ETHI Réunion de comité

    Je déclare la séance ouverte.

    Bonjour à tous.

     Soyez les bienvenus à la 87^e réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes.

    La réunion d'aujourd'hui se déroule en mode hybride, conformément au Règlement. Les membres du Comité peuvent donc y participer en personne ou à distance au moyen de l'application Zoom.

     Avant d'entrer dans le vif du sujet, j'aimerais faire quelques observations à l'intention des témoins et des députés.

     Veuillez attendre que je vous nomme avant de prendre la parole.

    Si vous participez par vidéoconférence, cliquez sur l'icône du microphone pour activer votre micro et assurez‑vous de le désactiver lorsque vous ne parlez pas.

    Pour écouter l'interprétation, les participants sur Zoom ont le choix entre « parquet », « anglais » ou « français » au bas de l'écran. Les gens dans la salle peuvent utiliser l'oreillette et sélectionner le canal de leur choix. Même si la salle est munie d'un système audio performant, des retours de son peuvent survenir et blesser gravement les interprètes.

    Je rappelle aux députés de s'adresser à la présidence.

    Les témoins que nous recevons aujourd'hui seront avec nous pendant deux heures pour discuter de deux sujets différents.

     Au cours de la première heure, conformément à l'article 108(3)h) du Règlement, nous assistons à une séance d'information sur le rapport annuel et les autres rapports du commissaire à la protection de la vie privée.

    Ensuite, au cours de la deuxième heure, le Comité reprendra son étude sur l'utilisation des plateformes de médias sociaux.

    J'aimerais maintenant accueillir les témoins d'aujourd'hui.

    Du Commissariat à la protection de la vie privée du Canada, nous accueillons M. Philippe Dufresne, commissaire à la protection de la vie privée du Canada; M. Michael Maguire, directeur, Loi sur la protection des renseignements personnels et les documents électroniques, Direction de la conformité.

    Je vous souhaite la bienvenue au Comité, messieurs.

    Monsieur le commissaire, vous avez cinq minutes pour présenter votre exposé au Comité; vous pouvez y aller.

    Bonjour, monsieur le président.

    Bonjour, mesdames et messieurs les membres du Comité.

    Je suis heureux d'être ici aujourd'hui pour discuter de mon rapport annuel au Parlement de 2022‑2023, qui fait état du travail important accompli par le Commissariat afin de protéger et de promouvoir le droit fondamental à la vie privée en cette période de changements technologiques sans précédent.

    Il est encourageant de constater que l'on continue de mettre l'accent sur l'importance de la protection de la vie privée, car elle touche presque tous les aspects de notre vie.

     Bon nombre des enjeux d'intérêt public dont vous êtes saisis en tant que parlementaires — je pense aux droits des enfants, à la sécurité en ligne et à la cybersécurité, aux droits démocratiques, à la sécurité nationale, au droit à l'égalité, aux pratiques éthiques des entreprises et à la primauté du droit — ont tous des répercussions sur la vie privée, et je dirais qu'ils requièrent tous de solides mesures de protection de la vie privée.

    En cette ère numérique, comme vous pourrez le constater dans le travail et les enquêtes que le Commissariat a menés cette année, les activités quotidiennes, qu'il s'agisse de socialiser en ligne, d'utiliser des applications mobiles, de faire livrer des colis ou de passer à la caisse d'un magasin, peuvent aussi soulever des enjeux de vie privée.

    Depuis ma nomination en tant que commissaire à la protection de la vie privée en juin 2022, j'ai établi des priorités stratégiques pour le Commissariat afin d'encadrer le travail accompli au cours de la dernière année et d'orienter la voie à suivre. Ces priorités consistent à tenir compte des répercussions sur la vie privée des progrès technologiques en constante évolution, en particulier pour ce qui est de l'intelligence artificielle, ou IA, et de l'IA générative; à protéger la vie privée des enfants; à optimiser l'incidence des efforts du Commissariat pour promouvoir et protéger pleinement et efficacement le droit fondamental à la vie privée.

    À l'appui de ces priorités, nous avons, au cours de la dernière année, grandement consulté nos homologues, au pays comme à l'étranger, afin de cerner des possibilités de collaboration et de les saisir.

    Nous avons également continué à défendre, à l'échelle nationale, la modernisation des lois canadiennes sur la protection des renseignements personnels. J'ai eu l'honneur de comparaître devant le Comité permanent de l'industrie et de la technologie, la semaine dernière, afin de l'aider dans son étude du projet de loi C‑27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique. J'ai alors présenté 15 recommandations clés qui sont nécessaires afin d'améliorer et de renforcer le projet de loi. J'ai été heureux de constater que le ministre Champagne avait souscrit à un certain nombre d'entre elles sous la forme d'amendements qui seront présentés au Comité. Je suivrai avec intérêt les travaux du Parlement dans son examen de cet important projet de loi.

    Je vais maintenant parler de certains de nos travaux en matière de conformité de l'an dernier.

    Nous avons accepté 1 241 plaintes déposées en vertu de la Loi sur la protection des renseignements personnels, ce qui représente une augmentation de 37 % par rapport à l'année précédente, et 454 plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, ce qui représente une augmentation de 6 % par rapport à l'année précédente.

    L'une des enquêtes sur le secteur public mises en évidence dans le rapport de cette année portait sur le programme Marketing Intelliposte de Postes Canada. Notre enquête a révélé que Postes Canada établit des listes de marketing à partir des renseignements tirés des enveloppes et des colis qu'elle livre partout au pays, et qu'elle met ces listes à la disposition des annonceurs moyennant des frais. Nous avons conclu que cette pratique était contraire à la Loi sur la protection des renseignements personnels, car elle avait été adoptée à l'insu et sans le consentement des Canadiennes et des Canadiens. Nous avons recommandé à Postes Canada de cesser d'utiliser et de communiquer les renseignements personnels des Canadiennes et des Canadiens sans avoir obtenu au préalable leur autorisation. En vue de remédier à cette situation, nous avons recommandé à Postes Canada d'envoyer un avis par courrier aux Canadiennes et aux Canadiens afin de les aviser de cette pratique et de leur offrir un moyen facile de s'y soustraire.

    Jusqu'au dépôt de mon rapport annuel, qui a rendu cette décision publique, Postes Canada a refusé de mettre en oeuvre cette solution. Après la publication de mon rapport, Postes Canada a publié une déclaration indiquant qu'elle allait revoir ses politiques. Je m'attends à ce que Postes Canada se conforme à la Loi sur la protection des renseignements personnels, et j'ai bien hâte que celle‑ci me fasse part des prochaines étapes pour remédier à cette situation.

     Le rapport fait également état de certaines de nos enquêtes sur le secteur privé menées l'an dernier, notamment notre enquête sur Home Depot, qui transmettait à une entreprise de médias sociaux les renseignements personnels des clients ayant choisi de recevoir un reçu électronique au lieu d'un reçu papier lors de leur passage à la caisse.

    Depuis, Home Depot a mis fin à cette pratique et mis en œuvre les recommandations du Commissariat. Cette affaire a mis en lumière l'importance pour les entreprises d'obtenir un consentement valable pour communiquer les renseignements personnels des clients.

    Le traitement des atteintes dans les secteurs privé et public constitue un autre aspect important de notre travail.

    Le Commissariat demeure préoccupé par la possibilité que les atteintes dans le secteur public ne soient pas toutes déclarées. L'année dernière, le nombre de déclarations d'atteinte a chuté de 36 %, passant à 298; de plus, seulement une atteinte a été déclarée à la suite d'une cyberattaque. En comparaison, dans le secteur privé, 681 atteintes ont été déclarées, dont 278 découlaient de cyberincidents.

    Nous avons aussi effectué des travaux novateurs d'élaboration de politiques, offert des services-conseils et des orientations aux organisations des secteurs public et privé sur des enjeux de vie privée qui revêtent un intérêt et une importance considérables pour le public, et continué de formuler des avis au Parlement.

    Nous savons que les Canadiennes et les Canadiens se soucient plus que jamais de la protection de leur vie privée et qu'ils sont préoccupés par les effets que la technologie peut avoir à cet égard. Selon notre dernier sondage, 93 % d'entre eux se disent préoccupés dans une certaine mesure par la protection de leur vie privée et plus de la moitié estiment ne pas en savoir assez pour connaître l'incidence que les nouvelles technologies pourraient avoir sur leur vie privée. C'est pourquoi le travail accompli par le Commissariat afin d'obtenir des résultats concrets qui ont une incidence appréciable pour les Canadiennes et les Canadiens et pour la protection de la vie privée au pays est si important.

    En terminant, je remercie le Comité pour ses travaux au fil des ans, notamment pour ses nombreux rapports et ses nombreuses recommandations dans le domaine de la protection de la vie privée. Je les cite souvent. Nous les examinons et les consultons très souvent, et je sais que les Canadiens en font tout autant.

    Je me réjouis à la perspective de poursuivre nos efforts pour veiller à ce que les institutions fédérales et les entreprises respectent et privilégient le droit à la vie privée, et pour faire du Canada un chef de file mondial dans ce domaine.

    Je suis maintenant prêt à répondre à vos questions.

    Je vous remercie de votre allocution, monsieur Dufresne.

    Avant de passer aux questions, je veux accueillir un nouvel analyste qui va travailler avec le Comité, M. Maxime‑Olivier Thibodeau. Il se joint à Mme Alexandra Savoie.

    Je vous remercie et vous souhaite la bienvenue, monsieur Thibodeau.

    Nous allons commencer nos tours de questions avec M. Barrett.

    Vous avez la parole pour six minutes, monsieur Barrett.

    Je vous remercie beaucoup, monsieur le président.

    Monsieur le commissaire et monsieur Maguire, je vous remercie beaucoup de vous joindre à nous.

    J'aimerais prendre un instant pour parler de la réunion du Comité de lundi.

    Nous avons accueilli un autre commissaire, le commissaire de la GRC, qui a fait état d'un enjeu grave. Avant même que la séance ne commence, la vice‑présidente libérale a tenté de l'ajourner. Le sujet était extrêmement important, et le commissaire de la GRC devait répondre aux préoccupations soulevées dans les médias la semaine dernière concernant le scandale SNC‑Lavalin du premier ministre, pour lequel il a été trouvé coupable d'enfreindre les lois sur l'éthique du Canada et...

    Monsieur Barrett, M. Dufresne est parmi nous, alors veuillez tenir des propos pertinents, s'il vous plaît.

    Tout à fait. Je vous remercie beaucoup, monsieur le président.

    Le premier ministre a bafoué les lois canadiennes en matière d'éthique. La GRC a demandé des documents, et le premier ministre a utilisé le secret du Cabinet pour faire de l'obstruction et éviter de remettre les documents. C'est un enjeu que nous devrons réexaminer au Comité. Il revêt une grande importance pour les Canadiennes et les Canadiens, qui doivent avoir confiance dans les institutions démocratiques. Personne n'est au‑dessus des lois, pas même le premier ministre.

    Cela dit, monsieur Dufresne, je vous remercie de votre exposé. J'ai trouvé vos observations particulièrement intéressantes en ce qui a trait à la société d'État Postes Canada. Je pense que tous les Canadiens s'attendent à ce qu'elle respecte la Loi sur la protection des renseignements personnels. Je suis rassuré qu'à la suite de votre enquête sur Home Depot, ses dirigeants se soient conformés à vos instructions. Même si je comprends que Postes Canada examine la situation, c'est très clair que sa direction doit se conformer aussi à vos instructions.

    Avez‑vous été mis au courant d'occasions où des gouvernements étrangers ont extrait et recueilli les données de Canadiens à des fins malveillantes?

    Nous avons produit des enquêtes, notamment sur Clearview AI, une organisation qui extrayait les images en ligne de Canadiens et créait ce qui a été décrit comme un profil presque permanent d'identification faciale. Nous avons jugé que cette pratique violait la législation sur la protection des renseignements personnels et avons fait des recommandations à l'organisation, qui en fin de compte, a décidé de quitter le Canada. C'est un incident qui a beaucoup fait parler.

    Nous continuons de suivre la situation avec nos collègues internationaux. Nous avons récemment publié une déclaration sur l'extraction de données et avons demandé aux organisations de médias sociaux de prendre des mesures pour protéger les renseignements et informer les gens. Nous avons aussi décrit quelques mesures que peuvent prendre les gens.

    Nous surveillons la situation de très près.

    Les Canadiens ont-ils lieu de craindre que des acteurs étatiques étrangers ou des gouvernements étrangers hostiles prennent leurs renseignements personnels ou leurs données biométriques sur les médias sociaux pour intimider les communautés de leur diaspora?

    Je pense à un exemple précis. Nous sommes bien au courant des préoccupations relatives à la loi sur la sécurité nationale adoptée par la dictature de Pékin, qui portent sur l'entreprise ByteDance, qui possède TikTok. Cet enjeu concerne une application de média social très populaire, et les gens s'inquiètent des risques pour leur vie privée et leurs renseignements personnels. Nous avons vu des gouvernements suspendre l'utilisation de cette application sur les appareils gouvernementaux.

    À quel point les gens devraient‑ils craindre d'utiliser ou que leurs enfants utilisent cette application sur leurs appareils personnels?

    Je dois dire deux choses, monsieur Barrett.

    Dans notre déclaration en date du 24 août 2023, nous parlons des risques pour la vie privée que pose l'extraction de données. Ces risques comprennent les cyberattaques, l'usurpation d'identité, le contrôle, le profilage, la surveillance des individus, l'utilisation non autorisée à des fins politiques ou de collecte de renseignements et le marketing direct non sollicité ou pourriels.

    Il y a un certain nombre de risques. C'est pourquoi nous demandons aux entreprises de médias sociaux et à toutes les organisations, en fait, de respecter leurs obligations en matière de protection des renseignements personnels. Nous avons établi des techniques d'atténuation des risques que ces entreprises peuvent et doivent mettre en œuvre pour protéger l'information contre les acteurs malveillants qui pourraient l'extraire.

    Nous présentons aussi des mesures que peuvent prendre les individus, même si la protection de leurs renseignements ne dépend pas exclusivement d'elles. Les organisations ont en effet des obligations et peuvent suivre nos conseils.

    Vous avez parlé de TikTok. J'ai moi‑même déposé une plainte contre cette entreprise en février, l'an dernier, en ma qualité de commissaire. Il s'agit d'une enquête conjointe menée avec mes homologues provinciaux du Québec, de l'Alberta et de la Colombie‑Britannique, qui vise à examiner les mesures mises en place pour protéger la vie privée. Nous espérons terminer cette enquête d'ici la fin de mars 2024.

    Il me reste environ 30 secondes. J'espère que nous pourrons reparler de votre objectif stratégique consistant à protéger les enfants. J'aimerais en savoir plus sur vos plans pour l'atteindre et avoir des exemples dans lesquels des enfants ont été ciblés ou manipulés, en particulier par des acteurs étatiques étrangers, au moyen d'applications ou d'entreprises de médias sociaux.

    Je pense qu'il ne me reste plus grand temps. Je vous remercie beaucoup.

    Je vous remercie, monsieur Barrett.

    Nous passons maintenant à Mme Fortier.

     Vous avez la parole pour six minutes, madame Fortier.

    Merci, monsieur le président.

    Avant de poser mes questions à M. Dufresne, j'aimerais, moi aussi, mettre certains points au clair.

    Je crois que, lundi, le président a abusé de son autorité. J'aimerais lui rappeler certaines procédures et certains règlements qui, selon moi, n'ont pas été respectés.

    Comme vous le savez, il y a des procédures et des usages de longue date qui régissent le travail des comités permanents de la Chambre des communes. Le processus pour mener une étude, le processus pour déposer des motions et le rôle de la présidence sont détaillés dans La procédure et les usages de la Chambre des communes. C'est ce dont je débattais lorsque j'ai présenté une motion pour ajourner la séance.

    Je rappelle à tous que selon La procédure et les usages de la Chambre des communes, troisième édition :

    Par ailleurs, on précise dans la même édition, à la page 1011, que:

    Madame Fortier, veuillez m'excuser un instant. Je vais permettre...

    J'ai presque terminé.

    J'ai demandé précédemment à M. Barrett de rester pertinent dans ses propos, et je vais en faire autant avec vous.

    Nous accueillons M. Dufresne qui est venu nous parler de son rapport. Je vais vous laisser encore une certaine marge de manœuvre, mais…

    J'ai presque terminé. Merci beaucoup, monsieur le président.

    Enfin, il est indiqué à la page 1039 que la présidence convoque les réunions et détermine leur ordre du jour en conformité avec les instructions du comité.

    La procédure que je viens de décrire n'a pas été suivie lors de la réunion prévue à l'horaire le 23 octobre 2023. J'ai donc grand hâte que nous puissions débattre de cette motion afin de tirer au clair ce qui s'est passé lundi dernier.

     Je vous remercie de m'avoir permis, à moi aussi, de vous faire part de mes réflexions.

    Cela dit, je vous remercie beaucoup, monsieur Dufresne, d'être avec nous aujourd'hui. Je suis heureuse de vous voir en personne et d'avoir le privilège de vous féliciter pour votre nomination à ce poste. Je sais que vous êtes là depuis quelque temps, mais je suis très contente de voir que vous occupez ce poste.

    Vous avez mentionné que vous aviez des arriérés de plaintes qu'il faut traiter, et que cela commençait à peser sur vos ressources.

    Quel plan d'action ou quelle approche pensez-vous adopter? Selon ce que j'ai compris, le travail de votre organisme est de plus en plus complexe, notamment sur le plan de l'automatisation.

    J'aimerais que vous nous parliez de cette complexité.

    Merci beaucoup, madame Fortier. Je suis heureux de vous voir en personne également.

    Nous nous sommes penchés sur cette question tôt dans mon mandat, parce que la qualité des décisions est importante, mais leur rapidité l'est aussi. Il faut que les décisions soient rendues dans des délais raisonnables. Or, quand le volume des demandes devient trop élevé, les réponses tardent. Nous avons donc cerné un besoin et nous avons obtenu des ressources supplémentaires du Parlement. Nous lui en sommes reconnaissants.

    Nous étudions cette question sous tous ses angles. Nous examinons nos processus internes pour déterminer, par exemple, si nous pouvons fonctionner de manière plus agile, si notre gestion du risque est appropriée, si d'autres technologies peuvent être utilisées ou si nous pouvons utiliser des incitatifs pour encourager les organisations à en arriver à un règlement plus rapidement. Je crois beaucoup à la résolution volontaire des différends.

    Pour améliorer l'efficacité du Commissariat, j'ai beaucoup discuté avec des représentants de l'industrie et du gouvernement pour comprendre les obstacles et les bénéfices. L'une des choses que je voudrais faire serait de souligner les bons coups du gouvernement ou de l'industrie en matière de respect de la vie privée, et non seulement leurs manquements, afin de les inciter à continuer dans la bonne direction.

    Il y a beaucoup de possibilités pour améliorer l'efficacité du Commissariat, mais cela demeure certainement un des principaux défis. C'est pour cela que l'efficacité du Commissariat fait partie de mes trois priorités stratégiques, avec la technologie et la protection de la vie privée des enfants.

    Nous allons vraiment tout faire pour améliorer notre fonctionnement. Nous avons déjà commencé à constater une amélioration.

    Vous avez piqué ma curiosité pendant votre témoignage. En effet, vous avez mentionné que, dans le secteur privé, certaines entreprises ne déclaraient pas les atteintes à la vie privée.

    Pourriez-vous expliquer au Comité ce que cela veut dire? Avez-vous des solutions à proposer? Par exemple, devrait-on modifier la Loi sur la protection des renseignements personnels ou la réglementation?

    Pour le moment, effectivement, la déclaration des atteintes à la vie privée dans le secteur public se fait en fonction des directives du Conseil du Trésor. Dans le secteur privé, il y a une obligation légale. Nous avons certainement des recommandations à ce sujet. Je crois que le fait d'avoir des obligations légales contraignantes est utile, parce que cela incite les organisations à bien agir. Tant au public qu'au privé, il faut en avoir.

    Cependant, je pense que c'est aussi une question de communication et de compréhension. Il faut comprendre le critère pour signaler les atteintes à la vie privée. Parfois, des organisations qui sont de bonne foi comprennent mal le critère ou sous-estiment le risque de préjudice.

    Cette année, nous l'avons vu au cours de certaines de nos enquêtes. Certaines organisations ont dit qu'elles n'avaient pas signalé une atteinte à la vie privée parce qu'elles pensaient que le risque de préjudice n'était pas suffisamment élevé. Dans certains cas, nous étions en désaccord et avons déterminé qu'il y avait eu un risque de préjudice financier, un risque lié à la réputation ou un risque lié à de l'information délicate.

    Nous avons donc un travail de sensibilisation à faire, et il faut que nous nous assurions d'avoir les outils nécessaires. Nous allons néanmoins continuer de travailler à cet effet et d'encourager les organisations à se pencher sur ces questions. Quand elles nous signalent des atteintes, nous pouvons leur donner des avis et des conseils, et travailler avec elles. C'est vraiment notre objectif.

    Nous travaillons aussi auprès des citoyens et des citoyennes, parce qu'il faut aussi trouver des solutions pour protéger les victimes de ces atteintes.

    Merci.

    Merci, monsieur Dufresne.

    Merci, madame Fortier. Je vous remercie aussi de vos commentaires.

    Monsieur Villemure, vous disposez de six minutes.

    Merci beaucoup, monsieur le président.

    Monsieur Dufresne, je vous remercie d'être avec nous aujourd'hui. J'ai lu attentivement votre rapport, que je trouve remarquable.

    À sa lecture, je me suis demandé quelles étaient vos inquiétudes actuelles relativement à l'avenir de la vie privée. Des gens de ma circonscription m'en parlent beaucoup. Je dirais aussi que les risques changent.

    Quelles sont vos inquiétudes?

     Une des choses auxquelles je réfléchis, c'est la façon de mieux communiquer avec les citoyens. Ce que vous avez fait dans votre circonscription avec vos conférences et les échanges, c'est très bien et c'est un bon pas dans la bonne direction.

    Il faut en arriver à ce que les citoyens comprennent ce qui se passe, et il faut les équiper pour ce faire. La technologie se développe très rapidement. On le voit dans le cas de l'intelligence artificielle générative, et d'autres technologies apparaîtront. Les citoyens peuvent parfois se sentir en désarroi devant tout cela, car tout va extrêmement vite.

    Que pourrons-nous faire à cet égard? J'entends parfois des gens dire qu'il est trop tard pour protéger la vie privée, parce que tout va trop vite, et ils abandonnent. S'il y a une chose que je trouve préoccupante, c'est cela.

    Je crois qu'il est important de dire aux gens qu'il faut protéger la vie privée, que c'est possible de le faire, que les institutions peuvent le faire et que les gens peuvent le faire eux aussi. Les lois ne seront jamais modifiées aussi rapidement que la technologie évolue. C'est la même chose pour les règlements adoptés par le gouvernement.

    Cependant, il faut adopter des lois basées sur des principes que l'on peut appliquer à la nouvelle technologie. Je crois beaucoup aux évaluations des facteurs relatifs à la vie privée et au fait qu'elles soient une obligation. Je crois beaucoup à la transparence ainsi qu'au fait de communiquer davantage et mieux avec les citoyens à propos de ce qu'on fait de leurs informations et sur la façon dont elles seront utilisées.

     Il arrive souvent que les dispositions sur le consentement soient très difficiles à comprendre, même pour des experts. Les gens ressentent donc un peu de fatigue par rapport à cela. Dans les enquêtes dont je parle dans mon rapport, qu'elles portent sur Postes Canada, Home Depot ou Tim Hortons, les gens sont parfois surpris par ce qui est fait avec leurs informations.

    Lors de nos discussions avec les organisations, nous leur demandons d'être proactives et de rendre cette information facilement accessible. Parfois, elles répondent que l'information se trouve dans leur politique sur la vie privée, sur leur site Web ou au bureau de poste. Nous leur disons alors qu'elles mettent ainsi sur les épaules des citoyens le fardeau de devoir trouver cette information, alors qu'elles se trouvent dans une meilleure situation qu'eux pour la communiquer.

    Cet élément m'intéresse beaucoup, parce que, lorsqu'on consulte un site Web, par exemple celui de Postes Canada, on consent souvent à ce que nos informations soient utilisées. On se dit qu'il ne peut sans doute rien arriver de bien grave, car il s'agit de Postes Canada, après tout. Or, la plupart des gens que je rencontre et qui ont assisté au colloque sur l'intelligence artificielle m'ont dit qu'ils ne comprenaient pas la finalité du consentement. Au fond, on consent peut-être à La Presse, à RDS, mais la réelle finalité est rarement explicite.

    Que peut-on faire à ce sujet?

    Je suis d'avis qu'il faut tenir des discussions publiques, faire preuve transparence et avoir des obligations de transparence.

    Le phénomène que vous me décrivez s'est accéléré encore plus avec l'intelligence artificielle. On peut se dire qu'on sait que nos données personnelles seront utilisées par telle entité. Toutefois, sait-on vraiment ce qui peut être déduit à notre sujet grâce à ces données? Quelles inférences peuvent être faites? Parfois, un code postal ou des intérêts en matière de musique, par exemple, peuvent aider à déduire l'orientation sexuelle d'une personne, son niveau de revenus, et ainsi de suite. Les gens ne savent pas tout cela.

    Pour ma part, j'ai recommandé que le projet de loi C‑27 prévoie une obligation de transparence pour que, quand les gens prennent une décision à l'aide de l'intelligence artificielle, ils puissent demander une explication, et ce, dans tous les cas. Or, dans la version actuelle du projet de loi, on dit qu'une explication peut être fournie seulement dans les cas où il y a une incidence importante sur les individus. J'ai recommandé qu'on enlève cet élément parce que, pour le moment, je crois qu'il vaut mieux favoriser plus de transparence plutôt que moins.

    Il faut essayer de trouver des façons conviviales d'expliquer cela. Un de mes mandats est d'essayer d'avoir des outils. Nous donnons beaucoup d'information sur notre site Web et nous essayons d'expliquer tout cela le mieux possible, mais j'estime qu'on peut faire mieux.

    Il faut aussi parler des enfants, car je crois que le message doit être adapté à l'auditoire.

    Il me semble qu'on entend de plus en plus de gens se dire que, malheureusement, le dentifrice est sorti du tube. Ils se demandent alors ce qu'ils doivent faire maintenant. Doivent-ils renoncer à la vie privée?

    À quoi peuvent-ils s'attendre en ce qui a trait à la vie privée?

    Je crois qu'il ne faut jamais renoncer à la vie privée, car il s'agit d'un droit fondamental. Il faut rappeler aux gens que la vie privée n'a pas une valeur transactionnelle ou commerciale qu'on peut vendre et que, si l'on obtient quelque chose de suffisamment excitant en échange, comme l'innovation, cela vaut la peine. C'est un droit fondamental qui nous définit comme individus et sur lequel s'appuient d'autres droits, qui nous permettent, entre autres, d'être libres, d'avoir des systèmes démocratiques, d'avoir l'égalité, d'être libres contre la discrimination. Il s'agit d'un droit extrêmement important. Il faut rappeler cette importance aux gens et aux institutions.

     Il ne s'agit pas de dire qu'il n'y aura pas d'innovation. Lorsque j'ai été nommé à mon poste, j'ai dit que le droit à la vie privée était un droit fondamental, mais qu'il fallait aussi appuyer l'innovation et l’intérêt public, et que c'était possible. Parfois cela demande un peu plus de travail, tout comme c'est le cas de l'égalité, mais cela demande moins de travail si l'on agit dès le début.

    Il faut absolument dire aux gens que le dentifrice n'est pas sorti du tube et que, si une partie en est sortie, nous allons la remettre à l'intérieur du tube, parce qu'il est important de le faire. En travaillant ensemble, nous allons y arriver.

     Merci beaucoup.

    Merci, messieurs Villemure et Dufresne.

    Monsieur Boulerice, je vous souhaite la bienvenue au Comité. Vous avez la parole pour six minutes.

    Merci beaucoup, monsieur le président.

    Je remercie M. Dufresne de participer à notre importante étude.

    Monsieur Dufresne, dernièrement, j'ai appris quelque chose qui m'a assez marqué.

    Vous venez de dire que les lois ou les règlements ne seront jamais modifiés à la même vitesse que les avancées technologiques évoluent; nous nous entendons là-dessus.

    Il y a deux ans, le ministère de la Justice a mené une consultation publique en ligne sur la modernisation de la Loi sur la protection des renseignements personnels. Par contre, la Loi n'a fait l'objet d'aucune mise à jour majeure depuis son adoption, en 1983. En 1983, j'avais 10 ans, on utilisait des disquettes et j'écoutais des films à partir de cassettes VHS.

    Selon vous, à quel point est-il urgent de moderniser la Loi sur la protection des renseignements personnels?

    Je pense qu'il faut absolument moderniser cette loi. Il faut également moderniser la partie de la Loi sur la protection des renseignements personnels qui porte sur le secteur privé. Cette loi a 20 ans; elle est donc plus vieille que Facebook et les médias sociaux. C'est positif que le projet de loi C‑27 vise à moderniser la Loi pour ce qui est du secteur privé. J'ai hâte que ce projet de loi progresse.

    De plus, j'espère qu'un projet de loi visant à moderniser la loi dans le secteur public suivra rapidement. Le ministre de la Justice avait dit, lors du dépôt du projet de loi C‑27, que le projet de loi sur la vie privée dans le secteur public suivrait. Des consultations en lien avec certaines implications ont été faites auprès des Premières Nations et des peuples autochtones. Le ministère de la Justice a rendu un rapport portant sur ces consultations — je crois que c'était en septembre. Le travail se poursuit. Selon moi, la solution, c'est de faire avancer le projet de loi C‑27. Le modèle qui sera adopté dans cette loi pourra ensuite être adapté au secteur public, au besoin. Cela peut être bénéfique.

    Parmi nos propositions, nous suggérons qu'il y ait de plus en plus de partenariats publics-privés et que le gouvernement travaille main dans la main avec l'industrie. Présentement, nous avons deux lois qui comprennent des exigences différentes, selon qu'il s'agit du gouvernement ou du secteur privé. Ce n'est pas optimal et cela soulève des problèmes sur le plan de l'interopérabilité. Je suis tout à fait d'accord avec vous sur le fait que cela devient important.

    En attendant, la Loi s'applique et le Commissariat va continuer de la mettre en œuvre de son mieux. D'ailleurs, c'est un message que mes homologues des pays du G7 et moi avons transmis lorsque nous étions à Tokyo, l'été dernier. Lors de cette rencontre, nous avons parlé de l'intelligence artificielle. Pour répondre aux préoccupations des gens, nous disions qu'il fallait des lois sur l'intelligence artificielle. Il y en a déjà, notamment les lois sur la vie privée. Elles existent et elles s'appliquent.

    J'ai aussi lancé une enquête sur ChatGPT, afin de nous assurer de la conformité ou de la non-conformité des lois. Des outils existent, mais ils doivent absolument être modernisés. Nous serons là pour appuyer le Parlement.

    Vous pouvez faire des recommandations, mais vous n'avez pas de pouvoir d'ordonnance.

    Selon vous, cela devrait-il être nécessaire? Quels avantages pourraient être tirés de ces pouvoirs d'ordonnance?

    Le pouvoir d'ordonnance est très important. Selon moi, le scénario idéal, c'est de ne pas avoir à utiliser ce pouvoir, mais le simple fait qu'il existe va inciter la prise de bonnes décisions. Je le dis en tant que commissaire, mais aussi en tant que haut dirigeant responsable d'une entreprise et employeur: quand il y a beaucoup de priorités et de pression, mais qu'il y a peu de temps et peu de ressources, les organisations donnent la priorité aux obligations juridiques contraignantes plutôt qu'aux recommandations. C'est normal.

    Je ne veux pas qu'un droit aussi fondamental que le droit à la vie privée soit traité comme s'il n'était qu'un simple atout. Cela dit, les organisations le font souvent.

    Moi, je peux utiliser le pouvoir de recommandations, mais il serait aussi très important que j'aie un pouvoir d'ordonnance.

    Dans le rapport du Commissariat intitulé « Protéger la vie privée pendant la pandémie », vous avez mentionné que trois ministères avaient refusé de mettre en œuvre vos recommandations, à savoir le Conseil du Trésor, le ministère de la Défense nationale et l'Agence des services frontaliers.

    Quelqu'un vous a-t-il donné une quelconque explication ou justification à cet égard?

     Certainement. Il y a parfois de tels échanges.

    Pour ce qui est des cas dont vous parlez, il arrive qu'un ministère nous indique qu'il fait déjà ce que nous lui recommandons. Dans le cas de la pandémie, nous avions aussi appliqué une évaluation sur la proportionnalité et la nécessité, qui n'est pas un élément obligatoire en vertu de la Loi sur la protection des renseignements personnels, mais qui devrait l'être, selon nous. Nous avons mis cette analyse en avant.

    C'est un dialogue. On nous donne toujours les raisons d'un refus, et un dialogue s'établit.

    Certains manquements sont plus graves que d'autres. Les situations vraiment préoccupantes sont celles où il y a effectivement eu une situation de manquement ou de conséquence majeure, combinée à un refus complet de suivre notre recommandation. Cela peut miner la confiance.

    Selon moi, le pouvoir d'ordonnance est important. Quand un agent du Parlement fait une recommandation à une organisation et que cette dernière refuse de l'appliquer, la situation n'est pas satisfaisante. Je crois que des justifications suffisantes doivent être invoquées. Si nous avions le pouvoir d'émettre des ordonnances, ce ne serait pas un problème. Nous les émettrions dans les situations où ce serait nécessaire. Cela dit, à mon avis, ce devrait toujours être une exception.

    La même chose s'applique aux amendes. Dans le projet de loi C‑27, nous ajouterions la possibilité d'avoir des pénalités financières importantes pour les organisations. Je pense que, ça, c'est très important, encore une fois pour la même raison, afin de créer des mesures incitatives. L'idée n'est pas de les utiliser souvent, mais...

    Ce seraient des mesures dissuasives.

    C'est exact.

    Merci, messieurs Dufresne et Boulerice.

    C'est la fin de notre premier tour de questions. Nous commençons donc le deuxième tour.

    Monsieur Gourde, vous avez la parole, pour cinq minutes.

    Merci, monsieur le président.

    Monsieur Dufresne, je vous remercie d'être ici.

    Dans votre présentation, vous avez parlé tout à l'heure de la collaboration avec d'autres pays et avec les provinces. J'aimerais revenir à la province de Québec.

    Le Québec a déjà adopté la loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Cette loi est-elle plus contraignante que celle qui existe présentement au fédéral? Avez-vous établi une collaboration avec le Québec? Dites-moi ce qu'il en est.

    En effet, la loi 25 du Québec est certainement plus contraignante que la loi fédérale actuelle simplement parce qu'elle prévoit le pouvoir d'ordonnance. La Commission d'accès à l'information du Québec, ou CAI, peut émettre des ordonnances contraignantes et peut aussi imposer des amendes, importantes, qui reflètent le modèle européen dans les règlements de protection des données. C'est donc une loi plus robuste à cet égard. Elle comporte des obligations proactives.

    J'espère voir le projet de loi C‑27 progresser et moderniser un peu la loi fédérale dans cette veine. Il n'est pas identique à la loi 25, mais il s'en approche certainement avec le pouvoir d'ordonnance, les amendes et les obligations proactives pour les entreprises. Je pense que c'est un modèle à suivre. C'est le modèle européen et québécois, et on peut y parvenir au fédéral.

    Pour ce qui est de votre question sur la collaboration avec la Commission d'accès à l'information du Québec, la CAI, je peux vous dire que nous avons effectivement des relations très étroites avec le Québec et toutes les provinces et tous les territoires.

    Au mois de septembre, j'étais à Québec. La CAI était l'hôte de la réunion annuelle des commissaires fédéraux, provinciaux et territoriaux à la vie privée. Nous avons eu des conversations extrêmement importantes et utiles. Nous avons émis deux déclarations, dont l'une portait sur la protection de la vie privée des jeunes. Ce sont des déclarations communes, où tous les commissaires se sont entendus sur ces principes, malgré les différences entre les lois des diverses administrations. Les commissaires tentent ainsi d'aider les entreprises en leur indiquant les éléments communs de ces lois. Nous menons des enquêtes conjointes avec les provinces ayant des lois semblables à la loi fédérale, soit le Québec, l'Alberta et la Colombie‑Britannique. C'est le cas dans les affaires TikTok et ChatGPT. Ce fut aussi le cas dans l'affaire Tim Hortons.

    C'est une collaboration très riche et très utile. Elle nous permet justement de nous assurer que, partout au Canada, nous sommes sur la même longueur d'onde.

    J'aimerais poser une brève question technique.

    Sur le territoire du Québec, les institutions fédérales sont-elles assujetties à la loi du Québec? Je pense, par exemple, à mon bureau de circonscription.

    La loi fédérale en matière de protection de la vie privée s'applique partout au Canada, sauf dans les provinces qui auront adopté une loi semblable à celle du fédéral, ce qui est le cas du Québec.

    Tout ce qui se passe uniquement au Québec est régi par la loi québécoise, mais de nombreux dossiers ont des incidences hors des limites du Québec, notamment les questions liées à Internet et aux médias sociaux. C'est pour cette raison que nous collaborons de très près et que nous faisons souvent des enquêtes conjointes. Nous nous assurons ainsi de tout couvrir.

    Dans un autre ordre d'idées, les gens sont quand même inquiets en ce qui concerne la protection de renseignements personnels. Aujourd'hui, compte tenu des réseaux sociaux, entre autres, il y a de quoi s'inquiéter. Je vous donne un exemple anodin. Si je parle de voyages avec mon épouse, il va apparaître des publicités de voyages sur mon fil sans que j'aie fait de recherche. C'est comme si ma voix était entrée dans le téléphone. On comprend qu'il y a l'intelligence artificielle et qu'on est écouté partout, mais cela va loin. Si je parle de camions avec mon fils, il va m'apparaître des publicités de camions.

    Cela démontre qu'il est important que les organisations qui affichent ces publicités fassent preuve d'une plus grande transparence, aient des obligations proactives et disent pourquoi elles le font. Vous devriez avoir le droit de demander à l'organisation pourquoi vous avez vu cette publicité.

    L'un des éléments que vous me rappelez, monsieur Gourde, est que ce n'est pas parce que l'information est publique et sur Internet qu'elle n'est pas protégée et personnelle. Je pense parfois qu'il y a des malentendus à ce sujet. On dit que l'information n'est pas personnelle puisqu'elle est sur Internet. Or la loi s'applique quand même. Il y a une exception pour les renseignements publics, mais elle est très étroite et elle doit être définie par règlement.

    De façon générale, vous êtes quand même protégé à cet égard.

    La ligne est-elle mince dans le cas du profilage? Est-ce légal ou illégal?

    Nous avons recommandé explicitement que le mot « profilage » soit inclus dans les définitions. Quand on utilise des algorithmes, qu'on fait des inférences avec votre information personnelle et qu'on utilise cela ensuite pour faire du profilage, cela a des conséquences qui devraient être prises en considération et réglementées. La loi québécoise ainsi que la réglementation européenne utilisent le mot « profilage ». Nous avons recommandé que ce soit explicitement inclus dans le projet de loi C‑27.

    Merci.

    Merci, messieurs Gourde et Dufresne.

    Monsieur Bains, vous avez cinq minutes. À vous la parole.

    Merci, monsieur le président.

    Merci à vous, monsieur Dufresne et monsieur Maguire, d'être des nôtres aujourd'hui.

    Monsieur Dufresne, votre bureau a annoncé en mai 2023 qu'il allait interjeter appel de la décision de la Cour fédérale concernant la possibilité que Facebook ait contrevenu à la Loi sur la protection des renseignements personnels et les documents électroniques. Vous avez alors déclaré que « les enjeux au cœur de cette affaire sont étroitement liés au droit fondamental à la vie privée des Canadiennes et des Canadiens » et que d'importantes questions « gagneraient à être clarifiées par la Cour d'appel fédérale ».

    Y a‑t‑il eu des progrès dans ce dossier?

    Le dossier progresse effectivement à l'intérieur du processus de la Cour d'appel fédérale. Nous avons déposé nos mémoires, c'est‑à‑dire nos arguments écrits, devant la Cour. Facebook a fait de même. Nous attendons maintenant que la Cour fixe une date d'audience. Nous espérons que ce sera au cours des prochains mois. Nous pourrons alors présenter notre plaidoyer, puis attendre une décision.

    D'accord.

    On peut lire dans votre rapport annuel que le Commissariat à la protection de la vie privée a élaboré différentes stratégies visant à favoriser des gains d'efficacité, notamment en cherchant à « étudier des façons d'automatiser les processus afin d'aider le personnel à travailler plus efficacement ». Est‑ce que certains de vos processus administratifs ont été automatisés?

    Je me tourne vers mon collègue, M. Maguire, mais je vous dirais que l'automatisation de nos processus n'est pas encore chose faite.

    Nous avons voulu dans un premier temps explorer différents aspects comme les gains d'efficience possibles avec nos systèmes et nos profils de gestion des risques. Nous avons mis au point un outil permettant d'évaluer le risque réel de préjudice grave en cas d'atteinte aux mesures de sécurité, ce que l'on peut considérer comme un processus automatisé. Il va de soi que nous surveillons de près l'émergence de l'intelligence artificielle et de l'intelligence artificielle générative.

    Comme nous enquêtons actuellement sur ChatGPT — en espérant mener cet exercice à terme au cours des mois à venir —, nous avons décidé de ne pas utiliser cet outil pour le moment, mais il est bien certain que nous n'allons pas manquer d'envisager, lorsque la situation s'y prêtera, le recours à tous les outils pouvant nous aider à assurer le respect de la vie privée.

    Vous nous avez déjà signalé les risques concernant ChatGPT en nous indiquant que vous étudiez actuellement cet outil. Étant donné qu'il existe de nombreuses versions différentes de ChatGPT et d'outils d'intelligence artificielle semblables, est‑ce qu'il y en a d'autres qui retiennent actuellement votre attention?

    Pour l'instant, nous faisons enquête sur OpenAI et ChatGPT. Nous essayons toujours en pareil cas de cerner des enseignements à tirer et des principes à adopter, ce qui peut permettre, nous l'espérons, d'aider et de guider d'autres organisations.

    À titre d'exemple, nous avons rendu notre décision dans le cas de Home Depot en nous appuyant sur nos conclusions relatives à la situation particulière de cette entreprise. C'est toutefois une pratique qui a cours au sein de l'industrie. Lorsque j'ai rendu mon rapport public, j'ai interpellé toutes les autres organisations qui agissent de la sorte en communiquant des données relatives aux Canadiens auxquels on offre un reçu par courriel, plutôt qu'imprimé, pour leur rappeler que cela contrevenait à nos lois sur la protection de la vie privée et qu'elles devaient cesser d'agir ainsi. Il a été déterminé qu'un certain nombre d'organisations se livrent à une telle pratique. Nous avons communiqué avec elles, et ces organisations ont cessé de le faire en grande majorité, voire en totalité.

    Nous essayons aussi d'avoir un impact systémique, même lorsque nous traitons d'un cas bien précis.

    Vous avez indiqué travailler avec le Québec et d'autres gouvernements. Il y a par ailleurs l'Association mondiale pour la protection de la vie privée. Pourriez-vous nous dire en quoi votre contribution à ces instances internationales vous permet d'améliorer…?

    Certainement, et merci pour la question. Nous en traitons d'ailleurs dans notre rapport annuel.

    Nous pouvons compter au Canada sur une forte communauté d'intervenants — fédéraux, provinciaux et territoriaux — qui sont très actifs sur ce front. Il existe cependant aussi différents groupes à l'échelle internationale. Ainsi, j'ai contribué de près aux travaux de la Table ronde des autorités de protection des données et de la vie privée du G7. Il s'agit essentiellement des commissaires à la protection de la vie privée des pays du G7. Nous avons une rencontre annuelle. Il y a un an et demi, c'était à Bonn, en Allemagne. Cette année, nous nous sommes réunis à Tokyo. Parmi les thèmes qui reviennent sans cesse sur cette tribune, il y a la nécessité de fluidiser les transferts transfrontaliers de données pour faciliter le commerce international. Comment peut‑on s'assurer que ces données sont bien protégées?

    Divers outils sont à notre disposition, notamment sur le plan législatif et contractuel. Nous avons des échanges à ce sujet. Nous parlons de plus en plus d'intelligence artificielle. En juin dernier à Tokyo, nous avons émis une déclaration exposant nos attentes. Je crois que c'était l'une des premières fois que les commissaires énonçaient ainsi leurs attentes concernant l'intelligence artificielle du point de vue de la protection de la vie privée. Nous avons notamment souligné que les lois en vigueur continuent de s'appliquer. C'est entre autres le cas des lois sur la protection de la vie privée. Il n'y a pas de vide juridique. Des dispositifs de protection sont d'ores et déjà en place, et nous allons les faire intervenir. Nous avons exprimé la volonté de voir les organisations appliquer les principes de la protection de la vie privée dès la conception de ces différents outils, et d'effectuer à ce moment‑là des évaluations des facteurs relatifs à la vie privée.

    C'était un appel à l'action. Je me suis réjoui de constater que le code de conduite volontaire mis de l'avant il y a quelques semaines par le ministère de l'Industrie mettait en relief la déclaration du G7 tout en rappelant à tous que la Loi sur la protection de la vie privée garde toute son importance.

    Excellent.

    Merci, monsieur Dufresne. Merci, monsieur Bains.

     Monsieur Villemure, vous avez deux minutes et demie.

    Merci beaucoup, monsieur le président.

    J'aimerais profiter de mon temps de parole pour déposer un avis de motion.

    Je vais en faire la lecture:

    Merci, monsieur Villemure.

    Vous êtes en train de nous donner préavis d'une motion, n'est‑ce pas?

    Oui, absolument.

    J'ai arrêté le chronomètre. Il vous reste 2 minutes et 26 secondes.

    Souhaitez-vous poser des questions aux témoins?

    Oui, absolument.

    Nous vous écoutons.

    Merci beaucoup, monsieur le président.

    Monsieur le commissaire, je m'excuse de cette interruption.

     Tantôt, vous avez évoqué quelque chose qui m'a rappelé beaucoup de souvenirs. Vous avez dit que si l'information est sur Internet, elle n'est pas nécessairement publique.

    J'aimerais que vous expliquiez vos propos parce que je pense que cette explication n'est pas à la portée de tout le monde.

    Tout à fait.

     Les lois sur la protection de la vie privée s'appliquent aux renseignements personnels, elles s'appliquent aux renseignements qui peuvent nous identifier, parce qu'il faut protéger cela. On peut tirer plusieurs conclusions à notre sujet sur la base de cette information. La loi prévoit une exception: l'information publique ne sera pas visée par certaines obligations. Cela dit, on définit cette exception de façon très étroite. Elle doit être précisée par un règlement, et c'est très limité.

     De façon générale, l'information qui est sur Internet est publique. Si c'est de l'information personnelle, cela reste de l'information personnelle. Les organisations n'ont donc pas le droit d'utiliser cette information comme elles le veulent. Elles sont liées par les principes qui s'appliquent à cela. C'est pour cette raison qu'on a mené des enquêtes sur des organisations qui allaient chercher des photos de façon extrême sur Internet pour faire des bases de données de reconnaissance faciale et ensuite essayer de les vendre aux forces policières.

     Dans un premier temps, on a mené une enquête sur la compagnie Clearview AI, et on a conclu que cette base de données allait beaucoup trop loin. Il n'y avait pas de régime de restrictions et l'entreprise n'avait pas établi les balises de nécessité, de proportionnalité, et ainsi de suite.

    Dans un deuxième temps, on a aussi fait une enquête et déposé un rapport spécial au Parlement sur l'utilisation par la GRC, à l'époque, de cette compagnie.

    On a dit que c'était un manquement de la part de la GRC d'utiliser cette compagnie, qui ne respectait pas ses propres obligations. Depuis, la GRC a cessé de faire appel à cette entreprise et a mis sur pied le Programme national d'intégration des technologies, ou PNIT.

    C'est un exemple très concret du fait que l'information est peut-être sur Internet, mais c'est quand même notre information personnelle.

     C'est une précision intéressante.

    Le nouveau mot qu'on a appris cette semaine est « spamouflage », qui est du camouflage de pourriel.

    En matière de camouflage de pourriel et de vie privée, quelles sont vos inquiétudes?

    Répondez brièvement, s'il vous plaît.

    Quand on donne de la fausse information, si on induit les citoyens en erreur au moyen d'information qui semble vraie, mais qui est fausse, c'est préoccupant. C'est pourquoi l'intelligence artificielle générative est préoccupante. L'OCDE a publié un rapport après avoir sondé les ministres du G7. Or la préoccupation touchant l'intelligence artificielle qui arrivait en tête de liste était la désinformation. La vie privée occupait la troisième place. Cela démontre l'importance de protéger la vie privée en général et de se prémunir contre la désinformation.

    Merci.

    Le rapport de l'OCDE est disponible pour le public.

    Merci, messieurs Dufresne et Villemure.

    Monsieur Boulerice, vous disposez de deux minutes et demie.

    Merci, monsieur le président.

    Monsieur Dufresne, à la fin de mon précédent tour de questions, vous avez parlé des principes de nécessité de proportionnalité qu'applique votre bureau. Vous soulignez en même temps, dans le dernier rapport publié sur la vie privée pendant la pandémie, que la loi actuelle n'est pas satisfaisante à cet égard, car elle est plus faible pour ce qui est de ces principes.

    Pouvez-vous nous expliquer en quoi cela consiste et quel est l'écart entre les principes que vous voulez mettre en avant et la loi actuelle?

    Bien sûr.

    Dans la Loi sur la protection des renseignements personnels, les obligations sont moindres pour le secteur public que pour le secteur privé. Les ministères ont l'obligation d'établir que l'utilisation de l'information a été faite dans un but lié au mandat de l'organisation. Par exemple, l'organisation dit qu'elle a le mandat légal de faire quelque chose, alors elle peut le faire.

    Certaines obligations sont plus précises, comme celles qui ont été utilisées dans le dossier de Postes Canada. En effet, lorsqu'on utilise de l'information de façon indirecte, on a plus d'obligations. On doit demander une autorisation. Le premier grand principe dont on tient compte dans le cas d'une organisation publique, c'est de vérifier si c'était lié à son mandat.

    Selon nous, conformément aux principes internationaux et à ce qui se fait dans le secteur privé, on devrait imposer l'obligation de nécessité et de proportionnalité. On regarde quelle information l'organisation va chercher, et à quelles fins elle le fait. Cela ressemble un peu à ce qu'on fait lorsqu'on parle des droits de la personne en vertu de la Charte, par exemple. L'objectif de l'organisation est-il suffisamment important? La mesure va-t-elle atteindre cet objectif? L'organisation a-t-elle fait tout ce qui était possible pour minimiser l'utilisation d'information afin d'atteindre son but?

    Nous avons souligné ces principes dans notre rapport sur la pandémie, et nous les appliquons. Nous reconnaissons qu'ils n'ont pas de force contraignante, mais nous les appliquons et nous donnons des recommandations à cet égard. Cela a permis de tirer des leçons utiles. De façon générale, le gouvernement s'est conformé à ces principes. Parfois, nous jugeons qu'il aurait pu y avoir plus d'information sur la façon d'évaluer les options rejetées, mais que la décision, somme toute, était défendable.

    Il s'agit d'une rigueur qui amène les décideurs à se questionner sur ce qu'ils font et à se demander s'ils minimisent le risque. Cela ressemble un peu à ce que nous demandons.

    L'une de mes recommandations importantes concernant le projet de loi C‑27 vise à imposer l'obligation de faire des vérifications et des évaluations des facteurs relatifs à la vie privée, ou EFVP. Il s'agit d'examiner quel est le risque et quels outils peuvent le minimiser.

    C'est bon pour la vie privée, et c'est bon pour les Canadiens.

    Merci, messieurs Dufresne et Boulerice.

    On a plusieurs rondes de questions, dont une de cinq minutes pour Mme Gladu, suivie de M. Kelloway.

    Madame Gladu, vous avez la parole pour cinq minutes.

    Merci, monsieur le président.

    Merci à vous deux, monsieur Dufresne et monsieur Maguire, d'être avec nous aujourd'hui.

    Je veux d'abord et avant tout exprimer tout mon désappointement à l'égard de Postes Canada qui vend les renseignements personnels des Canadiens. Ce qui me déçoit encore davantage, c'est que Postes Canada n'a pas cessé ses agissements lorsque vous avez signalé la situation, et n'a pris aucune mesure vraiment concrète tant que le tout n'a pas été connu du grand public. Qui plus est, on se contente pour l'instant d'étudier le dossier.

    Existe‑t‑il, pour vous-même ou pour le gouvernement fédéral, un moyen d'obliger Postes Canada à cesser de s'emparer des renseignements personnels des gens pour les vendre?

    C'est justement pour cette raison que j'ai recommandé que l'on m'accorde le pouvoir d'émettre des ordonnances exécutoires. Je ne peux pas le faire actuellement, aussi bien pour le secteur public que pour le secteur privé. Je peux seulement formuler des recommandations et les rendre publiques. C'est ce que j'ai fait dans ce dossier.

    J'ai trouvé réconfortante la réaction des citoyens et des parlementaires. Une question à ce sujet a été inscrite au Feuilleton. Le ministre Duclos a fait une déclaration indiquant qu'il avait communiqué avec le président‑directeur général de Postes Canada pour lui rappeler que la protection de la vie privée des Canadiens revêt une importance capitale. Postes Canada a par la suite diffusé un communiqué précisant qu'un examen du programme de services serait effectué pour s'assurer du respect des normes auxquelles les Canadiens sont en droit de s'attendre. Je n'ai toutefois pas eu d'autres nouvelles depuis.

    Merci.

    J'ose espérer que la société d'État fera le nécessaire. Nous constatons par ailleurs que le commissaire aux langues officielles aurait aussi besoin de pouvoirs supplémentaires pour veiller à l'application de la Loi sur les langues officielles. Je pense que ce serait une bonne chose pour l'avenir.

    Je veux revenir à ce que vous disiez concernant la pandémie et certains enjeux liés à la protection de la vie privée dans ce contexte.

    Il va de soi que mon employeur ne peut rien dire à qui que ce soit au sujet de mon statut vaccinal et qu'il en va de même de mon médecin, mais voilà que durant la pandémie, tous les bars et tous les restaurants avaient une liste des personnes présentes indiquant si elles étaient vaccinées ou non. J'y ai vu une infraction à la Loi sur la protection des renseignements personnels et les documents électroniques.

    Avez-vous traité de cette situation dans vos recommandations?

    Nous avons formulé des recommandations d'ordre général, principalement à l'intention du secteur public. Mon collègue pourrait peut-être vous en dire davantage, car c'était avant mon arrivée, mais il y a assurément eu des recommandations touchant la nécessité et la proportionnalité, les délais de conservation, la documentation et l'obligation de recueillir uniquement les données essentielles. Dans le contexte de notre rapport, nous avons étudié les méthodes du gouvernement en la matière et dégagé certaines conclusions en appliquant les principes de nécessité et de proportionnalité.

    Avez-vous recommandé que l'on adopte des façons de faire différentes?

    Il y a certes eu des recommandations en ce sens. Il y a eu une atteinte dans le contexte de l'application ArriveCAN. Dans ce dossier, nous avons formulé certaines recommandations pour le renforcement des mesures de sécurité applicables à ce genre de données, le tout dans le but d'éviter des erreurs. En l'espèce, on a commis une erreur en indiquant à des gens qu'ils devaient s'isoler alors que cela n'était pas nécessaire. Il s'agit donc simplement de veiller à conserver les renseignements qui sont fiables tout en éliminant ceux qui ne le sont pas.

    Certaines de nos recommandations portaient sur les objectifs à atteindre. Dans ce cas particulier, il y a eu des discussions concernant l'objectif qui avait été fixé. Voulait‑on hausser le taux de vaccination, protéger la santé publique, ou les deux à la fois? Il y a donc eu des recommandations à ce sujet de même que sur la nécessité de documenter les autres options envisagées et de conserver les informations ainsi collectées. Il s'agissait en fait de s'assurer du bon fonctionnement de ce processus.

    Très bien. Merci.

    Je voudrais maintenant parler des technologies numériques et du projet de loi C‑27.

    Les gens s'inquiètent notamment des risques d'hypertrucage avec l'intelligence artificielle générative qui peut permettre de montrer des gens en train de dire ou de faire des choses qu'ils n'ont pas en réalité dites ou faites.

    Avez-vous soumis des recommandations au ministre à ce sujet ou avez-vous des pistes de solution à nous proposer?

    Nous avons formulé trois recommandations touchant l'intelligence artificielle qui nous rapprocheraient d'une solution. Il faudrait dans un premier temps rendre obligatoire l'évaluation des facteurs relatifs à la vie privée pour les outils d'intelligence artificielle susceptibles d'avoir une forte incidence dans ce contexte. Une organisation devrait ainsi s'interroger sur les risques encourus quant à la protection de la vie privée. Quels sont les risques associés à ces formes d'hypertrucage? Quelles mesures prend‑on pour les atténuer? En outre, certaines dispositions proposées dans la Loi sur l'intelligence artificielle et les données permettront de produire le même résultat.

    Nous recommandons aussi une plus grande transparence dans les décisions touchant l'intelligence artificielle. Si une décision est prise à ce sujet, vous pouvez demander une explication. Si quelque chose vous semble étrange, comme une vidéo vous mettant en vedette, et que vous posez la question, on devrait vous fournir cette explication.

    Nous avons enfin recommandé la collaboration entre les instances réglementaires toutes les fois que cela est possible. Je viens tout juste de mettre sur pied, de concert avec le Bureau de la concurrence et la présidente du CRTC, le Forum canadien des organismes de réglementation numérique. Il y a toutefois des limites à ce qu'il nous est possible d'accomplir. À titre d'exemple, nous ne pouvons pas collaborer à des enquêtes. Je peux le faire avec la Commission fédérale du commerce aux États-Unis et avec d'autres pays, mais pas au Canada. C'est une lacune que l'on pourrait facilement combler et que l'on devrait selon moi corriger.

    Merci, monsieur Dufresne.

    Merci, madame Gladu.

    Monsieur Kelloway, vous avez cinq minutes.

    Merci, monsieur le président.

    Comme je fais habituellement partie du comité des pêches, c'est un changement intéressant pour moi. Il va de soi que le travail effectué par ce comité‑ci est absolument crucial.

    J'ai quelques questions pour vous.

    Lorsque les représentants de TikTok ont comparu devant le Comité, ils semblaient se demander pourquoi leur application avait été interdite sur les appareils gouvernementaux. S'agit‑il d'après vous d'une décision qui était justifiée?

    C'est une décision qui a été prise par le gouvernement du Canada qui, comme toujours, s'est basé sur son propre examen de la situation, à la lumière des avis formulés par le dirigeant principal de l'information et les différents spécialistes de la question. Ce sont des considérations liées à la protection de la vie privée et à la sécurité qui ont motivé cette décision. Il serait préférable que les responsables du gouvernement vous expliquent eux-mêmes de quoi il en retourne exactement.

    J'ai déposé une plainte avec mes homologues du Québec, de la Colombie‑Britannique et de l'Alberta concernant les méthodes utilisées par TikTok pour la protection et l'utilisation des données, particulièrement lorsqu'il s'agit des enfants. Ce sont là des enjeux différents. Il peut y avoir chevauchement dans certains cas, mais il s'agit de deux décisions distinctes.

    Où se situent d'après vous ces chevauchements?

    Comme le gouvernement a fondé sa décision sur des préoccupations liées à la protection de la vie privée et que nous avons également soulevé des enjeux à cet égard, il est possible qu'il y ait certains chevauchements. Je n'ai toutefois pas participé aux évaluations qui ont été menées du côté gouvernemental.

    Notre enquête cible les méthodes de gestion des données, et notamment le consentement à une utilisation à des fins appropriées, particulièrement dans le cas des enfants et des jeunes, car ce sont les principaux utilisateurs.

    Ce sont des utilisateurs vulnérables.

    Monsieur Maguire, avez-vous quelque chose à ajouter à ce sujet?

    Non, je ne pense pas pouvoir vous en dire davantage.

    Je vous remercie.

    Je sais que je vais vous surprendre tous les deux, mais je ne suis pas maniaque de la technologie. J'utilise tout de même Facebook, TikTok et Twitter.

    M. Villemure a évoqué la métaphore du dentifrice qui serait sorti du tube. À la lumière du travail que vous effectuez, auriez-vous des conseils pour les parents et les gens qui nous regardent à la maison, en direct ou en différé, quant aux moyens à prendre pour bien protéger leur vie privée?

    Je pourrais vous dire une ou deux choses à ce sujet. Premièrement, j'ai émis une déclaration commune avec mes homologues provinciaux et territoriaux qui avait pour titre « Mettre l'intérêt supérieur des jeunes à l'avant-plan en matière de vie privée et d'accès aux renseignements personnels ». Vous pouvez en prendre connaissance sur notre site Web. Nous y énonçons nos attentes assorties de recommandations pour que les organisations s'assurent de bien protéger les enfants et voir à leur intérêt supérieur en traitant leurs données de la manière qui convient.

    Quant à savoir ce que les gens devraient faire — et c'est un sujet que nous avons abordé avec mes homologues internationaux dans notre déclaration commune sur l'extraction de données —, il faut que chacun se demande s'il trouve acceptable de devoir communiquer autant d'information. Connaissez-vous suffisamment bien les réglages et les mesures de protection qui sont accessibles? Est‑ce que vous souhaitez vraiment qu'une telle situation perdure?

    Le projet de loi C‑27 inclut une nouvelle disposition pour le retrait des renseignements, particulièrement dans le cas des mineurs. C'est une bonne chose, mais vous devez vous demander, toutes les fois que vous mettez en ligne une photo de vos enfants, si le jeu en vaut la chandelle. Avez-vous réglé vos paramètres de protection de la vie privée d'une manière assez rigoureuse? Est‑ce que le reste de la planète a maintenant accès à votre vie privée? Si vous ne comprenez pas vraiment ce que l'organisation cherche à faire et si vous trouvez que sa politique pour la protection de la vie privée est complexe, n'hésitez pas à lui poser toutes les questions nécessaires. C'est toujours le conseil que je donne aux gens.

    Demandez plus d'information. Essayez de savoir pourquoi on veut connaître votre date de naissance lorsque vous achetez un bijou ou un autre article. Pourquoi a‑t‑on besoin de ce renseignement?

    Il faut acquérir ce réflexe, plutôt que de simplement acquiescer en fournissant les renseignements demandés.

    Combien de temps me reste‑t‑il, monsieur le président?

    Vous avez 50 secondes.

    Vous avez peut-être déjà abordé la question, mais pourriez-vous profiter du temps qu'il me reste pour nous fournir de plus amples détails sur votre collaboration et la coordination de vos efforts avec les autres organismes de réglementation, et notamment les forces de l'ordre?

    Nous avons des échanges avec les autres instances réglementaires, à savoir le Bureau de la concurrence et le CRTC. Nous avons mis sur pied ce nouveau forum des organismes de réglementation numérique dans le but de pouvoir discuter des questions d'intérêt commun avec les forces de l'ordre et nos homologues pour la protection de la vie privée. Nous avons également des discussions avec la GRC pour apporter notre contribution relativement aux enjeux liés aux nouvelles technologies. Nous avons une direction des services-conseils au gouvernement, ce qui montre bien que nous veillons toujours...

    Est‑ce que les services de police locaux ont un rôle à jouer? C'est le cas pour la GRC, mais est‑ce que nous travaillons avec les services municipaux…

    Je crois que c'est principalement avec la GRC, mais peut-être que…

    Les services de police locaux relèvent de la compétence des provinces.

    Merci.

    Merci, monsieur Kelloway.

    Monsieur Dufresne, vous nous avez livré comme toujours un témoignage des plus probant. Je vous en remercie.

    C'est ainsi que se termine notre première heure de séance. J'aimerais maintenant que nous puissions passer directement à la seconde portion de la réunion en laissant à M. Dufresne quelques instants pour rassembler ses notes.

    J'en profite pour signaler aux membres du Comité que les responsables de TikTok nous ont demandé une semaine de plus pour nous fournir leurs réponses écrites. Si vous vous rappelez bien, ils avaient jusqu'à vendredi pour le faire. Ils nous demandent maintenant de patienter jusqu'à vendredi prochain.

    Si tout le monde est d'accord, j'aimerais leur accorder ce délai supplémentaire de telle sorte que nous puissions obtenir les réponses dont nous avons besoin. Est‑ce que cela vous convient?

    Des députés: D'accord.

    Le président: Nous avons déjà fait allusion à TikTok à maintes reprises, et le moment est venu de passer à notre seconde heure de séance qui est consacrée à notre étude sur les médias sociaux mettant l'accent sur TikTok.

    Monsieur Dufresne, vous disposez encore une fois de cinq minutes pour présenter vos observations préliminaires au Comité, après quoi nous passerons aux questions des députés.

    Merci. À vous la parole.

    Merci, monsieur le président.

    Je suis heureux maintenant d'aborder cette partie de la discussion. Je remercie le Comité de son intérêt envers la façon dont les plateformes de médias sociaux, comme TikTok, recueillent, traitent et communiquent les renseignements personnels.

    Le monde en ligne offre de nombreuses possibilités d'innovation et de connexion, mais il comporte aussi un risque de préjudice grave, particulièrement pour les jeunes.

    Comme vous le savez, le Commissariat à la protection de la vie privée du Canada, de concert avec ses homologues du Québec, de la Colombie-Britannique et de l'Alberta, a ouvert une enquête sur TikTok en février dernier. Nous établirons si les pratiques de TikTok sont conformes aux lois canadiennes sur la protection des renseignements personnels et, plus précisément, si TikTok a obtenu un consentement valable pour la collecte, l'utilisation et la communication de renseignements personnels.

    Nous examinons également si une personne raisonnable estimerait que les fins pour lesquelles l'entreprise traite les renseignements personnels, en particulier les renseignements des enfants, sont appropriées dans les circonstances.

     Il s'agit d'une grande priorité pour le Commissariat, particulièrement en raison de l'importance de protéger le droit fondamental à la vie privée des jeunes, qui représentent une partie importante des utilisateurs de TikTok. En raison du fait que cette enquête est en cours, ma capacité à parler publiquement des pratiques de l'entreprise est limitée pour le moment.

    C'est pourquoi mes propos d'aujourd'hui porteront principalement sur les principes de protection de la vie privée qui sous-tendent l'approche du Commissariat à l'égard du monde numérique, du point de vue du droit à la vie privée des enfants.

    Grandir à l'ère numérique présente de nouveaux défis importants pour la vie privée des jeunes. Alors que les enfants et les jeunes adultes adoptent de nouvelles technologies et vivent une grande partie de leur vie en ligne, nous avons besoin de solides mesures pour protéger leurs renseignements personnels et encadrer la façon dont ces renseignements personnels pourraient être recueillis, utilisés et communiqués. Les renseignements personnels des enfants et des jeunes sont de plus en plus utilisés afin de créer du contenu personnalisé et des profils de publicité visant à influencer leurs comportements.

     Les enfants ont le droit d'être des enfants, même dans le monde numérique. Comme l'indique l'UNICEF dans ses orientations stratégiques sur l'IA destinée aux enfants, les jeunes sont davantage touchés par les technologies numériques que les adultes. Les jeunes sont aussi moins à même de comprendre les conséquences à long terme d'un consentement à la collecte de leurs données. Les lois sur la protection des renseignements personnels devraient reconnaître les droits de l'enfant, et le droit d'être un enfant. Cela signifie qu'il faut interpréter les dispositions des lois relatives à la protection des renseignements personnels d'une manière qui est cohérente avec l'intérêt supérieur de l'enfant.

    Je trouve encourageantes les déclarations du ministre de l'Innovation, des Sciences et de l'Industrie. Selon ses indications, des intervenants souhaitent voir la protection de la vie privée des enfants être renforcée dans le projet de loi C‑27, Loi de 2022 sur la mise en œuvre de la Charte du numérique. Le Commissariat a recommandé qu'il soit reconnu, dans le préambule de la loi fédérale modernisée sur la protection des renseignements personnels, que le traitement des données personnelles doit protéger la vie privée des enfants et l'intérêt supérieur de l'enfant. Je crois que la mise à jour du préambule d'une telle manière encouragerait les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services dès la conception et par défaut. J'ai été ravi d'entendre le ministre indiquer qu'il souscrivait à cette recommandation.

    La loi doit prévoir des mesures de protection solides en vue de protéger les renseignements personnels des enfants contre tout accès non autorisé et prendre davantage en compte l'acceptabilité de la collecte, de l'utilisation et de la communication de ces renseignements.

    Au début du mois, mes collègues provinciaux et territoriaux et moi-même avons adopté une résolution dans laquelle nous avons demandé aux organisations des secteurs privé et public de mettre en avant l'intérêt supérieur des jeunes, notamment en fournissant des outils de protection de la vie privée et des mécanismes de consentement adaptés aux jeunes et au degré de maturité de ceux-ci; en rejetant les pratiques trompeuses qui influencent négativement les décisions des jeunes en matière de vie privée ou les poussent à adopter des comportements préjudiciables; en permettant la suppression et la désindexation des données recueillies lorsque les utilisateurs étaient enfants.

     J'ai été heureux de constater que cette disposition figurait dans le projet de loi C‑27.

    En terminant, il est essentiel que les gouvernements et les organisations prennent des mesures afin de s'assurer que les jeunes puissent bénéficier de la technologie et être actifs en ligne sans crainte d'être ciblés, manipulés ou de subir des préjudices. J'espère que les conclusions de notre enquête sur TikTok seront utiles non seulement pour cette entreprise, mais aussi pour d'autres organisations qui recueillent et traitent des renseignements personnels sensibles concernant des enfants.

    J'ai aussi hâte de voir le projet de loi C‑27 progresser dans le processus législatif de manière à offrir aux enfants et aux mineurs les mesures de protection de la vie privée dont ils ont besoin dans ce monde de plus en plus numérique.

    Sur ce, je serai heureux de répondre à vos questions.

    Merci, monsieur Dufresne.

    Monsieur Barrett, vous disposez de six minutes. Allez‑y, s'il vous plaît.

    Merci, monsieur le président.

    Merci beaucoup de continuer à comparaître devant le Comité.

     Pouvez-vous nous donner plus de détails sur la portée de l'enquête et de la plainte que vous avez déposée contre TikTok, ou concernant le problème de TikTok?

    Certainement. Lorsque nous avons annoncé la tenue de l'enquête, le 23 février 2023, nous avons indiqué qu'elle avait été lancée à la suite de recours collectifs, qui sont désormais réglés, aux États-Unis et au Canada, ainsi que de nombreux reportages dans les médias concernant la collecte, l'utilisation et la communication de renseignements personnels par TikTok. Nous avons indiqué que les quatre organismes de réglementation de la protection de la vie privée établiraient si les pratiques de l'organisation sont conformes aux lois canadiennes sur la protection des renseignements personnels et, plus précisément, si TikTok a obtenu un consentement valable pour la collecte, l'utilisation et la communication de renseignements personnels.

    De plus, l'enquête permettra de déterminer si l'entreprise respecte ses obligations sur le plan de la transparence, en particulier lorsqu'elle recueille des renseignements personnels de ses utilisateurs. Nous avons ajouté qu'une part importante des utilisateurs de TikTok sont jeunes et que, étant donné qu'il est important de protéger la vie privée des enfants, l'enquête conjointe porterait en particulier sur les pratiques de TikTok en matière de protection des renseignements personnels des jeunes utilisateurs, notamment sur la question de savoir si l'entreprise a obtenu un consentement valable de ces utilisateurs pour la collecte, l'utilisation et la communication de leurs renseignements personnels.

    Au cours de l'enquête, nous avons ajouté un élément qui consiste à vérifier si cela a été fait à des fins acceptables, ce qui est un autre élément de la loi. Cela a maintenant été ajouté aux éléments qui font l'objet d'un examen.

     Les gens de TikTok collaborent-ils avec vous dans le cadre de l'enquête et lorsque vous leur demandez des renseignements?

    Je vais me tourner vers M. Maguire. Je pense que...

     Ils collaborent.

    Votre enquête couvre‑t‑elle la société mère de TikTok, soit ByteDance?

    L'enquête porte sur ByteDance en tant que propriétaire de TikTok.

    En 2017, le Parti communiste chinois a adopté la loi sur le renseignement national. La loi oblige toute organisation à aider les services de renseignement de l'État ou à coopérer avec eux. Elle est venue s'ajouter à une loi de 2014 qui stipule que les organisations pertinentes ne peuvent pas refuser de recueillir des éléments de preuve dans le cadre d'une enquête.

    Cela suscite‑t‑il des inquiétudes? Quelles garanties êtes-vous en mesure d'obtenir de la part de ByteDance que ses responsabilités à l'égard de la dictature communiste de Pékin ne l'emporteront pas sur les exigences en matière de protection de la vie privée au Canada?

    Encore une fois, nous nous concentrons sur les pratiques en matière de données concernant les renseignements sur les enfants. Nous nous penchons sur les mesures de protection, les outils et les règles.

    Une disposition de la LPRPDE stipule qu'une organisation est responsable des renseignements « qu'elle a sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. » Elle « doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. »

    Cependant, l'enquête porte essentiellement sur ce que ByteDance fait avec les renseignements des enfants.

    Avez-vous suivi le témoignage des représentants de TikTok, qui ont comparu devant ce comité la semaine dernière?

    J'ai examiné la transcription.

    Est‑ce que toute l'information qu'ils ont fournie pendant leur témoignage concorde avec les éléments de preuve que vous avez examinés dans le cadre de la plainte que vous avez déposée?

    Je n'ai pas examiné les choses de ce point de vue.

    L'enquête est en cours. Puisque nous n'avons pas fait nos constatations et formulé de conclusions, je ne serais pas en mesure de tirer des conclusions là‑dessus, à ce stade‑ci.

    Savez-vous où sont stockés les renseignements des utilisateurs canadiens de TikTok? Savez-vous où se trouvent ces serveurs?

     Je crois qu'au cours de leur témoignage, les représentants de TikTok ont mentionné Singapour, si je me souviens bien de ce que j'ai lu dans la transcription.

    J'ajouterai simplement que nous ne pourrions pas communiquer l'information qui nous a été fournie dans le cadre de l'enquête à ce moment‑ci. Nous pouvons publier un rapport de conclusions et lorsque nous aurons terminé notre enquête, nous communiquerons les renseignements supplémentaires que nous avons obtenus durant l'enquête.

    Quel type de recommandations feriez-vous aux Canadiens à la suite d'un rapport sur une plateforme comme TikTok? Pouvez-vous nous expliquer à quoi ressembleraient vos recommandations? Vous avez parlé de vos recommandations à l'entité, mais qu'en est‑il du public canadien?

     C'est une chose de dire à Acme « vous devriez faire ceci », mais qu'en est‑il des Canadiens et de ce qu'ils devraient faire lorsqu'ils utilisent une plateforme au sujet de laquelle vous avez peut-être ou non soulevé des préoccupations?

    Vous devez être bref. Vous disposez de 30 secondes.

    Certainement.

    Je vais vous donner un exemple de ce que nous avons fait en ce qui concerne Home Depot. Lorsque nous avons rendu cette enquête publique, nous avons parlé des recommandations que nous avions faites à Home Depot, mais ce faisant — je ne sais plus si c'était dans le rapport de conclusions ou dans ma déclaration —, nous avons donné des conseils aux Canadiens.

    Cela dit, au bout du compte, je ne veux pas que l'on délègue aux Canadiens la responsabilité de protéger leur vie privée: Il incombe aux organisations de le faire. Cependant, il existe de bons outils et de bonnes pratiques et nous ne manquerions pas de saisir cette occasion.

    Iriez-vous jusqu'à dire aux Canadiens de ne pas utiliser un service ou une application, ou de ne pas fournir leurs renseignements à une entreprise?

    Très brièvement...

    Je ne veux pas émettre des hypothèses sur ce que nous dirions, mais nous envisagerions de donner de bons conseils aux Canadiens dans une situation donnée.

    Je vous remercie de vos réponses.

    Merci, monsieur Dufresne. Merci, monsieur Barrett.

    Madame Khalid, vous disposez de six minutes. Allez‑y, s'il vous plaît.

    Merci beaucoup, monsieur le président.

    Je remercie les témoins de comparaître deux heures d'affilée pour parler de deux questions différentes aujourd'hui. Nous vous en sommes très reconnaissants.

     Je voudrais revenir sur ce que vous avez dit à propos de votre étude et de votre rapport sur les enfants et TikTok.

    Quelle est la différence entre le droit à la vie privée des enfants et celui du grand public? Comportent-ils beaucoup d'éléments communs, ou y a‑t‑il d'autres questions dont il faut tenir compte pour les enfants?

    Il y a d'autres questions, en ce sens que, de façon générale, nous considérons les renseignements des mineurs ou des enfants comme étant « de nature sensible ». Cela amène des obligations plus importantes sur le plan de la vigilance et des moyens utilisés pour obtenir le consentement.

    Nous avons publié des lignes directrices sur l'obtention d'un consentement valable dans le cadre de la loi actuelle. Nous nous attendons à ce que les organisations rendent le tout convivial, par exemple, mais en ce qui concerne les enfants, il y a des circonstances dans lesquelles ils ne seront pas en mesure de donner leur consentement. Ils peuvent avoir besoin d'un parent pour le faire s'ils n'ont pas atteint un certain âge. Dans nos lignes directrices actuelles, bien que certaines provinces puissent avoir des points de vue différents, pour les moins de 13 ans, on peut presque présumer que le consentement parental est nécessaire.

    Il faut certainement en tenir compte dans la façon de voir l'information. Les enfants ont des besoins différents. Ils sont plus vulnérables. C'est un aspect dont la loi européenne tient compte. Il est proposé d'en tenir compte dans le projet de loi C‑27 et j'espère certainement que ce sera le cas.

    Vous avez parlé du consentement valable. Quelle forme cela prend‑il dans le contexte des plateformes de médias sociaux qui ont un si grand accès aux renseignements des Canadiens?

    Encore une fois, en ce qui concerne le consentement valable, le projet de loi C‑27 viendrait renforcer le tout en disant explicitement qu'il doit être donné avec des renseignements que la personne peut comprendre. C'est ce que nous examinons. Il s'agit de renseignements très complexes. Comment les avis sont-ils donnés? S'agit‑il d'un avis que seul un spécialiste peut comprendre?

    Même si vous êtes un spécialiste, il se peut que vous examiniez cela à la fin de la journée. Vous êtes peut-être fatigué. Vous êtes peut-être bombardé de plein de choses. Chaque fois que vous allez sur un site Web, une page concernant les témoins ou autre chose apparaît. Nous fournissons un certain nombre de conseils dans nos lignes directrices: faire en sorte que ce soit convivial; ne pas se contenter d'une action ponctuelle; veiller à ce qu'il y ait parfois un suivi; et rendre le tout le plus compréhensible possible. De plus, lorsqu'il s'agit d'enfants, faire en sorte que ce soit adapté à l'enfant. On peut peut-être recourir à la vidéo ou à d'autres moyens.

    L'objectif est de fournir l'information nécessaire pour que les gens puissent comprendre ce qui se passe et de miser sur l'innovation aussi... On dit souvent qu'on a besoin de données pour innover, ce qui est vrai, mais utilisons l'innovation pour protéger les données. Cela nous aiderait en ce qui a trait au consentement et à l'explicabilité.

    Sur le plan de la protection des données, comment les choses se passent-elles lorsqu'une entreprise comme TikTok stocke des données aux États-Unis, à Singapour, en Malaisie, mais pas au Canada? Comment pouvons-nous encadrer les serveurs ou l'accès aux données canadiennes lorsqu'ils ne sont pas au Canada?

    Eh bien, la loi s'appliquera tout de même si des Canadiens sont touchés. Un certain nombre de facteurs font que nous avons compétence, même si l'information est stockée ailleurs. Nous examinons ces facteurs, ces liens, puis nous appliquons la loi pour l'organisation et le traitement de l'information en question.

    Merci.

     Lorsque nous avons reçu les représentants de TikTok, David Lieber, qui a comparu à la dernière réunion, a dit ce qui suit:

    Avez-vous consulté les rapports sur la transparence? Quels types de détails contiennent-ils? Sont-ils vraiment transparents?

    Pendant que je me préparais pour ma comparution, on m'a renseigné sur ce type de rapports. Je pense que la question à examiner est celle de leur portée. Si l'on parle d'un rapport pour dire qu'il offrira de la transparence, je voudrais savoir de quoi il traite. Sur quoi portera‑t‑il? Fera‑t‑il uniquement état des demandes du gouvernement canadien? Fera‑t‑il état des demandes d'autres gouvernements dans le monde? C'est un élément important dont il faut s'assurer.

    Surtout compte tenu du fait que les données ne sont pas conservées au Canada, si un État ou un pays demande à TikTok de lui fournir toutes les données sur les filles de 16 ans qui aiment le rouge à lèvres MAC, est‑ce que TikTok devrait avoir l'obligation de signaler aux autorités canadiennes la demande de renseignements qui émane d'un pays autre que le Canada?

    Ce n'est pas une question que nous avons étudiée ou à laquelle nous avons réfléchi. En général, si nous examinons une question relative à la protection des renseignements, nous nous penchons sur les mesures de sécurité, les risques et les mesures qui sont mises en place pour protéger les renseignements. Sur cette base, nous formulons nos recommandations et nos conclusions.

    Pensez-vous que des entreprises comme TikTok et d'autres plateformes de médias sociaux tiendront compte de certaines de vos recommandations? Dans quelle mesure pensez-vous que certaines d'entre elles seront appliquées au Canada en ce qui concerne la protection de la vie privée?

    C'est à cet égard que le pouvoir de rendre des ordonnances est un élément important. À l'heure actuelle, nous formulons des recommandations. C'est aux plateformes de décider si elles vont y donner suite. S'il y a un pouvoir de rendre des ordonnances, cela peut être appliqué.

     Merci, madame Khalid.

    Monsieur Villemure, vous avez la parole pour six minutes.

    Merci beaucoup, monsieur le président.

    Monsieur Dufresne, comment décririez-vous la soif de protection de la vie privée des plateformes?

    Ce que je peux vous dire, c'est que les plateformes participent aux conférences sur la vie privée. Elles sont très actives, très informées et très intéressées par cela.

    Ce que nous vérifions, c'est ce qui est fait et la façon dont les plateformes utilisent l'information. C'est dans cette optique que nous faisons des recommandations. Par exemple, nous faisons des recommandations aux plateformes en ce qui a trait au moissonnage de données, c'est-à-dire au fait d'aller chercher largement de l'information sur Internet. Nous avons dit aux plateformes que nous avions des attentes plus élevées à leur égard. Nous nous attendons à ce qu'elles soient plus proactives et qu'elles protègent et traitent cette information comme s'il s'agissait d'atteintes à la vie privée. Nous dialoguons. Nous avons reçu des commentaires de leur part sur notre déclaration, et nous avons des échanges là-dessus.

    Comme nous l'avons mentionné tout à l'heure, Facebook et nous sommes devant les tribunaux relativement aux pratiques de Cambridge Analytica. Nous sommes aussi en train d'enquêter sur ChatGPT et TikTok. Le processus existe. Ce ne sont pas les intentions ou les affirmations qui nous intéressent, mais plutôt le résultat concret pour les Canadiens.

    Autrement dit, tout ce qui est dit ou fait vous intéresse.

    Croyez-vous que, chaque fois que vous réussissez à faire une avancée en matière de protection de la vie privée, les plateformes, de leur côté, tentent de trouver une façon de la contourner ou une autre façon d'aller un peu plus loin afin de protéger leur marché, qui est, en gros, la vente de données?

    Je pense qu'il faut être conscient qu'il y a souvent un incitatif économique à utiliser l'information. C'est normal, cela fait partie du système économique. Les États et les organismes de réglementation doivent donc pouvoir créer des incitatifs dans l'autre direction pour protéger l'information. Je vois deux genres d'incitatifs. Il y a d'abord un incitatif positif, qui reconnaît les bons comportements et donne des récompenses liées à la réputation; mais il faut aussi un incitatif négatif, qui utilise la contrainte juridique. Il faut des lois qui vont signifier à ces plateformes et à ces organismes qu'elles ont l'obligation proactive de publier leur plan de protection de la vie privée, qu'elles ont l'obligation proactive de faire des vérifications, qu'elles ont l'obligation proactive de minimiser l'utilisation des données et de l'expliquer comme il faut. Si elles ne le font pas, il peut y avoir des vérifications, des enquêtes, des ordonnances et des amendes. Je pense que tout cela est nécessaire pour avoir une réglementation adéquate.

    Votre pouvoir est-il suffisamment dissuasif pour obliger les plateformes à suivre vos recommandations? Nous avons mentionné le pouvoir d'émettre des ordonnances, mais vous manque-t-il d'autres outils?

    Pour le moment, il me manque le pouvoir d'émettre des ordonnances et la possibilité d'imposer des sanctions administratives pécuniaires. Si une organisation amasse des millions ou des dizaines de millions de dollars en utilisant des données et qu'il n'y a pas de sanctions pécuniaires lors d'un manquement, emprunter cette direction devient tentant. Il faut éviter cela.

    Pour des entreprises qui réalisent des chiffres d'affaires de milliards de dollars, je ne sais pas ce que pourrait être une amende dissuasive.

     Nous avons entendu parler de l'amende de 345 millions d'euros imposée à TikTok en Europe, pour de multiples infractions. Cependant, que vaut une telle amende quand l'entreprise a un chiffre d'affaires de plusieurs milliards de dollars?

    C'est pour cela que le modèle européen, soit le Règlement général sur la protection des données, le modèle au Québec, soit la Loi 25, et le modèle proposé dans le projet de loi C‑27 prévoient qu'il va s'agir d'un montant maximum de 10 millions de dollars, par exemple, ou 3 % du chiffre d'affaires. Je pense que cela permet de traiter le problème que vous avez soulevé.

    Si une entreprise a un important chiffre d'affaires, 10 millions de dollars, c'est peu; établir un pourcentage permet de régler cela.

    Selon la communauté européenne, établir un pourcentage fonctionne bien.

    Que pensez-vous de l'interdiction de TikTok dans plusieurs pays du monde, notamment dans certaines communautés européennes?

    Je pense que les institutions et les autorités réglementaires comme la nôtre doivent faire leur travail, étudier des plaintes et vérifier la conformité. S'il n'y a pas de conformité, elles doivent émettre des ordonnances ou faire des recommandations. Je pense aussi que les gouvernements ont une responsabilité en matière de sécurité nationale et en matière de sécurité de l'information des fonctionnaires. C'est ce que le gouvernement du Canada a fait dans ce cas-ci en parlant des outils de travail des fonctionnaires, des outils qui traitent de l'information très délicate. Je pense que cela fait partie de la responsabilité des États.

     Vous parlez de sécurité nationale. Or, on associe TikTok à un loisir. On ne pense pas un instant que cela peut avoir une incidence sur la sécurité nationale alors que, dans la réalité, c'est le cas.

    La semaine dernière, on a demandé à un représentant de TikTok si celle-ci vendait des données à la compagnie mère. Il a répondu par la négative, mais, tout à coup, il a en quelque sorte échappé les mots « we share ». Autrement dit, TikTok partage des données.

    Que pensez-vous de ce partage de données?

    Le partage de données, qu'il soit payant ou non, est visé. Il y a des restrictions sur ce qui peut se faire dans le cadre d'une collecte de données, de leur divulgation et de leur utilisation.

    Il y a un souci particulier du fait qu'ils partagent des données avec la compagnie mère, qui est quand même reconnue comme faisant partie du régime communiste chinois.

    À mon avis, cela fait partie du contexte qui est à considérer. Dans le cas d'un partage, on doit vérifier si celui-ci est approprié, s'il respecte les limites juridiques et s'il donne lieu à des préoccupations en matière de sécurité.

    Il y a divers acteurs dans le système. Or, il est utile et bon que ceux-ci puissent rendre publiques, de façon appropriée, de telles conclusions. On souligne ainsi qu'il y a des institutions, qu'elles fonctionnent et font leur travail.

    Merci beaucoup.

    Merci, monsieur Dufresne.

    Monsieur Boulerice, vous avez la parole pour six minutes.

    Merci beaucoup, monsieur le président.

    Je vous remercie, monsieur Dufresne, d'être parmi nous.

    Je vais faire un bref retour dans le temps. Au siècle dernier, quand les gens achetaient un journal le matin, ils avaient l'impression d'acheter un produit qui leur donnait des nouvelles, un compte rendu de ce qui se passait dans leur société. Or, quelqu'un a réfléchi à la question par la suite et a dit que le journal, en réalité, vendait le lecteur à celui qui achetait de la publicité dans le journal. L'acheteur n'était pas celui qu'on pensait. À l'époque, une compagnie qui était propriétaire d'une boutique de lingerie, par exemple, et qui achetait de la publicité dans le journal n'avait généralement aucune idée de l'identité de ses clients ni même de celle des lecteurs du journal.

    Aujourd'hui, par contre, avec les médias sociaux, la dynamique est complètement différente. En effet, les gens fournissent presque volontairement leurs renseignements personnels à de grands conglomérats qui vendent ou partagent ces informations dans le but de réaliser d'énormes profits. Autrement dit, les citoyens fournissent gratuitement des informations, ce qui permet à ces grandes compagnies de faire de la publicité ciblée de façon précise pour répondre à leurs envies, leurs désirs, leurs besoins. Cela permet du même coup à de grandes compagnies, de grands conglomérats, d'engranger des profits considérables.

    Vous parliez tantôt d'un réflexe des consommateurs ou des citoyens. Avez-vous l'impression que la plupart des gens autour de nous comprennent qu'ils se vendent eux-mêmes gratuitement aux géants du Web et aux médias sociaux?

    Une expression dit que si c'est gratuit, c'est que vous êtes le produit. C'est exactement ce que vous décrivez. Je pense qu'il faut être sensibilisé à cela. Lorsque nous achetons un produit et qu'on nous demande notre date de naissance en nous disant que c'est parce qu'on va nous offrir un rabais lors de notre anniversaire, c'est exactement ce qui se produit. On nous octroie un petit rabais et on utilise cette information.

    Il est important de sensibiliser les gens à ce phénomène pour qu'ils sachent, même s'ils ont l'impression que c'est gratuit, que, dans certains cas, ils cèdent un élément fondamental de leur identité, de leur personnalité.

    Il faut être conscient de ce fait et éviter de le voir uniquement comme un avantage. En effet, on ne doit pas simplement vendre ou échanger sa vie privée. Même si le consentement se fait correctement, il faut toujours être conscient que c'est une part fondamentale de notre individualité. C'est une remarque importante.

    Merci, monsieur Dufresne.

    Dans un de ses numéros, que je ne vais pas refaire ici, Louis‑José Houde dit que ce n'est pas parce qu'il achète une spatule qu'on va accéder à son téléphone cellulaire.

    Sur une note plus sérieuse, vous avez fait, en 2019, une enquête sur Facebook, qui s'appelle maintenant Meta. Le rapport comportait tout de même quatre grandes conclusions, assez inquiétantes, à savoir que Facebook omettait d'obtenir un consentement valide de la part, non seulement des usagers, mais également des amis ou des contacts de ces usagers. De plus, les mesures visant à protéger les renseignements personnels des usagers n'étaient pas adéquates. Ces quatre conclusions sont assez inquiétantes, vu la popularité de cette plateforme.

     Depuis que vous avez réalisé cette enquête et que vous en êtes arrivé à ces quatre conclusions, que s'est-il passé exactement?

     La loi ne nous donne pas le pouvoir d'émettre des ordonnances, comme nous en avons discuté. Ce que la loi permet de faire, c'est de saisir la Cour fédérale, de plaider l'affaire à nouveau devant la Cour d'appel fédérale et de lui demander d'émettre l'ordonnance que nous lui recommandons. C'est donc ce qui a été fait.

    La Cour fédérale a rejeté notre demande après audition et a conclu que la demande n'avait pas été établie. Nous avons alors interjeté appel sur les deux questions fondamentales que vous avez relevées, soit le consentement — il existe plusieurs niveaux de consentement pour protéger les données — et les mesures de sécurité.

    J'ai annoncé cet appel en disant qu'il portait sur des questions importantes pour les Canadiens. Nous n'étions pas satisfaits de la décision de la Cour fédérale et nous souhaitions que la Cour d'appel fédérale puisse rendre sa décision sur cette question. Nous attendons de plaider devant la Cour d'appel fédérale et nous obtiendrons ensuite une décision.

    Selon ce que vous comprenez et ce que vous savez, croyez-vous que les pratiques de Facebook, ou Meta, représentent l'exception dans le monde des médias sociaux? Sont-elles plutôt représentatives du comportement de ces grandes entreprises?

    J'hésite à faire une généralisation, surtout quand c'est un cas particulier qui se trouve devant les tribunaux. Cependant, je peux dire que, quand nous formulons des conclusions, s'il y a lieu de tirer des conclusions plus larges, nous le faisons.

    Je m'attends à ce que les médias sociaux soient au courant des décisions que nous rendons. Si c'est un cas particulier, j'invite toujours les organisations à revoir leurs pratiques et, si elles ont des pratiques semblables et que nous avons conclu qu'elles constituaient une violation, c'est à elles de les corriger.

    Merci, messieurs Boulerice et Dufresne.

    Avant que nous passions au tour suivant, j'ai une demande. Je voudrais que vous y réfléchissiez. Je ne vous demande pas de le faire maintenant, mais j'y reviendrai à la fin de la réunion.

    Comme je l'ai mentionné au début, il a été question de TikTok au cours de la dernière heure. La demande consiste à extraire certains de ces renseignements et à les intégrer dans le rapport, ce qui est pertinent pour notre étude sur TikTok.

    Je vois que M. Barrett n'est pas là. Il est sorti un instant. C'est pourquoi je veux vous donner un peu de temps pour y réfléchir.

    Madame Gladu, vous disposez de cinq minutes. Allez‑y, s'il vous plaît.

    Merci, monsieur le président. Je crois que ce serait certainement une bonne idée d'incorporer ces données.

    J'aimerais continuer sur le sujet de Meta, car le gouvernement a fait 2 859 demandes à cette société pendant la période allant de janvier à juin 2022 afin de limiter l'accès au contenu. Savez-vous si certaines de ces demandes concernaient des atteintes à la vie privée ou l'utilisation des données?

    Je ne saurais vous répondre. Je n'ai malheureusement aucun renseignement à ce sujet.

    D'accord. Passons à TikTok.

    Certains s'inquiètent de la possibilité que ByteDance communique des données, et vous vous penchez justement sur la question. Comment pouvez-vous vérifier les dires de la société? Comment la société pourra‑t‑elle prouver qu'elle offre les protections exigées par la Loi?

    La Loi nous offre de nombreux outils, comme le nombre de visites au site ou les demandes de documentation. Le CPVP a un laboratoire et nous examinons les outils techniques qui nous permettront de mener des enquêtes et d'obtenir les renseignements que nous recherchons.

    Il se peut que M. Maguire ait quelque chose à ajouter sur nos outils d'enquête généraux.

    Nous sommes aussi autorisés à mener des auditions, éventuellement sous serment, et nous pouvons nous rendre sur les lieux pour exiger la production de renseignements, de documents, etc. Nous pouvons vérifier les dires des personnes auditionnées au moyen de vérifications effectuées à distance ou sur les lieux.

    C'est parfait.

    Qu'en est‑il des cyberattaques? Vous avez indiqué plus tôt que le nombre de cyberattaques signalées par le gouvernement a baissé, et que l'on soupçonne que les incidents sont minimisés. Qu'en est‑il des atteintes aux données personnelles des gens sur les diverses plateformes de médias sociaux? Que pouvez-vous nous dire à ce sujet?

    Notre rapport annuel contient des statistiques à la fois pour le secteur public et le secteur privé.

    Dans le cas du secteur public, notre commentaire général était que le nombre de cas signalés était faible. Nous pensons qu'il doit être plus élevé en réalité, ce qui a piqué notre curiosité. Nous l'avons souligné.

    En ce qui concerne le secteur privé, nous avons vu une hausse des cyberattaques. Ces cyberattaques nous ont été signalées et nous communiquons avec les organisations lorsqu'elles se produisent. Les enjeux sont énormes, car l'atteinte à la vie privée des Canadiens peut avoir des conséquences néfastes.

    Monsieur Maguire, avez-vous des statistiques à l'appui?

    Je n'ai pas de statistiques, mais j'ajouterai que nous avons vu des exemples d'extraction de données des utilisateurs de médias sociaux, par exemple dans le cas de Clearview AI et, avant cela, de Profile Technology. Nous avons conclu à une extraction illégale.

    De pair avec nos 11 homologues internationaux représentant les 6 continents, nous avons envoyé une déclaration sur l'extraction de données aux sociétés de médias sociaux, leur demandant d'expliquer comment elles répondent aux attentes énumérées dans notre déclaration. Nous continuons à dialoguer avec ces sociétés afin de concevoir des pratiques exemplaires et éventuellement formuler des recommandations pour améliorer les protections contre l'extraction de données sur leurs plateformes.

    C'est parfait.

    Vous avez indiqué une hausse globale de 37 % du nombre de plaintes reçues. Quel en était le pourcentage qui concernait les plateformes de médias sociaux, et ce pourcentage a‑t‑il évolué avec le temps?

    Je vais demander à mon collègue de vous fournir des statistiques précises.

    Pour le secteur public, vous trouverez ces renseignements en annexe à notre rapport, ventilés par ministère. Nous indiquons également…

    Vous pouvez envoyer les renseignements à la greffière et elle les distribuera aux membres du Comité.

    Il me reste peu de temps, mais j'ai une dernière question.

    Quelles recommandations devrait faire notre comité au gouvernement en vue de mieux protéger la vie privée des Canadiens?

    Vous avez 13 secondes pour répondre.

    Vous qui légiférez, vous pouvez beaucoup faire pour protéger la vie privée des Canadiens en apportant des amendements aux lois qui visent la protection de la vie privée dans les secteurs public et privé. Ce sont les premières armes que nous utilisons pour faire notre travail.

    Merci, monsieur Dufresne.

    Madame Damoff, vous avez cinq minutes. Allez‑y.

    Merci, monsieur le président.

    Je remercie les témoins d'être des nôtres aujourd'hui.

    Il y a de nombreuses années déjà, un représentant d'une société de marketing a dit que les gens divulguent beaucoup plus de renseignements personnels en ligne plutôt que dans le cadre d'une discussion en personne. Cela s'applique également aux médias sociaux, quand on songe à toutes les choses qui sont révélées.

    Pensez-vous que le gouvernement devrait investir davantage pour éduquer les Canadiens sur la culture numérique et les enjeux en matière de vie privée que vous avez soulevés? Je ne pense pas que les gens y pensent.

    Oui. Je crois que nous devrions intensifier nos efforts sur tous les fronts.

    J'aimerais que le Commissariat en fasse davantage à ce sujet. La promotion fait partie de notre mandat, et nous songeons aux façons de la faire, notamment dans le cas des enfants. Cela occupe une bonne partie de nos discussions à l'interne. Je vais également consulter les parties intéressées. Je discute beaucoup avec les représentants de l'industrie, des gouvernements et du secteur universitaire de nos efforts visant à éduquer les Canadiens sur la protection de la vie privée, surtout celle des jeunes enfants.

    Nous avons publié une résolution ce mois‑ci avec nos homologues provinciaux et territoriaux afin d'exprimer certaines de nos attentes concernant la protection des renseignements personnels des enfants et la façon d'assurer cette protection.

    Il s'agit d'un effort collectif de la part du gouvernement, des écoles et des enseignants.

    Je crois que l'on devrait se concentrer sur les enfants, parce qu'ils sont plus vulnérables, et je ne pense pas que les parents y pensent lorsqu'ils permettent à leurs enfants d'utiliser les plateformes de médias sociaux.

    Je sais que nous avons beaucoup parlé de TikTok aujourd'hui et de la vulnérabilité des enfants. Cela concerne‑t‑il seulement TikTok ou toutes les plateformes de médias sociaux, et le problème vise‑t‑il les enfants parce que ce sont eux les utilisateurs principaux de TikTok?

    C'est un problème pour les enfants en raison de leur plus grande vulnérabilité. Nous avons formulé un certain nombre de recommandations pour interdire les techniques comportementales d'incitation. Nous ne devrions pas pousser les gens en général, et certainement pas les enfants, à prendre de mauvaises décisions, notamment en ce qui concerne leur vie privée. Il y a du travail à faire à ce sujet.

    Des études ont montré que les médias sociaux créent une dépendance qui se généralise chez les enfants. Parfois, le modèle d'affaires consiste à essayer de les encourager à rester branchés plus longtemps, parce que c'est ce qui génère plus de revenus. Il faut en tenir compte, car les enfants passent de plus en plus de temps en ligne depuis la pandémie, notamment pour l'école. Je l'ai vu et les parents aussi.

    Nous devons nous adapter à cette nouvelle réalité en tant que parents, enfants et société, afin de mieux comprendre les enjeux et les droits des utilisateurs.

    Le projet de loi C‑27 propose un droit à la retraite. Cela informe... Quand je dis que les enfants ont le droit d'être des enfants, c'est ce à quoi je fais allusion. Les enfants font des choses en ligne. Si le contenu reste en ligne pour toujours, ils seront traités comme des adultes dès leur adolescence. Si le contenu reste en permanence, il pourrait être utilisé contre eux pour des emplois et ainsi de suite.

    Nous devons régler cette question. Le projet de loi C‑27 y remédiera dans une certaine mesure, mais nous devons certainement sensibiliser davantage les gens, car nous vivons de plus en plus dans un monde numérique. Il apporte de l'innovation et des avantages, mais nous devons être bien équipés pour relever les défis et nous devons en apprendre davantage à ce sujet. J'espère qu'il y aura une formation obligatoire dans les écoles, afin que les gens puissent être outillés tôt dans leur vie.

    Nous aurons les bons réflexes. Nous allons poser des questions. Nous allons demander pourquoi les sociétés ont besoin de cette information. Nous allons apprendre ce qu'est une bonne politique de confidentialité, et si elle ne l'est pas, nous allons apprendre à nous plaindre afin qu'elle puisse devenir une bonne politique de confidentialité à l'avenir.

    De cette façon, nous créons des ambassadeurs de la protection de la vie privée partout.

    Il ne me reste qu'une minute à peu près.

    Les politiques de confidentialité sont très longues et regorgent de jargon juridique. Y a‑t‑il une façon de les simplifier pour les gens avant qu'ils cliquent « j'accepte »?

    Absolument. Il faut les simplifier. Elles doivent être plus courtes et plus concises, et elles doivent aller droit au but.

    Parfois, on voit une politique interminable rédigée dans des termes juridiques qui ne communique pas vraiment d'éléments importants, alors que ce serait possible de le faire plus succinctement. On clique sur « j'accepte » et voilà qu'on a accepté de partager nos renseignements avec de tierces parties, y compris des parties à l'extérieur du Canada. Si on accepte cette politique, les tierces parties qui y ont accès peuvent tirer des conclusions à notre sujet et aller au‑delà de ce qu'on leur a donné. Il faut le savoir. Ces tierces parties peuvent deviner l'âge de l'utilisateur ainsi que d'autres choses à son sujet.

    Il s'agit de trouver le juste équilibre entre le contenu et la concision.

    Merci, madame Damoff.

     Notre prochain intervenant est M. Blanchette‑Joncas, que nous accueillons au Comité.

    Vous disposez de deux minutes et demie, monsieur Blanchette‑Joncas.

    Merci beaucoup, monsieur le président.

    Je salue mes collègues et les témoins qui sont avec nous, ce soir.

    Ma question est assez simple, mais la réponse peut être assez complexe.

    Pouvez-vous nous dire si une révision de la loi vous semble nécessaire et nous expliquer pourquoi?

    Oui, une révision des deux lois est nécessaire. Il y en a une qui est en cours pour la loi dans le secteur privé. C'est le projet de loi C‑27. Celui-ci inclut aussi une composante précise pour l'intelligence artificielle.

    Une révision est nécessaire parce que la loi a 20 ans. Elle est plus ancienne que les médias sociaux. Nous continuons de l'appliquer, les principes sont là, mais la technologie progresse rapidement. À mon sens, cela exige donc, par exemple, des obligations proactives plus fortes. Nous devons obliger les organisations à faire des évaluations à la base qu'elles doivent divulguer au Commissariat; nous devons aussi imposer une plus grande transparence, notamment en ce qui a trait à l'intelligence artificielle.

    La loi visant le secteur public, elle, est encore plus vieille. Elle date d'il y a 40 ans. Il faut la moderniser et la renforcer, parce que, quand elle a été adoptée, c'était vraiment à une époque où l'impact des données n'était pas ce qu'il est aujourd'hui.

    C'est exact. Comme vous le mentionnez, les médias sociaux n'existaient même pas lorsque cette loi a été adoptée.

    Pouvez-vous nous expliquer concrètement les conséquences d'avoir une loi qui est désuète et ne reflète pas l'actualité d'aujourd'hui, en 2023?

    Heureusement, la loi est basée sur des principes. Nous sommes donc en mesure d'appliquer ces principes aux organisations qui utilisent et divulguent des données. C'est ce qui nous permet d'enquêter sur TikTok et sur ChatGPT.

    Cela dit, il y a des lacunes: nous n'avons pas le pouvoir d'émettre des ordonnances ni celui de donner des amendes.

    Dans le cas d'organisations qui font des profits énormes avec les données, il y a donc un manquement. Ce n'était peut-être pas un enjeu auparavant parce qu'on ne faisait pas tant d'argent avec les données, mais, maintenant, on en fait.

    Il faut donc qu'il y ait des amendes. Il faut une plus grande proactivité. Il faut une plus grande transparence. Le fait d'expliquer des décisions prises par des algorithmes, par de l'intelligence artificielle, évidemment, n'était pas un problème. Nous pouvons réglementer cela avec des principes, mais il y a certaines choses qui deviennent un peu plus techniques. Je pense que, en ce qui concerne l'intelligence artificielle et les décisions algorithmiques, nos exigences doivent être assez vastes pour qu'elles s'appliquent encore dans cinq ans, dans dix ans, aux successeurs de ChatGPT. Ces exigences doivent être renforcées.

     Merci beaucoup.

    Merci, messieurs Blanchette‑Joncas et Dufresne.

    Pour la dernière intervention, la parole est à M. Boulerice pour deux minutes et demie.

    Merci.

    Monsieur Dufresne, dans votre présentation, vous avez beaucoup parlé de la protection des enfants et des adolescents. Je me demande comment on peut s'assurer que l'âge requis pour participer à un média social est respecté. Par exemple, je pense qu'il faut avoir 13 ans pour avoir un compte TikTok et 14 ans dans le cas de Facebook.

    Or on sait tous qu'il y a beaucoup de jeunes adolescents qui sont parfaitement capables de contourner ces règles et de créer un compte quand même.

    Quelle est la responsabilité des compagnies et du gouvernement pour s'assurer que l'âge requis est respecté? Sinon, il devient assez facile de s'inscrire à un média social.

    Tout à fait.

    Cela soulève toute la question de la vérification de l'âge en ligne et des techniques pour déterminer si une personne est mineure ou pas. Ce sera important dans le cadre du projet de loi C‑27, qui accorde explicitement des droits et traite l'information différemment. C'est une question sur laquelle on se penche, dans le domaine de la vie privée. Il y a beaucoup de discussions à ce sujet. D'ailleurs, le commissariat de la Grande‑Bretagne a émis des lignes directrices sur des outils de vérification.

    Ce que nous disons, au Commissariat, c'est que ces outils doivent être appropriés et ne demandent pas trop d'informations personnelles. Il faut gérer la vérification de l'âge, mais on ne veut pas nécessairement demander trop d'informations personnelles pour le faire. Cela dit, il existe des moyens de la faire et des technologies pour y arriver. C'est un autre domaine où on doit être créatif.

    De plus, il faut que ce soit adapté au contexte. Certains sites sont peut-être à plus haut risque et demanderont une vérification plus serrée. On peut penser à des sites de jeu ou de pornographie, par exemple. Certains sites seront peut-être moins délicats. D'autres seront peut-être destinés plus particulièrement aux enfants. Il y aura peut-être une présomption.

    Je pense que cela fera partie de la mise en œuvre de cette loi. Le Commissariat aura un rôle à jouer à cet égard puisqu'il peut émettre des lignes directrices.

    Par ailleurs, le projet de loi prévoit aussi la création de codes de pratique et de programmes de certification.

    Cela incitera les organismes à adhérer à une série de règles. S'ils les respectent, cela aura un effet sur le processus de plainte, ce qui sera bénéfique pour ces organismes. Ce sera donc un outil de plus. Je soupçonne que le Commissariat va pouvoir y travailler, justement pour donner ces détails.

    Le Commissariat a aussi un mandat consultatif. Les compagnies, surtout les petites et moyennes entreprises, peuvent nous contacter pour obtenir des réponses à des questions précises. Nous sommes là pour les aider pour ce qui est de questions comme celles-là, surtout celles qui sont d'ordre plus technique.

    D'accord.

    Merci, messieurs Dufresne et Boulerice.

    Avant de lever la séance, je tiens tout d'abord à vous remercier, monsieur Dufresne, d'avoir été des nôtres aujourd'hui. Je sais que quelques heures, c'est long. Vous nous avez grandement aidés, comme toujours.

    Monsieur Maguire, je vous remercie de votre présence. Mon commentaire s'applique à vous aussi.

    Au nom des Canadiens, je tiens à vous remercier des services que vous avez rendus à notre pays.

    Je crois comprendre — car j'ai pu parler avec M. Barrett — qu'il y a un consensus au sein du Comité pour inclure la première heure des témoignages sur TikTok dans cette étude. C'est ce que nous ferons avec l'aide des analystes.

    C'est tout pour aujourd'hui.

    Merci à tout le monde. Merci à notre greffière, à nos analystes et à nos techniciens.

    La séance est levée.