé du droit à l'oubli. Je sais qu'il y aura d'autres questions, mais c'est un sujet qui a capté mon attention dans la documentation. J'aimerais revenir sur cette question. Je ne suis pas avocate de formation, alors vous me pardonnerez si je n'utilise pas tout à fait les bons termes.

    Ma question s'adresse à vous trois.

    Concernant le droit à l'oubli, les enfants et les adolescents sont plus vulnérables. Avec les tablettes et les téléphones, ils ont accès à presque tout. Les enfants et les adolescents peuvent poser des gestes qui vont rester et qui pourraient avoir des conséquences plus tard.

    Est-ce que la LPRPDE pourrait inclure des dispositions particulières en ce qui concerne le consentement pour la collecte d'information et la réputation en ligne des enfants et des adolescents?

    Je peux commencer à répondre.

     Je dirais que non. On parle beaucoup de défis constitutionnels. Il y a moins de danger en ce qui concerne le droit à l'oubli et le droit à la liberté d'expression qu'il n'y en a pour les initiatives fédérales qui concernent les enfants. En général, cela relève de la compétence des provinces. Bien que cette question soit très importante, il vaut mieux l'aborder sous l'angle du renforcement du principe du consentement. Il faudrait peut-être porter attention à la notion des données sensibles, qui est présente dans le règlement européen.

    Voulez-vous faire d'autres commentaires, monsieur Israel?

    Oui. Une disposition récente a été ajoutée à la LPRPDE et elle a renforcé le principe du consentement dans des situations où il n'est pas clair que les personnes qui consentent comprennent pleinement les répercussions qu'auront leurs décisions. Je dirais que je suis d'accord non pas avec le commissaire, mais avec l'ancienne commissaire, c'est-à-dire qu'il peut être plus difficile de tracer des lignes nettes selon l'âge tant au fédéral qu'au provincial. Toutefois, il peut y avoir moyen d'adopter une politique plus globale qui est définie en termes plus généraux, comme celle-là, mais qui est conçue spécialement pour certains des défis dont vous parlez, mais que soit déterminé un âge précis, comme une limite d'âge, ce qui correspond à la démarche européenne.

    Madame Morin, voulez-vous intervenir?

    Oui, brièvement.

    M. Israel a expliqué que la dernière fois qu'on a apporté des changements à la Loi, on a ajouté un élément au concept de consentement, qui s'appelle le consentement valide. C'était déjà couvert, mais c'est une précision qu'on a apportée justement pour protéger les groupes plus vulnérables, soit les gens plus âgés et les enfants. C'était censé renforcer l'obligation des organismes de s'assurer qu'en ce qui concerne les enfants, il faut avoir un consentement valide. Lorsque les enfants sont très jeunes, c'est très difficile de s'assurer de cela. On se fie aux parents et on est limité dans ce qu'on peut faire.

     Merci.

    Mesdames et messieurs, vous entendez la sonnerie. Apparemment, nous avons un vote imprévu à la Chambre. Le décompte de 30 minutes a commencé. Si nous voulons poursuivre notre séance au-delà de cela, nous avons besoin du consentement unanime des membres du Comité.

    Il reste encore environ trois minutes à Mme Trudel, et il reste environ sept minutes au premier tour. Puis-je suggérer que nous finissions le premier tour si nous avons le consentement unanime, pour éviter à nos témoins d'avoir perdu leur temps, et que nous allions voter ensuite? Ai-je le consentement unanime?

    Des députés: D'accord.

    Le président: Merci à vous tous.

    Madame Trudel, veuillez continuer jusqu'à ce que votre temps soit écoulé.

    Merci.

    Est-ce que les développements technologiques ont une incidence sur la neutralité technologique de la LPRPDE?

    Je vais demander au praticien actuel de répondre à votre question.

    Je pense que la LPRPDE a la flexibilité nécessaire pour les technologies nouvelles. Le défi est d'agir assez rapidement. On a discuté de certaines des choses que le Commissariat à la protection de la vie privée fait depuis un moment, soit d'aborder de façon proactive les enjeux particuliers comme le droit à l'oubli et d'examiner le consentement pour voir s'il répond toujours aux besoins. Émettre des politiques axées sur le contexte ou sur le secteur en réponse aux problèmes particuliers qui émergent, dans le cadre des principes généraux, pourrait contribuer à ce que cela se poursuive.

    Je crois qu'elle a le potentiel de répondre aux technologies nouvelles. La difficulté, c'est qu'elle est surtout fondée sur les plaintes, même si de nombreuses mesures proactives ont été prises par le Commissariat. Je crois cependant que la flexibilité est là. J'espère que cela vous aide.

    Avez-vous quelque chose à ajouter, madame Morin?

    Je suis d'accord. La LPRPDE est assez flexible pour permettre qu'on tienne compte des changements apportés par les nouvelles technologies.

    En 2001, il n'y avait pas Twitter, Facebook, Google ou LinkedIn. Aucun de ces services n'existait à l'époque. Pourtant, ces organisations ainsi que le Commissariat ont pu régler des plaintes, et ils en traitent encore. La technologie change, mais la LPRPDE est assez flexible pour qu'on puisse s'adapter à ces changements. Comme je l'ai mentionné auparavant, cette loi a été rédigée de façon à ce qu'elle soit neutre.

    J'ajouterais une chose. Dans nos observations, nous avons souligné les problèmes qui découlent de la prise de décisions en fonction d'algorithmes et de la prise de décisions automatisée. Je pense que la LPRPDE a eu des problèmes avec des choses analogues dans le passé. C'est un aspect qui, sur le plan technologique, devient très important. La prise de nombreuses décisions devient donc automatisée, ce qui la rend très opaque. Le secret commercial qui entoure cela peut rendre très difficile la compréhension de la façon dont les décisions sont prises, et parce que ces décisions se fondent sur des renseignements personnels, c'est une chose que la LPRPDE a toujours cherché à résoudre.

    Je pense que c'est un problème qu'il faudra finir par examiner au moins d'une façon très axée sur le contexte; cela touche les enfants, les adultes, tout le monde.

    D'accord. Merci beaucoup.

    Pour être sûrs de nous rendre au vote à temps, nous allons passer à M. Erskine-Smith. Essayez de vous en tenir à sept minutes, monsieur. Merci.

    Absolument.

    Merci à tous les témoins.

    Je me suis marié il y a quelques années. Mon groupe et moi avons acheté nos habits pour le mariage auprès d'Indochino, en ligne. Pendant les quelques mois qui ont suivi, quand je me connectais sur Gmail, une fenêtre publicitaire qui m'invitait à visiter Indochino surgissait. Je ne me souviens pas d'avoir lu la politique, quand je me suis inscrit sur Gmail. Je ne me souviens pas du consentement que j'ai donné, mais apparemment, j'ai consenti à cela.

    Je n'ai pas de problème avec cette publicité ciblée, mais je veux vous poser une question, madame Morin. Vous dites que le modèle de consentement fonctionne. Je crois que le modèle fondé sur des principes que nous avons avec la LPRPDE explique que vous ayez tous dit que la Loi a résisté à l'épreuve du temps, à sa manière. Madame Morin, vous êtes d'avis que nous ne devons pas modifier le modèle de consentement s'il fonctionne bien pour la pratique privée.

    Madame Stoddart et monsieur Israel, devrions-nous envisager des moyens de modifier le modèle de consentement? Le commissaire à la protection de la vie privée actuel a un document de discussion, en ce moment, qui traite des mégadonnées et de l'Internet des objets, et qui semble indiquer que le modèle de consentement actuel est peut-être insuffisant. Est-il insuffisant?

    Je crois qu'il est possible d'imposer une exigence de consentement plus ferme avec les principes qui sont là. Nous avons suggéré d'intégrer de manière explicite, comme principe directeur, la protection des renseignements personnels par défaut. J'ai un peu escamoté cela parce que vous manquiez de temps, mais je soulignerais la nécessité, en pareilles situations, d'avoir une fenêtre contextuelle qui dirait: « Au fait, nous allons lire vos courriels, et si nous y voyons le mot « habit », nous allons faire apparaître des publicités présentant des habits. Si vous n'en voulez pas, veuillez cocher ici. » La protection des renseignements personnels par défaut garantirait une interaction plus explicite. Un choix est offert.

    Cela ne semble pas exiger une modification de la loi comme telle — ce serait peut-être dans les dispositions réglementaires. Ce ne serait pas une modification à la LPRPDE. Vous dites que cela se fonderait sur les principes existants de la LPRPDE.

    Je crois que c'est implicite en ce moment, mais si les exigences deviennent plus rigoureuses — par exemple, si c'est quelque chose qui va à chacun des appareils que vous avez dans la maison et que votre téléviseur vous enregistre par défaut, je pense que vous pouvez... Il y a une manière raisonnée d'arriver à cela avec des mesures législatives aussi. Des mesures législatives donneraient l'orientation qui vous amènerait là.

    D'accord.

    Madame Stoddart, avez-vous une opinion à savoir si nous nous fondons en fait sur le modèle de consentement actuel?

    Je pense que nous devrions nous intéresser au travail qui émergera du Commissariat à la protection de la vie privée, simplement parce que ces gens ont une grande expertise et beaucoup de renseignements.

    Je pense que ce qui est intéressant, c'est ce qui se fait au sein de l'Union européenne. Si je comprends bien, on resserre le consentement. Il faut que le consentement soit ferme et direct, dès le début, mais on dit aussi qu'il y a des aspects pour lesquels le consentement n'est pas requis, sauf s'il y a ce qu'ils appellent les intérêts primordiaux et les droits des personnes concernées. Je me demande si cela pourrait être plus clair pour tout le monde, plutôt que la gradation qui s'applique au consentement actif, au retrait, au consentement implicite et au consentement initial. J'encouragerais...

    Devons-nous attendre les recommandations du commissaire à la protection de la vie privée, les examiner, puis partir de ce point?

    Oui. Je crois qu'ils consacrent probablement plus de temps que nous tous à penser à cela.

    Pour résumer rapidement, en ce qui concerne les exigences de publication liées à des données transmises à des organismes d'application de la loi, madame Stoddart, vous avez recommandé un changement quand vous étiez commissaire à la protection de la vie privée.

    Monsieur Israel et madame Morin, devrions-nous exiger clairement la transparence pour l'information qui est transmise à des organismes d'application de la loi, du moins pour savoir combien de fois des renseignements de cette nature sont transmis?

    Ma réponse est très simple. Nous n'avons pas d'opinion là-dessus.

    M. Nathaniel Erskine-Smith: D'accord. C'est simple, en effet.

    Oui, nous le recommandons. Il n'est pas nécessaire d'avoir une exigence d'application générale, mais un mécanisme qui permettrait explicitement au commissaire à la protection de la vie privée d'imposer des obligations sectorielles et des obligations ayant une portée donnée. Cela pourrait être plus approprié pour certains... Je crois que c'est facile, pour les communications électroniques. Pour d'autres secteurs, comme celui de la restauration, ce peut être une fois par année, mais un rapport sur les mesures de transparence n'est pas nécessaire.

    Ma dernière question porte sur les pouvoirs du commissaire à la protection de la vie privée.

    Madame Stoddart, vous avez recommandé des améliorations aux pouvoirs, mais ce n'est pas clair pour moi. Vous avez énoncé un éventail d'options: dommages-intérêts d'origine législative, sanctions administratives pécuniaires et pouvoirs de rendre des ordonnances. Avez-vous une opinion très ferme, d'un côté ou de l'autre, concernant les pouvoirs que le commissaire à la protection de la vie privée devrait avoir, en plus de ceux qui lui sont conférés par la LPRPDE?

    Oui. J'ai déclaré précédemment avoir une opinion ferme sur les pouvoirs du commissaire. Depuis ma retraite, je dis que je suis très convaincue que le commissaire à la protection de la vie privée du Canada devrait cesser d'enquêter sur chaque plainte qui lui est soumise.

    Il y a eu des modifications, mais pour prendre des mesures législatives intelligentes et les appliquer intelligemment, je pense qu'il faut faire preuve de souplesse, être réceptif, et être à jour. Il faut constamment suivre ce qui se fait, et il faut adapter la réponse à toutes les situations, à toutes les technologies et à tous les intervenants différents.

    C'est le pouvoir discrétionnaire d'enquêter si on le juge nécessaire...

    Oui.

    ... et d'améliorer les mesures réglementaires en conséquence.

    Le commissaire à l'information du Royaume-Uni impose des amendes assez importantes — il l'a du moins fait dans le passé —, mais nous n'avons pas le pouvoir de le faire. En plus de ce pouvoir discrétionnaire, le commissaire à la protection de la vie privée devrait-il avoir le pouvoir d'imposer des amendes?

    Oui.

    Est-ce qu'il y en a qui ne sont pas d'accord?

    Nous dirions que non.

    J'ai une dernière question pour vous en particulier. Le pouvoir d'imposer des amendes s'accompagne d'une chose importante, et c'est la dissuasion.

    Vous avez dit que les dommages-intérêts sont suffisants. J'ai fréquenté la faculté de droit il y a longtemps — bien que cela ne fasse pas aussi longtemps que Mme Stoddart —, mais je me souviens de l'arrêt Ward. Des dommages-intérêts de 5 000 $ ont été accordés au plaignant pour une fouille à nu illégale. J'ai trouvé que c'était terriblement peu. Cela n'aurait pas un très grand effet dissuasif. Quand vous dites que les dommages-intérêts sont suffisants, avez-vous des exemples à nous donner?

    Est-ce que Ward constituait un précédent?

    Oui, c'en est un.

    C'est différent, mais cela fait partie de ce que les cours font. Elles évaluent les dommages et, en fonction de cela, déterminent les dommages-intérêts à accorder en conséquence.

    S'il y a des affaires qui sont pertinentes...

    Tout récemment, des dommages-intérêts de 115 000 $ ont été accordés, je crois.

    Pouvez-vous en donner les détails aux membres du Comité?

    Bien sûr.

    M. Nathaniel Erskine-Smith: Merci beaucoup.

    En Ontario, en vertu des lois provinciales, des dommages-intérêts de 160 000 $ ont récemment été accordés pour atteinte à la réputation.

    Il faut préciser que ce n'était pas en vertu de la LPRPDE. Encore là, il est question d'un ensemble très différent d'activités, et cela ne correspond pas au cadre réglementaire qui existe.

    Je vous remercie, chers collègues et témoins.

    Nous sommes désolés d'avoir dû commencer tard et finir tôt. Si les témoins estiment avoir d'autres renseignements à nous transmettre, ils sont bienvenus de le faire.

    Mesdames et messieurs, nous avons environ 17 minutes pour nous rendre à la Chambre des communes. Merci.