ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le jeudi 1er juin 2017
[Enregistrement électronique]
[Traduction]
Bienvenue à la 63e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.
Nous poursuivons notre étude sur la Loi sur la protection des renseignements personnels et les documents électroniques.
Nous accueillons des témoins de l'Association des bibliothèques de recherche du Canada, de l'Association canadienne des archivistes, du Conseil canadien du commerce de détail et de Google Canada.
Commençons avec les exposés de nos témoins — vous avez 10 minutes chacun —, puis nous allons passer à la période de questions.
Commençons avec les représentants de l'Association des bibliothèques de recherche du Canada, Mme Bourne-Tyson et Mme Haigh.
Nous vous remercions de nous donner l'occasion de témoigner devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique dans le cadre de votre étude sur la Loi sur la protection des renseignements personnels et les documents électroniques.
Je m'appelle Donna Bourne-Tyson. Je suis la bibliothécaire de l'Université Dalhousie, la présidente de l'Association des bibliothèques de recherche du Canada — ou l'ABRC — ainsi qu'un des membres du conseil d'administration de la Fédération canadienne des associations de bibliothèques. Je suis accompagnée aujourd'hui de Susan Haigh, directrice générale de l'ABRC. Nous sommes heureuses d'être ici afin de vous faire part de l'avis de l'ABRC sur le droit à l'oubli.
L'ABRC est le porte-parole national des 31 plus importantes bibliothèques de recherche au Canada, dont 29 font partie des plus grandes universités de recherche au Canada. L'ABRC représente également la Bibliothèque scientifique nationale du Canada ainsi que Bibliothèque et Archives Canada. Les universités mères des membres de l'ABRC reçoivent annuellement plus de 6 milliards de dollars en financement pour la recherche. Quant à elles, les bibliothèques dépensent plus de 285 millions de dollars par année en ressources documentaires afin de soutenir les étudiants, les professeurs et les chercheurs.
Les innovations canadiennes reposent sur l'ABRC; ses membres fournissent un accès au savoir et protègent l'information vitale dont le monde de la recherche a besoin. Les bibliothèques universitaires de recherche sont à la fine pointe des technologies de partage et de diffusion de l'information, puisque ces activités se font de plus en plus dans un environnement numérique. C'est pour cette raison que l'ABRC s'est beaucoup intéressée à ce nouveau droit à l'oubli.
Nous sommes d'avis que toute approche législative ou réglementaire concernant le droit à l'oubli devra examiner, respecter et soupeser avec prudence toute une gamme de droits et libertés importants. Comme cela a été mentionné dans le court mémoire que nous avons fait parvenir au Comité en avril, nous avons choisi de suivre l'Énoncé de principes de l'IFLA — la Fédération internationale des associations et institutions de bibliothèques — sur le droit à l'oubli, publié en février 2016.
L'ABRC a décidé d'accorder la priorité au droit à l'oubli dans ses commentaires, mais je souligne que nous soutenons fortement les objectifs élargis de la LPRPDE, ce dont nos collègues archivistes vont vous parler plus tard aujourd'hui. Les bibliothèques de recherche jouent un rôle de plus en plus grand en ce qui concerne la gestion des données expérimentales, et nous nous engageons fermement à définir et mettre en oeuvre les pratiques de ce qu'on pourrait appeler la gestion éthique des données. Selon les milieux des archives et des bibliothèques, la façon dont les données sont gérées est un élément clé dans la protection adéquate des renseignements personnels. Parallèlement, la gestion des données facilite le libre accès aux données et permet aux méthodes de recherche fondées sur la technologie d'explorer des ensembles de données anonymes ou cumulatives.
Je vais maintenant vous exposer nos opinions quant au droit à l'oubli.
En 1987, les membres de l'ABRC ont approuvé comme principe la liberté d'expression. Par conséquent, les bibliothèques de recherche du Canada ont la responsabilité de « faciliter l’accès à toute forme de connaissance, d’opinion, d’activité intellectuelle et de créativité portant sur toutes les périodes de l’histoire, jusqu’à l’ère moderne, ceci incluant également ce qui pourrait être considéré comme contraire aux conventions, impopulaire, hétérodoxe ou inacceptable ». Ce principe reflète le droit fondamental d'accès à toute forme de connaissance, de créativité et d'activité intellectuelle, comme cela est mentionné dans la Charte canadienne des droits et libertés.
À première vue, le droit à l'oubli semble s'opposer à cette responsabilité. Cela ne veut pas dire que des bibliothèques sont réticentes à protéger le droit à la vie privée. C'est plutôt, comme je vais l'expliquer, que le droit à l'oubli soulève des questions complexes et nouvelles sur le plan éthique et technologique pour lesquelles il faudra trouver un juste équilibre entre des droits fondamentaux qui, parfois, semblent s'opposer.
De par la nature même de leur mission, les bibliothèques se doivent de soutenir l'intérêt du public et d'être vigilantes quant aux préoccupations relatives à la protection des renseignements personnels sur Internet. La communauté des bibliothèques reconnaît que certains renseignements sur Internet peuvent causer des préjudices, surtout dans les cas où l'information est fausse ou diffamatoire. Le droit à l'oubli est un moyen légitime pour certaines personnes d'atténuer ce problème.
Les bibliothèques sont également chargées de préserver les documents publics et de défendre la liberté d'expression et l'accès à l'information. La communauté des bibliothèques de recherche a déterminé qu'une approche législative ou réglementaire concernant le droit à l'oubli doit éviter trois dangers.
D'abord, même s'il s'agit d'un droit important, le droit à la vie privée doit toujours être mis en balance avec d'autres droits, par exemple la liberté d'accès à l'information et la liberté d'expression. On ne respecte pas ces droits lorsque des renseignements sont interdits d'accès ou supprimés. Même si du contenu peut être retiré d'Internet par son propriétaire, le « droit à l'oubli » suppose de s'assurer que le droit à la vie privée d'une personne figurant dans un contenu donné n'empiète pas indûment sur le droit à la liberté d'expression du créateur, par exemple les auteurs ou les éditeurs.
Ensuite, un autre danger du droit à l'oubli est la suppression excessive de contenu. Si le droit à l'oubli était enchâssé dans la LPRPDE ou dans un autre texte législatif, les législateurs et les organismes de réglementation devront s'attaquer proactivement à ce qui pourrait inciter des plateformes comme Google ou Facebook à simplement délister n'importe quel contenu dès que cela est demandé. Dans la section de son rapport Transparence des informations sur le « droit à l'oubli » pour la suppression de contenu en Europe, mis à jour le 28 mai 2017, Google a examiné plus de 2 millions d'adresses URL, et en a supprimé 750 487.
Même si Google semble essayer de trouver un équilibre entre des intérêts publics opposés dans ses décisions, il est important de garder à l'esprit le fait que chaque demande relative au droit à l'oubli qui est approuvée afin de protéger les renseignements personnels d'une personne risque d'étouffer la liberté d'expression de l'auteur du contenu délisté. C'est ici qu'on voit poindre l'ombre de la censure.
L'intégrité des documents historiques est également un autre aspect très important de la question. Les renseignements qu'on trouve sur Internet auront peut-être une valeur dans l'avenir, autant pour le public que pour les chercheurs. Avant de prendre la décision de supprimer des renseignements, nous croyons qu'il faudrait, à chaque fois, procéder à une évaluation par des experts de l'impact que cela aurait sur les documents historiques, du besoin de conserver l'information pour les générations futures du Canada et des façons d'atténuer ces impacts. De par cette recommandation, les bibliothèques de recherche reconnaissent que le monde numérique facilite l'accès à des documents historiques qui, autrement, n'existeraient que physiquement dans des bibliothèques ou des dépôts d'archives.
Pour cette raison, nous recommandons une approche pour le droit à l'oubli qui ne supprime pas purement et simplement le contenu; il nous semble un peu plus acceptable de réduire la visibilité du contenu en empêchant les moteurs de recherche de l'afficher. Concrètement, le délistage empêche le public d'accéder à de l'information en faisant une recherche à partir de mots clés; cependant, le contenu peut toujours être trouvé par un chercheur compétent et travaillant, qui peut aussi consulter des bases de données dont le contenu n'est pas indexé par les moteurs de recherche.
Notre position est donc qu'une application limitée et nuancée du droit à l'oubli est appropriée. La suppression de liens renvoyant à un délit commis par un mineur ou à des photos sexuellement explicites d'un simple citoyen sont de bons exemples d'application du droit à l'oubli. La situation se complique quand il est question de supprimer des liens concernant la faillite d'une entreprise, une déclaration peu judicieuse d'un chef d'entreprise ou de documents publics qui n'ont pas été scellés par ordonnance d'un tribunal ou selon une pratique judiciaire.
Pour vous donner un exemple récent, une demande a été présentée en vue de supprimer d'Internet une thèse comprenant un chapitre sur les activités d'une personne liée au crime organisé. Le nom de la personne était mentionné, mais elle a depuis changé de vie. La demande a été refusée puisqu'il a été conclu qu'il s'agissait d'une recherche sérieuse et que la personne qui a écrit la thèse et qui en détient les droits s'y est opposée. Dans ce cas, l'ABRC est d'avis que la bonne décision a été prise: la thèse ne devrait pas être supprimée d'Internet simplement parce qu'une personne souhaitait faire disparaître toute trace de son passé criminel.
Les gens ne devraient pas être en mesure de se prévaloir cavalièrement du droit à l'oubli, et leurs demandes ne devraient pas être approuvées immédiatement par les moteurs de recherche. Si on décide d'adopter une politique par rapport à ce droit, il faut que son application soit limitée et que ses critères d'application soient clairs. Ce droit soulève des considérations complexes qu'il faut soupeser et des droits en opposition qu'il faut équilibrer. Il est très probable que chaque cas devra être évalué individuellement, le plus souvent — et c'est quelque chose d'essentiel — par une tierce partie éclairée et objective. Il conviendrait, pour le mécanisme relatif au droit à l'oubli, d'exiger une ordonnance d'un tribunal avant de supprimer de l'information ou des données quelles qu'elles soient, et non de laisser à des entreprises comme Google ou même aux bibliothèques de recherche la tâche de trancher ces questions éthiques de nature délicate qui concernent chaque Canadien.
En conclusion, au nom de la communauté de chercheurs que servent ses membres, l'ABRC demande d'appliquer une approche très limitée en ce qui concerne le droit à l'oubli. Nous recommandons qu'une ordonnance du tribunal soit nécessaire, en règle générale, pour supprimer du contenu, et que le droit à l'oubli ne puisse être invoqué en ce qui concerne les liens affichés par les moteurs de recherche qui servent des fins historiques, statistiques ou de recherche. Nous voulons ainsi protéger l'intérêt du public et le droit à la liberté d'expression.
Merci.
Merci beaucoup.
Passons à l'Association canadienne des archivistes. M. Kozak est avec nous par vidéoconférence.
Bonjour et merci de me donner l'occasion de témoigner devant le Comité aujourd'hui. Je m'appelle Greg Kozak, et je représente aujourd'hui l'Association canadienne des archivistes. Je suis gestionnaire de documents professionnel et je suis aussi professeur adjoint à l'école de bibliothéconomie et des sciences de l'information de l'Université de la Colombie-Britannique, spécialisé dans les lois concernant l'accès à l'information et la protection des renseignements personnels.
L'ACA est une association nationale de professionnels du secteur privé et de la fonction publique. L'organisation compte près de 500 membres individuels ainsi que 200 membres-organismes dans tout le Canada. Notre domaine d'intérêts englobe la totalité du cycle de vie des documents — autant sous forme numérique qu'imprimée —, de la création à l'élimination, que le document soit destiné à la destruction ou à la conservation permanente.
Nous faisons également la promotion de pratiques de gestion de l'information uniformes, exactes et transparentes, qui sont conformes aux normes nationales et internationales. C'est pourquoi nous comptons parmi nos membres des gestionnaires de documents qui travaillent avec des documents actifs au sein de leur organisation ainsi que des archivistes, qui travaillent surtout avec des documents historiques dans une institution d'archives ou pour un programme connexe. Certains de nos membres remplissent ces deux responsabilités.
Il est dans notre intérêt de vous faire part de nos commentaires concernant ces textes législatifs ou réglementaires existants ou proposés qui pourraient avoir une incidence sur la fidélité des documents dont nous assurons la gestion ainsi que sur notre capacité de permettre l'accès à des documents authentiques à long terme, de les protéger et de les gérer. C'est sur ces points que je vais insister dans ma déclaration préliminaire.
Par fidélité des documents, nous entendons des documents créés de façon à garantir qu'ils sont exacts, complets et fiables et qu'ils sont ensuite tenus à jour et conservés de façon que l'on puisse veiller à ce que leur identité et leur intégrité — c'est-à-dire, leur authenticité — ne puissent être remises en question. Les documents fidèles peuvent être utilisés pour prouver les faits et les actions qui y sont attestés; ils peuvent être utilisés ainsi à des fins juridiques ou de recherche.
Dans un monde où le numérique et l'Internet prennent de plus en plus de place, il devient plus compliqué de tenir des documents fidèles. La majorité de cette complexité tient au respect de la vie privée et à la gestion des renseignements personnels.
Précisément, la fidélité des documents est affaiblie dans deux aspects liés à la protection des renseignements personnels. D'abord, il y a le traitement des données pendant la création et la tenue des dossiers.
Dans sa lettre au Comité, le commissaire à la protection de la vie privée a déclaré que, maintenant, « Nous ne savons plus très bien qui traite nos données et à quelles fins ». Ce n'est pas tout; nous tenons à souligner que nous ne savons pas non plus comment nos données sont traitées et par quels moyens. L'analytique à l'aide d'interfaces visuelles est une méthode d'analyse de plus en plus utilisée, et les processus décisionnels s'appuient de plus en plus sur des algorithmes complexes qui explorent des multitudes d'ensembles de données et créent une toile complexe d'interactions qui vont sans doute mener à des atteintes à la vie privée des gens dont les données ont été recueillies.
Dans ce genre de contexte, une gestion saine des documents est indispensable à la protection des renseignements personnels, puisque cela nous permettra de surveiller le traitement des données personnelles et de consigner de manière fiable les traitements effectués par ceux à qui on a confié les données.
Un deuxième aspect qui vient compliquer la fidélité des documents est l'utilisation de certaines mesures de sécurité qui anonymisent les renseignements personnels dans le document. On appelle cela la segmentation en unités; par exemple, l'identité d'une personne connue pourrait être remplacée par un autre identifiant non évident. L'organisme responsable conserve toutefois une table de concordance afin de pouvoir associer un identifiant unique à une personne.
Le problème, ici, c'est que ce genre de mesures de sécurité donne des documents qui sont difficiles à gérer à long terme. Encore une fois, on peut voir qu'il y a une convergence entre la gestion des documents et les exigences en matière de protection des renseignements personnels. Si nous voulons établir un certain sentiment de confiance relativement aux documents anonymisés, nous allons avoir besoin de savoir comment ils ont été traités.
Vu les problèmes que j'ai mentionnés, il est clair que la gestion efficace des renseignements personnels devra reposer sur des pratiques solides en matière de gestion de l'information. À cette fin, l'ACA recommande que les organisations soient obligées de rendre compte de leurs capacités de gestion des données en ce qui concerne leurs processus et leurs systèmes influant sur la protection des renseignements personnels. Notre recommandation s'aligne sur l'orientation fournie par l'Union européenne dans son Règlement général sur la protection des données, lequel exige de protéger les renseignements personnels par défaut dans la conception; en d'autres mots, les systèmes de classement documentaire doivent être conçus de façon à protéger les renseignements personnels.
Je vais maintenant aborder le sujet de la conservation des dossiers, notre deuxième fonction.
Les archivistes se procurent des documents qui rendent compte d'actes posés par des gens. Ces documents, issus d'organisations du secteur public, du secteur privé et de particuliers, couvent l'ensemble des domaines d'activité: l'administration, la recherche scientifique, le droit, les finances et la culture. Les archivistes obtiennent des documents qui révèlent le meilleur et le pire de l'humanité ainsi que tout ce qu'il y a entre les deux.
La conservation des dossiers contribue au bien de la société, car c'est de cette façon qu'une génération rend des comptes à celles qui suivent et que le public peut avoir accès à des sources uniques d'information qui lui permettront d'accomplir toutes sortes de choses: par exemple, des recherches historiques, des enquêtes scientifiques ou la réparation d'injustices passées.
À cet égard, nous recommandons de ne pas modifier les mécanismes actuels de la LPRPDE grâce auxquels le secteur privé est autorisé à fournir des documents qui renferment des renseignements personnels à des archives pour une conservation à long terme. De même, les services d'archives et les programmes relevant de la LPRPDE peuvent obtenir des dossiers renfermant des renseignements personnels et examiner prudemment les conséquences d'un nouveau droit à l'oubli ou d'un droit à l'effacement.
Présentement, la LPRPDE permet aux organisations de donner à des institutions d'archives des documents renfermant des renseignements personnels qui ont une valeur durable pour qu'elles les conservent. Ces mécanismes ne doivent pas être modifiés; les archives doivent pouvoir recevoir et tenir des documents provenant d'organisations privées. Il est crucial que les organisations privées soient autorisées à offrir leurs documents si on veut que toutes les sphères de la société soient représentées dans nos dépôts d'archives.
Un aspect de la LPRPDE qui pourrait être amélioré concerne la capacité des institutions d'archives assujetties à la Loi de se procurer des documents qui s'inscrivent dans le cadre de son mandat. Cela doit être permis. Actuellement, les archivistes ont besoin d'obtenir le consentement de la personne concernée pour se procurer des documents renfermant des renseignements personnels. En pratique, il est très peu probable que des organisations cherchent à obtenir le consentement de la personne concernée pour qu'il leur soit permis de donner à une tierce partie des documents renfermant des renseignements personnels.
En conséquence, l'ACA recommande qu'il soit reconnu que l'objectif de la conservation archivistique des documents correspond à l'objectif pour lequel les renseignements personnels ont été recueillis en premier lieu. On s'aligne ainsi sur l'approche adoptée dans le règlement de l'Union européenne, où il est indiqué que le traitement ultérieur des documents à des fins archivistiques n'est pas incompatible avec l'objectif initial de la collecte de données. Malgré tout, il demeure que les organisations doivent se doter d'un énoncé de mission en matière d'archives en bonne et due forme et qui ne déroge pas au code de déontologie de l'ACA. On évite ainsi la création d'archives dans le seul but de contourner la Loi.
Troisièmement, l'ACA est d'avis que l'introduction d'un droit à l'oubli ou à l'effacement aurait un impact sur la capacité des archives de conserver des documents. Il est essentiel de trouver un juste milieu entre le besoin de protéger la réputation des gens et la nécessité de préserver l'intégrité et l'authenticité des documents publics. La LPRPDE est fondée sur le principe que les renseignements personnels doivent demeurer exacts, complets et à jour. L'application élargie de ce principe pourrait aider à corriger les cas où des renseignements personnels incorrects ou inexacts pourraient nuire à la réputation d'une personne. Cela atténuerait le besoin de recourir au droit à l'oubli.
Néanmoins, le critère utilisé pour déterminer si la réputation de quelqu'un est en danger doit être clair et suffisamment strict pour invalider les demandes frivoles ou illogiques.
En outre, le droit à l'oubli doit aussi être pris en considération selon une perspective historique. J'entends par là précisément que la nature délicate des renseignements personnels s'amenuise au fil du temps, ce qu'on reconnaît déjà dans la LPRPDE. Il y est indiqué que les renseignements concernant une personne décédée depuis plus de 20 ans ou qui se trouvent dans un document de plus d'une centaine d'années peuvent être révélés librement.
Dans le même ordre d'idées, le règlement de l'Union européenne ne s'applique pas aux personnes décédées. Vous comprendrez donc que les atteintes éventuelles à la réputation diminuent au fil du temps, jusqu'à un point où elles disparaissent. Cela étant, le législateur doit se garder d'introduire des mesures qui pourraient mener à la destruction ou à la dissimulation permanente de documents.
Je vais terminer avec un commentaire à propos du rôle de l'infonuagique dans la protection des renseignements personnels.
De plus en plus, on crée dans le nuage des documents qui y sont tenus à jour et conservés. Une caractéristique du nuage est son autonomie par rapport à tout emplacement physique. De fait, c'est ce type de service qui est à l'origine du règlement général sur la protection des données de l'Union européenne. Le nuage a également motivé plusieurs pays à adopter des exigences sur l'accès à l'étranger et sur leur territoire aux données concernant leurs citoyens.
Au Canada, certaines provinces exigent que les organismes publics conservent en territoire canadien seulement les renseignements personnels dont ils sont responsables ou qui leur sont confiés, et qu'on ne puisse accéder qu'à ces données au Canada seulement, nonobstant une exception législative. Le gouvernement du Canada n'interdit pas aux institutions fédérales assujetties à la Loi sur la protection des renseignements personnels ou aux organisations assujetties à la LPRPDE d'utiliser des fournisseurs de services infonuagiques qui stockent des renseignements personnels à l'extérieur du Canada. Cependant, on recommande de déterminer le risque d'atteinte à la vie privée et d'établir quels sont les besoins en matière de transparence, de consentement et de déclaration pour les personnes concernées.
L'ACA est d'avis que la LPRPDE devrait prendre une position tranchée en ce qui concerne la question des administrations qui hébergent des données concernant des particuliers; à défaut, il faudra se rabattre essentiellement sur des avis juridiques au lieu de règles claires et uniformes pour décider du sort des données.
Voilà qui met fin à notre déclaration. Merci beaucoup.
Merci beaucoup de nous avoir présenté votre exposé.
Nous allons maintenant passer au Conseil canadien du commerce de détail.
Monsieur McLinton, vous avez 10 minutes.
Merci, monsieur le président et mesdames et messieurs les membres du Comité de nous donner l'occasion de vous expliquer la position du commerce de détail dans le cadre de l'examen de la LPRPDE.
Le Conseil canadien du commerce de détail, le CCCD, représente depuis 1963 les commerces de détail du Canada. Nous sommes une association sans but lucratif financée par l'industrie. Nous représentons plus de 45 000 établissements commerciaux pour toutes les formes de commerce au détail, y compris les grands magasins, les boutiques spécialisées, les magasins de vente au rabais et les magasins autonomes; les épiceries; et les commerçants en ligne. Environ 2,2 millions de Canadiens occupent un emploi lié au commerce de détail; il s'agit du plus important employeur dans le secteur privé au pays.
Je suis le vice-président, Division alimentation et affaires réglementaires du CCCD. Cela veut dire que je suis responsable de coordonner tout un éventail de dossiers réglementaires qui ont un impact sur les rôles des commerces de détail, soit celui de vendeur de produits, de propriétaire de marques privées ou celui d'employeur. Je m'occupe de la gestion de dossiers concernant l'innocuité alimentaire, la sécurité des produits de consommation, l'étiquetage des médicaments, la coopération en matière de réglementation et tout ce qu'il y a entre les quatre, y compris la réglementation en matière de pollupostage ainsi que la protection des renseignements personnels et la sécurité dans le monde numérique.
Même si nous ne sommes pas en mesure de formuler des commentaires à propos des subtilités de la LPRPDE, nous sommes enchantés de pouvoir vous faire part des opinions générales des commerces au détail. Dans l'ensemble, nous croyons que la LPRPDE établit un juste milieu entre les mesures visant à protéger les renseignements personnels dans le monde numérique et une approche progressiste et neutre en ce qui concerne la technologie.
Comme vous le savez, la notion de consentement est au coeur de la Loi, et c'est un principe très valide: nous savons que le Commissariat à la protection de la vie privée du Canada a tenu des séances de consultation à ce sujet, la publication du rapport étant prévue pour plus tard cette année. Nous nous ferons un plaisir de participer à toute consultation que le commissaire organiserait afin de fournir une orientation quant à la notion du consentement valide.
Un autre principe sur lequel repose la LPRPDE est l'approche de médiation ou de conciliation entre partenaires. C'est une approche qui a donné de très bons résultats dans le passé. De fait, nos membres ont affirmé qu'ils sont portés à être plus francs dans ce contexte — et ils le sont effectivement — que dans un cadre juridique officiel. Après tout, nous avons tous un but commun: nous assurer d'avoir la confiance du consommateur. C'est essentiellement pour conserver la confiance des consommateurs que nous voulons qu'il y ait des mesures de protection rigoureuses des renseignements personnels au lieu d'un élargissement des pouvoirs législatifs et des sanctions.
La protection des renseignements personnels est très importante pour les membres du CCCD, et nous traitons les renseignements fournis par nos consommateurs avec le plus grand soin. Selon nous, vous n'accomplirez pas grand-chose en imposant des exigences normatives supplémentaires ou en élargissant les pouvoirs de contrainte. Le seul résultat serait d'augmenter les coûts liés à la conformité.
Les membres du CCCD sacrifient beaucoup de leur temps et déploient beaucoup d'efforts afin de veiller à ce que leurs systèmes soient sécuritaires. Toutefois, l'habileté des pirates et des escrocs ne cesse d'augmenter, et malgré tous nos efforts, ils continuent de trouver des façons de déjouer les systèmes de sécurité que les entreprises respectueuses des lois mettent en place.
Malheureusement, il est facile de blâmer les entreprises qui essaient de protéger une information dont elles disposent, parce qu'on sait où elles se trouvent, contrairement aux escrocs, la plupart du temps. C'est malheureux, mais vous n'obtiendrez pas de grands résultats en resserrant les exigences et en élargissant les pouvoirs de contrainte, sauf si votre but est d'augmenter les coûts liés aux affaires au Canada.
Le CCCD appuie la présente collaboration et la communication qui a été établie entre le Commissariat à la protection de la vie privée du Canada et les provinces qui disposent de leur propre loi en matière de protection des renseignements personnels. Nous espérons que cela va continuer au fur et à mesure que les autres provinces et territoires envisagent d'adopter des lois à ce sujet. Ainsi, nous pourrons éviter les problèmes occasionnés par des exigences mal coordonnées et incohérentes en matière de rapport.
Enfin, il est important de garder à l'esprit que les données relatives aux consommateurs peuvent être utilisées à l'avantage des consommateurs autant qu'à celui des entreprises canadiennes. Les données sur les consommateurs permettent aux entreprises de comprendre ce qui intéresse chaque client et leur offrent la possibilité d'adapter les produits qu'elles vendent en fonction des désirs des consommateurs. Les données sur les consommateurs rendent aussi compte des tendances sociales, ce qui permet aux entreprises de s'adapter et d'adapter leurs produits. Par exemple, une entreprise peut utiliser ces données pour déterminer l'emplacement approprié pour une boutique traditionnelle. C'est aussi une bonne source de rétroaction pour les entreprises: elles peuvent voir ce qui convient et ce qui ne convient pas. Les consommateurs, quant à eux, sont avantagés par les mesures prises par les entreprises visant à améliorer les produits offerts en fonction des renseignements requis. La publicité ciblée — moyennant un consentement approprié — aide à réduire le temps que les consommateurs passent à chercher un produit donné en leur présentant ce qui les intéresse le plus.
Pour terminer, les commerces de détail soutiennent la LPRPDE et son approche neutre en matière de technologie, dont la réussite a déjà été démontrée dans le passé.
Je vous remercie à nouveau, monsieur le président et mesdames et messieurs les membres du Comité, de m'avoir donné l'occasion d'être ici aujourd'hui.
Merci beaucoup.
Passons maintenant au dernier exposé. Nous accueillons M. McKay de Google Canada. Vous avez 10 minutes.
Merci beaucoup, monsieur le président.
Messieurs et mesdames les membres du Comité, je vous remercie de l'invitation à témoigner aujourd'hui à propos de ce sujet d'une grande importance.
Cela fait un bon moment que nous n'avons pas — ni Google ni moi-même — témoigné devant votre comité. Je vais donc prendre un court instant pour vous parler de Google au Canada.
En 2002, Google a ouvert son bureau à Toronto, l'un des premiers ailleurs qu'aux États-Unis. Quinze années de croissance plus tard, Google possède aujourd'hui quatre bureaux et emploie plus de 1 000 personnes à Toronto, à Kitchener-Waterloo, à Montréal et ici même à Ottawa. Nous sommes enthousiasmés par ce qu'offre le Canada. Nous sommes très heureux de la façon dont nous sommes parvenus à monter des équipes spécialisées en génie de renommée mondiale qui travaillent sur les produits utilisés chaque jour par des milliards de personnes.
Il s'agit de produits actuellement mis au point par nos quatre bureaux que je viens de mentionner. Nos produits sont utilisés pour dresser des cartes des collectivités dans le Nord, pour rendre les parcs nationaux plus accessibles et pour rendre le transport en commun du matin le moins pénible possible.
Nous travaillons également de plus en plus avec la communauté de chercheurs spécialisés en intelligence artificielle et en apprentissage machine à Toronto et à Montréal. Le Canada, comme nous le savons tous, est un chef de file mondial dans ce domaine. Vu les occasions qu'offre ce genre de découverte scientifique, les innovations pratiques dans les produits de consommation et d'entreprise et la croissance de toute cette industrie, l'avenir semble radieux pour l'économie canadienne.
Je vais maintenant aborder le sujet à l'étude aujourd'hui, la LPRPDE. Je travaille dans ce domaine depuis plus de 10 ans, et je n'ai jamais été sûr de la façon de la désigner. Je suis content de voir que cela varie.
En tant que cadre de protection de la vie privée axé sur des principes, la LPRPDE est tout autant d'actualité aujourd'hui qu'elle l'était le jour où elle a été adoptée. Les principes généraux sous-jacents à la réglementation en matière de protection des renseignements personnels et des données ont résisté à de nombreux cycles de changement technologique. Nous prévoyons que ce sera aussi le cas à mesure que la popularité des appareils mobiles augmente et que l'utilisation de l'apprentissage machine prend de l'ampleur.
Bien sûr, la façon dont les principes de protection des renseignements personnels seront exécutés au quotidien va changer et évoluer. Cela a toujours été le cas. Chez Google, nous croyons que nous pouvons à la fois stimuler l'innovation en utilisant ce genre de données et nous engager à protéger la vie privée. Notre engagement est axé sur quatre éléments.
Premièrement, il y a un choix. Nos utilisateurs peuvent faire des choix effectifs en matière de protection des renseignements personnels pour aussi longtemps qu'ils utiliseront leur compte Google: dès que leur compte est créé, quand ils utilisent nos services et lorsqu'ils décident d'abandonner ou de supprimer leur compte.
Deuxièmement, il y a la transparence. Nous aidons nos utilisateurs à prendre de bonnes décisions en matière de protection des renseignements personnels en leur permettant facilement de voir quelles données Google recueille afin de personnaliser leurs services et les publicités diffusées.
Troisièmement, il y a le contrôle. Nos utilisateurs peuvent régler les paramètres de leur compte au chapitre de la protection des renseignements personnels, ce qui leur permet d'utiliser Google de la façon dont ils le veulent.
Enfin, il y a la sécurité. C'est un point important. Nous déployons de grands efforts afin que personne d'autre que l'utilisateur concerné ne puisse accéder à ses données.
Google n'adopte pas une approche universelle pour ce qui est de protéger les renseignements personnels de ses utilisateurs. Chaque personne a une définition différente de la vie privée, et nous voulons que nos utilisateurs se sentent à l'aise et confiants lorsqu'ils nous confient des renseignements, que ce soit quand ils utilisent nos produits sur un ordinateur de bureau, sur une tablette, sur un téléphone ou sur d'autres appareils à la maison.
Pour nous, il est très important d'être franc et transparent avec nos utilisateurs; nous utilisons des termes clairs qu'ils vont comprendre lorsqu'il est question de protection des renseignements personnels. En 2015, nous avons lancé un site, privacy.google.com, où nos utilisateurs peuvent trouver les réponses aux questions les plus souvent posées, par exemple quelles données sont conservées ou recueillies par Google, et comment celles-ci sont utilisées par la suite. Nous avons également clarifié les paramètres utilisateurs et les avons rendus plus faciles à trouver et à ajuster en regroupant tout sur une page unique appelée Mon compte.
Je tiens à souligner que, entre l'indexation de sites Web et d'URL, nous avons investi une dizaine d'années d'expérimentation et de peaufinage afin de rendre l'interface utilisateur utile.
Nous n'allons pas nous arrêter là. Nous continuons d'innover et d'améliorer l'accès des utilisateurs aux données de leur compte et les préférences qu'ils peuvent y établir. Par exemple, nous offrons aux utilisateurs une transparence sans précédent par l'intermédiaire d'un site appelé Mon activité. Sur ce site, les utilisateurs peuvent consulter et gérer l'information utilisée par les ressources de Google.
En ce qui concerne la réaction des utilisateurs, en 2016, il y a eu 1,6 milliard d'utilisateurs individuels sur le site Mon compte et, fait plus important encore — c'est important parce que cela nous permet de voir quels appareils sont utilisés pour naviguer sur Internet aujourd'hui —, plus de 50 % du trafic provenait d'appareils mobiles. Lorsque les utilisateurs se posent des questions sur leurs renseignements personnels et leur sécurité, ils peuvent trouver réponse à ces questions assez facilement, en utilisant un tout petit appareil.
En axant nos efforts sur la sécurité des données, le contrôle d'accès, la sensibilisation et l'autonomisation raisonnables des utilisateurs et la portabilité des données, nous — c'est-à-dire Google et l'industrie en général — pourrons veiller à la protection des renseignements personnels tout en favorisant l'innovation. Ce qui devrait nous préoccuper le plus est non pas la collecte de données, mais leur utilisation à des fins abusives. Prenons l'utilisation de l'apprentissage machine et des algorithmes.
Ces techniques sont déjà utilisées dans un grand nombre de fonctionnalités que les utilisateurs de Google connaissent et adorent, par exemple Google Traduction et le contrôle de l'orthographe, ou le filtrage antipourriel utilisé par Gmail.
Ceux parmi vous qui utilisent nos produits de courriel connaissent peut-être l'outil que nous appelons Smart Reply, un programme fondé sur des algorithmes d'apprentissage, qui utilise nos tout derniers réseaux neuronaux pour proposer de courtes réponses à certains courriels pertinents, par exemple « oui, tout de suite » ou « ça me semble bon ». Les gens l'utilisent dans 10 % des cas lorsqu'ils répondent à un courriel avec un de nos produits pour appareils mobiles, et, la prochaine fois que vous verrez une telle réponse, vous saurez qu'elle n'est peut-être pas tout à fait authentique.
L'application Google Home, un appareil autonome fournissant un accès à nos services, n'a pas d'écran et fonctionne sur commande vocale. Nous devions trouver une nouvelle façon de présenter notre avis de confidentialité aux utilisateurs; nous avons donc conçu un moyen pour les utilisateurs de s'inscrire et de donner leur consentement à ce produit à l'aide d'une application domestique mobile. Nous pouvons de la même manière expliquer aux utilisateurs qu'ils peuvent accéder aux paramètres de contrôle de la confidentialité sur leur compte Google. Vous avez déjà discuté de sujets de ce genre, pendant vos précédentes réunions, et c'est un domaine véritablement complexe.
Chez Google, nous estimons être bien placés au moment d'entrer dans une nouvelle ère de l'informatique, où l'informatique deviendra pour les gens une expérience plus naturelle et harmonieuse, une expérience qui s'appuie sur une aide intelligente et sur l'infonuagique, s'intégrant dans leur vie. Cette transition est tout aussi importante que la transition entre les ordinateurs de bureau et les appareils mobiles qui s'est faite au cours de la dernière décennie.
J'aimerais parler rapidement de deux sujets qui ont été abordés pendant vos réunions précédentes, et nous pourrons en dire plus pendant la période de questions, si vous le désirez. Vous avez entendu plusieurs témoins dire à quel point il était difficile de protéger la vie privée des enfants en ligne. Nous savons très bien que tous nos utilisateurs doivent comprendre la technologie dont ils se servent au quotidien. Nous investissons pour que les parents puissent avoir accès à l'information. Grâce à des outils comme le Centre de protection de la vie privée, les centres de dépannage à l'intention des familles et des mises en garde par produit, nous nous efforçons de transmettre aux parents et aux familles les informations dont ils ont besoin pour prendre des décisions éclairées quant à l'utilisation de la technologie par leurs enfants. Nous voulons donner aux parents les outils et les informations dont ils ont besoin pour faire leurs choix quant aux activités en ligne de leurs enfants. Sur l'application Family Link, offerte pour le moment seulement aux États-Unis, et sur l'application YouTube Kids, nous avons intégré des paramètres qui permettent aux parents de décider ce qui convient à leur famille. Notre objectif, c'est que les enfants, encadrés par leurs parents, puissent acquérir grâce à cette expérience les compétences nécessaires pour naviguer de façon judicieuse et responsable tout au long de leur vie.
Enfin, vous avez posé aux témoins précédents des questions sur le « droit à l'oubli », en Europe, sujet dont a également parlé Mme Bourne-Tyson.
Les services de recherche d'information, par exemple les moteurs de recherche, sont essentiels quand on cherche une information précise, en ligne, dans une montagne d'information. Pour de nombreux commentateurs, la décision de la Cour de justice de l'Union européenne revient en quelque sorte à retirer des fiches du catalogue de bibliothèque sans retirer les livres des étagères. Toutefois, sur Internet, il n'y a pas d'étagères, il n'y a pas de pistes ou d'ordre alphabétique à suivre pour arriver à l'information recherchée. La décision de supprimer des URL d'une liste va empêcher un utilisateur d'accéder à des biens médiatiques, à des décisions antérieures de personnalités publiques et à de l'information sur bien d'autres sujets.
Bien sûr, chez Google, nous comprenons que, dans certains cas, il convient de supprimer certains contenus des résultats de recherche, par exemple lorsque le contenu est considéré comme illégal par les lois locales. Nos produits comprennent des systèmes bien établis grâce auxquels les utilisateurs peuvent signaler des contenus qui contreviennent à nos politiques. Les autorités peuvent également demander de bloquer localement certains contenus jugés contraires aux lois locales, y compris les lois sur la protection des renseignements personnels. Nous avons travaillé dur pour faire de Google un acteur responsable. Un aspect essentiel de cette responsabilité — on en a déjà parlé aujourd'hui —, c'est qu'elle suppose d'assurer à la fois le respect de la vie privée et le respect d'autres valeurs, en particulier le droit à la libre expression.
Bien que la Cour de justice de l'Union européenne ait établi le droit à l'oubli, en Europe, en vertu des lois européennes, il convient de souligner que la liberté d'expression est un droit largement reconnu et défendu avec passion, ici au Canada et dans toutes les Amériques. Un cadre ayant une telle incidence sur la liberté d'expression doit être transparent et responsable et prévoir des mécanismes de recours. Et, si l'on veut discuter de la possibilité d'une application du droit à l'oubli au Canada, il faudrait le faire en gardant à l'esprit le difficile débat qui se poursuit à ce sujet aujourd'hui en Europe.
Merci du temps que vous m'avez accordé; je répondrai avec plaisir à vos questions.
Merci beaucoup de votre exposé.
Merci à tous les témoins de leurs exposés.
Nous allons donner la parole à M. Long, pour commencer, pour une série de sept minutes.
Merci, monsieur le président.
Merci aux témoins qui sont présents cet après-midi. Ils ont présenté des exposés très intéressants.
Monsieur McKay, je suis heureux que vous ayez pu venir ici aujourd'hui. Nous aurions tant de choses à dire à propos de Google, mais je veux vous faire attendre quelques instants.
Je vais d'abord m'adresser à M. McLinton.
Vous dites que vous représentez 45 000 commerces. Vous avez dit également que, à l'heure actuelle, selon vous, la LPRPDE permettait d'assurer un juste équilibre. Pourriez-vous dire pourquoi, selon vous, ce juste équilibre existe? Étant donné que la technologie change constamment... je sais que vous avez parlé de la neutralité technologique. Étant donné l'évolution constante de la technologie, les gens ont été nombreux à nous dire qu'il faudrait modifier la LPRPDE, parce que la technologie change rapidement.
Pourriez-vous en dire davantage sur le sujet?
Du point de vue du commerce de détail, étant donné que ces commerces sont par nature fondés sur la réputation, les membres que notre Conseil représente veulent que leur marque soit connue et, bien sûr, ils sont nombreux à avoir un nom de marque que les gens connaissent bien. Ils ont intérêt à protéger les renseignements personnels de leurs clients, c'est quelque chose d'inhérent à leurs activités; ce n'est pas un objectif moins neutre sur le plan technologique ou plus précis, quelque chose qui ne permettrait pas de s'adapter aux changements au fil du temps. Les commerçants ont déjà cette préoccupation à coeur. C'est une question de réputation, ils veulent que leurs clients soient contents et qu'ils leur restent fidèles.
D'accord; vous avez donc 45 000 membres. Il y a parmi eux de grands détaillants et aussi, j'en suis certain, quelques tout petits commerces familiaux. Que faites-vous, qu'a fait le Conseil, pour s'assurer que tous ces commerçants sont à jour, renseignés, informés et prêts à faire face aux changements qui s'en viennent, en ce qui concerne la protection des renseignements personnels?
J'aimerais préciser que nous comptons 45 000 commerces, c'est-à-dire de 2 000 à 3 000 membres environ. J'estime, entre autres, vu les conversations que j'ai eues avec les membres, que le niveau de sensibilisation est déjà extrêmement élevé. Étant donné que les commerçants ont l'intérêt de leurs clients à coeur et qu'ils doivent protéger les renseignements personnels de leurs clients, de façon que leurs clients leur restent fidèles, le niveau est déjà assez élevé.
Je ne le remets pas en question. Cependant, je parle uniquement du Conseil du commerce de détail: allez-vous lancer des initiatives pour vous assurer que vos membres sont tenus au courant?
Le Conseil avait mis sur pied un comité de protection des renseignements personnels; ses membres se réunissaient pour échanger de l'information et des pratiques exemplaires ayant trait aux enjeux touchant la protection des renseignements personnels. Nous avons notamment organisé un certain nombre de webinaires sur la loi anti-pourriel du Canada. Nous menons donc un certain nombre d'activités. Nous avons également, en partenariat avec la Chambre de commerce du Canada, organisé quelques activités d'éducation et de sensibilisation sur le signalement des atteintes à la sécurité des données et des choses du même type.
D'accord. Merci de votre réponse.
Je vais maintenant m'adresser à M. McKay. Monsieur McLinton, vous aurez peut-être vous aussi l'occasion d'intervenir.
Je parle depuis plusieurs mois d'un thème qui intéresse tout le monde, à savoir la protection des enfants en vertu de la LPRPDE. Personnellement, je crois qu'il n'y a pas suffisamment de protections pour les enfants. Par contre, la Child Online Protection Act des États-Unis, la loi qui protège les enfants en ligne, est très explicite et, je crois, beaucoup plus précise en ce qui concerne les enfants.
J'ai des amis qui ont de jeunes enfants et, bien sûr, ils ont des tablettes, ils font des recherches sur Google, ils échangent des courriels, et ainsi de suite. Mais il n'y a pas beaucoup de contrôle.
Justement, j'ai reçu des gens chez moi, la fin de semaine dernière. Ils sont arrivés avec leurs jeunes enfants et, évidemment, ils sont plus au courant aujourd'hui de ce qui se passe. J'ai demandé aux parents: « Où vont-ils, en ligne? Qu'est-ce qu'ils font? » Ils m'ont répondu: « Oh, je ne sais pas. »
Ce qui me préoccupe, et je pense que cela préoccupe tous les membres du Comité, c'est la protection des enfants. Monsieur McKay, pourriez-vous en dire plus? Pensez-vous que les enfants sont suffisamment protégés en ce qui a trait au consentement?
Ils ont grandi avec Internet. Ils sont âgés de 22, 21 et 17 ans.
Nous nous sommes toujours préoccupés de savoir ce que font nos enfants, qu'ils soient à la maison, à l'extérieur, qu'ils jouent avec un appareil ou des amis, voire avec un nouveau groupe d'amis. Nous avons donc consacré une partie de nos efforts à expliquer à quoi ressemblent ces interactions, en ligne, et à fournir des outils aux parents.
Vous avez parlé, dans votre exposé, d'une application Google pour la famille. Pourriez-vous nous expliquer de quoi il s'agit?
L'application Family Link est pour le moment un programme d'essais bêta. Il n'a été lancé qu'aux États-Unis. Il vise à pallier certaines préoccupations que l'on peut avoir; par exemple, comment le parent d'un jeune enfant peut-il être renseigné sur ce que fait son enfant avec les outils en ligne, comment peut-il exercer un contrôle? L'application crée le profil de la famille, y compris celui de l'enfant, et le parent peut imposer des limites. Il peut par exemple interdire certains types de sites ou limiter le temps que l'enfant peut passer sur cet appareil. L'application peut tenir un registre des sites que l'enfant a visités et de ce qu'il y a cherché, ce qui rend possible une conversation honnête, en famille, sur la façon dont les enfants utilisent les appareils et sur ce qu'ils y voient.
Je n'ai pas grand-chose à ajouter.
J'aimerais revenir sur la question de la confiance des consommateurs et de l'intérêt des entreprises, du point de vue du commerce de détail. Les détaillants n'ont absolument aucun intérêt à nuire à un groupe d'âge quelconque, n'est-ce pas? Ils veulent assurer l'intégrité des renseignements personnels de leurs clients et donner aux clients ce qu'ils désirent.
D'accord.
Monsieur McKay, parlant des enfants, je comprends que vos enfants sont déjà âgés, tout comme les miens. Pensez-vous qu'il faudrait créer des catégories, par exemple enfants de 14 à 16 ans, enfants de 8 à 12 ans? Faudrait-il créer différents types de consentement selon les groupes d'âge?
C'est une question difficile: comment une entreprise comme Google ou une autre pourrait-elle faire, exactement, pour identifier une personne avec certitude, au point de pouvoir appliquer ces catégories? C'est l'un des défis de la Loi sur la protection des renseignements personnels des enfants en ligne. En effet, qui veut créer un dossier pour une personne de moins de 13 ans? C'est pour cette raison que nous ciblons l'unité familiale et que nous voulons que, au sein de la famille, les figures d'autorité décident du niveau d'influence et de contrôle qu'il faut exercer sur certains membres de cette famille.
Merci, monsieur le président, et merci, tout le monde, de vous être présentés ici aujourd'hui.
Je vais m'adresser à vous d'abord, monsieur McKay, pour approfondir un peu la question du droit à l'oubli. Un certain nombre de témoins ont comparu devant le Comité et se sont prononcés sur la question. Nous attendons que le Commissariat à la protection de la vie privée remette son analyse exhaustive de la question, mais nous espérons recueillir des renseignements auprès du plus grand nombre de sources possible, des sources comme vous, évidemment.
Quand il est question du droit à l'oubli, du droit à l'effacement, dans certains cas, comment pouvons-nous déterminer qui ou quoi doit être oublié? Vous avez parlé des élus. Il s'est présenté un certain nombre de cas où les élus, j'en suis certain, auraient voulu que leur passé soit effacé; je ne parle pas des personnes présentes, bien sûr, je parle de certaines autres. Je crois de plus que, dans certains cas, il est impératif que le public sache ce qui se passe.
J'imagine que l'approche adoptée par Google sur la question du droit à l'oubli nous sera utile lorsque nous rédigerons notre rapport.
Le droit à l'oubli, tel qu'il a été énoncé et mis en oeuvre en Europe, est problématique parce que, dans les faits, il donne un rôle d'administrateur à Google, une société du secteur privé, en lui laissant la responsabilité de décider quelles informations les utilisateurs pourront ou ne pourront pas voir, mais tout cela n'empêche pas que l'information restera sur Internet. Cela nous place dans une situation inconfortable, car nous devons mettre sur pied un bureau et embaucher du personnel afin de pouvoir décider, en nous appuyant sur les lois de 21 États différents, s'il faut accueillir ou rejeter une demande visant à retirer une URL de la liste des résultats de recherche.
Vous avez tout à fait raison. Comme l'a dit Mme Bourne-Tyson, il y a des gens qui ont eu un casier judiciaire dans leur jeunesse, qui ont fait preuve d'imprudence à l'université, et il y a aussi des gens qui ont été officiellement reconnus coupables de corruption ou de crimes violents, ou encore, tout simplement, des gens qui avaient l'habitude de faire connaître leurs opinions politiques ou personnelles en les formulant gauchement. Il est difficile pour une entreprise du secteur privé de jouer le rôle de l'arbitre en cette matière.
Ou ce pourrait être dans le contexte canadien. Une partie du problème, c'est qu'on a imaginé ce droit plutôt que de tenir une conversation sérieuse avec la société civile quant à savoir à quel moment l'information devrait être cachée aux utilisateurs.
Si nous sommes obligés de rendre certaines décisions administratives publiques, dans certaines circonstances, le droit à l'oubli a tendance à court-circuiter cette exigence en cachant encore une fois l'information plutôt que de provoquer une véritable conversation visant à savoir s'il faudrait prescrire un délai quant à la publication d'information de nature administrative et juridique et à savoir s'il faudrait prescrire un délai quant à la publication des cas de faillites ou de l'association d'une telle faillite avec un dossier de crédit.
C'est pourquoi, dans mes brèves déclarations préliminaires, j'ai fait remarquer qu'il fallait un dialogue plus étendu. Il ne s'agit pas tout simplement de discuter d'un aspect d'une possible révision de la LPRPDE. Il s'agit plutôt d'un véritable dialogue sur les attentes d'une société démocratique comme la nôtre en ce qui concerne la libre expression, la conservation des dossiers et la conservation d'information au sujet des gens, dans le contexte juridique comme dans le contexte des délibérations publiques.
Je comprends. J'aimerais revenir sur les questions que mon collègue M. Long a posées, en particulier au sujet des enfants; c'est une chose d'installer une application comme Family Link. Vous avez dit que cette application n'était pas encore offerte au Canada. Elle semble intéressante concernant ce type de contrôle, mais toujours est-il que cela n'empêche pas les enfants d'aller à l'école et de rencontrer un autre enfant qui n'est pas assujetti à de tels contrôles, de prendre une photo, de la télécharger et paf! la photo aboutit dans le domaine public.
J'aimerais revenir un instant à un témoin que nous avons reçu, M. Michael Geist. Il a parlé de la transparence algorithmique. Selon lui, la transparence algorithmique exigerait que les moteurs de recherche et les entreprises de médias sociaux divulguent la façon dont l'information est utilisée pour déterminer le contenu affiché à chaque utilisateur. J'aimerais connaître vos réflexions sur la transparence algorithmique. Pensez-vous que c'est faisable?
Nous essayons déjà de communiquer cette information à nos utilisateurs, dans le contexte de la liste de sites Web qui font partie de Mon Compte, qui permet de voir l'historique des sites que vous avez consultés et de vos recherches. Vous constatez que nous avons déterminé quels types de publicité vous allez voir, en fonction de grandes catégories fondées sur votre comportement au chapitre des recherches et sur les publicités sur lesquelles vous cliquez.
Plutôt que de parler de la transparence algorithmique, nous devrions nous attacher aux résultats de ce processus. Est-ce que ces résultats exigent une intervention ou une supervision? Il faut chercher à connaître l'importance des préjudices possibles et chercher à savoir si certains résultats pourraient nuire à une personne.
Il est difficile de savoir si la transparence algorithmique, si elle nous permet de sortir des sentiers battus et de comprendre les mécanismes, révélera quoi que ce soit. Dans bien des cas, les données d'entrée qui passent par l'algorithme sont enregistrées quasi instantanément, et les résultats sont immédiats. Il serait plus pertinent de chercher à comprendre à la fois l'information qui est recueillie, comme la LPRPDE l'exige déjà, et les résultats obtenus, au regard du problème que nous tentons de régler, c'est-à-dire la mesure dans laquelle chaque utilisateur comprend ses interactions avec l'ordinateur et le système et puis comment tout cela influe sur l'information qui est présentée aux utilisateurs.
Oui, tous les algorithmes sont considérés comme des actifs de la société. Je pense par exemple à l'époque où nous étions une jeune entreprise et où, tout ce que nous avions, c'était un produit de recherche. Larry et Sergey, nos fondateurs, avaient publié un article sur le système de classement sur lequel notre produit de recherche s'appuyait. Le seul fait d'avoir publié cet article a donné aux polluposteurs qui voulaient modifier le classement des recherches et faire mieux classer leurs services suffisamment d'informations pour qu'ils puissent fausser les résultats.
Merci beaucoup, monsieur le président.
Monsieur McLinton, le commissaire a fait parvenir une lettre à notre comité, et il y énonçait quelques préoccupations. C'était une lettre assez longue où il exposait l'état actuel des lois. Une phrase m'a frappé. La voici:
La technologie et les modèles d’affaires ont beaucoup évolué depuis la rédaction de la LPRPDE — à un point tel que bien des gens remettent maintenant en question l’efficacité du modèle de consentement conçu à l’origine dans le contexte de transactions commerciales individuelles. Soulignons que 90 % des Canadiens sont préoccupés par le fait qu’ils n’exercent plus de contrôle sur leurs renseignements personnels.
J'aimerais que vous commentiez brièvement les préoccupations formulées par le commissaire.
Je ne peux parler que sous l'angle du commerce de détail; je dirai qu'il serait contraire à l'intérêt des détaillants de ne pas agir avec clarté et simplicité au moment de demander le consentement, de crainte que l'on dise qu'ils n'ont pas agi de façon appropriée. Nous sommes d'avis que ce modèle fonctionne assez bien.
Vous dites qu'il serait mieux que nous fonctionnions selon un modèle fondé sur la confiance plutôt que d'accroître les pouvoirs d'application de la loi. Le commissaire ajoute que son prédécesseur avait lui aussi demandé que la LPRPDE prévoie des pouvoirs d'application de la loi plus importants, et il nous a dit clairement qu'il allait demander le pouvoir de rendre des ordonnances en vertu de cette loi. Vous n'êtes pas d'accord avec l'approche du commissaire?
Il s'agit du pouvoir de rendre des ordonnances et d'imposer des sanctions administratives pécuniaires.
Je connais de manière générale les pouvoirs de rendre des ordonnances et les SAP, mais pas en détail. Je dirais que nos membres ne seraient pas d'accord pour les raisons mêmes que j'ai exposées durant mon témoignage, c'est-à-dire qu'à l'heure actuelle, selon le modèle axé sur l'arbitrage, étant donné que les détaillants et le Commissariat à la vie privée ont des buts communs, ils seraient davantage prêts à communiquer de l'information, alors que, dans un contexte plus juridique et formel, s'ils se faisaient donner des conseils, ils seraient peut-être moins prêts à le faire. Je crois qu'au bout du compte, nous obtiendrions probablement, dans notre cas du moins, le résultat opposé au résultat recherché, c'est-à-dire que la collaboration serait moindre avec une approche juridique qu'avec une approche davantage axée sur l'arbitrage.
On dit ici que les commissaires à l'information et à la protection de la vie privée de l'Alberta et de la Colombie-Britannique, ma province, disposent, eux, du pouvoir de rendre des ordonnances. Est-ce qu'un de vos membres a déjà eu affaire à ces régimes provinciaux; le savez-vous? Connaissez-vous ces régimes?
Je ne les connais pas assez pour les commenter. J'en ai discuté un peu puisque ces autres administrations, comme je l'ai dit dans mes commentaires, ont adopté des lois sur la protection des renseignements personnels. Selon les commentaires que j'ai reçus, les choses se passent bien, puisque les gouvernements des provinces et du Canada parlent ensemble et échangent de l'information, et c'est quelque chose qui fonctionne bien, puisque cela permet d'éviter toute une suite d'exigences redditionnelles. Mais, en ce qui concerne le pouvoir de rendre des ordonnances, je n'ai pas eu à en parler.
D'accord, merci.
Madame Bourne-Tyson, dans votre déclaration préliminaire, vous avez parlé — dans le contexte du droit à l'oubli — des gens qui essayaient de faire délister des casiers judiciaires. Je ne sais pas si j'ai bien compris. Auriez-vous l'obligeance de répéter ce que vous avez dit au sujet du passé criminel d'une personne et de son droit à supprimer tout lien vers ce passé?
C'était dans le contexte d'un exemple précis que nous avions donné, quelque chose qui était survenu dans notre contexte, dans les bibliothèques de recherche; c'était une thèse... Il s'agissait d'un contenu cité dans le chapitre d'une thèse que quelqu'un, évidemment, avait rédigée; la thèse avait été affichée sur Internet, dans le domaine public, et faisait partie d'un dossier de recherche, si vous voulez, concernant le libre accès. La requête faisait état du fait que l'individu concerné avait repris sa vie en main, et sa famille nous a demandé que toute la thèse soit retirée du domaine public.
Les bibliothèques doivent tout le temps prendre ce genre de décision. À ce moment-là, nous avions jugé que la recherche était légitime. Le contenu était responsable. Il avait été examiné par un comité d'éthique, d'abord et avant tout, et ce comité avait jugé que cela faisait partie des archives publiques. La demande n'avait pas été présentée par le détenteur des droits, auquel cas la décision de démanteler le contenu aurait peut-être été différente. Mais il a été décidé de ne pas accueillir la demande.
Ce que nous voulions illustrer, en réalité, c'est que cet enjeu comporte de nombreuses facettes; il peut être difficile de trouver une solution, et nous essayons de montrer que ces nuances sont nécessaires.
J'aimerais poser une question, et je m'adresse à tous les témoins. Une personne qui a pris toutes les mesures nécessaires, qui a purgé sa peine, qui a demandé la suspension de son casier judiciaire... comment peut-on supprimer officiellement le casier judiciaire — de façon que les employeurs éventuels ne puissent plus y accéder — s'il existe encore en ligne, quelque part, une trace de ce dossier criminel? Quelqu'un peut-il répondre?
Cela fait partie de la réalité, en Europe, c'est-à-dire qu'après avoir purgé votre peine, et après que le dossier est en partie devenu confidentiel, il existe toujours quelque part un compte rendu de ce dossier, dans les médias eux-mêmes et dans d'autres sources.
Ensuite, d'un pays à un autre, peut-être que la loi l'exige ou peut-être que l'on s'en remet à son jugement... si une demande est présentée et si elle est accueillie, visant à supprimer ce qu'il existe encore au sujet du crime en question. C'est pour cette raison que j'ai parlé du discours au sein de la société civile, parce qu'il faut absolument qu'un bon dialogue se tienne.
C'est ce qui s'est passé en Europe, pays par pays. Le droit à l'oubli s'applique dans toute l'Union européenne, même s'il y a encore des différences d'un État à un autre.
Bon après-midi et merci d'être ici.
La question que j'ai est probablement plus pertinente pour M. Kozak et Mme Bourne-Tyson. Je suis certain que vous avez une opinion très tranchée sur le droit à l'oubli. Nous avons passé beaucoup de temps sur la question, et je veux juste avoir vos commentaires. Pourriez-vous me donner une idée de ce qu'en pensent vos homologues européens?
Actuellement, au Canada, nous avons quatre régimes de protection des renseignements personnels différents. Lorsque vous examinez le droit à l'oubli en Europe — avec l'Europe qui va appliquer le RGPD en mai 2018 — , nous devons nous pencher sur cette question afin de maintenir le caractère adéquat de nos mesures de protection, lequel est également bon pour nous au chapitre de notre environnement d'affaires concurrentiel ici et de l'AECG.
Avez-vous reçu de la rétroaction à cet égard? Je suis très intéressé à connaître l'opinion des Européens. Leur avez-vous parlé ou avez-vous reçu une rétroaction de leur part sur leur réaction à ce sujet et à cette nouvelle disposition?
Pour ce qui est de la réaction de nos collègues en Europe, la Fédération internationale des associations de bibliothécaires et des bibliothèques tient des discussions et effectue des études. La fédération a effectué un sondage, pays par pays, sur le déroulement des événements.
En général, entre ce qui se produit en Europe et ce qui se produit aux États-Unis, le Canada peut probablement parvenir à un compromis afin de trouver un meilleur équilibre entre les droits du bien collectif et ceux des personnes.
Je pense la même chose. Quant à la question de savoir si la protection des renseignements personnels l'emporte sur le droit à la liberté d'expression ou l'inverse — le modèle américain par rapport à celui européen —, nous pensons qu'il y a peut-être quelque chose, un compromis judicieux, qu'il vaut la peine d'explorer, de discuter et éventuellement de codifier.
Je n'ai pas grand-chose à ajouter à cet égard. Malheureusement, je ne sais pas précisément ce que les associations analogues font en Europe, mais je peux souligner les différences fondamentales de notre système juridique. Celui de l'Union européenne est principalement fondé sur la dignité, alors que notre protection des renseignements personnels est essentiellement fondée sur la liberté. Le leur comporte un aspect non révocable, alors que le nôtre en compte un de renonciation. Il s'agit donc d'une question de caractère adéquat des protections dans l'Union européenne et au Canada. Nous ne pouvons peut-être pas toujours atteindre cet équilibre seulement en nous fondant sur nos systèmes sous-jacents.
Parlant d'équilibre, je suis certain que vous connaissez le cas de Globe24h.com. Une entreprise roumaine a indexé sous un nom des documents juridiques d'un site Web et exigeait des frais pour retirer le nom.
Pourrait-il s'agir d'un compromis? Les renseignements ne sont pas entièrement oubliés; ils sont conservés dans un site Web, mais les noms ne sont plus indexés. Vous pourriez avoir la possibilité de conserver les renseignements, mais sans les indexer. Une personne devrait vraiment les chercher; ils n'apparaîtraient inopinément pas dans les recherches ou seulement par hasard. Pourrait-il s'agir d'un bon compromis?
Dans notre déclaration, c'est ce que nous disons: il existe des cas où il serait logique de retirer les noms de la liste. Dans certains des cas dont nous avons parlé, les renseignements se trouvent illégalement sur le Web de toute façon, ils sont inexacts ou n'ont peut-être pas fait l'objet d'un consentement éclairé. Peut-être que cela porte sur du contenu ayant trait à des jeunes, et ainsi de suite. C'est très bien...
J'aimerais juste souligner ce que j'ai mentionné brièvement: nous nous attachons principalement à l'impact que cela aurait sur les documents publics. Dans les cas où le préjudice à la réputation diminue au fil du temps, et certainement avec le décès des personnes, voudrions-nous détruire complètement les listes ou les documents? La désindexation est peut-être une excellente façon d'atteindre cet équilibre qui consiste à dissimuler les renseignements pendant une période où ils sont sensibles, mais il faut être pleinement conscient du fait que ces renseignements font partie du domaine public et peuvent finir par revenir dans le domaine public dans un format plus accessible.
Ma question s'adresse à vous, monsieur McLinton. J'aimerais avoir votre opinion sur quelque chose.
Dans un article que je lisais, on mentionnait que lorsqu'un client entre maintenant dans un magasin de détail, il y a la technologie — soit le Wi-Fi ou Bluetooth — avec laquelle vous pouvez analyser exactement où le client se dirige dans le magasin et à quel endroit il s'attarde dans les rayons, mais il n'a pas donné son consentement. Pour ce qui est du consentement implicite ou explicite, croyez-vous qu'il devrait être implicite ou pensez-vous que les clients devraient savoir que leurs déplacements dans le magasin sont surveillés d'une certaine manière?
La raison pour laquelle je pose la question, c'est que, avec les cellulaires et les téléphones intelligents actuellement, vous avez des identifiants uniques dans le téléphone, alors je sais qu'il y aura probablement une certaine dépersonnalisation des données. Vous n'établissez pas de lien avec un nom, une adresse ou un courriel, mais il y a un identifiant unique dans le téléphone, et ces données peuvent être personnalisées à nouveau dans l'avenir. S'inquiète-t-on du fait que cela pourrait se produire?
Je ne connais pas du tout ce domaine personnellement, alors j'aimerais me renseigner. Si je me fie aux conversations que j'ai tenues avec les membres, ils croient fermement à l'idée de consentement et de consentement raisonnable: leurs clients connaissent raisonnablement la façon dont leurs renseignements sont utilisés et savent qu'ils ont donné leur consentement à cet égard.
Encore une fois, il n'est pas dans leur intérêt financier de faire une telle chose. Si un client s'en apercevait et qu'il en était très mécontent, peu importe la raison et ce qui s'est produit dans cette situation en particulier, cela ne serait pas dans leur intérêt financier.
Je serais intéressé à en apprendre plus sur ce sujet parce que ça ne correspond pas à mon expérience vu toutes les conversations que j'ai eues avec les membres.
C'est la fin de notre série de questions de sept minutes.
Monsieur McLinton, vous pourriez peut-être consulter vos membres et fournir des commentaires au Comité par écrit.
Monsieur le président, puis-je également préciser la réponse que j'ai donnée plus tôt à une des questions de M. Long?
Le vice-président (M. Nathaniel Erskine-Smith): Certainement.
M. Jason McLinton: Monsieur Long, je voulais préciser que, dans le cas des membres à qui j'ai parlé, leur niveau de sensibilisation est très élevé concernant la protection des renseignements personnels numériques. Le CCCD n'a pas mené beaucoup d'activités... Nous avons certains comités, et j'ai mentionné que le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique a fait des travaux à divers degrés au fil des ans. J'ai mentionné l'antipourriel et certains autres travaux que nous avons effectués avec la Chambre, qui portaient sur des problèmes liés au numérique en général contrairement à la protection des renseignements personnels en particulier. Une partie des travaux touche la sécurité.
Je veux seulement le préciser. Je ne crois pas que ce soit le rôle du CCCD de faire cela. Au cours de toutes les conversations que j'ai engagées avec les membres jusqu'à maintenant — indépendamment de leur taille —, le niveau de sensibilisation est très élevé. Pourquoi? Encore une fois c'est dans leur intérêt financier de maintenir la confiance des consommateurs.
Madame Bourne-Tyson, dans vos remarques, vous avez touché un domaine qui m'intéresse beaucoup et présenté une façon d'envisager les choses que nous n'avons peut-être pas encore entendue. Vous avez parlé du droit à l'effacement ou à l'oubli et souligné que la désindexation de quelque chose dans un moteur de recherche ne cache pas cette chose ou ne revient pas à l'effacer. Il s'agit de rendre la chose plus difficile à trouver, et la détermination du chercheur est un facteur qui influe vraiment sur la capacité d'effacer ou de dissimuler des renseignements.
Vous avez également parlé de faillites d'entreprises, d'antécédents criminels et de telles choses, dont des personnes désirent qu'elles ne soient pas connues. Je me suis donc dit que, pour des choses comme une faillite d'entreprise, une inconduite professionnelle ou un jugement à la suite d'une poursuite, particulièrement lorsqu'il s'agit d'un tribunal de la famille, ces documents publics sont créés et ne sont habituellement pas accessibles sur Internet. Ils sont publics, mais le chercheur doit peut-être payer des frais nominaux pour chercher, disons, un titre foncier. Vous ne pouvez pas utiliser Google pour trouver le titre foncier d'une personne ou le titre de la propriété d'une autre, mais vous pouvez aller au bureau d'enregistrement des titres fonciers et, selon la province, moyennant des frais, obtenir ces renseignements.
Pouvez-vous nous en dire un peu plus à ce sujet? J'aimerais discuter aussi de la séparation des renseignements publics et des renseignements en ligne.
Au fil du temps, la distinction va s'estomper, et vraiment, pour que les citoyens numériques aient un accès équitable, on espère que tout serait accessible en ligne à moins d'une raison précise, une raison fondée sur la protection des renseignements privés, pour que cela ne soit pas là. Encore une fois, le délistage, contrairement au retrait, répondrait à un besoin de protection des renseignements personnels à court terme. Il existe une technologie qui ferait en sorte que le délistage prendrait fin après une certaine période, comme 20 ans après le décès d'une personne. Nous n'avons même pas besoin de le faire manuellement. Nous avons la technologie pour mettre en place quelque chose afin que les renseignements finissent par revenir dans le domaine public.
J'imagine qu'il semble que la plupart des Canadiens sont depuis longtemps à l'aise avec l'idée qu'une décision d'un tribunal est un renseignement public et que des titres fonciers le sont également. Pourtant, je crois que les Canadiens seraient très mal à l'aise s'ils croyaient qu'il suffit d'utiliser Google pour trouver ces renseignements instantanément. Quant à la ligne entre... Je veux dire qu'il existe des raisons pour lesquelles certains de ces types de renseignements ne sont simplement pas accessibles actuellement au moyen de moteurs de recherche.
Je vais vous laisser commenter cela si vous voulez ajouter autre chose et je vais ensuite donner la parole à M. McKay.
Susan peut peut-être en parler un peu plus.
Dans l'initiative du gouvernement ouvert, par principe, tout est ouvert par défaut.
Mais je crois que le même principe peut s'appliquer à moins qu'il y ait un problème de protection des renseignements personnels.
Puis-je ajouter quelque chose? Je crois que la question de savoir quand il s'agit d'une question de protection des renseignements personnels est vraiment la question à se poser, et elle mérite vraiment une réflexion approfondie cependant, parce que, comme vous le savez, Internet permet beaucoup plus de visibilité. Nous ne pouvons pas retourner à l'ère de l'imprimé et penser à ce qui se trouvait dans le domaine public, mais qui était difficile à trouver, et ce qui était conservé dans des archives et exigeait un grand effort — ou éventuellement un paiement — pour que l'on puisse le trouver. Ce n'était pas aussi accessible.
Il y a maintenant plus de possibilités de publier quelque chose pour qu'il soit accessible à de multiples usages, alors la question change: Y a-t-il vraiment un problème de protection des renseignements personnels qui empêcherait la diffusion de l'information? S'il n'y en a pas, alors la libre circulation des renseignements serait souhaitable.
M. Saini a mentionné Globe24h. Concrètement, il existe des obstacles techniques à l'exploitation de données de ces sites qui, comme vous l'avez souligné, sont autrement interdits aux moteurs de recherche; on peut, par la suite, les rendre accessibles à ces moteurs. L'obstacle tient non pas tant au droit à l'oubli qu'au perfectionnement technique de ces sites et aux gestionnaires de site, qui sont conscients du fait que leurs renseignements sont exploités et placés dans un autre site pour que le public puisse y accéder. C'est la première étape.
Merci beaucoup.
C'est intéressant, CanLII, qui est une base de données publique de décisions de tribunaux canadiens, n'est pas indexé par Google, alors c'est un bon exemple.
M. Colin McKay: Oui.
Le vice-président (M. Nathaniel Erskine-Smith): Nous avons M. Ehsassi pour cinq minutes.
J'aimerais poser une question à Mme Bourne-Tyson et à Mme Haigh. Cependant, pour commencer, je tiens à remercier tous les témoins qui ont comparu aujourd'hui. La réunion a été très utile et très éclairante.
Madame Bourne-Tyson, dans votre déclaration préliminaire, vous avez parlé d'une « approche limitée » relativement au droit à l'oubli. Quels devraient en être les paramètres? Si je ne me trompe pas, dans l'exemple que vous avez fourni, il fallait que le tribunal ordonne la suppression. Croyez-vous que c'est l'une de ces situations où seule l'ordonnance d'un tribunal devrait permettre la protection des renseignements personnels?
Nous avons émis l'hypothèse selon laquelle, dans une certaine mesure — dans certaines situations qui vont de soi —, il pourrait y avoir un régime en vertu duquel — si c'est clairement le cas d'une personne mineure ou de photos malheureuses — une évaluation ou une ordonnance quelconque ne serait pas nécessaire. Cependant, dans toutes les autres situations où l'enjeu est plus complexe et où il faut trouver un juste équilibre entre les droits liés au domaine public et la liberté d'expression et les droits individuels, il faudrait obtenir une ordonnance judiciaire.
Je ne sais pas comment on pourrait définir ces situations qui vont se soi. Prenons, par exemple, la thèse précise que vous avez mentionnée: s'agirait-il d'une situation qui va se soi ou faudrait-il une ordonnance judiciaire?
J'aurais tendance à dire non, mais je crois que les choses comme les pardons... Lorsque les renseignements sont affichés sur Internet en contravention des politiques locales — que ce soit une loi, la politique d'une entreprise ou peu importe —, que ces choses ont été communiquées sans le consentement des personnes et qu'il y a là quelque chose d'inapproprié, ou encore si l'information est inexacte d'une façon ou d'une autre, j'imagine que de tels cas pourraient être plus évidents que des situations où il faut vraiment soupeser les choses et où l'on peut difficilement déterminer si les autres droits... Parce que ces autres droits sont des droits généraux et fondamentaux garantis par la Charte.
Lorsque les dossiers deviennent difficiles à ce point, nous disons simplement que le processus devrait être plus strict et plus mesuré et qu'il devrait y avoir une évaluation plus neutre, parce que c'est important. C'est important pour le tissu social du pays. Ce n'est pas un cas où... Nous ne voulons pas que Google prenne la décision, vraiment; ce ne serait pas approprié, parce que c'est dur. Ce n'est pas blanc ou noir. Selon moi, il y a des zones grises. Ma collègue archiviste pourrait probablement vous en parler mieux que moi.
Je crois que le milieu des bibliothécaires est probablement mieux placé pour trouver le juste équilibre entre ces libertés d'expression — journalistique, littéraire et artistique — et le droit à la vie privée, même si j'aimerais rappeler que, lorsque nous nous penchons sur cette question, on parle de renseignements personnels, des renseignements consignés au sujet d'une personne. Je suis tout à fait d'accord: il y a probablement des cas très évidents où l'on pourrait probablement définir les types de renseignements qu'on peut supprimer sans ordonnance d'un tribunal, comme la pornographie infantile — comme vous l'avez dit — et les types de renseignements de nature très délicate où il y aurait un risque non seulement pour la réputation, mais un risque de détresse psychologique ou médicale ou un autre type de préjudice, ce qui sous-entend qu'on pourrait établir un critère lié aux préjudices.
Merci de votre réponse.
J'aimerais maintenant poser une question complémentaire au représentant du Conseil du commerce de détail. Durant votre témoignage, vous avez laissé entendre que, dans le cadre de l'examen du commissaire à la protection de la vie privée de la LPRPDE, s'il y avait des questions liées au consentement, vous aimeriez participer à la conversation. Vu que ce ne sera très probablement pas le cas, y a-t-il quoi que ce soit que vous aimeriez dire devant le Comité au sujet du consentement?
Tout ce que je veux dire, c'est que, si ce n'est pas le cas — parce que je crois savoir que le commissaire publiera un rapport plus tard en 2017 —, le point principal, c'est que nous ne croyons pas qu'il faille jeter le bébé avec l'eau du bain. La notion de consentement, qui est vraiment la pierre angulaire du texte législatif, est très bonne. Elle a fait ses preuves. Ce que je disais, c'est que s'il devait y avoir des conversations sur la façon dont il faut interpréter cette notion, nous aimerions beaucoup participer à ces conversations, mais l'ajout de quoi que ce soit de plus normatif ou d'une solution « universelle » dans la loi n'est pas une solution que nos membres soutiendraient.
Merci.
J'aimerais poser à chacun des témoins une question à laquelle ils peuvent répondre rapidement par oui ou non: soutenez-vous la création d'un pouvoir de rendre des ordonnances pour le CPVP ou êtes-vous en faveur d'un tel pouvoir? S'il vous plaît, je demande à chacun d'entre vous de répondre simplement par oui ou non.
Je parle d'un pouvoir de rendre des ordonnances plutôt que d'utiliser un modèle d'ombudsman. En ce qui a trait au modèle actuel d'ombudsman ou au pouvoir de rendre des ordonnances, seriez-vous favorables à ce qu'on donne un tel pouvoir au commissaire?
Une voix: Oui.
Je vis dans une administration où le commissaire a un tel pouvoir, et je crois qu'un tel cadre a certains avantages, surtout pour ce qui est de la clarté.
Merci. Je voulais tout simplement régler cette question et obtenir cette information. Nous avons demandé à beaucoup de témoins de répondre à cette question par oui ou non.
Pour revenir au point que j'ai soulevé tantôt, dans quelle mesure, alors, la question de la facilité d'extraction joue-t-elle un rôle dans tout ça? Je vais peut-être prendre un peu de recul, un instant, pour dire que la force de la LPRPDE, selon de nombreux témoins qui ont comparu devant le Comité, c'est qu'elle est neutre du point de vue de la technologie, et c'est la raison pour laquelle de nombreuses personnes ont dit que le régime a eu beaucoup de succès au fil du temps. Cependant, je vois cette très nette distinction maintenant, surtout lorsqu'il est question de dossiers juridiques et de ces genres de choses; il y a en fait vraiment quasiment deux types de renseignements: ceux qui sont facilement accessibles en ligne et les autres.
Est-ce que la facilité avec laquelle on peut récupérer l'information est une nouvelle notion dont il faut tenir compte? De plus, est-ce que la LPRPDE doit vraiment être neutre d'un point de vue technologique et continuer de l'être?
Allez-y, madame Bourne-Tyson.
La facilité d'extraction est une cible mouvante. On a qu'à penser à l'histoire des bibliothèques et à quel point il était difficile de trouver quelque chose. À une époque, il y avait des catalogues sur fiches, et il fallait donc consulter ces catalogues puis faire le tour de la bibliothèque pour trouver le livre. Les choses changent chaque décennie en ce qui a trait à la facilité avec laquelle on peut récupérer l'information, alors je ne crois pas qu'il soit opportun de créer une loi à l'heure actuelle fondée sur le fait que, actuellement, l'information est plus facile à récupérer. Les choses vont changer. Espérons que l'information finira par être stockée sous notre peau.
La récupération de l'information deviendra une expérience très facile et sans douleur, et c'est la beauté de la LPRPDE: elle est neutre d'un point de vue technologique et elle n'est pas fondée sur une période ou une technologie précises.
Plutôt que de mettre l'accent sur la facilité d'accès, il faut plutôt déterminer à quel point l'information est pertinente pour une personne précise et en déterminer la nature sensible. Je le dis parce qu'il est assez facile d'obtenir des renseignements sur l'emplacement des milliers de personnes qui utilisent le Queensway à l'heure de pointe pour obtenir de l'information sur la circulation et il est relativement facile d'analyser des milliers d'empreintes vocales différentes afin de fournir l'information à un programme de traduction qui traduit automatiquement l'information sur un appareil.
Ce n'est tout de même pas pertinent pour une personne, et certaines des questions plus difficiles auxquelles il faudra répondre concerneront des situations où il est question de renseignements précis associés à une personne qui peuvent causer un préjudice ou présenter un avantage du point de vue de la réputation.
Cela ne signifie pas nécessairement que la LPRPDE doit être revue ou qu'il faut réexaminer la notion de consentement en conséquence. C'est une sous-conversation qu'il faut avoir précisément au sujet d'une personne qui comprend quels renseignements sont accessibles à son sujet et quels recours elle a pour faire retirer l'information en question dans le contexte des conventions sociales sur l'accessibilité d'une telle information.
Je crois qu'on peut discuter de l'identification individuelle, comme le fait de savoir si une personne précise peut être identifiée, parce qu'il y a beaucoup de bons et nouveaux renseignements accessibles grâce aux données agrégées. Ces données sont anonymes, en fait, parce que ce sont des métadonnées qui peuvent être explorées de nouvelles façons.
Je crois qu'on retourne la question, ici, et l'idée, c'est de seulement protéger l'information lorsqu'une personne peut être identifiée et lorsque les renseignements peuvent miner la réputation ou avoir d'autres conséquences imprévues, si je peux m'exprimer ainsi.
Merci beaucoup.
Les cinq minutes de M. McKay sont écoulées, et nous avons cinq minutes pour M. Ellis.
Je tiens à commencer par remercier tous les témoins qui comparaissent aujourd'hui. Je vais commencer par Colin, de Google.
Je crois que c'est M. Long qui vous a posé une question sur les enfants. Votre réponse était très bonne, mais j'aimerais que vous nous en disiez un peu plus à ce sujet. La responsabilité revient à l'unité familiale, mais, à notre époque, il y a tous ces enfants à la clé et ces parents monoparentaux. Je sais que les familles sont très occupées et je pense aux compétences de base. Nous n'apprenons plus aux enfants les compétences de base comme faire de la bicyclette, nager et toutes ces choses, puis j'entends parler de ce dont on parle aujourd'hui.
Je sais que Google est un modèle d'excellence, mais ne devrait-on pas investir dans la technologie ou est-ce que vous investissez déjà dans quelque chose du genre? Je sais que nous contrôlons l'alcool et des choses du genre, et nous n'en donnons pas à nos enfants, mais, ensuite, nous leur donnons soudainement une boîte qui peut... Je ne dis pas que la technologie peut causer plus de dommages, parce que l'alcool et les drogues sont plus nocifs, mais on peut causer du tort en quelques secondes, que ce soit en raison de prédateurs ou que ce soit parce qu'on communique certains renseignements.
Du point de vue des technologies, nous avons tellement évolué... On se rend sur certains sites Web et il est écrit: « Cliquez ici si vous avez 18 ans ». On fournit l'information, et c'est suffisant. Selon moi, on est très loin d'un modèle d'excellence, ici, et j'estime vraiment que, si c'est la norme qu'on laisse aux parents, alors les professionnels, les gens comme vous, devraient créer une technologie quelconque ou faire certains investissements à cet égard.
N'importe lequel d'entre vous peut répondre.
Je crois que le genre de législation normative comme celle aux États-Unis peut être problématique. Le fait de dire qu'il faut avoir 13 ans pour avoir un compte de services en ligne signifie au bout du compte qu'on vit dans un monde où les gens prétendent avoir plus de 13 ans. Comme vous l'avez dit, ils cliquent sur le... Ou encore, on ne développe pas de services pour les personnes dans ce groupe d'âge, parce que c'est difficile d'essayer de respecter la norme, et les investissements sont donc très élevés.
C'est la raison pour laquelle il a fallu attendre jusqu'à maintenant pour mettre au point certains de ces outils qui aident les familles et les personnes à créer un tel environnement structuré. Vous avez tout à fait raison, cependant: seuls, les parents ne peuvent pas voir tout ce que font leurs enfants et tout leur apprendre et ils ne peuvent pas faire comprendre aux enfants les risques associés aux comportements en ligne sans aide de l'extérieur.
Je suis le vice-président de MediaSmarts, une organisation d'alphabétisation numérique. Nous travaillons aussi en collaboration avec des programmes de codage comme Actua et Ladies Learning Code afin d'essayer de nous attaquer à ce dossier de deux directions différentes: en nous assurant que les enfants possèdent les compétences techniques pour comprendre les appareils qu'ils ont sur eux et les programmes qu'ils utilisent et nous assurer aussi que les parents et les membres de la collectivité et les enseignants ont accès aux programmes civiques nécessaires pour avoir une conversation éclairée avec les gens qui se développent et deviennent des adultes au sujet de leurs interactions en ligne.
Pour ce que vous avez dit au sujet des — et c'est un mot qui n'a pas encore été utilisé aujourd'hui — prédateurs, il y a des investissements technologiques précis que nous faisons et que d'autres entreprises font dans ces pans particulièrement explicites et horribles des activités en ligne. Nous interceptons ces activités le plus rapidement possible et travaillons avec les organisations d'application de la loi pour éliminer ce volet des comportements en ligne, parce qu'on reconnaît qu'il s'agit d'une réalité très dangereuse à laquelle il faut s'attaquer directement et avec force.
Merci.
Jason, j'ai, entre autres, oeuvré dans le domaine du commerce de détail. Je suis heureux d'être ici pour représenter les grandes et les petites entreprises. Lorsqu'on regarde les grandes entreprises — que ce soit Winners ou la Banque TD, que ce soit une entreprise constituée en personne morale qui possède un conseil ou une société cotée en bourse ou non —, nous nous intéressons à la diversité au sein des conseils et à la question de savoir s'il pourrait y avoir plus de femmes.
Cependant, je n'entends pas beaucoup parler de diversification au sein des équipes de TI. Lorsqu'on crée des conseils de gouvernance — vous savez, on veut un banquier, un avocat, un comptable, un ancien propriétaire d'entreprise — il ne semble pas y avoir ce stress qui pèse sur les conseils d'entreprises devant prendre les décisions. Malheureusement, dans le domaine des affaires, ce sont les profits, parfois, qui comptent, alors on parle toujours de la réputation, la réputation. Prenons le cas de Winners. Je crois que c'est un cas historique. L'entreprise conservait des numéros de carte de crédit sur un même serveur. Je ne sais pas si l'entreprise a dû payer une amende au bout du compte, mais ce qu'elle a dit à ses clients c'est qu'elle acceptait tout retour sans reçu.
Quand je pense aux amendes et au fait que ma carte de crédit ou mes renseignements ont été violés... Je dois changer ma carte de crédit pour des raisons de sécurité. Je dois prendre le temps de le faire, et je considère mon temps comme précieux. Je pourrais être en train de faire autre chose.
Des amendes individuelles, ce genre de choses... Il y a beaucoup de bonnes sociétés qui n'arrêtent pas d'être victimes d'intrusion. Si une entreprise a une bonne image de marque, alors elle rétablit sa réputation plus rapidement. Prenez le cas de Maple Leaf. C'est une tout autre histoire, mais l'entreprise s'en est sortie.
Lorsque je parle du commerce du détail, sachez que j'ai mis sur pied des conseils d'administration, et l'accent a été mis sur les profits, mais nous sommes dans une nouvelle ère de réputation et d'image de marque. Vous dites que vous enseignez les pratiques exemplaires. De quelle façon peut-on intégrer plus de membres des TI qui prennent ces décisions organisationnelles? Serait-ce juste de dire que vous voyez des conseils aller dans cette direction au sein de votre organisation ou est-ce que ce sont des structures qui compteront toujours plus d'avocats et de comptables?
Évidemment, c'est une décision qui revient aux différentes entreprises. Selon moi, ce serait une conversation intéressante à avoir.
Je ne peux pas vous parler de cas précis, mais, selon moi, les amendes ne changent rien. Les dommages à la réputation et la menace de dommages à la réputation sont de loin plus importants que toute menace venant des organismes d'application de la loi ou de ce genre de choses.
Merci beaucoup, monsieur le président.
Monsieur McKay, je crois que je vais passer ces trois minutes avec vous.
Vous avez dit que Google offre du choix, de la transparence, du contrôle et de la sécurité pour s'assurer que les gens qui utilisent ses services ont une bonne protection globale. J'aimerais qu'on retourne dans le temps, un peu.
En 2014, le commissaire à la protection de la vie privée a déterminé que Google avait violé les lois canadiennes sur la protection des renseignements personnels en raison de publicité en ligne ciblée. Je crois que l'information utilisée tenait à l'état de santé d'une personne. La politique de confidentialité de Google elle-même indique que l'entreprise ne va pas cibler quoi que ce soit en fonction de la santé, de la race, de la religion ou de l'orientation sexuelle.
À ce moment-là, Google avait refusé de formuler des commentaires publiquement, mais avait dit avoir travaillé en étroite collaboration avec le Commissariat à la protection de la vie privée et avait réglé le problème. Le commissaire à la protection de la vie privée de l'époque avait souligné que: « Si une organisation aussi perfectionnée que Google avait de la difficulté à assurer la conformité avec sa propre politique de confidentialité, sûrement d'autres entreprises sont confrontées aux mêmes défis. »
Vous venez de dire que vous n'êtes pas favorable à l'octroi d'un pouvoir de rendre des ordonnances. À l'avenir, de quelle façon Google s'assurera-t-elle de toujours respecter ces lois? Est-ce suffisant que le commissaire à la protection de la vie privée soulève l'enjeu publiquement ou préféreriez-vous un accord prévoyant la collaboration lorsque de telles situations ont lieu? Je veux tout simplement savoir de quelle façon vous vous attaquerez à ces nouveaux enjeux et que vous vous assurerez qu'une telle chose ne se reproduira pas.
Dans le cas précis mentionné dans le rapport du commissaire, nous avons travaillé en collaboration avec le Commissariat pendant plusieurs mois sur ce qui s'est révélé être la situation exceptionnelle d'un annonceur qui n'a pas respecté les politiques que nous avions mises en place sur notre plateforme de publicité. Il a fallu effectuer des recherches pour déterminer ce que le plaignant canadien avait vu et à quel endroit et de quelle façon tout cela s'était exprimé dans les publicités qu'il avait vues. Cela a été une expérience difficile pour nous, mais aussi une expérience d'apprentissage, pour nous et pour les commissaires à la protection de la vie privée.
La raison pour laquelle j'ai répondu « non » à la question de M. Kelly, c'est que dans le cadre de tous les exemples passés de rapports de grande importance qui ont été mentionnés aujourd'hui, le cadre actuel a eu un impact et a entraîné un changement de comportement de la part de l'entreprise. Le cas de Winners remonte à 10 ans, et cette situation avait eu un impact majeur sur TJX, l'entreprise mère, et sur l'attitude de Winners à l'égard des contrôles de confidentialité.
Le cas de Globe24h.com est un exemple de l'évolution appropriée du cadre actuel, dans la mesure où il n'y a eu aucune réaction au rapport du commissaire à la protection de la vie privée, et ce dernier s'est donc tourné vers la Cour fédérale pour obtenir une ordonnance. Le site Web a ensuite été fermé.
En ce moment, il y a des pommes pourries, et il y a des gens qui ne réagissent pas assez rapidement, mais pour les entreprises comme la nôtre, la possibilité de travailler en collaboration avec les commissaires à la protection de la vie privée et de s'attarder à la fois à la nature technique et à la nature fondée sur les politiques de confidentialité de la plainte, d'une façon tout à fait honnête et transparente — sans risque d'ordonnance administrative ou d'amende monétaire vu la divulgation franche et ouverte — est très bénéfique. C'est un processus de collaboration très constructif, surtout dans un domaine où les choses vont vite, où on peut découvrir des cas individuels qui ont un impact personnel extrême, mais qui n'ont pas de répercussions plus générales comme celle que vous avez mentionnée.
Merci beaucoup.
Voilà qui conclut la série de questions. Quelqu'un a-t-il une autre question à poser?
J'ai une question, si vous me le permettez, qui fait suite aux questions posées par M. Kelly et M. MacGregor.
Monsieur McKay, vous venez de mentionner le cas de Globe24h.com et vous avez souligné le processus. Cependant, ce n'était pas vraiment le CPVP qui a présenté la demande à la Cour fédérale. Il était l'intimé dans ce cas.
En fait, nous avons transféré la responsabilité au demandeur, qui était déjà exposé à un préjudice dans une constatation du CPVP de 2015. Le dossier a seulement été présenté à la Cour fédérale, et une décision a été rendue au début de 2017. Selon moi, c'est le signe que, peut-être, ce n'est pas ainsi que les choses devraient se passer. Les dossiers doivent être traités plus rapidement, et, en fait, une augmentation des pouvoirs de rendre des ordonnances est nécessaire.
Je comprends que les entreprises veulent travailler et consulter le commissaire à la protection de la vie privée, et nous avons entendu dire qu'un cadre sévère n'est peut-être pas nécessairement souhaité. Lorsque le commissaire à la protection de la vie privée formule des constatations ou communique une directive à des entreprises et que celles-ci n'y donnent pas suite, ne faudrait-il pas accorder des pouvoirs d'imposer des amendes à ce moment-là?
J'ai deux observations à formuler en réaction à ce que vous dites.
Premièrement, on parle d'un très petit nombre d'entreprises qui sont visées par des constatations et qui n'y réagissent pas et ne participent pas au processus en tant que tel.
Deuxièmement, à quoi ressemblerait la structure du Commissariat à la protection de la vie privée une fois que des pouvoirs d'imposer des sanctions administratives pécuniaires lui auraient été accordés? Je ne crois pas que le commissaire pourrait continuer d'être un haut fonctionnaire du Parlement. L'organisation adoptera-t-elle une structure similaire au Bureau de la concurrence ou à un autre tribunal administratif? De quelle façon pourra-t-on alors jouer le rôle d'ombudsman et le rôle d'information publique, une fois que le Commissariat sera devenu cette organisation plus stricte possédant des pouvoirs accrus d'application de la loi?
Explorateur de la publication
Explorateur de la publication