:
Je déclare la séance ouverte.
Bonjour à tous.
[Français]
Soyez les bienvenus à la 87e réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes.
[Traduction]
La réunion d'aujourd'hui se déroule en mode hybride, conformément au Règlement. Les membres du Comité peuvent donc y participer en personne ou à distance au moyen de l'application Zoom.
Avant d'entrer dans le vif du sujet, j'aimerais faire quelques observations à l'intention des témoins et des députés.
Veuillez attendre que je vous nomme avant de prendre la parole.
Si vous participez par vidéoconférence, cliquez sur l'icône du microphone pour activer votre micro et assurez‑vous de le désactiver lorsque vous ne parlez pas.
Pour écouter l'interprétation, les participants sur Zoom ont le choix entre « parquet », « anglais » ou « français » au bas de l'écran. Les gens dans la salle peuvent utiliser l'oreillette et sélectionner le canal de leur choix. Même si la salle est munie d'un système audio performant, des retours de son peuvent survenir et blesser gravement les interprètes.
Je rappelle aux députés de s'adresser à la présidence.
[Français]
Les témoins que nous recevons aujourd'hui seront avec nous pendant deux heures pour discuter de deux sujets différents.
Au cours de la première heure, conformément à l'article 108(3)h) du Règlement, nous assistons à une séance d'information sur le rapport annuel et les autres rapports du commissaire à la protection de la vie privée.
Ensuite, au cours de la deuxième heure, le Comité reprendra son étude sur l'utilisation des plateformes de médias sociaux.
[Traduction]
J'aimerais maintenant accueillir les témoins d'aujourd'hui.
Du Commissariat à la protection de la vie privée du Canada, nous accueillons M. Philippe Dufresne, commissaire à la protection de la vie privée du Canada; M. Michael Maguire, directeur, Loi sur la protection des renseignements personnels et les documents électroniques, Direction de la conformité.
Je vous souhaite la bienvenue au Comité, messieurs.
Monsieur le commissaire, vous avez cinq minutes pour présenter votre exposé au Comité; vous pouvez y aller.
:
Bonjour, monsieur le président.
Bonjour, mesdames et messieurs les membres du Comité.
Je suis heureux d'être ici aujourd'hui pour discuter de mon rapport annuel au Parlement de 2022‑2023, qui fait état du travail important accompli par le Commissariat afin de protéger et de promouvoir le droit fondamental à la vie privée en cette période de changements technologiques sans précédent.
Il est encourageant de constater que l'on continue de mettre l'accent sur l'importance de la protection de la vie privée, car elle touche presque tous les aspects de notre vie.
Bon nombre des enjeux d'intérêt public dont vous êtes saisis en tant que parlementaires — je pense aux droits des enfants, à la sécurité en ligne et à la cybersécurité, aux droits démocratiques, à la sécurité nationale, au droit à l'égalité, aux pratiques éthiques des entreprises et à la primauté du droit — ont tous des répercussions sur la vie privée, et je dirais qu'ils requièrent tous de solides mesures de protection de la vie privée.
[Traduction]
En cette ère numérique, comme vous pourrez le constater dans le travail et les enquêtes que le Commissariat a menés cette année, les activités quotidiennes, qu'il s'agisse de socialiser en ligne, d'utiliser des applications mobiles, de faire livrer des colis ou de passer à la caisse d'un magasin, peuvent aussi soulever des enjeux de vie privée.
Depuis ma nomination en tant que commissaire à la protection de la vie privée en juin 2022, j'ai établi des priorités stratégiques pour le Commissariat afin d'encadrer le travail accompli au cours de la dernière année et d'orienter la voie à suivre. Ces priorités consistent à tenir compte des répercussions sur la vie privée des progrès technologiques en constante évolution, en particulier pour ce qui est de l'intelligence artificielle, ou IA, et de l'IA générative; à protéger la vie privée des enfants; à optimiser l'incidence des efforts du Commissariat pour promouvoir et protéger pleinement et efficacement le droit fondamental à la vie privée.
[Français]
À l'appui de ces priorités, nous avons, au cours de la dernière année, grandement consulté nos homologues, au pays comme à l'étranger, afin de cerner des possibilités de collaboration et de les saisir.
Nous avons également continué à défendre, à l'échelle nationale, la modernisation des lois canadiennes sur la protection des renseignements personnels. J'ai eu l'honneur de comparaître devant le Comité permanent de l'industrie et de la technologie, la semaine dernière, afin de l'aider dans son étude du projet de loi , la Loi de 2022 sur la mise en œuvre de la Charte du numérique. J'ai alors présenté 15 recommandations clés qui sont nécessaires afin d'améliorer et de renforcer le projet de loi. J'ai été heureux de constater que le ministre avait souscrit à un certain nombre d'entre elles sous la forme d'amendements qui seront présentés au Comité. Je suivrai avec intérêt les travaux du Parlement dans son examen de cet important projet de loi.
[Traduction]
Je vais maintenant parler de certains de nos travaux en matière de conformité de l'an dernier.
Nous avons accepté 1 241 plaintes déposées en vertu de la Loi sur la protection des renseignements personnels, ce qui représente une augmentation de 37 % par rapport à l'année précédente, et 454 plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, ce qui représente une augmentation de 6 % par rapport à l'année précédente.
L'une des enquêtes sur le secteur public mises en évidence dans le rapport de cette année portait sur le programme Marketing Intelliposte de Postes Canada. Notre enquête a révélé que Postes Canada établit des listes de marketing à partir des renseignements tirés des enveloppes et des colis qu'elle livre partout au pays, et qu'elle met ces listes à la disposition des annonceurs moyennant des frais. Nous avons conclu que cette pratique était contraire à la Loi sur la protection des renseignements personnels, car elle avait été adoptée à l'insu et sans le consentement des Canadiennes et des Canadiens. Nous avons recommandé à Postes Canada de cesser d'utiliser et de communiquer les renseignements personnels des Canadiennes et des Canadiens sans avoir obtenu au préalable leur autorisation. En vue de remédier à cette situation, nous avons recommandé à Postes Canada d'envoyer un avis par courrier aux Canadiennes et aux Canadiens afin de les aviser de cette pratique et de leur offrir un moyen facile de s'y soustraire.
Jusqu'au dépôt de mon rapport annuel, qui a rendu cette décision publique, Postes Canada a refusé de mettre en oeuvre cette solution. Après la publication de mon rapport, Postes Canada a publié une déclaration indiquant qu'elle allait revoir ses politiques. Je m'attends à ce que Postes Canada se conforme à la Loi sur la protection des renseignements personnels, et j'ai bien hâte que celle‑ci me fasse part des prochaines étapes pour remédier à cette situation.
[Français]
Le rapport fait également état de certaines de nos enquêtes sur le secteur privé menées l'an dernier, notamment notre enquête sur Home Depot, qui transmettait à une entreprise de médias sociaux les renseignements personnels des clients ayant choisi de recevoir un reçu électronique au lieu d'un reçu papier lors de leur passage à la caisse.
Depuis, Home Depot a mis fin à cette pratique et mis en œuvre les recommandations du Commissariat. Cette affaire a mis en lumière l'importance pour les entreprises d'obtenir un consentement valable pour communiquer les renseignements personnels des clients.
Le traitement des atteintes dans les secteurs privé et public constitue un autre aspect important de notre travail.
Le Commissariat demeure préoccupé par la possibilité que les atteintes dans le secteur public ne soient pas toutes déclarées. L'année dernière, le nombre de déclarations d'atteinte a chuté de 36 %, passant à 298; de plus, seulement une atteinte a été déclarée à la suite d'une cyberattaque. En comparaison, dans le secteur privé, 681 atteintes ont été déclarées, dont 278 découlaient de cyberincidents.
[Traduction]
Nous avons aussi effectué des travaux novateurs d'élaboration de politiques, offert des services-conseils et des orientations aux organisations des secteurs public et privé sur des enjeux de vie privée qui revêtent un intérêt et une importance considérables pour le public, et continué de formuler des avis au Parlement.
Nous savons que les Canadiennes et les Canadiens se soucient plus que jamais de la protection de leur vie privée et qu'ils sont préoccupés par les effets que la technologie peut avoir à cet égard. Selon notre dernier sondage, 93 % d'entre eux se disent préoccupés dans une certaine mesure par la protection de leur vie privée et plus de la moitié estiment ne pas en savoir assez pour connaître l'incidence que les nouvelles technologies pourraient avoir sur leur vie privée. C'est pourquoi le travail accompli par le Commissariat afin d'obtenir des résultats concrets qui ont une incidence appréciable pour les Canadiennes et les Canadiens et pour la protection de la vie privée au pays est si important.
En terminant, je remercie le Comité pour ses travaux au fil des ans, notamment pour ses nombreux rapports et ses nombreuses recommandations dans le domaine de la protection de la vie privée. Je les cite souvent. Nous les examinons et les consultons très souvent, et je sais que les Canadiens en font tout autant.
Je me réjouis à la perspective de poursuivre nos efforts pour veiller à ce que les institutions fédérales et les entreprises respectent et privilégient le droit à la vie privée, et pour faire du Canada un chef de file mondial dans ce domaine.
Je suis maintenant prêt à répondre à vos questions.
:
Je dois dire deux choses, monsieur Barrett.
Dans notre déclaration en date du 24 août 2023, nous parlons des risques pour la vie privée que pose l'extraction de données. Ces risques comprennent les cyberattaques, l'usurpation d'identité, le contrôle, le profilage, la surveillance des individus, l'utilisation non autorisée à des fins politiques ou de collecte de renseignements et le marketing direct non sollicité ou pourriels.
Il y a un certain nombre de risques. C'est pourquoi nous demandons aux entreprises de médias sociaux et à toutes les organisations, en fait, de respecter leurs obligations en matière de protection des renseignements personnels. Nous avons établi des techniques d'atténuation des risques que ces entreprises peuvent et doivent mettre en œuvre pour protéger l'information contre les acteurs malveillants qui pourraient l'extraire.
Nous présentons aussi des mesures que peuvent prendre les individus, même si la protection de leurs renseignements ne dépend pas exclusivement d'elles. Les organisations ont en effet des obligations et peuvent suivre nos conseils.
Vous avez parlé de TikTok. J'ai moi‑même déposé une plainte contre cette entreprise en février, l'an dernier, en ma qualité de commissaire. Il s'agit d'une enquête conjointe menée avec mes homologues provinciaux du Québec, de l'Alberta et de la Colombie‑Britannique, qui vise à examiner les mesures mises en place pour protéger la vie privée. Nous espérons terminer cette enquête d'ici la fin de mars 2024.
:
Merci, monsieur le président.
Avant de poser mes questions à M. Dufresne, j'aimerais, moi aussi, mettre certains points au clair.
Je crois que, lundi, le président a abusé de son autorité. J'aimerais lui rappeler certaines procédures et certains règlements qui, selon moi, n'ont pas été respectés.
[Traduction]
Comme vous le savez, il y a des procédures et des usages de longue date qui régissent le travail des comités permanents de la Chambre des communes. Le processus pour mener une étude, le processus pour déposer des motions et le rôle de la présidence sont détaillés dans La procédure et les usages de la Chambre des communes. C'est ce dont je débattais lorsque j'ai présenté une motion pour ajourner la séance.
Je rappelle à tous que selon La procédure et les usages de la Chambre des communes, troisième édition :
Une motion est nécessaire pour présenter une proposition à un comité et obtenir une décision à son sujet. Une motion est une proposition formulée par un député pour que le comité fasse quelque chose ou ordonne à son président et à son personnel que quelque chose se fasse (un ordre) ou exprime une opinion à propos d'une affaire quelconque (une résolution).
Par ailleurs, on précise dans la même édition, à la page 1011, que:
Les comités se chargent alors de définir la nature et la portée de l'étude, du temps qu'ils y consacreront et s'ils feront ou non rapport à la Chambre de leurs observations et recommandations.
:
J'ai presque terminé. Merci beaucoup, monsieur le président.
Enfin, il est indiqué à la page 1039 que la présidence convoque les réunions et détermine leur ordre du jour en conformité avec les instructions du comité.
La procédure que je viens de décrire n'a pas été suivie lors de la réunion prévue à l'horaire le 23 octobre 2023. J'ai donc grand hâte que nous puissions débattre de cette motion afin de tirer au clair ce qui s'est passé lundi dernier.
[Français]
Je vous remercie de m'avoir permis, à moi aussi, de vous faire part de mes réflexions.
Cela dit, je vous remercie beaucoup, monsieur Dufresne, d'être avec nous aujourd'hui. Je suis heureuse de vous voir en personne et d'avoir le privilège de vous féliciter pour votre nomination à ce poste. Je sais que vous êtes là depuis quelque temps, mais je suis très contente de voir que vous occupez ce poste.
Vous avez mentionné que vous aviez des arriérés de plaintes qu'il faut traiter, et que cela commençait à peser sur vos ressources.
Quel plan d'action ou quelle approche pensez-vous adopter? Selon ce que j'ai compris, le travail de votre organisme est de plus en plus complexe, notamment sur le plan de l'automatisation.
J'aimerais que vous nous parliez de cette complexité.
:
Merci beaucoup, madame Fortier. Je suis heureux de vous voir en personne également.
Nous nous sommes penchés sur cette question tôt dans mon mandat, parce que la qualité des décisions est importante, mais leur rapidité l'est aussi. Il faut que les décisions soient rendues dans des délais raisonnables. Or, quand le volume des demandes devient trop élevé, les réponses tardent. Nous avons donc cerné un besoin et nous avons obtenu des ressources supplémentaires du Parlement. Nous lui en sommes reconnaissants.
Nous étudions cette question sous tous ses angles. Nous examinons nos processus internes pour déterminer, par exemple, si nous pouvons fonctionner de manière plus agile, si notre gestion du risque est appropriée, si d'autres technologies peuvent être utilisées ou si nous pouvons utiliser des incitatifs pour encourager les organisations à en arriver à un règlement plus rapidement. Je crois beaucoup à la résolution volontaire des différends.
Pour améliorer l'efficacité du Commissariat, j'ai beaucoup discuté avec des représentants de l'industrie et du gouvernement pour comprendre les obstacles et les bénéfices. L'une des choses que je voudrais faire serait de souligner les bons coups du gouvernement ou de l'industrie en matière de respect de la vie privée, et non seulement leurs manquements, afin de les inciter à continuer dans la bonne direction.
Il y a beaucoup de possibilités pour améliorer l'efficacité du Commissariat, mais cela demeure certainement un des principaux défis. C'est pour cela que l'efficacité du Commissariat fait partie de mes trois priorités stratégiques, avec la technologie et la protection de la vie privée des enfants.
Nous allons vraiment tout faire pour améliorer notre fonctionnement. Nous avons déjà commencé à constater une amélioration.
:
Pour le moment, effectivement, la déclaration des atteintes à la vie privée dans le secteur public se fait en fonction des directives du Conseil du Trésor. Dans le secteur privé, il y a une obligation légale. Nous avons certainement des recommandations à ce sujet. Je crois que le fait d'avoir des obligations légales contraignantes est utile, parce que cela incite les organisations à bien agir. Tant au public qu'au privé, il faut en avoir.
Cependant, je pense que c'est aussi une question de communication et de compréhension. Il faut comprendre le critère pour signaler les atteintes à la vie privée. Parfois, des organisations qui sont de bonne foi comprennent mal le critère ou sous-estiment le risque de préjudice.
Cette année, nous l'avons vu au cours de certaines de nos enquêtes. Certaines organisations ont dit qu'elles n'avaient pas signalé une atteinte à la vie privée parce qu'elles pensaient que le risque de préjudice n'était pas suffisamment élevé. Dans certains cas, nous étions en désaccord et avons déterminé qu'il y avait eu un risque de préjudice financier, un risque lié à la réputation ou un risque lié à de l'information délicate.
Nous avons donc un travail de sensibilisation à faire, et il faut que nous nous assurions d'avoir les outils nécessaires. Nous allons néanmoins continuer de travailler à cet effet et d'encourager les organisations à se pencher sur ces questions. Quand elles nous signalent des atteintes, nous pouvons leur donner des avis et des conseils, et travailler avec elles. C'est vraiment notre objectif.
Nous travaillons aussi auprès des citoyens et des citoyennes, parce qu'il faut aussi trouver des solutions pour protéger les victimes de ces atteintes.
:
Une des choses auxquelles je réfléchis, c'est la façon de mieux communiquer avec les citoyens. Ce que vous avez fait dans votre circonscription avec vos conférences et les échanges, c'est très bien et c'est un bon pas dans la bonne direction.
Il faut en arriver à ce que les citoyens comprennent ce qui se passe, et il faut les équiper pour ce faire. La technologie se développe très rapidement. On le voit dans le cas de l'intelligence artificielle générative, et d'autres technologies apparaîtront. Les citoyens peuvent parfois se sentir en désarroi devant tout cela, car tout va extrêmement vite.
Que pourrons-nous faire à cet égard? J'entends parfois des gens dire qu'il est trop tard pour protéger la vie privée, parce que tout va trop vite, et ils abandonnent. S'il y a une chose que je trouve préoccupante, c'est cela.
Je crois qu'il est important de dire aux gens qu'il faut protéger la vie privée, que c'est possible de le faire, que les institutions peuvent le faire et que les gens peuvent le faire eux aussi. Les lois ne seront jamais modifiées aussi rapidement que la technologie évolue. C'est la même chose pour les règlements adoptés par le gouvernement.
Cependant, il faut adopter des lois basées sur des principes que l'on peut appliquer à la nouvelle technologie. Je crois beaucoup aux évaluations des facteurs relatifs à la vie privée et au fait qu'elles soient une obligation. Je crois beaucoup à la transparence ainsi qu'au fait de communiquer davantage et mieux avec les citoyens à propos de ce qu'on fait de leurs informations et sur la façon dont elles seront utilisées.
Il arrive souvent que les dispositions sur le consentement soient très difficiles à comprendre, même pour des experts. Les gens ressentent donc un peu de fatigue par rapport à cela. Dans les enquêtes dont je parle dans mon rapport, qu'elles portent sur Postes Canada, Home Depot ou Tim Hortons, les gens sont parfois surpris par ce qui est fait avec leurs informations.
Lors de nos discussions avec les organisations, nous leur demandons d'être proactives et de rendre cette information facilement accessible. Parfois, elles répondent que l'information se trouve dans leur politique sur la vie privée, sur leur site Web ou au bureau de poste. Nous leur disons alors qu'elles mettent ainsi sur les épaules des citoyens le fardeau de devoir trouver cette information, alors qu'elles se trouvent dans une meilleure situation qu'eux pour la communiquer.
:
Je suis d'avis qu'il faut tenir des discussions publiques, faire preuve transparence et avoir des obligations de transparence.
Le phénomène que vous me décrivez s'est accéléré encore plus avec l'intelligence artificielle. On peut se dire qu'on sait que nos données personnelles seront utilisées par telle entité. Toutefois, sait-on vraiment ce qui peut être déduit à notre sujet grâce à ces données? Quelles inférences peuvent être faites? Parfois, un code postal ou des intérêts en matière de musique, par exemple, peuvent aider à déduire l'orientation sexuelle d'une personne, son niveau de revenus, et ainsi de suite. Les gens ne savent pas tout cela.
Pour ma part, j'ai recommandé que le projet de loi prévoie une obligation de transparence pour que, quand les gens prennent une décision à l'aide de l'intelligence artificielle, ils puissent demander une explication, et ce, dans tous les cas. Or, dans la version actuelle du projet de loi, on dit qu'une explication peut être fournie seulement dans les cas où il y a une incidence importante sur les individus. J'ai recommandé qu'on enlève cet élément parce que, pour le moment, je crois qu'il vaut mieux favoriser plus de transparence plutôt que moins.
Il faut essayer de trouver des façons conviviales d'expliquer cela. Un de mes mandats est d'essayer d'avoir des outils. Nous donnons beaucoup d'information sur notre site Web et nous essayons d'expliquer tout cela le mieux possible, mais j'estime qu'on peut faire mieux.
Il faut aussi parler des enfants, car je crois que le message doit être adapté à l'auditoire.
:
Merci beaucoup, monsieur le président.
Je remercie M. Dufresne de participer à notre importante étude.
Monsieur Dufresne, dernièrement, j'ai appris quelque chose qui m'a assez marqué.
Vous venez de dire que les lois ou les règlements ne seront jamais modifiés à la même vitesse que les avancées technologiques évoluent; nous nous entendons là-dessus.
Il y a deux ans, le ministère de la Justice a mené une consultation publique en ligne sur la modernisation de la Loi sur la protection des renseignements personnels. Par contre, la Loi n'a fait l'objet d'aucune mise à jour majeure depuis son adoption, en 1983. En 1983, j'avais 10 ans, on utilisait des disquettes et j'écoutais des films à partir de cassettes VHS.
Selon vous, à quel point est-il urgent de moderniser la Loi sur la protection des renseignements personnels?
:
Je pense qu'il faut absolument moderniser cette loi. Il faut également moderniser la partie de la Loi sur la protection des renseignements personnels qui porte sur le secteur privé. Cette loi a 20 ans; elle est donc plus vieille que Facebook et les médias sociaux. C'est positif que le projet de loi vise à moderniser la Loi pour ce qui est du secteur privé. J'ai hâte que ce projet de loi progresse.
De plus, j'espère qu'un projet de loi visant à moderniser la loi dans le secteur public suivra rapidement. Le avait dit, lors du dépôt du projet de loi C‑27, que le projet de loi sur la vie privée dans le secteur public suivrait. Des consultations en lien avec certaines implications ont été faites auprès des Premières Nations et des peuples autochtones. Le ministère de la Justice a rendu un rapport portant sur ces consultations — je crois que c'était en septembre. Le travail se poursuit. Selon moi, la solution, c'est de faire avancer le projet de loi C‑27. Le modèle qui sera adopté dans cette loi pourra ensuite être adapté au secteur public, au besoin. Cela peut être bénéfique.
Parmi nos propositions, nous suggérons qu'il y ait de plus en plus de partenariats publics-privés et que le gouvernement travaille main dans la main avec l'industrie. Présentement, nous avons deux lois qui comprennent des exigences différentes, selon qu'il s'agit du gouvernement ou du secteur privé. Ce n'est pas optimal et cela soulève des problèmes sur le plan de l'interopérabilité. Je suis tout à fait d'accord avec vous sur le fait que cela devient important.
En attendant, la Loi s'applique et le Commissariat va continuer de la mettre en œuvre de son mieux. D'ailleurs, c'est un message que mes homologues des pays du G7 et moi avons transmis lorsque nous étions à Tokyo, l'été dernier. Lors de cette rencontre, nous avons parlé de l'intelligence artificielle. Pour répondre aux préoccupations des gens, nous disions qu'il fallait des lois sur l'intelligence artificielle. Il y en a déjà, notamment les lois sur la vie privée. Elles existent et elles s'appliquent.
J'ai aussi lancé une enquête sur ChatGPT, afin de nous assurer de la conformité ou de la non-conformité des lois. Des outils existent, mais ils doivent absolument être modernisés. Nous serons là pour appuyer le Parlement.
:
Certainement. Il y a parfois de tels échanges.
Pour ce qui est des cas dont vous parlez, il arrive qu'un ministère nous indique qu'il fait déjà ce que nous lui recommandons. Dans le cas de la pandémie, nous avions aussi appliqué une évaluation sur la proportionnalité et la nécessité, qui n'est pas un élément obligatoire en vertu de la Loi sur la protection des renseignements personnels, mais qui devrait l'être, selon nous. Nous avons mis cette analyse en avant.
C'est un dialogue. On nous donne toujours les raisons d'un refus, et un dialogue s'établit.
Certains manquements sont plus graves que d'autres. Les situations vraiment préoccupantes sont celles où il y a effectivement eu une situation de manquement ou de conséquence majeure, combinée à un refus complet de suivre notre recommandation. Cela peut miner la confiance.
Selon moi, le pouvoir d'ordonnance est important. Quand un agent du Parlement fait une recommandation à une organisation et que cette dernière refuse de l'appliquer, la situation n'est pas satisfaisante. Je crois que des justifications suffisantes doivent être invoquées. Si nous avions le pouvoir d'émettre des ordonnances, ce ne serait pas un problème. Nous les émettrions dans les situations où ce serait nécessaire. Cela dit, à mon avis, ce devrait toujours être une exception.
La même chose s'applique aux amendes. Dans le projet de loi , nous ajouterions la possibilité d'avoir des pénalités financières importantes pour les organisations. Je pense que, ça, c'est très important, encore une fois pour la même raison, afin de créer des mesures incitatives. L'idée n'est pas de les utiliser souvent, mais...
:
En effet, la loi 25 du Québec est certainement plus contraignante que la loi fédérale actuelle simplement parce qu'elle prévoit le pouvoir d'ordonnance. La Commission d'accès à l'information du Québec, ou CAI, peut émettre des ordonnances contraignantes et peut aussi imposer des amendes, importantes, qui reflètent le modèle européen dans les règlements de protection des données. C'est donc une loi plus robuste à cet égard. Elle comporte des obligations proactives.
J'espère voir le projet de loi progresser et moderniser un peu la loi fédérale dans cette veine. Il n'est pas identique à la loi 25, mais il s'en approche certainement avec le pouvoir d'ordonnance, les amendes et les obligations proactives pour les entreprises. Je pense que c'est un modèle à suivre. C'est le modèle européen et québécois, et on peut y parvenir au fédéral.
Pour ce qui est de votre question sur la collaboration avec la Commission d'accès à l'information du Québec, la CAI, je peux vous dire que nous avons effectivement des relations très étroites avec le Québec et toutes les provinces et tous les territoires.
Au mois de septembre, j'étais à Québec. La CAI était l'hôte de la réunion annuelle des commissaires fédéraux, provinciaux et territoriaux à la vie privée. Nous avons eu des conversations extrêmement importantes et utiles. Nous avons émis deux déclarations, dont l'une portait sur la protection de la vie privée des jeunes. Ce sont des déclarations communes, où tous les commissaires se sont entendus sur ces principes, malgré les différences entre les lois des diverses administrations. Les commissaires tentent ainsi d'aider les entreprises en leur indiquant les éléments communs de ces lois. Nous menons des enquêtes conjointes avec les provinces ayant des lois semblables à la loi fédérale, soit le Québec, l'Alberta et la Colombie‑Britannique. C'est le cas dans les affaires TikTok et ChatGPT. Ce fut aussi le cas dans l'affaire Tim Hortons.
C'est une collaboration très riche et très utile. Elle nous permet justement de nous assurer que, partout au Canada, nous sommes sur la même longueur d'onde.
:
Certainement, et merci pour la question. Nous en traitons d'ailleurs dans notre rapport annuel.
Nous pouvons compter au Canada sur une forte communauté d'intervenants — fédéraux, provinciaux et territoriaux — qui sont très actifs sur ce front. Il existe cependant aussi différents groupes à l'échelle internationale. Ainsi, j'ai contribué de près aux travaux de la Table ronde des autorités de protection des données et de la vie privée du G7. Il s'agit essentiellement des commissaires à la protection de la vie privée des pays du G7. Nous avons une rencontre annuelle. Il y a un an et demi, c'était à Bonn, en Allemagne. Cette année, nous nous sommes réunis à Tokyo. Parmi les thèmes qui reviennent sans cesse sur cette tribune, il y a la nécessité de fluidiser les transferts transfrontaliers de données pour faciliter le commerce international. Comment peut‑on s'assurer que ces données sont bien protégées?
Divers outils sont à notre disposition, notamment sur le plan législatif et contractuel. Nous avons des échanges à ce sujet. Nous parlons de plus en plus d'intelligence artificielle. En juin dernier à Tokyo, nous avons émis une déclaration exposant nos attentes. Je crois que c'était l'une des premières fois que les commissaires énonçaient ainsi leurs attentes concernant l'intelligence artificielle du point de vue de la protection de la vie privée. Nous avons notamment souligné que les lois en vigueur continuent de s'appliquer. C'est entre autres le cas des lois sur la protection de la vie privée. Il n'y a pas de vide juridique. Des dispositifs de protection sont d'ores et déjà en place, et nous allons les faire intervenir. Nous avons exprimé la volonté de voir les organisations appliquer les principes de la protection de la vie privée dès la conception de ces différents outils, et d'effectuer à ce moment‑là des évaluations des facteurs relatifs à la vie privée.
C'était un appel à l'action. Je me suis réjoui de constater que le code de conduite volontaire mis de l'avant il y a quelques semaines par le ministère de l'Industrie mettait en relief la déclaration du G7 tout en rappelant à tous que la Loi sur la protection de la vie privée garde toute son importance.
Les lois sur la protection de la vie privée s'appliquent aux renseignements personnels, elles s'appliquent aux renseignements qui peuvent nous identifier, parce qu'il faut protéger cela. On peut tirer plusieurs conclusions à notre sujet sur la base de cette information. La loi prévoit une exception: l'information publique ne sera pas visée par certaines obligations. Cela dit, on définit cette exception de façon très étroite. Elle doit être précisée par un règlement, et c'est très limité.
De façon générale, l'information qui est sur Internet est publique. Si c'est de l'information personnelle, cela reste de l'information personnelle. Les organisations n'ont donc pas le droit d'utiliser cette information comme elles le veulent. Elles sont liées par les principes qui s'appliquent à cela. C'est pour cette raison qu'on a mené des enquêtes sur des organisations qui allaient chercher des photos de façon extrême sur Internet pour faire des bases de données de reconnaissance faciale et ensuite essayer de les vendre aux forces policières.
Dans un premier temps, on a mené une enquête sur la compagnie Clearview AI, et on a conclu que cette base de données allait beaucoup trop loin. Il n'y avait pas de régime de restrictions et l'entreprise n'avait pas établi les balises de nécessité, de proportionnalité, et ainsi de suite.
Dans un deuxième temps, on a aussi fait une enquête et déposé un rapport spécial au Parlement sur l'utilisation par la GRC, à l'époque, de cette compagnie.
On a dit que c'était un manquement de la part de la GRC d'utiliser cette compagnie, qui ne respectait pas ses propres obligations. Depuis, la GRC a cessé de faire appel à cette entreprise et a mis sur pied le Programme national d'intégration des technologies, ou PNIT.
C'est un exemple très concret du fait que l'information est peut-être sur Internet, mais c'est quand même notre information personnelle.
Dans la Loi sur la protection des renseignements personnels, les obligations sont moindres pour le secteur public que pour le secteur privé. Les ministères ont l'obligation d'établir que l'utilisation de l'information a été faite dans un but lié au mandat de l'organisation. Par exemple, l'organisation dit qu'elle a le mandat légal de faire quelque chose, alors elle peut le faire.
Certaines obligations sont plus précises, comme celles qui ont été utilisées dans le dossier de Postes Canada. En effet, lorsqu'on utilise de l'information de façon indirecte, on a plus d'obligations. On doit demander une autorisation. Le premier grand principe dont on tient compte dans le cas d'une organisation publique, c'est de vérifier si c'était lié à son mandat.
Selon nous, conformément aux principes internationaux et à ce qui se fait dans le secteur privé, on devrait imposer l'obligation de nécessité et de proportionnalité. On regarde quelle information l'organisation va chercher, et à quelles fins elle le fait. Cela ressemble un peu à ce qu'on fait lorsqu'on parle des droits de la personne en vertu de la Charte, par exemple. L'objectif de l'organisation est-il suffisamment important? La mesure va-t-elle atteindre cet objectif? L'organisation a-t-elle fait tout ce qui était possible pour minimiser l'utilisation d'information afin d'atteindre son but?
Nous avons souligné ces principes dans notre rapport sur la pandémie, et nous les appliquons. Nous reconnaissons qu'ils n'ont pas de force contraignante, mais nous les appliquons et nous donnons des recommandations à cet égard. Cela a permis de tirer des leçons utiles. De façon générale, le gouvernement s'est conformé à ces principes. Parfois, nous jugeons qu'il aurait pu y avoir plus d'information sur la façon d'évaluer les options rejetées, mais que la décision, somme toute, était défendable.
Il s'agit d'une rigueur qui amène les décideurs à se questionner sur ce qu'ils font et à se demander s'ils minimisent le risque. Cela ressemble un peu à ce que nous demandons.
L'une de mes recommandations importantes concernant le projet de loi vise à imposer l'obligation de faire des vérifications et des évaluations des facteurs relatifs à la vie privée, ou EFVP. Il s'agit d'examiner quel est le risque et quels outils peuvent le minimiser.
C'est bon pour la vie privée, et c'est bon pour les Canadiens.
:
Je pourrais vous dire une ou deux choses à ce sujet. Premièrement, j'ai émis une déclaration commune avec mes homologues provinciaux et territoriaux qui avait pour titre « Mettre l'intérêt supérieur des jeunes à l'avant-plan en matière de vie privée et d'accès aux renseignements personnels ». Vous pouvez en prendre connaissance sur notre site Web. Nous y énonçons nos attentes assorties de recommandations pour que les organisations s'assurent de bien protéger les enfants et voir à leur intérêt supérieur en traitant leurs données de la manière qui convient.
Quant à savoir ce que les gens devraient faire — et c'est un sujet que nous avons abordé avec mes homologues internationaux dans notre déclaration commune sur l'extraction de données —, il faut que chacun se demande s'il trouve acceptable de devoir communiquer autant d'information. Connaissez-vous suffisamment bien les réglages et les mesures de protection qui sont accessibles? Est‑ce que vous souhaitez vraiment qu'une telle situation perdure?
Le projet de loi inclut une nouvelle disposition pour le retrait des renseignements, particulièrement dans le cas des mineurs. C'est une bonne chose, mais vous devez vous demander, toutes les fois que vous mettez en ligne une photo de vos enfants, si le jeu en vaut la chandelle. Avez-vous réglé vos paramètres de protection de la vie privée d'une manière assez rigoureuse? Est‑ce que le reste de la planète a maintenant accès à votre vie privée? Si vous ne comprenez pas vraiment ce que l'organisation cherche à faire et si vous trouvez que sa politique pour la protection de la vie privée est complexe, n'hésitez pas à lui poser toutes les questions nécessaires. C'est toujours le conseil que je donne aux gens.
Demandez plus d'information. Essayez de savoir pourquoi on veut connaître votre date de naissance lorsque vous achetez un bijou ou un autre article. Pourquoi a‑t‑on besoin de ce renseignement?
Il faut acquérir ce réflexe, plutôt que de simplement acquiescer en fournissant les renseignements demandés.
:
Merci, monsieur Kelloway.
Monsieur Dufresne, vous nous avez livré comme toujours un témoignage des plus probant. Je vous en remercie.
C'est ainsi que se termine notre première heure de séance. J'aimerais maintenant que nous puissions passer directement à la seconde portion de la réunion en laissant à M. Dufresne quelques instants pour rassembler ses notes.
J'en profite pour signaler aux membres du Comité que les responsables de TikTok nous ont demandé une semaine de plus pour nous fournir leurs réponses écrites. Si vous vous rappelez bien, ils avaient jusqu'à vendredi pour le faire. Ils nous demandent maintenant de patienter jusqu'à vendredi prochain.
Si tout le monde est d'accord, j'aimerais leur accorder ce délai supplémentaire de telle sorte que nous puissions obtenir les réponses dont nous avons besoin. Est‑ce que cela vous convient?
Des députés: D'accord.
Le président: Nous avons déjà fait allusion à TikTok à maintes reprises, et le moment est venu de passer à notre seconde heure de séance qui est consacrée à notre étude sur les médias sociaux mettant l'accent sur TikTok.
Monsieur Dufresne, vous disposez encore une fois de cinq minutes pour présenter vos observations préliminaires au Comité, après quoi nous passerons aux questions des députés.
Merci. À vous la parole.
:
Merci, monsieur le président.
Je suis heureux maintenant d'aborder cette partie de la discussion. Je remercie le Comité de son intérêt envers la façon dont les plateformes de médias sociaux, comme TikTok, recueillent, traitent et communiquent les renseignements personnels.
Le monde en ligne offre de nombreuses possibilités d'innovation et de connexion, mais il comporte aussi un risque de préjudice grave, particulièrement pour les jeunes.
Comme vous le savez, le Commissariat à la protection de la vie privée du Canada, de concert avec ses homologues du Québec, de la Colombie-Britannique et de l'Alberta, a ouvert une enquête sur TikTok en février dernier. Nous établirons si les pratiques de TikTok sont conformes aux lois canadiennes sur la protection des renseignements personnels et, plus précisément, si TikTok a obtenu un consentement valable pour la collecte, l'utilisation et la communication de renseignements personnels.
Nous examinons également si une personne raisonnable estimerait que les fins pour lesquelles l'entreprise traite les renseignements personnels, en particulier les renseignements des enfants, sont appropriées dans les circonstances.
[Français]
Il s'agit d'une grande priorité pour le Commissariat, particulièrement en raison de l'importance de protéger le droit fondamental à la vie privée des jeunes, qui représentent une partie importante des utilisateurs de TikTok. En raison du fait que cette enquête est en cours, ma capacité à parler publiquement des pratiques de l'entreprise est limitée pour le moment.
C'est pourquoi mes propos d'aujourd'hui porteront principalement sur les principes de protection de la vie privée qui sous-tendent l'approche du Commissariat à l'égard du monde numérique, du point de vue du droit à la vie privée des enfants.
Grandir à l'ère numérique présente de nouveaux défis importants pour la vie privée des jeunes. Alors que les enfants et les jeunes adultes adoptent de nouvelles technologies et vivent une grande partie de leur vie en ligne, nous avons besoin de solides mesures pour protéger leurs renseignements personnels et encadrer la façon dont ces renseignements personnels pourraient être recueillis, utilisés et communiqués. Les renseignements personnels des enfants et des jeunes sont de plus en plus utilisés afin de créer du contenu personnalisé et des profils de publicité visant à influencer leurs comportements.
[Traduction]
Les enfants ont le droit d'être des enfants, même dans le monde numérique. Comme l'indique l'UNICEF dans ses orientations stratégiques sur l'IA destinée aux enfants, les jeunes sont davantage touchés par les technologies numériques que les adultes. Les jeunes sont aussi moins à même de comprendre les conséquences à long terme d'un consentement à la collecte de leurs données. Les lois sur la protection des renseignements personnels devraient reconnaître les droits de l'enfant, et le droit d'être un enfant. Cela signifie qu'il faut interpréter les dispositions des lois relatives à la protection des renseignements personnels d'une manière qui est cohérente avec l'intérêt supérieur de l'enfant.
Je trouve encourageantes les déclarations du . Selon ses indications, des intervenants souhaitent voir la protection de la vie privée des enfants être renforcée dans le projet de loi . Le Commissariat a recommandé qu'il soit reconnu, dans le préambule de la loi fédérale modernisée sur la protection des renseignements personnels, que le traitement des données personnelles doit protéger la vie privée des enfants et l'intérêt supérieur de l'enfant. Je crois que la mise à jour du préambule d'une telle manière encouragerait les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services dès la conception et par défaut. J'ai été ravi d'entendre le ministre indiquer qu'il souscrivait à cette recommandation.
[Français]
La loi doit prévoir des mesures de protection solides en vue de protéger les renseignements personnels des enfants contre tout accès non autorisé et prendre davantage en compte l'acceptabilité de la collecte, de l'utilisation et de la communication de ces renseignements.
Au début du mois, mes collègues provinciaux et territoriaux et moi-même avons adopté une résolution dans laquelle nous avons demandé aux organisations des secteurs privé et public de mettre en avant l'intérêt supérieur des jeunes, notamment en fournissant des outils de protection de la vie privée et des mécanismes de consentement adaptés aux jeunes et au degré de maturité de ceux-ci; en rejetant les pratiques trompeuses qui influencent négativement les décisions des jeunes en matière de vie privée ou les poussent à adopter des comportements préjudiciables; en permettant la suppression et la désindexation des données recueillies lorsque les utilisateurs étaient enfants.
J'ai été heureux de constater que cette disposition figurait dans le projet de loi .
[Traduction]
En terminant, il est essentiel que les gouvernements et les organisations prennent des mesures afin de s'assurer que les jeunes puissent bénéficier de la technologie et être actifs en ligne sans crainte d'être ciblés, manipulés ou de subir des préjudices. J'espère que les conclusions de notre enquête sur TikTok seront utiles non seulement pour cette entreprise, mais aussi pour d'autres organisations qui recueillent et traitent des renseignements personnels sensibles concernant des enfants.
J'ai aussi hâte de voir le projet de loi progresser dans le processus législatif de manière à offrir aux enfants et aux mineurs les mesures de protection de la vie privée dont ils ont besoin dans ce monde de plus en plus numérique.
Sur ce, je serai heureux de répondre à vos questions.
:
Merci beaucoup, monsieur le président.
Je vous remercie, monsieur Dufresne, d'être parmi nous.
Je vais faire un bref retour dans le temps. Au siècle dernier, quand les gens achetaient un journal le matin, ils avaient l'impression d'acheter un produit qui leur donnait des nouvelles, un compte rendu de ce qui se passait dans leur société. Or, quelqu'un a réfléchi à la question par la suite et a dit que le journal, en réalité, vendait le lecteur à celui qui achetait de la publicité dans le journal. L'acheteur n'était pas celui qu'on pensait. À l'époque, une compagnie qui était propriétaire d'une boutique de lingerie, par exemple, et qui achetait de la publicité dans le journal n'avait généralement aucune idée de l'identité de ses clients ni même de celle des lecteurs du journal.
Aujourd'hui, par contre, avec les médias sociaux, la dynamique est complètement différente. En effet, les gens fournissent presque volontairement leurs renseignements personnels à de grands conglomérats qui vendent ou partagent ces informations dans le but de réaliser d'énormes profits. Autrement dit, les citoyens fournissent gratuitement des informations, ce qui permet à ces grandes compagnies de faire de la publicité ciblée de façon précise pour répondre à leurs envies, leurs désirs, leurs besoins. Cela permet du même coup à de grandes compagnies, de grands conglomérats, d'engranger des profits considérables.
Vous parliez tantôt d'un réflexe des consommateurs ou des citoyens. Avez-vous l'impression que la plupart des gens autour de nous comprennent qu'ils se vendent eux-mêmes gratuitement aux géants du Web et aux médias sociaux?
:
Merci, monsieur Dufresne.
Dans un de ses numéros, que je ne vais pas refaire ici, Louis‑José Houde dit que ce n'est pas parce qu'il achète une spatule qu'on va accéder à son téléphone cellulaire.
Sur une note plus sérieuse, vous avez fait, en 2019, une enquête sur Facebook, qui s'appelle maintenant Meta. Le rapport comportait tout de même quatre grandes conclusions, assez inquiétantes, à savoir que Facebook omettait d'obtenir un consentement valide de la part, non seulement des usagers, mais également des amis ou des contacts de ces usagers. De plus, les mesures visant à protéger les renseignements personnels des usagers n'étaient pas adéquates. Ces quatre conclusions sont assez inquiétantes, vu la popularité de cette plateforme.
Depuis que vous avez réalisé cette enquête et que vous en êtes arrivé à ces quatre conclusions, que s'est-il passé exactement?
:
C'est un problème pour les enfants en raison de leur plus grande vulnérabilité. Nous avons formulé un certain nombre de recommandations pour interdire les techniques comportementales d'incitation. Nous ne devrions pas pousser les gens en général, et certainement pas les enfants, à prendre de mauvaises décisions, notamment en ce qui concerne leur vie privée. Il y a du travail à faire à ce sujet.
Des études ont montré que les médias sociaux créent une dépendance qui se généralise chez les enfants. Parfois, le modèle d'affaires consiste à essayer de les encourager à rester branchés plus longtemps, parce que c'est ce qui génère plus de revenus. Il faut en tenir compte, car les enfants passent de plus en plus de temps en ligne depuis la pandémie, notamment pour l'école. Je l'ai vu et les parents aussi.
Nous devons nous adapter à cette nouvelle réalité en tant que parents, enfants et société, afin de mieux comprendre les enjeux et les droits des utilisateurs.
Le projet de loi propose un droit à la retraite. Cela informe... Quand je dis que les enfants ont le droit d'être des enfants, c'est ce à quoi je fais allusion. Les enfants font des choses en ligne. Si le contenu reste en ligne pour toujours, ils seront traités comme des adultes dès leur adolescence. Si le contenu reste en permanence, il pourrait être utilisé contre eux pour des emplois et ainsi de suite.
Nous devons régler cette question. Le projet de loi y remédiera dans une certaine mesure, mais nous devons certainement sensibiliser davantage les gens, car nous vivons de plus en plus dans un monde numérique. Il apporte de l'innovation et des avantages, mais nous devons être bien équipés pour relever les défis et nous devons en apprendre davantage à ce sujet. J'espère qu'il y aura une formation obligatoire dans les écoles, afin que les gens puissent être outillés tôt dans leur vie.
Nous aurons les bons réflexes. Nous allons poser des questions. Nous allons demander pourquoi les sociétés ont besoin de cette information. Nous allons apprendre ce qu'est une bonne politique de confidentialité, et si elle ne l'est pas, nous allons apprendre à nous plaindre afin qu'elle puisse devenir une bonne politique de confidentialité à l'avenir.
De cette façon, nous créons des ambassadeurs de la protection de la vie privée partout.
:
Heureusement, la loi est basée sur des principes. Nous sommes donc en mesure d'appliquer ces principes aux organisations qui utilisent et divulguent des données. C'est ce qui nous permet d'enquêter sur TikTok et sur ChatGPT.
Cela dit, il y a des lacunes: nous n'avons pas le pouvoir d'émettre des ordonnances ni celui de donner des amendes.
Dans le cas d'organisations qui font des profits énormes avec les données, il y a donc un manquement. Ce n'était peut-être pas un enjeu auparavant parce qu'on ne faisait pas tant d'argent avec les données, mais, maintenant, on en fait.
Il faut donc qu'il y ait des amendes. Il faut une plus grande proactivité. Il faut une plus grande transparence. Le fait d'expliquer des décisions prises par des algorithmes, par de l'intelligence artificielle, évidemment, n'était pas un problème. Nous pouvons réglementer cela avec des principes, mais il y a certaines choses qui deviennent un peu plus techniques. Je pense que, en ce qui concerne l'intelligence artificielle et les décisions algorithmiques, nos exigences doivent être assez vastes pour qu'elles s'appliquent encore dans cinq ans, dans dix ans, aux successeurs de ChatGPT. Ces exigences doivent être renforcées.
Cela soulève toute la question de la vérification de l'âge en ligne et des techniques pour déterminer si une personne est mineure ou pas. Ce sera important dans le cadre du projet de loi , qui accorde explicitement des droits et traite l'information différemment. C'est une question sur laquelle on se penche, dans le domaine de la vie privée. Il y a beaucoup de discussions à ce sujet. D'ailleurs, le commissariat de la Grande‑Bretagne a émis des lignes directrices sur des outils de vérification.
Ce que nous disons, au Commissariat, c'est que ces outils doivent être appropriés et ne demandent pas trop d'informations personnelles. Il faut gérer la vérification de l'âge, mais on ne veut pas nécessairement demander trop d'informations personnelles pour le faire. Cela dit, il existe des moyens de la faire et des technologies pour y arriver. C'est un autre domaine où on doit être créatif.
De plus, il faut que ce soit adapté au contexte. Certains sites sont peut-être à plus haut risque et demanderont une vérification plus serrée. On peut penser à des sites de jeu ou de pornographie, par exemple. Certains sites seront peut-être moins délicats. D'autres seront peut-être destinés plus particulièrement aux enfants. Il y aura peut-être une présomption.
Je pense que cela fera partie de la mise en œuvre de cette loi. Le Commissariat aura un rôle à jouer à cet égard puisqu'il peut émettre des lignes directrices.
Par ailleurs, le projet de loi prévoit aussi la création de codes de pratique et de programmes de certification.
Cela incitera les organismes à adhérer à une série de règles. S'ils les respectent, cela aura un effet sur le processus de plainte, ce qui sera bénéfique pour ces organismes. Ce sera donc un outil de plus. Je soupçonne que le Commissariat va pouvoir y travailler, justement pour donner ces détails.
Le Commissariat a aussi un mandat consultatif. Les compagnies, surtout les petites et moyennes entreprises, peuvent nous contacter pour obtenir des réponses à des questions précises. Nous sommes là pour les aider pour ce qui est de questions comme celles-là, surtout celles qui sont d'ordre plus technique.
Merci, messieurs Dufresne et Boulerice.
[Traduction]
Avant de lever la séance, je tiens tout d'abord à vous remercier, monsieur Dufresne, d'avoir été des nôtres aujourd'hui. Je sais que quelques heures, c'est long. Vous nous avez grandement aidés, comme toujours.
Monsieur Maguire, je vous remercie de votre présence. Mon commentaire s'applique à vous aussi.
Au nom des Canadiens, je tiens à vous remercier des services que vous avez rendus à notre pays.
Je crois comprendre — car j'ai pu parler avec M. Barrett — qu'il y a un consensus au sein du Comité pour inclure la première heure des témoignages sur TikTok dans cette étude. C'est ce que nous ferons avec l'aide des analystes.
C'est tout pour aujourd'hui.
Merci à tout le monde. Merci à notre greffière, à nos analystes et à nos techniciens.
La séance est levée.