ETHI Réunion de comité

    Je déclare la séance ouverte.

    Bienvenue à la 34^e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes. J'aimerais rappeler aux membres du Comité et à ceux qui se sont joints à nous que la réunion est télévisée et qu'elle sera accessible sur le site Web de la Chambre des communes.

    Pour la première heure, conformément au paragraphe 81(4) du Règlement, nous étudions le Budget principal des dépenses 2021-2022, crédits 1 et 5 sous la rubrique Commissariats à l'information et à la protection de la vie privée du Canada.

    Aujourd'hui, certains des témoins qui comparaissent à la première heure resteront pour la deuxième heure. Ils seront présents pour la deuxième séance de la journée, en quelque sorte. À la première heure, nous accueillons les représentants du Commissariat à la protection de la vie privée du Canada: le commissaire à la protection de la vie privée du Canada Daniel Therrien; le sous-commissaire du Secteur de la conformité Brent Homan; le sous-commissaire du Secteur de la gestion intégrée Daniel Nadeau; et le sous-commissaire du Secteur des politiques et de la promotion Gregory Smolynec. Ce dernier n'était pas arrivé il y a un instant, mais il s'est peut-être joint à nous. Dans le cas contraire, il sera avec nous plus tard.

    Monsieur le commissaire, je vous cède la parole pour votre déclaration liminaire.

    Je vous remercie, monsieur le président. Pouvez-vous m'entendre?

    Je vous entends très bien. Je vous remercie.

    Bonjour, monsieur le président, mesdames et messieurs les députés.

    Cela me fait plaisir de vous rencontrer aujourd'hui et de discuter pendant les deux prochaines heures du Budget des dépenses de 2021-2022, donc de nos activités en général, puis de la question fondamentale qu'est la reconnaissance faciale. La discussion se déroulera évidemment dans un contexte où un projet de loi très important, le projet de loi C-11, a été déposé à la Chambre des communes.

    L'année dernière a été une année de transition pour de nombreuses organisations, et le Commissariat n'y a pas échappé. Il a dû rapidement adapter ses processus pour continuer à servir les Canadiens durant la pandémie.

    Cela a également été une année de transition sur les plans budgétaire et législatif. Le Commissariat s'est vu attribuer une augmentation permanente du financement de 15 % dans le budget fédéral de 2019 pour l'aider à répondre à ses besoins les plus urgents d'ici la réforme législative. Cette hausse du budget a permis au Commissariat d'élargir ses activités en matière de politiques et d'orientation, d'améliorer ses services-conseils offerts aux organisations et de faire face aux pressions découlant des nouvelles exigences de déclaration obligatoire des atteintes, aussi appelées « fuites de données » dans le secteur privé.

    Le Commissariat a également reçu du financement temporaire pour l'aider à réduire une très grande partie de l'arriéré des enquêtes sur les plaintes de plus d'un an. À ce chapitre, nous avons atteint, voire légèrement dépassé, notre objectif et réduit l'arriéré des plaintes de 91 %. Nous sommes d'ailleurs très fiers de ce résultat.

    Au cours de la dernière année, nous avons, entre autres, publié des documents d'orientation sur la protection de la vie privée en temps de pandémie, dont un cadre contextuel visant à aider les organisations gouvernementales à protéger la vie privée dans le contexte des initiatives liées à la COVID-19. Conformément à ce cadre, nous avons étudié l'application Alerte COVID et conseillé le gouvernement à cet égard. À la suite d'une consultation publique, nous avons publié nos principales recommandations visant à réglementer l'intelligence artificielle.

    Nous avons aussi produit notre premier rapport sur l'inspection des registres d'atteintes à la vie privée — il s'agit encore des fuites de données. De plus, nous avons analysé plusieurs initiatives législatives et formulé des recommandations. Citons notamment notre mémoire sur l'examen de la Loi sur l'accès à l'information et celui sur la modernisation de la Loi sur la protection des renseignements personnels dans le secteur public, qui a fait l'objet d'une consultation par le ministère de la Justice.

    Enfin, après une analyse détaillée du projet de loi C-11, nous avons terminé la rédaction d'un autre mémoire. Tous ces documents, sauf le mémoire sur le projet de loi C-11, sont actuellement accessibles sur notre site Web.

    Bien que l'injection de fonds dans le cadre du budget de 2019 nous ait aidés à réduire notre arriéré et à augmenter notre capacité, un écart très important subsiste. Alors que s'accélère la numérisation en cette période de pandémie, nous continuons d'éprouver de la difficulté à répondre à la demande en matière d'orientation, de lignes directrices et de services-conseils, ainsi qu'à aider nos enquêteurs à donner suite aux plaintes déposées par les Canadiens.

    Dans sa mise à jour économique de l'automne, le gouvernement a prévu des fonds pour appuyer la mise en œuvre et l'application du projet de loi C-11. Il s'agit évidemment d'une bonne chose. Toutefois, maintenant que nous connaissons l'étendue de nos nouvelles responsabilités découlant de cette loi, nous estimons que des fonds supplémentaires seront nécessaires.

    Le projet de loi C-11 impose plusieurs nouvelles responsabilités au Commissariat, dont l'obligation d'examiner les codes de pratique et les programmes de certification et de donner des conseils aux organisations sur leur programme de gestion de la protection de la vie privée. Il convient de souligner qu'il s'agit d'activités à caractère non discrétionnaire, ce qui signifie que, chaque fois qu'une entité ou qu'une organisation se tournera vers nous pour obtenir des conseils ou une approbation, nous serons tenus de nous prononcer.

    La possibilité de collaborer ainsi avec les entreprises est une bonne chose. Il y a quelques années, j'ai remanié le Commissariat dans la perspective d'une approche plus proactive en vue d'inciter les organisations à se conformer à la loi. Nous avons créé deux nouvelles directions pour collaborer de façon proactive avec des organisations des secteurs public et privé, sur une base volontaire, sur les risques d'atteinte à la vie privée ayant un impact élevé. Ces activités se sont intensifiées pendant la pandémie. En fait, elles ont été très prisées.

    Comme vous le savez, un autre rôle que nous jouons est d'enquêter sur les plaintes pour violation alléguée de la loi. Toutefois, ce n'est pas notre seul rôle. Pour être un organisme de réglementation efficace, le Commissariat doit être stratégique dans ses activités de conformité et de consultation, en adoptant une approche axée sur les risques.

    Comme nous l'expliquions en détail dans le mémoire que nous avons rédigé sur le projet de loi C-11, nous nous inquiétons du fait que, compte tenu du caractère non discrétionnaire de nos responsabilités selon ce projet de loi, nous ne serons pas en mesure de desservir à la fois les plaignants et les organisations tout en mettant l'accent sur les préjudices causés aux Canadiens de manière générale. Nous estimons que des ressources supplémentaires seront nécessaires, mais l'argent ne constitue pas le principal enjeu. Le Commissariat devrait avoir le pouvoir discrétionnaire voulu pour gérer sa charge de travail, répondre aux demandes des organisations et aux plaintes des consommateurs de la façon la plus efficace et la plus efficiente possible, et réserver une partie de son temps aux activités qu'il entreprend, en se fondant sur son évaluation du risque pour les Canadiens. Des organismes de réglementation partenaires au Canada et à l'étranger, qu'il soit du domaine ou non de la protection de la vie privée, profitent dans une large mesure d'un tel pouvoir discrétionnaire.

    Une autre option visant à équilibrer nos différentes activités consisterait à veiller à ce que le rôle confié au Commissariat en ce qui concerne l'approbation des codes de pratique et des programmes de certification dans le projet de loi C-11 soit conditionnel au versement de droits pour le recouvrement des coûts afin que nous disposions de la capacité nécessaire pour accomplir cette tâche, et pour donner suite à nos autres priorités. En fin de compte, aucun organisme de réglementation ne dispose de ressources suffisantes pour traiter toutes les demandes qu'il reçoit des citoyens et des entités réglementées. Il est important que le Commissariat ait la souplesse nécessaire pour affecter ses ressources d'une manière qui s'avérera la plus avantageuse pour les Canadiens, et pour ajuster ses activités afin de faire face aux nouvelles tendances qui se profilent à l'horizon.

    En plus des modifications qui découlent du projet de loi C-11, le ministère de la Justice a présenté des propositions dans ses récentes consultations portant sur la modernisation de la Loi sur la protection des renseignements personnels, la loi du secteur public, lesquelles modifieraient également en profondeur notre rôle dans le secteur public. Nous sommes favorables dans une large mesure à ces modifications. Il est question notamment d'un nouveau mandat en matière d'éducation du public, du pouvoir de formuler des orientations destinées aux institutions gouvernementales, d'un rôle consistant à publier des avis préalables, de la supervision de projets pilotes et d'un pouvoir discrétionnaire élargi au chapitre de la publication des résultats en matière de conformité. Le ministère de la Justice propose également un rôle élargi en matière de conformité pour le Commissariat, comme un pouvoir élargi de vérifier les pratiques de manière proactive et une certaine forme de pouvoir de rendre des ordonnances. Nous avons déjà commencé à planifier ces volets.

    En conclusion, je souligne le fait que, alors que nous nous tournons vers l'avenir, il sera important de pouvoir compter sur des lois modernes, nous donnant la possibilité d'agir efficacement en tant qu'organisme de réglementation. Il conviendrait aussi d'attribuer au Commissariat les ressources financières nécessaires pour appliquer ces lois.

    Je suis impatient de collaborer avec le Parlement à l'amélioration de propositions législatives afin que nos lois modernes protègent adéquatement le droit à la vie privée des Canadiens, tout en favorisant une innovation responsable.

    Je vous remercie de votre attention.

    C'est avec plaisir que je répondrai à vos questions.

    Je vous remercie, monsieur le commissaire.

    Monsieur Carrie, c'est vous qui allez poser les premières questions.

    Je vous remercie infiniment, monsieur le président.

    Je tiens à remercier nos témoins d'être ici aujourd'hui. J'avais hâte de discuter avec vous.

    Comme vous l'avez mentionné, nous vivons une période sans précédent. Nous voyons un nombre grandissant de gens travailler à domicile. Je me demande si vous avez pu réaliser des gains d'efficacité dans l'exécution des programmes étant donné que les employés sont chez eux. Trouvez-vous que les choses se passent rondement en ce moment, ou avez-vous quoi que ce soit à proposer?

    Nous réalisons des gains d'efficacité, mais pas nécessairement en raison du télétravail. Nous avons évidemment dû nous adapter très vite au travail à domicile et veiller à ce que nos collègues et nos employés aient la technologie nécessaire pour continuer à fournir les services. Il n'y a pas eu d'augmentation de l'efficacité attribuable à la pandémie, mais pas de perte non plus.

     Par contre, la technologie a pu accroître l'efficacité indépendamment de la pandémie. Par exemple, nous avons utilisé pour la première fois un formulaire électronique pour le dépôt de plaintes donnant lieu à une enquête. Ce changement nous a permis d'effectuer plus efficacement les premières étapes, comme le triage de nos enquêtes. La technologie nous a donc bel et bien été utile.

     À long terme, la situation pourrait-elle avoir une incidence importante sur vos ressources? Pensez-vous que vous pourrez ainsi gérer les choses plus efficacement à longue échéance?

    La technologie fera certainement partie de la solution. Nous évaluons actuellement une façon de l'utiliser lorsque nous recevons des rapports sur l'atteinte à la vie privée de la part d'entreprises, par exemple. Nous pensons que l'automatisation peut contribuer à accroître l'efficacité de l'examen de ces rapports.

    En fin de compte, je pense cependant que l'utilisation accrue et l'accélération considérable de la technologie ces dernières années, et plus particulièrement pendant la pandémie, signifient que nous avons beaucoup plus d'enjeux à examiner. Dans l'ensemble, il faut augmenter les ressources, mais nous faisons de notre mieux pour accroître l'efficacité.

    Je pense que nous vivons une période très fascinante à bien des égards. Or, les questions que je reçois au bureau sur la protection des renseignements personnels et la collecte des données semblent gagner en importance au fil du temps.

    Vous avez parlé d'une augmentation de 15 % du budget cette année et dit que vous vous préparez à des changements législatifs. Vous avez d'ailleurs évoqué le projet de loi C-11.

    J'ai trouvé une de vos remarques un peu étrange. Vous avez dit que vos mémoires sont disponibles sur le site Web, mais pas celui qui porte sur le projet de loi C-11. Y a-t-il eu un problème? Pourquoi n'est-il pas en ligne?

    C'est simplement parce que je n'ai pas encore été invité à témoigner sur le projet de loi C-11. J'attends que les députés m'envoient une convocation. Nous sommes prêts, et dès que nous recevrons la demande des députés, nous serons heureux d'y consentir et de publier le mémoire sur notre site Web.

    C'est excellent. Très bien.

     J'entends de plus en plus souvent dire que ce domaine, surtout les médias numériques, innove si rapidement que les organismes de réglementation ont du mal à suivre le rythme.

    Vous avez dit qu'en raison de la rapidité à laquelle les choses évoluent et de la nouvelle législation, vous pourriez avoir besoin de ressources supplémentaires pour votre bureau. Avez-vous une idée de ce que cela pourrait représenter pour les contribuables?

    Comme je l'ai mentionné dans mon exposé... Tout d'abord, je dois dire que dans l'Énoncé économique de l'automne dernier, environ 18 millions de dollars par année ont été prévus. Il s'agit d'un document quasi budgétaire. Toutefois, cette somme n'était pas destinée uniquement au Commissariat, mais bien à toutes les institutions gouvernementales qui seront appelées à mettre en œuvre le projet de loi C-11. Nous en aurons une partie.

    Ce montant a été établi à la suite d'une consultation avec notre bureau qui a eu lieu avant que nous ne voyions le projet de loi C-11. Maintenant que nous sommes au fait du texte législatif, nous constatons que nous jouons un rôle dans l'approbation des codes de pratique de l'industrie, et aussi dans la prestation de conseils sur demande aux entreprises à propos de leurs programmes de protection de la vie privée. Nous n'étions pas au courant lorsque nous avons présenté nos prévisions au gouvernement, mais maintenant que nous le savons, nous constatons qu'un financement accru sera nécessaire.

    Sans compter l'augmentation du financement — je vais répéter ce que j'ai dit dans ma déclaration —, nous sommes tout à fait favorables au rôle que nous confère le projet de loi C-11 relatif aux codes et aux conseils à l'intention des entreprises. Cependant, en toute franchise, nous ne pourrons pas répondre à chacune des demandes que nous recevrons. C'est pourquoi je pense qu'il faut dialoguer avec les entreprises à cet égard. Des fonds supplémentaires seront nécessaires, mais nous devons également disposer d'une certaine latitude pour gérer notre charge de travail et continuer ce que nous avons fait jusqu'à présent, c'est-à-dire offrir nos services sans devoir répondre à la moindre demande. Nous traitons par exemple celles qui semblent présenter les risques les plus élevés pour la vie privée.

     C'est une question d'argent dans une certaine mesure, mais nous voulons aussi avoir la liberté d'accepter la plupart des demandes, et d'en refuser d'autres si notre budget ne nous le permet pas.

    Je vous remercie, monsieur Carrie.

    Nous allons maintenant écouter M. Fergus, qui posera les prochaines questions.

    Allez-y, monsieur.

    Je vous remercie beaucoup, monsieur le président.

    Je remercie M. Therrien de son allocution et de sa comparution devant le Comité aujourd'hui.

    Monsieur Therrien, j'ai vraiment trouvé vos propos intéressants.

    Ma première question est très simple, mais elle va mener à d'autres questions.

    La pandémie a-t-elle eu des répercussions importantes sur les ressources du Commissariat?

    En un mot, la réponse est oui.

    Pouvez-vous expliciter cela?

    Avant la pandémie, nous étions déjà dans un monde où se déroulait une révolution numérique. La pandémie a fait exploser cette révolution. Par conséquent, les organisations publiques et privées, notamment les entreprises commerciales, doivent se tourner de plus en plus vers le numérique et nous posent donc plus de questions quant à la manière de faire les choses de façon à respecter la vie privée.

    Un certain nombre d'entreprises et d'organisations se sont tournées vers nous, dont un groupe à Toronto, qui donne des conseils aux entreprises dans l'ensemble du Canada, ainsi que plusieurs ministères fédéraux, en particulier celui de la Santé. Ces groupes se sont tournés vers nous pour nous demander des avis sur les nouveaux programmes qui ont dû être créés de façon extrêmement rapide en raison de la pandémie afin de s'assurer que cela était fait de façon à respecter la vie privée.

    Cela m'amène à ma deuxième question.

    Quand je lis le plan ministériel du Commissariat, je vois que vous continuez à prendre des initiatives pour mener des enquêtes et examiner les situations qui ont des répercussions importantes sur la vie privée, comme celles qui touchent l'ensemble d'un secteur ou d'une industrie. Vous avez dit continuer à le faire dans la mesure où les ressources le permettent.

    Comment les ressources limitent-elles la capacité du Commissariat à mener des enquêtes de sa propre initiative?

    Les sujets qui pourraient faire l'objet d'une enquête ne manquent pas. Il faut donc utiliser nos ressources pour enquêter sur les sujets qui posent le plus de risques. Par exemple, nous avons commencé une enquête sur l'utilisation de l'intelligence artificielle dans le domaine de l'emploi. Cela me semblait un problème particulièrement important en raison des risques sérieux que cela pose pour les candidats à l'emploi.

    Les difficultés nous amènent à faire des choix. Pour tous les ministères, les ressources financières ne sont pas illimitées et nous ne demandons pas d'avoir un budget illimité non plus. C'est normal que nos capacités financières comportent des limites. Nous essayons de répartir nos activités en fonction d'une analyse de risques. Parmi nos activités, il y a les enquêtes, dont celles pour lesquelles nous prenons des initiatives par opposition à celles qui font l'objet d'une plainte. Les individus nous présentent des plaintes auxquelles nous devons répondre. C'est important d'y répondre, car, pour eux, nous représentons un mécanisme d'accès à la justice pour les citoyens. Cependant, ils n'auront pas nécessairement connaissance des pratiques qui sont les plus risquées pour la vie privée, d'où la nécessité de pouvoir commencer des enquêtes nous-mêmes. Il faut être capable de faire les deux.

    Par ailleurs, il faut aussi jouer un rôle proactif, en donnant, par exemple, des avis aux entreprises et aux ministères et en publiant des lignes directrices. Le projet de loi C-11 nous donnera un rôle d'approbation en matière de codes de pratique et nous permettra de conseiller les entreprises. Tout cela est parfait, mais, à cause de l'accélération de la révolution numérique, il nous faut plus de fonds. Nous sommes en train d'évaluer quantitativement nos besoins. Il faudra malheureusement refuser certaines demandes, parce que nous ne pouvons pas tout faire.

    Il me reste moins d'une minute. Je vais vous poser une question simple, mais à laquelle il vous sera peut-être difficile de répondre.

    De quel ordre devrait être l'augmentation de votre budget, à votre avis, pour vous permettre d'accomplir raisonnablement votre travail au cours des trois prochaines années?

    Je vais m'avancer et dire qu'en ce qui a trait au secteur privé, il s'agit probablement d'environ 50 %. Outre cela, de nouveaux rôles nous seraient donnés dans le cadre de la réforme envisagée par le ministère de la Justice pour le secteur public, si elle voit le jour dans un avenir pas trop lointain. Une augmentation substantielle du budget serait alors nécessaire.

    Évidemment, le Parlement va prendre une décision selon l'ampleur de nos demandes. Cependant, nous parlons d'une augmentation substantielle à cause de deux facteurs, soit l'accélération de la révolution numérique et les questions relatives à la vie privée que cela pose, d'une part, et, d'autre part, les nouvelles responsabilités qui nous incomberaient dans le cadre du projet de loi en question.

    Je vous remercie beaucoup, monsieur Therrien.

    Je vous remercie, monsieur Fergus.

    Je cède la parole à M. Fortin.

    Je vous remercie, monsieur le président.

    Bonjour, monsieur Therrien.

    Je viens de vous entendre répondre aux questions de mon collègue M. Fergus. Certaines réponses m'ont étonné, et je me demande si nous devrions nous inquiéter. À la dernière question, vous avez répondu que l'augmentation de budget nécessaire pour remplir vos obligations dans le secteur privé serait de l'ordre de 50 %.

    Il vous faudrait donc 50 % plus d'argent pour être en mesure de réaliser votre mandat. Ai-je bien compris?

    En fait, cet argent serait nécessaire en raison du mandat additionnel qui nous incomberait dans le cadre du projet de loi C-11.

    Par ailleurs, si l'on oublie le projet de loi C-11, dans l'état actuel des choses, diriez-vous que vous disposez du budget nécessaire à la réalisation de votre mandat, mis à part ce qui pourrait arriver de nouveau avec le projet de loi C-11?

     La révolution numérique, qui nous oblige à donner plus de conseils et à établir plus de lignes directrices, est toujours un facteur. Par exemple, nous donnons des lignes directrices aux entreprises. Ce sont des guides, qui n'ont pas force de loi. Il y a quelques années, après une consultation, nous avons défini pour le secteur privé une trentaine de sujets qui devraient faire l'objet de lignes directrices en matière de vie privée. Or, nous ne sommes même pas rendus à mi-chemin.

    Bien que nous ayons des budgets et que ceux-ci aient été augmentés, si nous considérons l'ensemble de nos activités, nous constatons que nous avons été incapables de mettre à jour des lignes directrices pour les entreprises et des mesures d'aide pour les individus parce que le monde numérique soulève trop de nouvelles questions. Nous sommes incapables de fournir la quantité d'avis, de conseils, que nous devrions pouvoir offrir.

    Évidemment, comme vous l'avez déjà dit, la situation liée à la pandémie n'aide en rien. L'augmentation des communications sur les réseaux sociaux, les rencontres, comme celle de ce matin, qui se tiennent au moyen de la plateforme Zoom, mais auxquelles nous assisterions normalement en personne, sur la Colline, doivent constituer d'importants défis pour le Commissariat à la protection de la vie privée.

    Pourriez-vous nous parler du genre de défis que vous devez relever dans le contexte de la pandémie?

    Cela prend diverses formes. Comme je le disais à M. Fergus, un bon nombre d'entreprises, de ministères et d'entités gouvernementales sollicitent notre avis au sujet d'initiatives liées à la pandémie. De plus, il faut se tenir au courant de la façon dont la technologie est utilisée dans un contexte de pandémie. J'ai déjà mentionné qu'on recourait beaucoup plus à la technologie, dans de telles circonstances, pour la prestation de services, notamment dans les domaines de l'éducation et de la santé.

    Comment peut-on le faire en respectant la confidentialité des renseignements échangés sur les plateformes numériques? Nous nous penchons là-dessus. Il y a des enquêtes. Nous notons des choses qui doivent faire l'objet d'une enquête. Je vous ai donné plus tôt pour exemple l'utilisation de l'intelligence artificielle lors des entrevues d'embauche. Nous allons aussi parler de la reconnaissance faciale plus tard.

    Nous essayons donc d'utiliser nos budgets le mieux que nous pouvons, en fonction du risque que nous constatons.

    Présentement, vous n'avez pas nécessairement tous les fonds nécessaires pour accomplir votre mission, mais avez-vous établi des genres de barèmes ou de critères pour déterminer à quoi vous direz non?

    Par exemple, vous nous disiez plus tôt avoir reçu des demandes concernant la mise à jour de directives, mais de n'avoir pu faire qu'une partie du travail. Comment établissez-vous vos priorités? Comment déterminez-vous ce que vous allez faire et ce que vous allez mettre de côté?

    C'est notre évaluation du risque en fonction de ce que nous observons dans divers milieux qui le détermine. Dans le présent contexte, la loi actuelle et la loi à venir, dans le cadre du projet de loi C-11, nous obligent à enquêter lorsque des plaintes nous sont acheminées.

    Sauf dans de très rares cas, lorsqu'une plainte est déposée par un citoyen, la loi nous oblige à enquêter. C'est une contrainte réelle. Encore une fois, il y a des avantages à ce système, notamment en matière d'accès à la justice. Nous sommes un ombudsman qui dispose d'une procédure relativement accélérée, plus simple que celle des tribunaux judiciaires.

    Je comprends tout cela, mais il reste que cette situation crée une contrainte réelle, car nous devons systématiquement faire une enquête lorsqu'une plainte nous est acheminée. Nous sommes d'avis que, à l'instar d'autres organismes de réglementation en matière de vie privée, nous devrions disposer d'une plus grande marge de manœuvre. Il faut se demander quelles seraient les voies de recours si le Commissariat n'était pas en mesure de faire une enquête relativement à une plainte. Le projet de loi C-11 parle, entre autres, de droit privé d'action devant les tribunaux.

    Ce sont des questions délicates, mais le fait de devoir faire une enquête sur chacune des plaintes que nous recevons est une contrainte réelle.

    Selon ce que je comprends, vous pouvez faire moins de prévention. Pouvons-nous dire que le manque de fonds a un effet néfaste sur la prévention?

    En gros, oui.

    Je vous remercie, monsieur Therrien.

    Monsieur Fortin, votre temps est malheureusement écoulé.

     C'est au tour de M. Angus, qui posera les prochaines questions.

    Je vous remercie, monsieur Therrien. C'est un plaisir de vous revoir devant notre comité.

    Comme vous le savez, nous avons étudié la présence de vidéos et de photos publiées sans consentement sur le site Pornhub MindGeek. Participez-vous actuellement à une enquête visant à déterminer si les responsables ont violé le droit à la protection de la vie privée de citoyens canadiens?

    Oui.

    D'accord. Vous avez donc lancé une enquête.

    C'est exact.

    J'imagine que vous ne pouvez rien nous divulguer sur celle-ci.

    C'est juste.

    Je comprends parfaitement.

    La question m'intéresse, car une des victimes qui nous a contactés avait demandé à la GRC de faire enquête. Or, la GRC dit croire à un modèle de conformité volontaire. Nous avons essayé de voir si le Bureau du procureur général s'intéresse à l'affaire, mais il ne semble pas agir dans ce dossier.

    Un agent de la GRC a mentionné à cette victime que Pornhub MindGeek serait exempté en raison de ses modalités d'utilisation et de consentement qui se trouvent sur son site Web. Je sais que vous avez soulevé des questions à propos de la nature vague du consentement sur les sites Web.

    Les responsables ont leurs propres modalités de consentement; croyez-vous que cela les soustrait en quelque sorte aux lois canadiennes sur la protection de la vie privée?

    Je serai prudent puisque notre enquête est en cours.

    Je vais simplement énoncer le principe général selon lequel il faut normalement obtenir le consentement pour recueillir, utiliser ou communiquer des renseignements personnels en vertu des lois canadiennes en matière de protection des renseignements personnels applicables au secteur privé. Même si le consentement est donné, il y a une autre règle disant que dans un tel cas, une organisation ne peut pas recueillir, utiliser ou communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait inacceptables.

    Je vous remercie infiniment. Je comprends très bien votre réponse. Je sais que vous faites une enquête, de sorte que je ne vous en demanderai pas plus. Je voulais simplement clarifier ce point.

    Au cours de la dernière législature, notre comité a envoyé au gouvernement un certain nombre de recommandations visant à renforcer le rôle de votre bureau et à assurer une meilleure protection du droit à la vie privée des Canadiens et des droits de nos citoyens. J'ai parlé à de nombreuses personnes du domaine de la protection de la vie privée et des données qui ont examiné ce nouveau projet de loi C-11, et elles craignent que ces dispositions aillent à l'encontre de certains objectifs que notre comité avait énoncés à la législature précédente. Un de ces objectifs se rapporte au consentement valable.

    Vous affirmez que la Loi sur la protection de la vie privée des consommateurs « omet un aspect important de la loi actuelle, soit l'idée qu'un consentement valable exige que la personne qui le donne soit à même de comprendre les conséquences de son geste. » Vous ajoutez qu'à votre avis, « le contrôle des consommateurs serait moindre qu'en vertu de la loi actuelle. »

    Pouvez-vous expliquer vos réserves?

    D'accord. Il ne fait aucun doute que le projet de loi C-11 tente avec profondeur et sérieux d'aborder les questions de la protection de la vie privée dans le monde numérique. Nous estimons toutefois que le texte nécessite des changements de taille sur le plan général pour assurer une protection adéquate de la vie privée.

    Pourquoi? À notre avis, même si le projet de loi C-11 contient des dispositions sur le consentement, il en découlera un contrôle moindre des personnes, notamment pour la raison que vous donnez. Dans le libellé actuel du projet de loi C-11, rien n'exige que les personnes ou les consommateurs comprennent les conséquences de leur consentement.

    Le projet de loi C-11 prévoit également d'importantes exceptions au consentement, dont certaines sont convenables, alors que d'autres sont beaucoup trop larges. Par exemple, il y a une exception au consentement lorsqu'il est « pratiquement impossible » d'obtenir ce consentement. Nous pensons qu'une exception aussi large au consentement rend les dispositions législatives dépourvues de substances — le contrôle des personnes est moindre, et les organisations ont plus de marge de manœuvre. Nous ne sommes pas contre ce principe en soi, surtout lorsque des organisations veulent utiliser les renseignements personnels pour le bien commun ou pour un intérêt public légitime, mais nous pensons que cette marge de manœuvre accrue devrait être assortie d'une plus grande responsabilité.

    Je vois. Le temps file, mais je voulais simplement clarifier une chose. Je sais qu'il y a eu une réelle inquiétude, certainement à l'article 18, au sujet de la nature générale de ce qu'on appelle les activités d'affaires. Certains se demandent s'il est préférable de prévoir une responsabilité fiduciaire qui impose des devoirs de loyauté et de diligence lorsque des renseignements personnels sont recueillis, particulièrement lorsqu'il s'agit de renseignements sur les origines raciales et ethniques, les croyances philosophiques, les croyances religieuses ou les données biométriques ou génétiques des gens.

    Pensez-vous que nous devrions avoir une définition beaucoup plus claire de l'obligation de protéger ces informations?

    En un mot, oui.

    Nous pensons qu'une partie de la solution consiste en effet à donner plus de souplesse aux entreprises pour qu'elles puissent utiliser l'information à des fins commerciales légitimes, mais dans le cadre d'une loi sur la protection de la vie privée fondée sur les droits de la personne. En fin de compte, ce serait la protection la plus importante accordée aux consommateurs.

    Je vous remercie.

    Je vous remercie, monsieur Angus.

    Je vais céder la parole à M. Gourde, qui est le prochain intervenant.

     Je vous remercie, monsieur le président.

    Monsieur le commissaire, je vous remercie d'être de nouveau avec nous aujourd’hui. Cela fait toujours plaisir de vous recevoir.

    Vous nous avez dit que, selon votre mandat, vous deviez répondre à toutes les plaintes, mais que vous n'aviez pas le pouvoir discrétionnaire de refuser certaines d'entre elles.

    Quels genres de plaintes ne mériteraient pas un examen de votre commissariat?

    Avant de répondre directement à la question, je rappelle aux membres du Comité que, dans d'autres sphères de compétence, ce pouvoir discrétionnaire est accordé aux organismes qui sont de nature équivalente à celle du Commissariat. Il vise à s'assurer que ces commissariats ne sont pas inondés de plaintes, ce qui les empêcherait de jouer un rôle proactif. Le but n'est pas de rejeter les demandes, c'est d'être capable de faire l'ensemble de notre travail.

    Pour revenir à votre question, cela revient à une question d'évaluation des risques. Ce n'est pas nécessairement que des plaintes n'ont aucun mérite, mais il y a des niveaux de risque parmi les plaintes qui nous sont envoyées. Entre autres, il y a certaines plaintes qui ne concernent qu'une seule personne. Pour cette dernière, c'est très important, et je suis tout à fait d'accord qu'il faut donner à chacun un accès à un système de justice. Toutefois, s'il faut choisir entre enquêter sur une plainte dont le résultat ne visera qu'une seule personne ou se pencher sur une autre plainte dont la résolution risque d'établir un principe qui va toucher une grande partie de la population, dans ce cas, malheureusement, il faut opter pour la deuxième.

    C'est tout à fait louable.

    On a également parlé de l'utilisation grandissante de la technologie. J'essaye de bien comprendre.

    On sait que la technologie peut accélérer certains dossiers, mais il va toujours falloir un être humain pour donner des conseils et rédiger certains rapports.

    Pouvez-vous nous éclairer quant à la façon dont la technologie peut accélérer le traitement de ces plaintes?

    Vous avez tout à fait raison. Il faut un être humain, au bout du compte, pour analyser le dossier et répondre au plaignant.

    La technologie est surtout utilisée dans le processus de triage. Présentement, nous avons l'obligation de traiter chacune des plaintes, mais nous ne les traitons pas toutes de la même façon. Il y en a que nous examinons en profondeur, et d'autres, de façon plus accélérée. Nous avons notamment un processus de règlement rapide.

    La technologie peut nous aider à faire un triage initial entre les plaintes qui devraient faire l'objet d'un règlement rapide et celles nécessitant une enquête plus approfondie. Au bout du compte, dans les deux cas, même dans celui du règlement rapide, il y a toutefois quelqu'un qui doit se pencher sur le dossier et répondre au plaignant.

    C'est sûr qu'avec l'essor de toutes les nouvelles plateformes technologiques, nous sommes vraiment sur la voie rapide, si vous me permettez l'expression. Notre travail, au Parlement, a beaucoup changé en l'espace de huit ou neuf mois, et cela doit être semblable au Commissariat.

    Ce mode de fonctionnement nous expose au risque que soient divulgués des renseignements confidentiels qui concernent le public, par inadvertance ou par accident.

    Vous avez beaucoup parlé de sensibilisation du public. Est-ce que cela consiste à dire aux Canadiens de faire plus attention à certains éléments pour ne pas que leur identité soit dévoilée ou avez-vous un objectif plus vaste?

    Le volet lié à la sensibilisation comprend cet aspect, mais il en englobe bien d'autres.

    La technologie, c'est un domaine complexe pour beaucoup de personnes. Pour bien des gens, il est difficile de comprendre les risques qu'ils ont à gérer en matière de vie privée, à moins qu'ils ne comprennent minimalement les rudiments de la technologie et du traitement des renseignements personnels.

    Cela étant dit, nous connaissons les conditions d'utilisation des sites Web et nous essayons de faire ce que nous pouvons à ce sujet, mais ces conditions sont très complexes et il y a une limite à ce que nous pouvons faire. Nous tentons néanmoins d'informer les gens sur le fonctionnement de la technologie et sur ses répercussions sur leurs renseignements personnels pour qu'ils puissent prendre les décisions les plus éclairées possible.

    Je vous remercie, monsieur Gourde.

    C'est au tour de M. Sorbara, qui posera les prochaines questions.

    Merci, monsieur le président.

    Je vous souhaite le bonjour à vous tous et la bienvenue à vous, monsieur le commissaire.

    Dans le temps dont je dispose… Je sais que nous nous focalisons sur le Budget principal des dépenses, mais, ce qui compte le plus à mes yeux, c'est que votre bureau dispose des ressources qui vous serviront à remplir utilement votre tâche et votre mandat.

    Voyons maintenant quelque chose concernant… Je m'informe sur votre bureau et je le suis de très près depuis mon arrivée au Comité, vers la fin de l'année dernière. Nous venons d'écouter l'étude citée par M. Angus. Voici ce que dit ce document, qui date de mai 2018, sur le consentement valable :

    Pouvez-vous formuler des observations sur cette entrée en matière?

    J'ai lu votre discours du 25 mars 2021 ainsi que l'information présentée par Clearview AI. Je ne parviens pas encore à croire l'affirmation qu'on y lisait, selon laquelle les lois canadiennes sur la protection de la vie privée ne s'appliquent pas aux activités de cette compagnie, parce qu'elle ne possède pas de liens réels avec le Canada, même après avoir rassemblé trois milliards d'images de Canadiens et produit les données en question.

    Pouvez-vous en dire un peu plus sur le consentement valable et sur le juste milieu à trouver entre cette notion et les objectifs des consommateurs, des entreprises et des particuliers?

    Visiblement, c'est une très grande question. J'essaierai de lui faire honneur en quelques secondes ou minutes.

    Le consentement est un aspect fondamental de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, la loi en vigueur, et il continuera de jouer un rôle central sous le régime de la Loi sur la protection de la vie privée des consommateurs, ou LPVPC, édictée par le projet de loi C-11, qui font une place au consentement, en 2021, pour la protection de la vie privée. Il faut des règles pour s'assurer que lorsque le consentement est efficace, il est obtenu de façon valable. D'après moi, ça signifie en partie s'assurer que les consommateurs qui donnent leur consentement ont une bonne idée de ce à quoi ils consentent, ce qui n'est pas évident. C'est là que le consentement est efficace.

    Comme je le disais dans les documents que vous citiez, dans l'état actuel de l'évolution des techniques numériques, il se présente de nombreuses situations, dont la liste s'allonge, où le consentement n'est pas vraiment efficace, particulièrement en intelligence artificielle, par exemple, où la technologie vise à employer de l'information à d'autres fins que ce pour quoi on l'a obtenue. Ce n'est pas vraiment propice à l'emploi du consentement comme moyen convenable de protéger la vie privée.

    Actuellement, en 2021, et dans les années qui suivront, le consentement aura une utilité, mais il faut aussi des lois qui reconnaissent qu'il n'est pas toujours efficace. Ensuite, nous devons trouver un moyen convenable de protéger la vie privée en l'absence de consentement. C'est là, à mon avis, que gît la difficulté réelle, dans la discussion de ces enjeux, particulièrement avec le projet de loi C-11.

    Le projet de loi C-11 prévoit beaucoup plus d'exceptions au consentement, certaines convenables, d'autres, d'après nous, trop générales. Comment protéger la vie privée si le consentement n'est pas le moyen préféré de la protéger? Nous proposons de la protéger en nous adossant sur les droits de la personne. D'autres modèles sont proposés, par exemple le modèle fiduciaire, auquel M. Angus faisait allusion.

    La difficulté extrême qui guette le Parlement, dans les mois à venir, est de déterminer les cas où le consentement est inopérant, ce qui arrive parfois, et ce serait un bon modèle pour continuer à protéger suffisamment la vie privée en l'absence de consentement.

    Monsieur le président, si vous me permettez seulement de terminer, parce que je sais…

    Il ne vous reste que quelques secondes, alors si la question est courte…

    Cette discussion est capitale pour 38 millions de Canadiens, parce qu'il s'agit de données personnelles. Ce n'est les données de personne d'autre. C'est les données de chacun. C'est ma perception du problème. Nous devons trouver le juste milieu, mais, également, protéger les consommateurs, les citoyens canadiens. C'est ma croyance fondamentale.

    Merci de votre réponse, monsieur le commissaire.

    M. Daniel Therrien: De rien.

    Monsieur Fortin vous disposez de deux minutes et demie.

    Vous avez la parole.

     Je vous remercie, monsieur le président.

    Monsieur Therrien, nous n'avons évidemment qu'effleuré le sujet, mais, compte tenu de tout ce qui vient d'être dit, comment situeriez-vous le Canada, par rapport à d'autres pays, pour ce qui est de la protection des renseignements personnels et de la vie privée?

    J'aimerais que vous me donniez votre avis sur la question et que vous fassiez un genre d'analyse comparative en deux minutes.

    Le Canada a déjà été un leader en matière de protection de la vie privée, mais, malheureusement, il ne l'est plus. Bon nombre de pays, non seulement en Europe, mais aussi en Amérique du Sud et en Asie, sont très innovateurs, comme la Corée du Sud et Singapour. Ces pays ont des lois qui protègent mieux la vie privée que celles du Canada. Encore une fois, je pense qu'il est important que le projet de loi, qui serait adopté par la Chambre dans les mois à venir, permette au Canada de rattraper d'autres pays en matière d'économie, qui sont capables d'innover.

    On dit souvent que des mesures de protection de la vie privée trop rigoureuses nuisent à l'innovation. L'Allemagne, la Corée du Sud, Singapour et plusieurs autres pays démontrent très clairement qu'il est possible d'avoir des lois qui protègent très bien la vie privée et qui permettent aussi d'avoir des économies novatrices. En fait, je dirais que des lois protégeant mieux la vie privée ont pour effet d'accroître la confiance des consommateurs, ce qui est un facteur qui aide à stimuler l'économie d'un pays. Je vois tout à fait un lien entre la protection de la vie privée, la confiance et la croissance économique.

    Pourquoi le Canada a-t-il perdu son rôle de chef de file en ce domaine, selon vous?

    Je ne pense pas être la meilleure personne pour répondre à votre question.

    D'accord.

    Dans ce cas, qu'avons-nous à envier à l'Allemagne et à la Corée du Sud?

    Monsieur Fortin, votre temps est écoulé. Vous pourrez questionner de nouveau le commissaire au début du prochain tour, dans la prochaine heure.

    Monsieur Angus, je vous confie le soin de poser ce qui me semble les dernières questions de l'heure actuelle. Nous suspendrons ensuite nos travaux et entendrons de nouveau le commissaire.

    Merci beaucoup.

    Je tiens d'abord à affirmer mon accord absolu avec mon collègue Sorbara sur l'importance d'aboutir à un bon résultat avec le projet de loi C-11, qui concerne les droits de 38 millions de Canadiens, parce que nous en avons l'obligation.

    Notre comité a proposé un certain nombre de recommandations sur les pouvoirs du commissaire à la protection de la vie privée de rendre des ordonnances ainsi que sur le pouvoir rendu nécessaire d'imposer de lourdes amendes. L'immense majorité des atteintes à la vie privée sont d'après nous accidentelles ou non malveillantes, mais des exploitants ont commis des infractions. Facebook nous a dit qu'il ne s'estimait pas obligé de respecter les lois canadiennes. Comme nous constatons la même mentalité chez Clearview AI, il est donc évident qu'il faut vous donner plus d'outils.

    Ce qui m'inquiète, dans le projet de loi C-11, c'est cette idée de créer un tribunal de réglementation à qui ces entreprises pourraient ensuite s'adresser pour obtenir une décision.

    Je voudrais d'abord vous demander si nous avons un exemple de ce genre de tribunal qui peut passer outre à la décision d'un commissaire à la vie privée dans un autre pays ou dans une autre province, et ce que vous en pensez. Vous dites que vous croyez que ce tribunal inciterait des compagnies à plutôt interjeter appel que de trouver un terrain d'entente sur les décisions du commissaire, ce qui retarderait et paralyserait la justice pour les consommateurs et le droit à la protection de la vie privée.

    Que pensez-vous de ce ballon d'essai du gouvernement?

    Je suis préoccupé par la création de cette étape supplémentaire du processus. Je le suis, visiblement, non parce que je crains pour l'équité à l'égard des compagnies qui seraient visées par une ordonnance. C'est pour moi absolument évident qu'il importe que le système, dans son ensemble, soit équitable à la fois pour les plaignants et les entreprises. Mais, à notre connaissance, aucun autre pays n'a ajouté cette strate supplémentaire entre le commissaire à la protection de la vie privée et les tribunaux. Nous croyons que les tribunaux sont parfaitement en mesure d'examiner nos processus pour assurer un traitement équitable aux compagnies.

    En fin de compte, comme je l'ai dit et comme vous l'avez fait observer, ce tribunal, plutôt que d'instaurer un dialogue entre nous et une compagnie qui, dès le départ, vise à redresser des torts, encouragerait les compagnies à se servir de ces voies de réparation, ce qui retarderait considérablement le processus et poserait un problème énorme aux citoyens.

    Merci beaucoup.

    De rien.

    Merci, monsieur le commissaire. Nous vous savons gré de votre témoignage dans la première heure, pendant l'examen du Budget supplémentaire des dépenses.

    Chers collègues, nous ferons une pause avant la deuxième heure, pendant laquelle, bien sûr, nous serons de nouveau avec le commissaire. Certains témoins seront remplacés.

    Je suspends maintenant les travaux pendant cinq minutes.

    Reprenons.

    Dans cette deuxième heure, nous lançons notre étude sur les logiciels de reconnaissance faciale et les inquiétudes qu'ils soulèvent. Nous accueillons le commissaire, qui a accepté de rester encore une heure, pour répondre à certaines questions sur le sujet de cette étude.

    Merci, monsieur le commissaire, de demeurer avec nous.

    M. Homan demeure également avec nous, mais nous accueillons Mme Lara Ives, directrice des Politiques, de la recherche et des affaires parlementaires. Merci d'être ici. Enfin, nous accueillons le conseiller juridique Regan Morris.

    Je vous remercie également d'être ici, monsieur le commissaire.

    Je vous cède la parole pour votre déclaration préliminaire qui nous permettra de lancer la discussion. Nous aurons ensuite des questions pour vous.

    Encore une fois, merci, monsieur le président.

    La technologie de reconnaissance faciale est devenue un outil extrêmement puissant qui, comme nous l'avons vu dans l'affaire impliquant Clearview AI, peut identifier une personne dans une banque de milliards de photos ou encore parmi des milliers de manifestants. Si elle est utilisée de manière responsable et dans des situations appropriées, elle peut offrir d'importants avantages à la société.

    Par exemple, dans le domaine de l'application de la loi, elle peut permettre à la police de résoudre des crimes ou de retrouver des personnes disparues. Toutefois, elle nécessite de recueillir les renseignements personnels sensibles qui sont propres à chaque individu et qui ont un caractère permanent. La technologie de reconnaissance faciale peut être extrêmement envahissante sur le plan de la vie privée. En plus de favoriser une surveillance généralisée, elle peut produire des résultats biaisés et miner d'autres droits de la personne.

    L'enquête récente sur l'affaire Clearview AI, menée conjointement avec mes homologues de trois provinces, a permis de démontrer la manière dont la technologie de reconnaissance faciale peut donner lieu à une surveillance de masse et contribuer à traiter des milliards d'innocents en suspects potentiels. Malgré nos conclusions selon lesquelles les activités de Clearview AI violaient les lois canadiennes sur la protection des renseignements personnels, l'entreprise a refusé de suivre nos recommandations, comme celle de détruire les photos de Canadiens.

    Par ailleurs, le Commissariat mène actuellement une enquête sur l'utilisation par la Gendarmerie royale du Canada, ou GRC, de la technologie de Clearview AI. Cette enquête est presque terminée. Nous collaborons aussi avec nos collègues de l'ensemble des provinces et des territoires afin d'élaborer un document d'orientation sur l'utilisation de la reconnaissance faciale par les corps policiers. Nous devrions publier une ébauche de ce document aux fins de consultation au cours des prochaines semaines.

    L'affaire Clearview prouve que la technologie de reconnaissance faciale rend les citoyens vulnérables à la surveillance de masse. Tel n'est pas le genre de société dans laquelle nous souhaitons vivre. La liberté de vivre et de s'épanouir sans surveillance est un droit fondamental de la personne. Les gens ne renoncent pas à leur droit à la vie privée simplement en évoluant dans le monde d'une manière qui peut révéler leurs visages à d'autres personnes ou permettre à une caméra de capter leur portrait.

    Le droit à la vie privée est une condition préalable à l'exercice d'autres droits de la personne. En plus de poser de graves risques à l'égard du droit à la vie privée, les utilisations de la technologie de reconnaissance faciale qui sont mal réglementées réduisent aussi la capacité d'exercer d'autres droits, comme la liberté d'expression et d'association, l'égalité et la démocratie. Nous devons nous assurer que nos lois sont à la hauteur et qu'elles imposent des limites qui assurent le respect des droits fondamentaux lorsque cette technologie est utilisée.

    Afin de réglementer efficacement la technologie de reconnaissance faciale, nous devons prévoir dans nos lois de meilleures mesures de protection, notamment une approche de la protection de la vie privée fondée sur les droits, de véritables mesures de responsabilisation et des pouvoirs accrus d'application de la loi. Le gouvernement fédéral a récemment présenté deux propositions pour moderniser nos lois sur la protection des renseignements personnels. Il s'agit d'opportunités importantes pour mieux réglementer l'utilisation de la reconnaissance faciale et d'autres technologies nouvelles.

    En novembre dernier, le ministère de la Justice a publié un document de consultation exhaustif et prometteur, qui présentait de nombreuses propositions susceptibles d'améliorer la législation sur la protection des renseignements personnels dans le secteur public fédéral. Ce document propose des exigences accrues en matière de responsabilisation ainsi que des mesures visant à assurer une véritable surveillance et des recours rapides et efficaces. Il propose aussi un seuil de collecte plus rigoureux qui obligerait les institutions à prendre en compte plusieurs éléments afin de déterminer si la collecte de renseignements personnels est « raisonnablement requise » pour réaliser les fins exactes visées. Par exemple, ces institutions devraient s'assurer que les avantages prévus de la collecte sont évalués par rapport à l'intrusion dans la vie privée, de sorte que la collecte sera juste, non arbitraire et proportionnée quant à sa portée.

    Dans le secteur privé, le projet de loi C-11 édicterait la Loi sur la protection de la vie privée des consommateurs. À mon avis, ce projet de loi doit faire l'objet d'importantes modifications afin de réduire les risques liés à la technologie de reconnaissance faciale. Les risques que cette technologie pose prouvent la nécessité de protéger les droits et les valeurs des citoyens par un solide cadre législatif fondé sur des droits. Le ministère de la Justice propose l'inclusion, dans la Loi sur la protection des renseignements personnels, d'une déclaration d'intention qui préciserait que l'un des principaux objectifs de cette loi serait de « protéger la dignité humaine, l'autonomie personnelle et l'autodétermination », reconnaissant ainsi la portée large du droit à la protection des renseignements personnels, en tant que droit de la personne.

    Or, d'après le projet de loi C-11, il faut concilier l'antinomie de la protection de la vie privée et des intérêts commerciaux. En fait, par rapport à la loi actuelle dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, le projet de loi donne plus de poids aux intérêts commerciaux en faisant prendre en considération de nouveaux facteurs commerciaux dans la recherche de l'équilibre, au mépris des leçons des 20 dernières années sur les empiétements de la technologie.

    Clearview a pu s'appuyer sur le libellé de la version actuelle de la susdite loi fédérale pour prétendre que ses motifs étaient acceptables et que ses intérêts l'emportaient sur le droit à la vie privée. Bien que, dans notre décision, nous ayons rejeté ces arguments, des commentateurs ont laissé entendre que nos conclusions seraient une façon de contourner la déclaration d'intention de la loi en question, en ne donnant pas suffisamment de poids aux intérêts commerciaux. Même si nous avons conclu que Clearview avait enfreint la loi en question, un certain nombre de commentateurs, y compris la compagnie, mais pas seulement elle, affirment que nous avons mal appliqué cette déclaration.

    Si le projet de loi C-11 était adopté sous sa forme actuelle, Clearview et ces commentateurs pourraient toujours formuler de tels arguments, en s'appuyant sur une déclaration d'intention qui privilégie les facteurs commerciaux. Je vous invite à clairement indiquer, dans le projet de loi, que, en cas de conflit entre les objectifs commerciaux et la protection de la vie privée, celle des Canadiens doit avoir préséance. Dans notre mémoire d'analyse du projet de loi, nous formulons des recommandations précises sur le texte qui permettrait d'atteindre cet objectif.

    Les mesures de responsabilité démontrable constituent un autre mécanisme fondamental qui permettrait de protéger les Canadiens contre les risques posés par la reconnaissance faciale. Les obligations de protéger la vie privée dès la conception, d'effectuer des évaluations des facteurs relatifs à la vie privée et d'assurer la traçabilité à l'égard de la prise de décisions automatisée sont les principaux éléments d'un cadre de responsabilité véritable. Même si la plupart de ces mesures de responsabilité font partie des propositions du ministère de la Justice visant à moderniser la loi du secteur public, aucune ne figure dans le projet de loi C-11.

    Les efforts déployés pour réglementer la technologie de reconnaissance faciale doivent aussi comporter de solides mécanismes de conformité qui offrent aux citoyens des recours rapides et efficaces.

    Notre enquête sur Clearview Al a permis de démontrer que l'entreprise avait enfreint deux obligations prévues par nos lois sur la protection des renseignements personnels. L'entreprise a, d'une part, sans consentement et, d'autre part, à des fins inacceptables, recueilli, utilisé et communiqué des renseignements biométriques.

    Étonnamment — je dirais même de façon choquante — le nouveau régime de pénalités administratives du projet de loi C-11 ne s'appliquerait pas à ces manquements ni à d'autres contraventions importantes à la loi. Un tel régime de pénalités vide de sens les lois censées protéger les citoyens.

    Je vous invite donc instamment à modifier le projet de loi pour remédier à une lacune aussi fondamentale.

    En conclusion, je dirai que la nature des risques liés à la technologie de reconnaissance faciale nous enjoint à réfléchir collectivement aux limites de ce que constitue une utilisation acceptable de cette technologie. Ces limites devraient être définies non seulement par rapport aux risques liés à des initiatives ponctuelles, mais en tenant compte des conséquences sociétales de l'accumulation de ces initiatives au fil du temps.

    Dans un contexte où les capacités technologiques d'intrusion dans la vie privée ne cessent d'augmenter, nous devons nous demander quelles sont les attentes que nous devrions établir maintenant pour l'avenir de la protection de la vie privée.

    Je vous remercie encore une fois de votre attention.

    C'est avec plaisir que je répondrai à vos questions.

    Merci, monsieur le commissaire.

    Chers collègues, je tiens à vous prévenir de la possibilité d'un vote à la Chambre. La sonnerie d'appel pourrait débuter dès 12 h 35. Donc, sauf opposition, quand l'heure sera venue, je supposerai que nous avons le consentement unanime de poursuivre avec nos questions. Je verrai à ce que suffisamment de temps soit accordé pour que vous puissiez vous connecter de manière à ce que, à 13 h 5, au début du vote, vous soyez en mesure de voter.

    Sauf opposition par des membres, nous poursuivons avec les questions.

    Nous commençons par M. Carrie.

    Merci beaucoup, monsieur le président.

    Monsieur Therrien, je tiens à vous remercier de votre sagesse. À cause de l'imminence du projet de loi C-11, il est tellement important de nous y opposer.

    Quand on voit fonctionner pour la première fois la reconnaissance faciale, c'est tellement sympa. Nous avons tous entendu parler de l'affaire des centres commerciaux de Cadillac Fairview. Peut-être pourrons-nous, aujourd'hui, en venir à ce sujet, mais même des sites comme Facebook proposent le paramètre de reconnaissance faciale « tag suggestion » et l'activent par défaut. Ces sites recueillent des données sur les utilisateurs, des photos de leur visage, souvent à leur insu. C'est le point de départ que je choisis pour la discussion d'aujourd'hui.

    Je viens d'Oshawa, l'un des berceaux de l'industrie automobile, dont les employés ont fait comme la navette entre les deux pays, en traversant de nombreuses fois la frontière. Je tiens à aborder le sujet de l'utilisation internationale de la reconnaissance faciale. J'ai entendu dire que l'efficacité des services frontaliers pouvait être améliorée. Je me demande si vous pouviez faire des observations sur la possibilité, peut-être, de choisir des options de rejet ou d'acceptation par défaut, si, pour le travail ou le plaisir, nous traversons plusieurs fois la frontière.

    Y a-t-il des discussions au niveau international sur le droit de supprimer et de détruire l'information qui peut être recueillie sur les Canadiens qui vont à l'étranger?

    Je vais répondre à la question en revenant sur ce que j'ai dit plus tôt dans ma déclaration préliminaire, à savoir que la reconnaissance faciale peut être au service de la société. Par exemple, elle peut grandement accélérer et optimiser le processus de vérification des personnes qui traversent la frontière. Dans la police et les forces de l'ordre, elle peut faciliter la résolution de crimes ou la recherche de personnes disparues.

    Je ne partirais pas du principe que la reconnaissance faciale devrait être complètement interdite ou même complètement interdite dans certains secteurs, comme dans les forces de l'ordre, par exemple. Elle peut être utile, mais elle est très particulière, dans la mesure où elle collecte les caractéristiques immuables d'une personne. Ainsi, en cas de fuite de renseignements dans l'entreprise ou le ministère qui a collecté ces données biométriques, on ne peut pas les changer par la suite comme on peut changer un mot de passe. Ces données sont immuables, ce qui signifie que cette technologie particulière doit être soumise à une réglementation rigoureuse, afin qu'elle porte ses fruits et qu'elle apporte des avantages à la société sans mettre les personnes visées dans une situation cauchemardesque, car encore une fois, ces personnes ne peuvent plus protéger leur vie privée si quelqu'un utilise leurs données biométriques, y compris celles obtenues par la reconnaissance faciale, à des fins malveillantes.

    Ce serait ma réponse pour la question sur les frontières.

    C'est une bonne réponse. Je fais partie du Comité permanent du commerce international, et nous venons de terminer l'ACEUM, l'Accord Canada–États-Unis–Mexique. À mesure que nous progressons dans le processus lié à nos accords commerciaux, avez-vous des idées pour veiller à ce que les droits des Canadiens soient respectés lorsque nous concluons ces accords? Selon vous, l'ACEUM prévoit-il des protections suffisantes?

    C'est un énorme enjeu.

    Je le sais. C'est ce qui justifie votre salaire.

    Lorsqu'il s'agit de diffuser des renseignements personnels à l'extérieur du Canada tout en protégeant la vie privée, je pense qu'il faut prendre des mesures de protection supplémentaires à celles qui s'appliquent déjà au Canada, car les risques pour la vie privée ne sont pas les mêmes lorsque les données sortent du pays. Cela ne signifie pas que nous devrions vivre dans un monde de localisation des données où les données des Canadiens ne sortent pas du pays, mais je pense qu'il est important de reconnaître que les risques sont plus élevés lorsqu'elles sortent du Canada.

    Ensuite, il y a la question de savoir quelles protections supplémentaires devraient être appliquées dans ces situations, car nous vivons dans un monde interconnecté. Nous sommes voisins des États-Unis, et les données se déplacent souvent vers ce pays. Je crains de ne pas pouvoir me prononcer sur la question de savoir si l'ACEUM prévoit des mesures adéquates à cet égard. Le fait que des données sortent du Canada n'est pas une question bénigne, et nous devrions réfléchir sérieusement aux protections supplémentaires que le Parlement devrait créer pour veiller à ce que la vie privée continue d'être protégée lorsque des données sortent du Canada.

    C'est excellent. Je vous remercie beaucoup.

    À un autre moment, je vous poserai peut-être des questions sur la Chine, ce qui pourrait rendre la conversation plus intéressante.

    Je vous remercie beaucoup, monsieur le commissaire.

    Je vous remercie, monsieur Carrie.

    La parole est maintenant à M. Dong.

    Je vous remercie, monsieur le président.

    Je tiens à remercier le commissaire et son personnel d'avoir accepté de rester plus longtemps pour répondre à certaines questions très importantes. J'avais préparé quelques questions, mais après votre déclaration préliminaire, j'en ai ajouté quelques autres à la liste.

    Tout d'abord, il y a eu de nombreuses discussions, y compris au sein de notre comité, au sujet de la technologie de reconnaissance faciale et de la possibilité qu'elle soit plus préjudiciable pour les collectivités racialisées. Avez-vous trouvé des preuves à l'appui de cette hypothèse?

    Des universitaires et des experts ont certainement produit de nombreux documents et mené des analyses sur cette question. Nous n'avons pas recueilli de preuves à cet égard dans le contexte de Clearview AI, mais nous avons lu de nombreuses recherches scientifiques très crédibles dans lesquelles on se demande si la technologie est suffisamment précise — particulièrement dans le cas des collectivités racialisées — pour être utilisée d'une manière qui ne porte pas atteinte à la vie privée ou à d'autres droits comme le droit à l'égalité. Il y a donc des préoccupations à ce sujet.

    Le problème dans le cas de la protection de la vie privée, c'est que la reconnaissance faciale doit être utilisée de manière à collecter des renseignements exacts. Le principe d'exactitude est l'un des principes les plus importants en matière de protection de la vie privée. Encore une fois, de nombreux documents indiquent que, dans le cas des collectivités racialisées, les renseignements collectés ne sont pas toujours exacts, en fonction de la technologie utilisée.

    Sans aucune preuve empirique que la technologie de reconnaissance faciale pourrait être préjudiciable, surtout pour une communauté racialisée, pouvons-nous prévoir, dans le cadre du projet de loi C-11, des mesures de protection qui veilleraient à ce que le développement de la technologie de reconnaissance faciale ne porte pas préjudice aux communautés vulnérables?

    Comme on l'a mentionné, le projet de loi C-11 n'utilise pas une approche axée sur les droits de la personne pour la loi sur la protection de la vie privée dont il est question. Il serait très avantageux que la Loi sur la protection de la vie privée des consommateurs proposée soit fondée sur des principes liés aux droits de la personne, car dans ce cas, on pourrait avoir recours au principe d'exactitude auquel je viens de faire allusion pour veiller à ce que la discrimination potentielle contre certaines populations dans le cadre de l'utilisation de la reconnaissance faciale fasse partie de nos compétences, ce qui permettrait de garantir qu'en vertu des principes liés à la protection de la vie privée, une technologie qui entraînerait une discrimination soit jugée contraire aux lois en matière de protection de la vie privée.

    Je tiens à préciser que certaines personnes affirment que ces questions devraient être traitées par l'entremise des lois sur les droits de la personne. C'est certainement un argument crédible. Je dirais que, dans le monde virtuel comme dans le monde physique, le fait qu'il y existe un certain chevauchement dans les compétences des organismes de réglementation de notre pays, par exemple entre mon bureau et la Commission canadienne des droits de la personne, n'est pas une mauvaise chose pourvu que les organismes de réglementation se parlent entre eux, qu'ils soient efficaces et qu'ils profitent de l'expérience des autres. Notre modèle consisterait à adopter une approche axée sur les droits de la personne lorsqu'il s'agit des lois en matière de protection de la vie privée.

    Je vois. C'est un très bon point.

    Vous avez dit que la technologie de reconnaissance faciale pourrait être avantageuse pour notre système d'application de la loi. Avez-vous des commentaires à formuler sur les processus qui sont en place ou qui devraient être en place pour veiller à ce que le gouvernement du Canada utilise la reconnaissance faciale sans perdre la confiance du public?

    Je répondrai de façon générale, car nous n'avons pas terminé notre enquête sur la GRC. La question que vous soulevez est centrale. Manifestement, que ce soit des entreprises ou des ministères — y compris les organismes d'application de la loi — qui utilisent la reconnaissance faciale, il faudrait prévoir des processus qui évaluent l'impact potentiel de ces technologies avant leur mise en œuvre, afin de garantir le respect de la vie privée. Selon moi, il est essentiel de prévoir ce mécanisme avant d'utiliser la technologie en question.

    Je ne veux pas vous interrompre, mais j'aimerais poser ma prochaine question.

    À l'heure actuelle, votre bureau dispose-t-il des ressources nécessaires pour approfondir les questions liées à l'algorithme, au stockage des données ou au processus d'accès aux données? Votre bureau dispose-t-il actuellement des ressources nécessaires pour mener ce type d'enquête? Je ne parle pas seulement d'argent, mais aussi techniquement…

    Vous parlez de la nature de notre expertise.

    Oui, c'est bien cela.

    Nous avons effectivement un groupe de technologues. Environ 12 experts en technologie nous aident à élaborer des politiques et à mener nos enquêtes. Je pense que nous avons le type de personnes qu'il nous faut. Ensuite, il y a la question des ressources, et on en a parlé au cours de la dernière heure.

    Vous avez parlé d'un partenariat entre le gouvernement fédéral et le gouvernement provincial. À votre avis, à quoi ressemble la division des compétences entre le système provincial et le système fédéral?

    Voulez-vous dire en ce qui concerne la reconnaissance faciale?

    Je parle du volet législatif de la reconnaissance faciale.

    C'est la même division des compétences que dans le cas des autres technologies. Il y a une loi fédérale qui régit le secteur privé lorsque les provinces n'ont pas adopté de lois à cet égard. Manifestement, les provinces adopteraient des lois qui stipuleraient les conditions dans lesquelles leurs propres fonctionnaires utiliseraient la reconnaissance faciale, donc les mêmes questions liées aux compétences qui se posent pour les autres technologies se poseraient dans ce cas-ci.

    Je vous remercie, monsieur Dong.

    M. Fortin sera l'intervenant de la prochaine série de questions.

    Monsieur Fortin, vous avez la parole.

    Je vous remercie, monsieur le président.

    Monsieur Therrien, plus je vous écoute, plus je réalise que l'étude du projet de loi C-11 constitue toute une corvée. La situation de la protection de la vie privée est vraiment préoccupante. C'est un sujet qui préoccupe tout le monde, ici au Québec du moins, et je suis convaincu que c'est pareil dans le reste du Canada, voire sur la planète entière.

    Je m'inquiète un peu de ce que vous nous dites relativement au projet de loi C-11, qui ne couvrirait peut-être pas tous les angles, dont certains seraient assez importants. Je note, entre autres, votre mise en garde concernant le fait que les données de reconnaissance faciale sont immuables. Une fois qu'on aura ces données, elles seront là à vie. Je note aussi la question des échanges entre pays, où l'on doit être encore plus prudent, parce que les protections ne sont pas les mêmes dans tous les pays. À l'époque où nous vivons, les échanges entre pays étant de plus en plus nombreux, j'imagine qu'on doit être de plus en plus prudent, et y consacrer plus de temps et d'efforts. Ce sont là certaines des inquiétudes que nous avons.

    Au moment où le projet de loi C-11 a été préparé, êtes-vous intervenu? Est-ce que le commissaire aux conflits d'intérêts et à l'éthique a été appelé pour conseiller le ministre, et a-t-il essayé d'inclure les différentes mesures de protection qui vous semblent manquer dans l'actuelle version du projet de loi? Avez-vous préparé un rapport ou un autre document?

    Nous avons fait plusieurs rapports publics recommandant de fonder la réforme des lois fédérales sur les droits de la personne en matière de vie privée. Nous avons fait plusieurs rapports au Parlement en ce sens. Nous avons eu certains échanges avec les fonctionnaires du ministère de l’Innovation, des Sciences et du Développement économique, mais nous n'avons jamais vu le projet de loi avant son dépôt. Le secret du Cabinet était invoqué pour limiter les échanges que nous avons eus avec le ministère en question lors de l'élaboration du projet de loi. Toutefois, le ministère connaissait tout de même notre position, grâce à nos rapports publics ayant été présentés au Parlement et ailleurs.

    Je dois dire que je suis déçu du fait que le projet de loi déposé présente un écart aussi grand par rapport à ce que l'agence de réglementation pense nécessaire à une protection adéquate de la vie privée.

    Si une demande en ce sens vous était présentée, seriez-vous en mesure de proposer une série d'amendements qui feraient en sorte de mieux protéger la vie privée des citoyens? Envisagez-vous de faire une proposition concrète?

    Nous avons fait plus que l'envisager, nous avons préparé un mémoire.

    À la suite de l'adoption du projet de loi, au mois de novembre, nous avons travaillé très fort pour l'analyser sous toutes ses coutures. Les députés qui le souhaitent peuvent consulter ce mémoire, qui analyse le projet de loi et qui présente un bon nombre de recommandations visant à l'amender.

    Pour ma part, je le souhaite, et j'ai l'impression que tout le monde ici le souhaite aussi. Cela m'étonnerait que quelqu'un dise le contraire.

     Serait-il possible de nous en faire parvenir un exemplaire, monsieur Therrien?

    Si le Comité m'en fait la demande, je le ferai avec grand plaisir.

    Monsieur le président, au nom de mes collègues, s'il sont d'accord, je fais officiellement la demande de recevoir un exemplaire de ce mémoire.

    Je crois que le commissaire a dit qu'il le partagerait avec nous. Je pense que les membres du Comité seraient heureux d'accepter tout ce que le commissaire peut leur offrir.

    Je vous remercie, monsieur le président.

    Je vous remercie, monsieur Therrien.

    Monsieur Therrien, vous disiez que l'enquête sur Clearview AI était presque terminée. À quel moment peut-on espérer recevoir le rapport?

    L'enquête sur Clearview AI est terminée.

    L'enquête qui arrive à son terme, et qui n'est donc pas encore tout à fait terminée, porte sur la GRC et son utilisation de la technologie de Clearview AI. Nous devrions être en mesure de publier ce rapport au cours des prochaines semaines.

    Si je comprends bien, ce sera avant l'ajournement des travaux pour l'été. Est-ce exact.

    Oui, c'est cela.

    Nous n'avons pas beaucoup de temps, comme vous le savez. Je vais donc passer du coq à l'âne et revenir sur la question que je vous ai posée tantôt au sujet d'autres États, qui étaient des chefs de file en matière de protection de la vie privée.

    Vous avez parlé de l'Allemagne, de la Corée du Sud et de Singapour. Qu'est-ce qui les distingue? En quoi sont-ils en avance sur le Canada à cet égard?

    Cela dépend des pays. En Europe et ailleurs, comme dans certains pays d'Amérique latine, au Japon et, sauf erreur, en Corée du Sud, l'approche que nous suggérons existe, c'est-à-dire celle de faire opposer les dispositions de protection dans un cadre de droits de la personne.

    Ensuite, on a prévu des pénalités considérables pour que les consommateurs puissent avoir confiance que leurs données sont traitées dans le respect de leur vie privée. Comme l'a dit l'un des membres du Comité tantôt, beaucoup d'entreprises agissent de façon conforme, mais certaines ont vraiment besoin d'incitatifs. Il faut donc des pénalités importantes, et la législation de ces pays en comporte.

    Je rappelle que des manquements comme ceux de Clearview AI ne feraient pas l'objet de pénalités administratives selon les dispositions du projet de loi C-11, ce qui est assez difficile à comprendre.

    C'est décevant.

    C'est très difficile à comprendre.

    Il faut des pénalités importantes, une approche fondée sur les droits et une plus grande flexibilité quant à l'utilisation des données. Cela doit aller de pair avec une plus grande responsabilité de la part des entreprises. Entre autres choses, cela veut dire que l'agence de réglementation peut, non pas de façon arbitraire, mais en étant axée sur son évaluation du milieu, faire des vérifications proactives et ne pas attendre qu'il y ait une violation de la vie privée. Un aspect proactif est très important pour bien protéger les renseignements personnels des consommateurs, à mon avis.

    Êtes-vous optimiste, monsieur Therrien?

    Je vous remercie, monsieur Fortin.

    La parole est à M. Angus.

    Je vous remercie beaucoup.

    Monsieur Therrien, lorsque nous avons appris l'affaire concernant Clearview AI, cela semblait être le pire scénario possible. En effet, cette entreprise avait récupéré des millions de photos de Canadiens sans leur consentement — les fêtes d'anniversaire de nos enfants, nos barbecues privés, les gens au travail — et avait ensuite créé une base de données qu'elle vendait à toutes sortes d'organisations.

    L'entreprise prétend que c'était pour la police, mais nous savons que des agents de police individuels y ont eu accès sans supervision. Nous savons qu'un milliardaire, John Catsimatidis, a utilisé ces données pour cibler le petit ami de sa fille. Vous avez mené une enquête. L'attitude manifestée par les dirigeants de Clearview AI était que nous ne sommes que des Canadiens et qu'ils ne se sentent même pas obligés de respecter nos lois.

    Une nouvelle loi, à savoir le projet de loi C-11, est entrée en vigueur. D'après ce que j'avais compris, ce projet de loi corrigerait ces choses, afin que nous ayons plus de pouvoirs et que nous soyons en mesure de cibler ces entreprises pour qu'elles respectent la loi. Êtes-vous en train de nous dire que le projet de loi C-11 appuiera en réalité les cas indésirables comme Clearview AI plutôt que les droits des citoyens?

    Êtes-vous en train de nous dire qu'une entreprise comme Clearview AI serait entièrement exempte des sanctions pécuniaires pour assurer le respect de la loi dont on nous a parlé? Est-ce ce que nous voyons dans cette nouvelle loi?

    Deux mécanismes principaux s'appliquent à la situation de Clearview dans le cadre de la Loi sur la protection de la vie privée des consommateurs.

    Le premier est la disposition sur l'objet — c'est-à-dire l'article 5 proposé — de la Loi sur la protection de la vie privée des consommateurs, qui confirme l'approche de la LPRPDE visant à équilibrer les intérêts commerciaux et les considérations relatives à la vie privée. Cette disposition n'énonce pas que la vie privée est un droit de la personne. Elle ajoute plutôt un certain nombre de facteurs commerciaux comparativement à la loi actuelle. On entamerait donc un processus de pondération, qui accorderait probablement une importance plus grande aux facteurs commerciaux que le fait actuellement la LPRPDE. C'est le premier mécanisme.

    Le deuxième mécanisme, c'est qu'en présumant que le comportement de Clearview irait à l'encontre de la Loi sur la protection de la vie privée des consommateurs, le projet de loi C-11 prévoit un régime de sanctions administratives et un régime de sanctions pénales. Le régime de sanctions administratives est limité à un nombre extrêmement restreint d'atteintes à la Loi sur la protection de la vie privée des consommateurs. Ces atteintes concernent une forme de consentement avec l'exigence de compréhension que j'ai mentionnée précédemment — à savoir si Clearview avait atteint un équilibre entre les intérêts commerciaux et les droits de la personne. Tout cela ne peut pas faire l'objet de sanctions administratives en vertu de la Loi sur la protection de la vie privée des consommateurs.

    Pour que des pénalités s'appliquent, le bureau devrait d'abord faire une constatation, ce qui prendrait environ deux ans. Ensuite, il rendrait une ordonnance. La pénalité serait exclue. Le tribunal siégerait en appel de cette ordonnance, en présumant que l'entreprise ne se conforme toujours pas à l'ordonnance. Si l'entreprise ne se conformait pas à une ordonnance plusieurs années après qu'elle ait été rendue, elle ferait alors l'objet de sanctions pénales et on aurait recours aux tribunaux pénaux.

    Le processus qui mène aux sanctions est très long. Nous pensons qu'il dure environ sept ans après les faits, contrairement à ce qui devrait se passer, c'est-à-dire que nous devrions être en mesure d'imposer des pénalités — sous réserve bien sûr d'un examen par les tribunaux pour des considérations d'équité à l'égard des entreprises. Nous pensons que le délai serait d'environ deux ans dans ce modèle comparativement au modèle proposé dans le projet de loi C-11.

    C'est très important, car je pense que la plupart des Canadiens seraient d'accord pour dire que la situation liée à Clearview AI était très préoccupante. Nous pourrions voir de nombreux autres exemples de ce genre à mesure que cette technologie devient plus courante, mais nous avons un projet de loi qui semble faire marche arrière. En effet, il semble protéger Clearview AI plutôt que les citoyens.

    Je pose cette question parce que nous avons le projet de loi C-10, qui aurait dû être un projet de loi assez simple visant à faire payer leur part aux géants de la technologie. Au lieu de cela, on se retrouve avec un désastre législatif et le ministre qui court dans tous les sens comme un poulet sans tête. Notre comité avait pourtant présenté des recommandations très claires sur la question du droit à la vie privée.

    Vous nous dites qu'en ce qui concerne Clearview AI, cette loi ne tient pas compte des leçons que nous avons apprises sur des questions telles que la reconnaissance faciale et le fait que les géants des données ne tiennent pas compte de leurs obligations en vertu des lois canadiennes, mais qu'elle prévoit en fait davantage de protections pour les auteurs de ces abus, car nous n'abordons pas cet enjeu dans le cadre d'une approche axée sur les droits de la personne. Est-ce exact?

    Je crois que des modifications très importantes devraient être apportées au projet de loi C-11 pour qu'il protège adéquatement la vie privée.

    Je vous remercie.

    Je tiens à faire un suivi au sujet de l'enquête sur la GRC. La GRC a refusé de dire au public canadien si elle utilisait cette technologie.

    Envisagez-vous d'adopter des lois qui garantiraient la conformité de nos services de police qui ont recours aux services d'entreprises comme Clearview AI?

    Mon rapport abordera cet enjeu de façon générale. Je n'en dirai pas plus.

    Je vous remercie.

    Je vous remercie.

    La parole est maintenant à M. Gourde pour la prochaine série de questions.

    Monsieur Gourde, vous avez la parole.

    Je vous remercie, monsieur le président.

    Monsieur le commissaire, nous avons l'impression que la réalité dépassera la fiction compte tenu de ces nouvelles applications. Je pense que les Canadiens sont relativement inquiets de vivre dans un monde où l'on peut être reconnu et filmé en tout temps et à tout moment, surtout quand on demeure dans des zones urbaines où il y a des caméras à tous les coins de rue et pratiquement dans tous les édifices.

    Où seront commis les abus potentiels dans cette nouvelle vie que nous vivrons bientôt? Elle est d'ailleurs peut-être déjà commencée.

    Nous en avons vu un exemple avec Clearview AI. Pour socialiser avec leurs amis et leur famille, des utilisateurs utilisent innocemment des médias sociaux en ne sachant aucunement que les renseignements qu'ils fournissent, y compris leurs photos, peuvent être colligés par une entreprise comme Clearview AI, qui se sert des données pour de soi-disant enquêtes policières ou, comme il a été mentionné, pour mener des enquêtes privées sur des individus.

    Vous avez dit que la présence de caméras de surveillance dans certains lieux publics posait aussi un risque important. J'ajouterais, encore une fois, que la reconnaissance faciale peut jouer un rôle important, notamment pour assurer la sécurité relativement à certains événements. L'utilisation de la reconnaissance faciale dans les lieux publics est délicate, mais je ne dirais pas qu'il faudrait l'interdire complètement.

    Je vous encourage fortement à demander à d'autres témoins qui suivront où, à leur avis, se situent les problèmes. Pour ma part, je vous répondrai que c'est à plusieurs endroits. Je ne pense pas que vous pourrez réglementer l'ensemble de la situation. Il faut considérer la question sous l'angle des valeurs, et cela me ramène encore une fois à la question de l'assise qu'il faudrait donner aux lois en question quant aux droits de la personne. Cela s'avère davantage dans le cas des propositions du ministère de la Justice que dans le cas du projet de loi C-11. Les valeurs, c'est important. Le respect des droits de la personne, c'est important. Ensuite, il faudrait que des mécanismes soient prévus afin d'équilibrer les intérêts commerciaux et les droits de la personne, et que ces mécanismes soient meilleurs que ceux prévus dans le projet de loi C-11. Nous vous acheminerons nos recommandations à cet égard.

    J'ajouterai comme dernier point qu'à l'heure actuelle, nos lois au Canada et dans plusieurs pays — ce n'est pas le cas partout — sont dites neutres en matière de technologie. Cela signifie que les principes s'appliquent de la même façon partout, peu importe le type de technologie, y compris la biométrie et la reconnaissance faciale. Il y a de grands avantages à cela, et je ne dis aucunement que cet aspect de nos lois devrait être mis de côté. À mon avis, une question sur laquelle vous devriez vous pencher, c'est de vérifier — et votre question est tout à fait pertinente là-dessus — s'il y a lieu de circonscrire les activités de reconnaissance faciale. Il s'agirait donc soit d'en interdire, soit d'en soumettre certaines à une réglementation particulièrement rigoureuse. À ce sujet, je vous renvoie à un projet de réglementation en matière d'intelligence artificielle, publié en avril par la Commission européenne. Certaines pratiques interdites y sont définies, dont l'utilisation de la reconnaissance faciale en direct dans certains lieux publics, sauf pour des cas exceptionnels, comme les enquêtes sur des crimes majeurs ou des actes de terrorisme.

    Il s'agit d'un mélange de principes généraux sur la façon d'équilibrer les intérêts commerciaux ou gouvernementaux et les droits de la personne, d'une part, et de lois d'application générale, d'autre part. À mon avis, y a-t-il lieu de se demander si certaines règles précises pourraient soit interdire, soit réglementer de façon assez rigoureuse cette technologie qui pose particulièrement des risques, parce que les données biométriques sont permanentes.

    En ce qui concerne la sécurité des Canadiens dans des cas extrêmes ou d'usages abusifs, de quelle façon pourront-ils se protéger?

    Nous avons vu à Montréal, dernièrement, que des caméras achetées sur Internet avaient été placées dans des douches et des toilettes. Cela existe et, apparemment, ces caméras très petites sont faciles à trouver et à dissimuler. Les gens s'amusent à faire du voyeurisme, et ces images peuvent se retrouver n'importe où.

    Quels recours peut-on prévoir?

    Il est assez clair que...

    Je vous remercie, monsieur Gourde.

    Les temps de M. Gourde est écoulé, mais je vais vous permettre de répondre à la question, monsieur le commissaire.

     Il est assez clair que ce genre d'utilisation est inacceptable, même suivant la loi actuelle relativement à la protection de la vie privée. C'est inacceptable. Ce qu'il faut envisager, ici, ce sont les pénalités.

    Pour dissuader ce genre de comportement, il faut imposer des pénalités importantes. Or, ni la loi actuelle ni le projet de loi C-11 n'en prévoient.

    Je vous remercie.

    Madame Lattanzio, vous avez la parole.

    Merci, monsieur le président.

    Je vous remercie, monsieur Therrien, pour votre témoignage ce matin. C'est très instructif.

    J'en conclus qu'il faut toujours trouver un juste équilibre entre les droits de la personne, la confiance du public et la croissance économique. Il s'agira d'une tâche assez difficile, car la technologie évolue constamment, à un rythme très rapide. À mon avis, un réexamen est plus que justifié puisque nous ne savons pas quand le projet de loi C-11 nous sera renvoyé.

    En ce qui concerne la transmission internationale des données, c'est un sujet qui m'intéresse, car la transmission internationale des données doit respecter les pratiques exemplaires et les normes internationales. C'est essentiel pour assurer la compétitivité du Canada.

    Est-il juste d'affirmer — je reviens à la notion européenne dont vous avez parlé plus tôt — que le règlement sur la protection des données de l'Union européenne demeure la norme internationale par excellence? Comment le Canada peut-il s'assurer de maintenir le statut d'adéquation à l'égard de ce règlement? Voilà ma première question.

    Pourquoi le Canada a-t-il intérêt à maintenir le statut d'adéquation à l'égard du règlement de l'Union européenne?

    Le gouvernement a certes fait savoir que le maintien du statut d'adéquation du Canada est l'une des raisons d'être du projet de loi C-11. En effet, le maintien du statut d'adéquation est important. Cela permet aux données de circuler entre le Canada et l'Union européenne sans qu'il y ait lieu de recourir à des mécanismes particuliers, notamment des contrats spéciaux.

    Il est clair que le maintien du statut d'adéquation du Canada se révèle utile pour conserver une transmission libre des données entre le Canada et l'Union européenne. Comme je l'ai dit, nous vivons dans un monde interconnecté, et bien entendu, outre l'Union européenne, nous avons un voisin au sud de notre frontière avec lequel nous entretenons d'importantes relations commerciales fondamentales et à qui nous devons aussi transmettre des données.

    Tout cela est bien, mais nous devons... J'ose espérer, dans le cadre de l'examen du projet de loi C-11, que nous pourrons examiner des façons de permettre la transmission de ces données, tout en tenant compte du fait que les risques sont plus élevés lorsque les données quittent le Canada.

    Loin de moi l'idée de proposer des moyens d'empêcher la transmission de ces données, mais, dans le mémoire que vous pourrez lire, nous formulons certaines recommandations sur la façon d'accroître la protection des renseignements personnels qui sont envoyés à l'extérieur du Canada, tout en permettant que ces renseignements soient transmis.

    Nous pourrons prendre connaissance de ces recommandations dans le mémoire dont vous avez parlé plus tôt et que vous allez déposer. Est-ce exact?

    M. Daniel Therrien: Oui.

    Mme Patricia Lattanzio: D'accord.

    Vous avez aussi parlé du chevauchement de vos compétences avec celles de la Commission des droits de la personne. Qu'en est-il du Bureau de la concurrence du Canada? Vos collègues de cet organisme doivent également composer avec les nouvelles questions liées à la protection des renseignements personnels attribuables aux changements technologiques que nous observons, notamment l'émergence des logiciels de reconnaissance faciale.

    Pouvez-vous nous parler de la relation entre vos deux organismes?

    Il s'agit en fait d'une autre relation qui est très importante. Je crois que nous avons une bonne relation avec le Bureau de la concurrence. Comme je l'ai dit plus tôt, dans le monde virtuel tout comme dans le monde physique, il est normal qu'il existe un certain nombre d'organismes de réglementation qui ont en commun diverses activités, qu'ils exercent selon des perspectives différentes.

    Il est bien que nous ayons le Bureau de la concurrence et le Commissariat à la protection de la vie privée. L'important, c'est de nous assurer que la loi permet dans une certaine mesure l'échange d'informations entre ces organismes, afin que nous puissions bénéficier de l'expertise de chacun et que, d'un point de vue opérationnel, les dossiers à traiter soient répartis en déterminant quel organisme est le mieux placé pour s'en occuper.

    De façon générale, nous devons être en mesure de collaborer avec d'autres organismes de réglementation, notamment le Bureau de la concurrence. Le projet de loi C-11 contient des dispositions visant à faciliter cette collaboration, et c'est une bonne chose. Nous nous réjouissons à l'idée de continuer de collaborer avec le Bureau de la concurrence et d'autres organismes.

    En ce qui a trait aux citoyens, comment pouvons-nous guider les citoyens afin qu'ils sachent à quel organisme adresser leurs plaintes, étant donné qu'il y a un chevauchement entre les compétences des différents organismes?

    Les compétences ne se chevauchent pas complètement. Il faut mettre cela au clair.

    Le Bureau de la concurrence s'occupe de la protection des consommateurs et de la concurrence. Il y a un certain chevauchement avec nos compétences lorsqu'il est question de renseignements personnels. Dans une certaine mesure, je crois que nous devons vivre avec ces chevauchements, mais le mandat des divers organismes devrait donner une idée claire des responsabilités de chacun.

    Je ne dis pas que nous devrions jouer un rôle dans le domaine de la concurrence, car le Bureau de la concurrence est bien placé pour le faire. Cependant, les questions relatives à la protection des renseignements personnels devraient relever largement de notre responsabilité.

    Vous avez...

    Merci, madame Lattanzio. Votre temps est écoulé, malheureusement.

    La parole est maintenant à M. Fortin pour les prochaines questions.

    Monsieur Fortin, vous disposez de deux minutes et demie.

     Je vous remercie, monsieur le président.

    Monsieur Therrien, ce que je comprends de votre témoignage, c'est que plusieurs ministères peuvent proposer des projets de loi qui, dans plusieurs cas, ont une incidence sur la vie privée des citoyens.

    À votre avis, lorsqu'un ministère propose une mesure législative qui touche la vie privée, ne serait-ce qu'en partie, l'application d'une directive qui obligerait le ministère à obtenir l'aval du commissaire à la protection de la vie privée au préalable serait-elle une bonne idée? Un tel processus n'assurerait-il pas une protection appropriée?

    Je suis tout à fait d'accord pour que les ministères qui souhaitent proposer des mesures législatives ou même administratives ayant une incidence importante sur la vie privée doivent nous consulter au préalable.

    Vous utilisez le mot « aval ». Selon moi, il faut quand même que les responsabilités demeurent là où elles devraient être. Par conséquent, que nous soyons consultés et que nous donnions des avis pour que le gouvernement s'en inspire ensuite pour prendre une décision nous semble une très bonne idée. Cependant, conformément aux principes de responsabilité, cela me semble approprié que ce soit le gouvernement qui prenne la décision ultime de ce qu'il veut présenter, puisque c'est lui qui a la responsabilité de déposer les projets de loi.

    Présentement, le projet de loi C-11, un projet de loi clé en matière de protection de la vie privée, nous paraît incomplet ou maladroit. Nous verrons. Toutefois, il y a un certain nombre de lacunes qui auraient pu être évitées si vous aviez participé au processus législatif dès le début, n'est-ce pas?

    Oui, nous aurions aimé participer de façon plus poussée. Cependant, nous reconnaissons qu'il revient au gouvernement de prendre les décisions, en fin de compte.

    Je pense malgré tout que ces décisions doivent être prises à la lumière des informations que vous détenez au Commissariat à la protection de la vie privée. En tout cas, c'est mon avis.

    C'est aussi mon avis.

    L'ensemble de la population a déjà partagé des données biométriques, ne serait-ce que sur les passeports et les téléphones cellulaires. On pouvait auparavant allumer son téléphone avec ses empreintes digitales et maintenant, on peut le faire grâce à la reconnaissance faciale. Nous, les députés, nous votons à l'aide d'un système de reconnaissance faciale, et j'ai l'impression qu'à peu près tout le monde a déjà inévitablement partagé ses données biométriques.

    À votre avis, n'est-il donc pas un peu trop tard pour éviter les abus? Croyez-vous qu'il est encore possible de maîtriser la situation, d'endiguer le problème?

    Il est effectivement tard, mais les technologies vont continuer à évoluer. Je pense qu'il est nécessaire que les organisations étatiques et parlementaires établissent des règles pour l'usage de ces technologies dans l'avenir.

    Quelqu'un parmi vous disait que la technologie était un domaine complexe. Cela est absolument vrai, mais je pense aussi que cela devient beaucoup moins complexe si l'on se donne pour mandat de projeter nos valeurs dans les lois qui réglementent les technologies en question.

    Il est vrai que les technologies sont complexes, mais nos valeurs sont bien connues. Je suggère que les lois qui réglementent l'espace numérique reflètent les valeurs de notre société. Ce serait déjà un excellent point de départ.

    Nous sommes d'accord avec vous.

    Je vous remercie, monsieur Therrien.

    Merci, monsieur Fortin. Votre temps est écoulé.

    Monsieur Angus, vous avez la parole pour deux minutes et demie.

    Merci, monsieur le président.

    Monsieur Therrien, l'une des choses que j'ai trouvées très significatives dans vos conclusions de l'enquête visant Clearview AI, c'est votre commentaire selon lequel la reconnaissance faciale soumettrait essentiellement les citoyens canadiens à une séance d'identification perpétuelle.

    Nous ne parlons pas ici de science-fiction dystopique. Nous devrions avoir la certitude, en tant que citoyens, que, lorsque nos enfants vont au centre commercial, ils ne seront pas photographiés pour alimenter une base de données, que des citoyens racialisés ne seront pas ciblés dans la rue et que le droit de fréquenter un lieu public constitue un droit public. Nous ne devrions pas faire l'objet d'un profilage ni être ciblés et nos renseignements ne devraient pas être saisis dans une base de données.

    L'affaire Clearview AI s'est révélée une bonne occasion pour le Canada de bien faire les choses, car il s'agissait d'une violation flagrante des lois. Ce que vous nous dites, c'est que les lois ont été rédigées, d'une certaine façon, pour protéger ces entreprises récalcitrantes, malgré la prise de conscience croissante à l'échelle mondiale.

    Si, par l'entremise du projet de loi C-11, le gouvernement refuse d'apporter les changements nécessaires pour faire du droit à la vie privée un droit de la personne et qu'il insiste pour protéger les intérêts d'entreprises qui n'ont peut-être pas l'intérêt supérieur de nos citoyens à coeur, est-ce que le statu quo ne vaudrait-il pas mieux que de donner plus de poids aux entreprises et aux récalcitrants comme Clearview AI?

    Premièrement, je ne prêterais pas des intentions à ceux qui ont déposé le projet de loi C-11, outre celle de tenter de trouver un juste équilibre entre les intérêts commerciaux et les questions et préoccupations liées à la protection des renseignements personnels, et...

    Je comprends tout à fait cela.

    Je demande seulement... Vous avez dit que vous êtes préoccupé par le fait qu'après cette affaire Clearview AI, il est probable que les entreprises de la sorte disposent d'un plus grand pouvoir juridique ou d'une plus grande capacité à résister. C'est ce qui me préoccupe.

    C'est ce qui me préoccupe également.

    En effet, je crois qu'il est fort possible qu'un tribunal saisi d'une affaire comme celle de Clearview AI, en vertu de la Loi sur la protection de la vie privée des consommateurs, ne maintiendrait pas nécessairement la décision que nous avons prise, en raison notamment de la façon dont la disposition du compromis est rédigée dans la Loi. Je trouve cela extrêmement préoccupant, tout comme la nature limitée des sanctions administratives prévues dans le projet de loi C-11.

    Je vous remercie beaucoup.

    Merci, monsieur Angus.

    Chers collègues, je vais bientôt mettre fin à la réunion, mais je tiens auparavant à vous informer que nous allons accueillir deux témoins lors de la prochaine réunion. Ce vendredi, nous allons recevoir — attendez que je me rappelle bien pour ne pas faire d'erreur — la commissaire à l'information ainsi que la commissaire au lobbying, qui comparaîtront chacune pendant une heure.

    Monsieur le commissaire, je vous remercie beaucoup de vous être joint à nous pour ces deux réunions importantes, la première ayant porté sur le Budget principal des dépenses, et l'autre, bien entendu, sur la technologie de reconnaissance faciale, qui fait l'objet de l'étude que nous entamons. Nous vous sommes reconnaissants d'avoir accepté de comparaître et de répondre aux questions à propos de ces deux sujets et nous sommes reconnaissants aussi aux autres témoins.

    Chers collègues, il reste quelques minutes avant que la sonnerie cesse, mais je vais lever maintenant la séance pour vous permettre de vous déconnecter et de vous reconnecter pour le vote.

    Encore une fois, monsieur le commissaire, je vous remercie beaucoup.