Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Bienvenue à la 120e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.
La réunion d'aujourd'hui se déroule dans un format hybride, conformément au Règlement.
Chers collègues, j'espère que vous avez tous passé une belle semaine dans vos circonscriptions.
[Traduction]
Avant de commencer, j'aimerais rappeler à tous les députés ainsi qu'aux autres participants ici présents certaines mesures préventives d'une grande importance.
Afin de prévenir les rétroactions sonores perturbatrices qui peuvent causer des blessures, on rappelle à tous les participants en personne de tenir leur oreillette loin de tous les microphones en tout temps.
[Français]
Comme indiqué dans le communiqué du Président envoyé à tous les députés aujourd'hui, le lundi 29 avril, les mesures suivantes ont été prises pour aider à prévenir les incidents acoustiques.
Toutes les oreillettes ont été remplacées par un modèle qui réduit considérablement la probabilité d'un incident acoustique. Les nouvelles oreillettes sont noires, alors que les anciennes oreillettes étaient grises. Veuillez utiliser uniquement une oreillette noire approuvée. Par défaut, toutes les oreillettes inutilisées au début d'une réunion seront débranchées. Lorsque votre oreillette n'est pas utilisée, veuillez la placer au milieu de l'autocollant sur la table, face vers le bas, comme indiqué sur l'image. Veuillez consulter les cartes sur la table pour connaître les lignes directrices sur la prévention des incidents acoustiques.
La disposition de la salle a aussi été modifiée, comme vous le constaterez, pour augmenter la distance entre les microphones et réduire le risque de retour de son causé par une oreillette à proximité.
Ces mesures sont en place afin que nous puissions exercer nos activités sans interruption et pour protéger la santé et la sécurité de tous les participants, y compris et surtout les interprètes, que nous remercions de leur travail.
Maintenant, chers collègues, j'aimerais vous aviser de quelques éléments dont j'aimerais que nous discutions à la fin de la rencontre.
[Traduction]
Il s'agit principalement d'une invitation au ministre au sujet de Rio Tinto et du budget principal des dépenses. Cependant, nous garderons cela pour la fin.
Oh, vous ne serez pas ici jusqu'à la fin, monsieur Perkins. D'accord. Nous pouvons alors essayer de régler le tout dès maintenant.
J'aimerais savoir si le comité de l'industrie peut poser une question à la Chambre des communes.
La dernière fois que je me suis renseigné au sujet de ces oreillettes, on m'a indiqué qu'elles sont fabriquées en Chine. Comme nous semblons nous préoccuper de la qualité sonore, nous devrions peut-être poser des questions au sujet de ces oreillettes. Ce sont celles généralement utilisées à la Chambre des communes. Peut-être qu'en notre qualité de comité de l'industrie, nous pourrions demander à quel moment exactement ces oreillettes ont été fabriquées, testées et livrées, et quand nous avons eu accès à cette technologie. L'oreillette que l'on m'a remise à la Chambre des communes a été fabriquée il y a sept ans. Peut-être que cette information sur la date de fabrication pourrait aider les responsables de notre système audio.
J'ai dû malheureusement rendre visite à un audiologiste, ici, à Ottawa, il y a deux semaines à peine. La première chose qu'il m'a dite, c'est que nous devrions nous débarrasser de ces épouvantables oreillettes qui causent des dommages considérables.
C'est particulièrement vrai pour les interprètes qui doivent les porter en permanence.
Je vais poser la question au Président. Cela ne me pose aucun problème et je n'y vois aucune objection. Merci, monsieur Masse.
Parlons maintenant de notre calendrier. Comme nous en avons convenu au comité directeur, nous devons passer une autre heure avec le ministre au sujet de Rio Tinto d'ici la fin mai. Nous devons également l'inviter avant la fin du mois de mai pour traiter du budget principal des dépenses. La greffière a demandé que le ministre comparaisse sur ces deux sujets. Cependant, le ministre, compte tenu de son horaire très chargé, n'est disponible que le 8 mai pour une heure avec le Comité. Je demande l'avis du Comité pour savoir si nous devrions l'inviter pour parler du budget principal des dépenses et ouvrir la discussion à tous les sujets, ou si nous devrions le convoquer expressément pour traiter du cas de Rio Tinto.
Il est prêt à répondre aux questions sur les deux sujets, mais le temps qu'il peut consacrer au Comité est limité. Je cherche à savoir quel avis de convocation vous souhaitez que j'envoie. Je sais que les membres du Comité ne seront pas satisfaits si nous ne recevons pas le ministre pendant une heure pour Rio Tinto et une heure pour le budget principal des dépenses. Cependant, le plus urgent, à mon avis, serait... Eh bien, en fait, le temps presse dans les deux cas, mais je privilégierais Rio Tinto. C'est mon opinion.
Je trouve cela décevant, car l'an dernier, nous nous sommes montrés indulgents envers le ministre et nous ne l'avons pas convoqué pour le budget des dépenses en raison de son calendrier de voyage. Il a été informé longtemps à l'avance de notre présente requête, et le Comité a fait preuve d'une grande souplesse pour qu'il puisse comparaître avant qu'on en fasse rapport au Parlement. C'est d'ailleurs pour cette raison que nous devrions selon moi débuter par le budget. Comme il ne sert à rien de recevoir le ministre après le dépôt du rapport au Parlement, je lui demanderais de reconsidérer sa décision et de trouver deux heures dans son horaire — si ce n'est pas à cette date, alors au moins deux heures lors de journées distinctes — pour traiter des deux questions, comme le Comité l'a demandé.
Il a su trouver amplement de temps pour rendre visite à des politiciens américains et parcourir le monde, mais il n'a pas eu le temps de venir au Comité, ce que je considère comme un manque de respect envers le Parlement et le travail du Comité. Je pense qu'il nous doit de comparaître pendant deux heures, que ce soit en une seule fois ou en deux périodes distinctes. Je demande que le Comité indique au ministre que nous préférerions qu'il comparaisse pendant deux heures, comme nous l'avions initialement demandé.
D'accord, alors d'ici là, à la lumière de ce dont nous avons convenu et par courtoisie pour M. Garon — dont la motion visant à consacrer deux heures à Rio Tinto a été adoptée par le Comité —, je propose que le 8 mai, le ministre comparaisse au sujet de Rio Tinto, et que je lui soumette une nouvelle invitation concernant le budget principal des dépenses.
J'ai énormément de respect pour le ministre, qui travaille extrêmement fort, bien visiblement. Cependant, par respect pour la procédure et pour tous les travaux que le Comité doit accomplir, ce serait la moindre des choses qu'il vienne ici pour les deux heures en question. Il est de son devoir de comparaître à la demande du Comité. Je ne vois aucune raison qui l'empêcherait de trouver deux heures à son agenda. On le voit faire des annonces partout dans le monde. S'il a besoin de nouvelles batteries, on va lui en donner. Une chose est sûre: il doit s'assurer de venir au Comité quand ce dernier le lui demande.
Je suis assez d'accord avec vous. Cela dit, quand le ministre comparaît devant le Comité, j'ai souvent de la difficulté à le faire partir, parce qu'il reste plus longtemps que prévu.
Nous allons essayer de voir avec lui ce qu’il est possible de faire. Quoi qu'il en soit, je proposerais que nous l'invitions à comparaître le 8 mai pour discuter de Rio Tinto et que nous le réinvitions pour discuter du budget principal des dépenses. Même si le ministre n'était absolument pas disponible d'ici la fin du mois de mai et que le Comité avait déjà fait rapport à la Chambre du budget, le ministre pourrait venir un peu plus tard, en juin, pour en discuter.
Je vous dirais brièvement que le budget des dépenses a aussi son importance. Comme nous sommes en train de mettre au point le projet de loi C‑27, il faut absolument que le ministre vienne discuter avec nous du budget des dépenses, car certains fonds prévus dans ce budget sont reliés à la mise en œuvre du projet de loi C‑27. Il est donc primordial que cela se fasse sans tarder.
De notre côté, nous sommes prêts à accepter que cela se fasse en deux rencontres, au besoin, à deux conditions. D'abord, il faut absolument que deux heures soient consacrées à ces questions, c'est-à-dire une heure pour discuter de Rio Tinto et une autre heure pour discuter du budget principal des dépenses. Pour nous, c'est non négociable. Bien sûr, il faut aussi tenir compte de la date maximale à laquelle le Comité doit faire rapport du budget principal des dépenses à la Chambre.
Deux heures, c'est le strict minimum pour nous, d'autant plus que le Comité a déjà été accommodant pour ce qui est de la date.
Dans ce cas, la meilleure solution serait de recevoir le ministre pour discuter du budget principal des dépenses le 8 mai, puis de trouver un autre moment d'ici la fin de la session, à une date ultérieure, pour discuter de Rio Tinto. Je pense que cela conviendrait à tous. Si les députés ont des questions pressantes sur Rio Tinto, le ministre sera quand même prêt à y répondre, même s'il sera là pour parler du budget principal des dépenses. De cette façon, nous nous gardons quand même une heure pour discuter de chacun des sujets.
C'est donc ce que nous allons faire. Merci, chers collègues.
(1115)
[Traduction]
Cela nous amène à notre ordre du jour prévoyant l'étude du projet de loi C‑27, et si je ne m'abuse, nous en étions à l'amendement CPC‑4.
Monsieur Masse, vous avez la parole au sujet de l'amendement CPC‑4.
Pour reprendre là où nous en étions au sujet de l'âge de 18 ans ou de 14 ans en ce qui concerne le consentement et tout le reste, nous pourrions peut-être récapituler. Si nous options pour l'âge de 18 ans, je me demanderais surtout comment un adolescent de 14 à 17 ans pourra faire valoir ses droits à l'égard de ses données face à son tuteur ou à quiconque pourrait avoir une opinion différente sur la façon dont ses données devraient être traitées.
Je regarde la manière dont les choses se passent, et je constate à quel point cela risque de se compliquer pour les jeunes se situant dans cette zone grise qui devront peut-être entrer en conflit avec des intervenants ayant des valeurs ou des intérêts différents au sujet de l'utilisation de leurs données par le secteur privé, si bien sûr nous allons dans ce sens‑là...
Monsieur le président, je remercie le député de la question.
[Traduction]
Je pense qu'il serait important de revenir à la page 6 du projet de loi et à l'article 4, « Représentants autorisés », où il est clairement indiqué ce qui suit:
Les droits et recours prévus sous le régime de la présente loi peuvent être exercés
— et ensuite, la partie la plus importante pour nous —
a) au nom du mineur qui n'a ni la capacité ni la volonté de les exercer personnellement, par le parent ou le tuteur;
Autrement dit, les droits et recours reviennent à la personne concernée, de sorte que le jeune de 14, 15 ou 16 ans qui veut gérer ses renseignements personnels a la possibilité de le faire, particulièrement s'il en est bel et bien capable.
Il reviendrait donc à l'entité commerciale qui reçoit les renseignements personnels de déterminer si elle souhaite remettre en question la capacité de la personne. Ce n'est sans doute pas au départ la réaction qui nous vient naturellement, parce que la personne dont on détient les données nous indique ce qu'elle veut en faire, et notre instinct nous dicte essentiellement d'acquiescer à cette requête. C'est seulement s'il y avait des préoccupations au sujet de la capacité de cette personne que l'entreprise pourrait devoir analyser de plus près la situation pour déterminer si cette personne devrait ou non pouvoir prendre une telle décision.
Passons en revue le processus. Disons, par exemple, qu'un jeune de 17 ans veut décider lui-même du sort de ses données. L'entreprise — disons Microsoft ou peu importe — devrait d'abord se plier aux souhaits de ce jeune et se conformer à sa décision, et pourrait ensuite la contester. Est‑ce le commissaire à la protection de la vie privée qui devrait alors trancher? Je cherche simplement à voir comment les choses se passeraient exactement.
Essentiellement, il est question ici d'une personne qui voudrait gérer elle-même les données qui lui sont propres. C'est d'abord et avant tout une question de recours et de droits. Imaginons qu'il s'agisse du droit à la suppression des données ou à la gestion de leur mobilité. L'entreprise recevrait les directives d'un jeune de 14 à 17 ans qui lui dirait: « Je veux que vous fassiez ceci ou cela avec mes renseignements personnels ».
Dans la grande majorité des cas, ces droits et recours ne s'appliquent pas aux utilisations principales des renseignements personnels. Comme vous y avez fait allusion d'entrée de jeu, ils interviennent généralement en lien avec le consentement quant aux usages que l'on voudrait en faire par la suite. Dans le cadre de ce processus, la personne demanderait probablement à l'organisation, en lui signifiant ses intentions, de supprimer ses renseignements personnels ou de les transmettre à une autre entité.
L'entreprise recevrait ces indications, et ne réagirait que si elle avait lieu de croire la personne incapable de prendre une telle décision. Je suppose qu'elle s'adresserait dans un premier temps à la personne concernée pour lui dire quelque chose comme: « Nous avons certaines hésitations à l'idée de supprimer vos renseignements parce que nous ne sommes pas certains que vous êtes en mesure de prendre cette décision. » Il reviendra ensuite à la personne elle-même de démontrer qu'elle est apte à agir en ce sens conformément à la Loi.
Le commissaire n'interviendrait que s'il y avait une enquête faisant suite à des doutes quant au respect des droits de la personne visée. On chercherait alors à déterminer dans quelle mesure l'entreprise s'en est remise à une entité autorisée ou à une évaluation individuelle pour en arriver à sa décision concernant la gestion des renseignements personnels.
Pour conclure, j'ai déjà été spécialiste de l'emploi pour les personnes handicapées, et il y a eu tout le mouvement Les gens d'abord du fait qu'un grand nombre de ces personnes ont été jugées inaptes à accomplir certaines choses, alors même qu'elles en étaient tout à fait capables. En quoi ces dispositions pourraient-elles s'appliquer également aux personnes handicapées? Leur situation a eu tendance à fluctuer en fonction des normes sociétales, qui ont parfois été plutôt médiocres à bien des égards. Nous en avons ajusté certaines, mais cela demeure un défi de taille. Comment ces dispositions s'appliqueraient-elles aux personnes handicapées?
C'est ici qu'entre en jeu la deuxième partie de l'article « Représentants autorisés »:
Les droits et recours prévus sous le régime de la présente loi peuvent être exercés
b) au nom de l’individu, autre qu’un mineur, frappé d’une incapacité juridique, par la personne autorisée par la loi à administrer les affaires ou les biens de celui‑ci;
Il s'agirait de décisions juridiques prises à l'égard d'une personne qui, selon les tribunaux, n'est plus apte à gérer ses affaires et au nom de laquelle un tiers désigné devrait prendre ces décisions.
Oui, parce que, comme je l'ai mentionné, il y a aussi des personnes atteintes de démence, des gens qui vivent plus longtemps, et ainsi de suite. Il y a d'autres types de problèmes de santé mentale qui vont probablement devenir plus complexes ou, à tout le moins, s'étendre à la société en général, car il ne s'agira plus seulement des personnes handicapées. Il faut aussi penser à tous les gens qui sont aux prises avec des problèmes de mémoire. Vous nous dites que la partie b) va couvrir cela.
Je vais conclure avec une dernière question, parce qu'à l'origine, la motion des conservateurs prévoyait un âge de consentement établi à 14 ans. Ensuite, l'âge a été porté à 18 ans, et j'en comprends les raisons, mais de nombreux argumentaires en faveur du consentement dès 14 ans nous ont aussi été soumis par ailleurs. Est‑ce qu'il y a d'autres témoignages qui m'auraient échappé et qui auraient fait pencher la balance pour que l'on décide de faire passer l'âge à 18 ans, ou est‑ce que les arguments les plus probants vont encore dans le sens d'un seuil fixé à 14 ans?
Je pense que le Comité a eu droit à plusieurs points de vue différents. Un certain nombre d'intervenants de l'industrie ont demandé que le seuil soit établi à 14 ans. Je crois que vous nous avez entendu faire valoir, en tant que représentants du gouvernement, qu'il pouvait y avoir encore beaucoup de renseignements pouvant se révéler délicats pour la tranche des 15 à 18 ans. En faisant passer le seuil à 18 ans, vous couvrez une plus grande quantité de renseignements qui sont susceptibles d'être de nature délicate au même titre que les renseignements concernant un mineur de moins de 14 ans.
Je crois que le tout se résume sans doute au même constat. Vous avez entendu des témoignages sur la pertinence d'un seuil à 14 ans, en particulier en provenance de l'industrie, mais je pense qu'il y a aussi des considérations qui ont été soulevées au sujet de la fourchette de 15 à 18 ans, pour laquelle il est très probable qu'une personne souhaite pouvoir se prévaloir de droits et de recours au titre de renseignements qu'elle juge confidentiels.
Merci, monsieur le président, du temps que vous m'avez accordé. Il m'a été très utile d'obtenir ces précisions pour pouvoir appuyer cet amendement en pleine connaissance de cause. J'estime que c'est la bonne façon de s'y prendre.
À l'heure actuelle, il n'y a pas de loi fédérale qui définit l'âge de la minorité ou de la majorité. Il y a seulement l'âge auquel on a le droit de voter dans une élection qui est fixé à 18 ans, mais ça n'a rien à voir avec le concept de la majorité.
En ce moment, il y a le projet de loi C‑63, sur le contenu préjudiciable en ligne, qui propose que l'âge de la majorité soit établi à 18 ans dans le contexte numérique.
Cela dit, ce sont seulement les provinces et les territoires qui, en fonction des statistiques de l'état civil, déterminent l'âge de la majorité et de la minorité au Canada actuellement.
La Loi électorale du Canada est très claire: les mineurs, ce sont les gens âgés de moins de 18 ans. Si je ne m'abuse, aux termes de cette loi, les jeunes ne sont pas des adultes avant l'âge de 18 ans.
L'âge à partir duquel on donne aux citoyens le droit de voter découle seulement d'une décision du gouvernement. Ce n'est pas vraiment associé au concept de l'âge de la majorité ou de la minorité. Aucun article de la Loi électorale du Canada n'indique que seuls les adultes peuvent voter. C'est simplement que l'âge à partir duquel on peut voter a été fixé à 18 ans. Dans ce contexte, il n'est pas question de définir l'âge de la minorité ou de la majorité ni de définir le concept d'enfant ou d'adulte. On parle uniquement de la capacité de voter.
Je suis d'accord, mais c'est aussi un concept que de fixer, dans un projet de loi comme celui-ci, l'âge de la majorité à 18 ans, c'est-à-dire l'âge jusqu'auquel on sera assujetti à une loi en ce qui a trait à la vie privée.
J'ai eu des conversations avec des personnes de différents âges au sujet de l'âge auquel une personne est apte à prendre des décisions pour elle-même. Évidemment, les réponses différaient, parce que la conception qu'on s'en fait varie d'une personne à l'autre.
Je me reporte au début du XXe siècle, ou même à une période où, il y a 35 ans, Internet n'existait pas. Je ne connais pas votre âge, mais, personnellement, j'ai 62 ans. Il y a 25 ans, nous n'avions pas les outils de communication que nous avons aujourd'hui. Cela nous rend-il plus intelligents? Je n'en suis pas sûr. Quand nous étions adolescents, nous n'avions pas les mêmes outils. Aujourd'hui, plusieurs jeunes ont accès à ces outils en très bas âge. Dans certains cas, c'en est presque dangereux. Selon moi, avoir accès à ces outils technologiques ne rend pas les jeunes plus responsables.
Selon les conversations que j'ai eues à cet égard, l'âge de 18 ans demeure une certaine évidence, en théorie. On peut bien inscrire 14, 15 ou 16 ans dans une loi, mais, ce qui est généralement reconnu dans les pays occidentaux, c'est 18 ans. C'est naturel, en quelque sorte.
Pour notre part, nous proposons que le projet de loi fixe l'âge à 18 ans. Ce n'est pas contraignant. Ça oblige les jeunes à respecter la loi, évidemment, mais ça nous donne une plus grande marge de manœuvre. Quand nous légiférons, nous nous devons de penser aux jeunes qui sont plus sensibles, plus attaquables, d'une certaine manière, ou plus naïfs. Peu importe le qualificatif qu'on peut leur donner, nous nous devons de protéger ces jeunes. Notre rôle, d'une certaine manière, c'est d'être les gardiens de ces jeunes. C'est la raison pour laquelle nous pensons que cet amendement est important, malgré le fait que la loi 25, au Québec, établisse cet âge à 14 ans.
Sur le plan de l'uniformité ou de l'interopérabilité, j'aimerais savoir quel âge a été fixé dans les différentes lois non seulement au Canada, mais aussi à l'étranger, que ce soit aux États‑Unis ou dans l'Union européenne.
À l'international, il existe quelques approches pour établir les droits et les responsabilités en ce qui concerne les renseignements personnels des enfants. Par exemple, le code visant les enfants en Angleterre établit l'âge de la majorité à 18 ans. Il y a donc une interopérabilité assurée entre le projet de loi canadien et cette approche.
Il est important de reconnaître que, dans le contexte de ce projet de loi, l'âge est important en raison du fait que tous les renseignements qui concernent les enfants ou les mineurs sont de nature sensible.
Il n'y aura donc pas vraiment de problème sur le plan de l'interopérabilité. Les organisations au Canada vont se conformer aux dispositions prévues dans le projet de loi C‑27, qui reconnaît la nature sensible des renseignements des enfants. Puisque le Canada établit un niveau élevé, ça constitue une bonne base permettant de se conformer à toutes les autres approches législatives dans d'autres pays. Si les dispositions prévues dans le projet de loi C‑27 sont respectées au Canada, les organisations auront la capacité de se conformer à la loi en vigueur en Angleterre, et peut-être même dans l'Union européenne.
De toute évidence, 14 ans, ce n'est pas suffisant, selon nous, parce que les renseignements personnels des adolescents de 15 à 18 ans sont aussi de nature sensible.
Je voudrais juste demander une précision pour être certain de bien comprendre l'amendement.
D'abord, vous avez comparé le projet de loi à ce qui se faisait ailleurs dans le monde. Je précise que c'est 13 ans au Québec. C'est donc même en deçà de l'âge de 14 ans proposé originalement.
Supposons qu'une jeune femme ou un jeune homme veuille faire supprimer des informations fâcheuses à son sujet. Selon l'amendement, si j'ai bien compris, il ou elle devrait absolument ou fort probablement le faire par l'entremise de ses parents, n'est-ce pas?
Si j'ai bien compris, si cet amendement est adopté, les droits et recours reviendront au parent ou au tuteur lorsque l'enfant d'âge mineur n'aura pas la capacité ou la volonté de les exercer lui-même. Toutefois, si l'adolescent a la capacité de le faire, il pourra exercer ses droits ou ses recours.
C'est un terme qui est bien utilisé par les cours. Il existe des tests de capacité qui font jurisprudence pour déterminer, selon certains facteurs, si une personne est dotée d'une certaine capacité.
Comme il n'y a pas d'autres interventions au sujet de l'amendement CPC‑4, nous sommes prêts à le mettre aux voix, à moins qu'il y ait consentement unanime pour l'adopter.
Nous allons donc procéder à un vote par appel nominal.
Je rappelle qu'au moment de proposer son amendement, M. Vis l'a modifié pour que ce soit bien 18 ans, et non 14 ans comme dans la version papier qui avait été soumise.
(L'amendement est adopté par 10 voix contre 1. [Voir le Procès-verbal])
Avant que M. Williams ne le propose, je tiens à informer les députés que si l'amendement CPC‑5 est adopté, l'amendement BQ‑1 sera irrecevable, car il porte sur les mêmes lignes du projet de loi.
Je vais maintenant permettre à M. Williams de proposer l'amendement CPC‑5.
Je veux parler de tous les amendements, car je pense qu'ils sont très importants. Lorsqu'il est question ici de renseignements personnels, nous avons notre premier amendement, qui porte sur l'inclusion de renseignements inférés au sujet d'un individu identifiable. Cependant, j'estime important de faire également état dans mon exposé de certains des autres amendements. Il est probable que cette discussion — et je sais qu'il y aura un vote — nous permettra de nous entendre sur une sorte de regroupement, comme nous l'avons fait pour d'autres amendements par le passé.
Je vais commencer par le sujet actuel de nos échanges. Lorsque nous traitons de renseignements personnels, nous discutons de « tout renseignement concernant un individu identifiable », mais lorsqu'il est question de la Loi sur l'intelligence artificielle et les données, de l'ère de l'intelligence artificielle et des mégadonnées, nous avons jugé nécessaire d'inclure les renseignements pouvant être obtenus par inférence.
Le commissaire à la protection de la vie privée a indiqué ce qui suit:
... les inférences peuvent mener à de nombreuses révélations, notamment en matière d'affinité politique, d'intérêts, de classe sociale, de race, etc. Il s'agit d'un élément important, car une mauvaise utilisation de ces renseignements peut entraîner des préjudices pour les individus et les groupes au même titre que les renseignements recueillis — une position qu'a confirmée la Cour suprême dans l'arrêt Ewert c. Canada. En fait, comme l'a souligné l'ancien groupe de travail européen portant sur l'article 29 en matière de protection des données, la plupart du temps, ce ne sont pas les renseignements personnels recueillis qui sont de nature sensible, mais plutôt les inférences qu'on en tire et les moyens utilisés pour y arriver, ce qui pourrait représenter une source d'inquiétude ».
Il a ajouté:
Les décisions antérieures du CPVP et la jurisprudence canadienne appuient généralement l'affirmation selon laquelle les inférences constituent des renseignements personnels. Par exemple, le CPVP a conclu que les cotes de solvabilité constituent des renseignements personnels (Rapport des conclusions en vertu de la LPRPDE no 2013‑008, entre autres), de même que les inférences au titre de la Loi sur la protection des renseignements personnels (Divulgation accidentelle par Santé Canada, par. 46). Cette interprétation concorde avec celle qu'a donnée la Cour suprême au sujet des renseignements personnels, qui comprennent les inférences et les hypothèses découlant des renseignements.
Le commissaire à la protection de la vie privée nous a parlé de cas antérieurs à ce sujet.
Il a ajouté:
Compte tenu de ces divergences, nous sommes d'avis qu'il y a lieu de rendre la loi plus claire en ajoutant expressément les inférences dans la définition des renseignements personnels. Cette inclusion s'accorderait avec les lois modernes sur la protection des renseignements personnels, comme la California Consumer Privacy Act (CCPA)...
Normalement, je considère le Règlement général sur la protection des données comme l'étalon‑or. Nous estimons toutefois que l'exemple de la Californie est le meilleur qui soit en ce qui concerne les renseignements personnels.
Par ailleurs, lorsque nous parlons de renseignements personnels, l'une des faiblesses de la définition est sa vaste portée qui peut englober un large éventail de données, y compris des renseignements qui ne permettent pas toujours d'identifier directement une personne. Cela peut mener à de l'ambiguïté et à une difficulté à déterminer ce qui constitue des renseignements personnels, surtout dans les cas où des éléments de données sont combinés ou analysés de façon globale.
De plus, la définition ne tient peut-être pas suffisamment compte des technologies émergentes et des formes de données qui pourraient être repersonnalisées, comme c'est le cas pour les dispositifs de l'Internet des objets ou les données anonymisées dont nous avons déjà parlé.
Outre l'inclusion de l'inférence, nous pourrions améliorer la définition en nous inspirant davantage du modèle californien pour y intégrer des critères ou des exemples précis permettant de se faire une meilleure idée de ce qui constitue des renseignements personnels. De plus, l'ajout de dispositions relatives aux technologies émergentes et aux nouveaux types de données rendrait la Loi plus facilement applicable et consultable.
Pour ce qui est de la définition fournie dans la loi californienne, elle prévoit que les renseignements personnels comprennent, sans s'y limiter, tout renseignement qui identifie ou décrit un consommateur ou un ménage en particulier, ou qui pourrait raisonnablement lui être associé, directement ou indirectement.
Il y a par ailleurs des exemples que j'estime très importants. On indique ainsi que cela comprend, sans s'y limiter, les noms, les adresses postales, les adresses de courriel, les numéros d'assurance sociale, les numéros de permis de conduire, les numéros de passeport, les numéros de compte financier, les numéros de carte de crédit, les renseignements biométriques, les données de géolocalisation, les adresses de protocole Internet, les identifiants d'appareils, l'historique de navigation et tout autre renseignement qui pourrait raisonnablement être utilisé, seul ou en combinaison avec d'autres données, pour identifier une personne ou un ménage.
Nous disons qu'il est nettement préférable de parler de renseignements personnels lorsqu'il est question de protection de la vie privée, parce que cela nous renvoie à des êtres humains, mais le fait de donner des exemples permet au commissaire à la protection de la vie privée, lorsqu'il se penche sur un cas, de se référer à des situations bien précises, puis de faire valoir des concepts mieux définis une fois rendu devant un tribunal.
Monsieur Schaan, je vais d'abord m'adresser à vous relativement aux renseignements inférés tels qu'ils sont définis dans l'amendement dont nous sommes saisis. Est‑ce que cet amendement suffirait à faire en sorte que ces renseignements inférés soient protégés au même titre que les renseignements personnels par l'ensemble des mesures prévues dans le projet de loi?
Monsieur le président, je remercie le député de sa question.
[Traduction]
Selon ce que nous comprenons, l'amendement CPC‑5 codifie l'interprétation actuelle de « renseignement personnel » par le CPVP — lequel, comme le député l'a souligné, a également été codifié par la Cour suprême — afin d'inclure tout renseignement inféré. Nous considérons donc que cela est conforme à l'approche actuelle. L'amendement codifie la loi telle qu'elle est actuellement, tant sur le plan de la jurisprudence que sur celui de la compréhension de l'organisme de réglementation.
Peut-être avez-vous déjà répondu à ma question, mais avec cette nouvelle définition, les renseignements personnels sont-ils toujours réglementés de façon à inclure les renseignements inférés, comme le font les lois sur la protection des renseignements personnels de la Californie et de l'Australie?
Le terme « renseignement inféré », codifié de cette façon, cadrerait avec un certain nombre de pratiques exemplaires internationales en ce qui concerne la compréhension des renseignements personnels, y compris la loi de la Californie, mais aussi le Règlement général sur la protection des données de l'Union européenne et la loi 25 du Québec.
Je sais que nous examinons cette disposition, mais comme on l'a vu précédemment, certains pensent que son adoption rendrait caducs les trois autres amendements ou dispositions. Comme j'ai proposé de s'intéresser à l'article de la loi sur la protection des renseignements personnels de la Californie pour répertorier certains cas d'utilisation des renseignements personnels, cet amendement correspondrait‑il à ce qui, selon vous, renforcerait le projet de loi?
Monsieur le président, je pense que c'est un domaine où les détails auront énormément d'importance. Je pense que nous avons déjà parlé au Comité des listes exhaustives par rapport aux listes non exhaustives, les listes étant indicatives, mais pas exclusives. Dans la mesure où un amendement précise ce qu'est un renseignement personnel, nous considérons que c'est en fait limitatif parce qu'à l'heure actuelle, la définition, y compris avec cet amendement, sera encore assez largement interprétable en ce sens qu'elle fait référence aux renseignements relatifs à un individu identifiable, et l'amendement modifierait ensuite cette définition pour y inclure expressément le terme « inféré ». Cependant, si on commençait à dresser une liste de technologies ou de domaines potentiels, cela dépendrait beaucoup de la formulation, car parfois, en raison de la formulation de certains amendements, la liste devient en fait définitive, ce qui signifie qu'elle ne peut pas être élargie au fil du temps. Il faut formuler les amendements adéquatement pour s'assurer que la liste joue un rôle indicatif et illustratif, et est non exhaustive. C'est un domaine dans lequel les lignes directrices et la jurisprudence du CPVP peuvent souvent combler cette lacune — en particulier parce qu'elles peuvent suivre l'évolution de la technologie —, au lieu d'intégrer dans la loi des éléments qui pourraient ne pas rester à jour.
Je suis d'accord avec ce point de vue, car je pense que par le passé, nous avons été en désaccord en ce qui concerne la réglementation, qui ne définit peut-être pas les termes. Cependant, pourrait‑on utiliser les mots « tel que »? Existe‑t‑il une expression qui permettrait à cette liste de ne pas être limitée et d'être exhaustive, comme vous le disiez?
De façon générale, les mots « comprend, sans s'y limiter » peuvent être utiles pour certaines de ces indications. Cependant, il faudrait que je voie le libellé comme tel, car le défi consiste à ne pas se limiter aux éléments qu'on s'apprête à énumérer.
Monsieur le président, je ferais remarquer que nous proposons l'amendement NDP‑4. Nous le soulignons maintenant parce que si nous adoptons cette première motion, nous éliminerons cet amendement. Il propose un libellé qui indique notamment ce qui suit:
nant un individu qui peut être utilisé pour l’identifier, directement ou indirectement, notamment son nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Cependant, ce que nous voulons, c'est un libellé qui indique « tel que » ou « pourrait inclure ». N'est‑ce pas ce que nous cherchons? C'est probablement le libellé que nous voulons.
Je céderai la parole à mon collègue, mais vous avez raison: actuellement, ce qui nous inquiète au sujet de l'amendement NDP‑4, c'est qu'il serait considéré comme une liste fermée parce qu'il contient « notamment » et énumère ensuite divers éléments, au lieu d'indiquer quelque chose comme « comprend, sans s'y limiter ».
Je pense qu'il importe de reconnaître également que la liste peut être formulée de manière à en limiter involontairement la portée. Dans le cas présent, ce qui attire particulièrement notre attention, c'est qu'en plus des problèmes soulevés par M. Schaan, ce libellé pourrait réduire involontairement l'éventail de renseignements personnels parce qu'il n'énumère que ceux qui sont utilisés pour identifier un individu. Voilà qui pourrait exclure une série de catégories très importantes de renseignements qui sont actuellement considérés comme des renseignements personnels en vertu de la loi. Un individu qui effectue certaines recherches ou qui visite certains sites Web en ligne ne fournit peut-être pas d'informations qui l'identifient, mais ils le concernent.
Selon la définition actuelle de renseignement personnel, il s'agit de renseignement concernant un individu identifiable, tandis qu'ici, dans l'amendement NDP‑4, il est question de renseignement « qui peut être utilisé pour l’identifier, directement ou indirectement ». Cela nous ramène à ce que M. Schaan a dit sur le fait que les définitions doivent être formulées de manière à être les plus inclusives et les plus larges possible pour permettre à la jurisprudence d'évoluer et au CPVP de publier des lignes directrices afin de permettre à l'industrie de mieux comprendre ce que ce terme signifie, sans toutefois nous lier les mains du point de vue législatif.
Si nous nous référons au code de la Californie, nous constatons qu'il stipule que les renseignements personnels comprennent, mais sans s'y limiter, tout renseignement qui identifie un consommateur ou un ménage précis, le concerne ou est raisonnablement susceptible d'y être associé. Cette définition plus longue est suivie d'une liste d'exemples.
Devrions-nous envisager ce genre de définition? Encore une fois, nous parlons d'un côté de renseignement « inféré ». Cependant, plus loin dans la liste, je crois que c'est l'amendement du Bloc qui propose d'indiquer « un individu ou un groupe identifiable ».
Si nous examinons le code de la Californie, nous constatons que les législateurs ont vraiment bien formulé la première partie de la définition. Cette formulation engloberait-elle tous les amendements que nous avons examinés?
À l'heure actuelle, c'est le mot « concernant » dans la Loi sur la protection des renseignements personnels et les documents électroniques qui accomplit ce que fait la longue description du code californien, et du point de vue des tribunaux, ce mot a suffi pour englober un large éventail de renseignements directs et inférés sur des individus. C'est ainsi que les tribunaux ont rendu des décisions sur des renseignements inférés et des adresses IP. Par conséquent, « concernant » a été suffisant, du point de vue de la jurisprudence et de l'orientation, pour accomplir tout ce que la Californie a essayé de faire avec une liste beaucoup plus longue.
Bien sûr, l'établissement d'une liste beaucoup plus longue pose deux problèmes. Premièrement, on passe de « concernant » à autre chose. Les tribunaux ont tendance à adopter une approche rationnelle en statuant que les gens ont agi intentionnellement. Il est donc évident... Qu'est‑ce qui est différent entre « concernant » et cette nouvelle liste qui laisse entendre que « concernant » ne vous satisfaisait pas? Deuxièmement, étant donné que la liste est maintenant beaucoup plus longue, il faut évidemment se demander si elle est exhaustive. Est-elle maintenant potentiellement trop restrictive, alors qu'on règle la question en utilisant « concernant » avec de bons résultats, tant au CPVP que dans les tribunaux?
C'est toujours le problème quand on insère quelque chose qui ne fait qu'ajouter des mots: cela ne fait peut-être pas plus de travail que le mot « concernant » dans la définition actuelle.
Je vais simplement apporter une précision, que vous avez mentionnée. Si l'amendement CPC‑5 est adopté, l'amendement BQ‑1 ne pourra pas être proposé, mais les amendements NDP‑4 et NDP‑5 pourront quand même l'être.
Je pense que nous sommes en train de jouer une partie de serpents et échelles avec tous ces allers-retours. Ce que nous voulons ici, c'est améliorer le projet de loi, mais pas le rendre pire. Je remercie les conservateurs d'avoir proposé cet amendement. Si nous optons pour l'amendement NDP‑4 et que nous ajoutons « sans s'y limiter », serait‑ce une meilleure solution?
Malheureusement, le libellé de l'amendement NDP‑4, comme l'a dit M. Chhabra, est « utiliser pour l'identifier », contrairement à la définition actuelle, qui dit « concernant ». Le mot « concernant » a une portée plus vaste que « utiliser pour l'identifier ». Le mot « concernant » sous-entend des éléments généraux sur la personne, et c'est là où la notion de renseignements inférés s'applique pour les tribunaux. Par conséquent, si nous revenons aux mots « identifier pour l'utiliser »... Le libellé pose problème, car il faut garder le mot « concernant » quelque part pour que ce soit plus général.
Si nous voulons renforcer la définition comme nous essayons de le faire ici, sur quel amendement devrions-nous nous baser? Nous avons exclu l'amendement NDP‑4, ce qui est correct.
Encore une fois, je pense que nous essayons tous d'atteindre le même objectif.
L'amendement CPC‑5 évite ce problème, de même que l'amendement NDP‑5. Les amendements BQ‑1 et NDP‑4 modifient la définition. L'amendement BQ‑1 introduit l'idée de droits collectifs, ce qui, à mon avis, modifierait profondément la définition de « renseignements personnels » comme on l'entend actuellement au pays et ailleurs.
Les amendements CPC‑5 et NDP‑5 codifient tous les deux l'inclusion des renseignements inférés, au lieu d'avoir une définition de renseignement personnel qui se limite à l'identification de l'individu, parce que, encore une fois, l'identification n'est que la moitié de la bataille ici. Il y a aussi l'inférence ou les généralités concernant la personne, ce qui va au‑delà de sa simple identification.
C'est bien. Encore une fois, il s'agit d'atteindre le résultat attendu. Je pense que l'amendement NDP‑5 est préférable, mais nous voulons tous atteindre le même objectif.
Je vous remercie beaucoup. Ce sont des renseignements très utiles. Je vais céder la parole au président.
Nous pourrions appuyer l'amendement CPC‑5, mais selon les questions de M. Williams, si je ne m'abuse, les renseignements inférés seraient déjà inclus dans l'interprétation de la LPRPDE et du RGPD de l'Union européenne.
Oui. Selon l'interprétation actuelle du commissaire à la protection de la vie privée et des tribunaux, les renseignements personnels tels que définis dans la LPRPDE actuellement, ce qui s'applique à la LPVPC, incluent les renseignements inférés.
Le fait de les inclure n'ajoute donc pas grand-chose, sauf peut-être pour apporter une plus grande précision, comme vous le dites tous parfois. C'est une expression qui revient souvent dans ce comité. Cela pourrait en fait améliorer légèrement le projet de loi en étant un peu plus explicite sur l'inclusion des renseignements inférés. Diriez-vous que c'est un peu...
J'ai bien compris toutes les questions sur les autres amendements qui ont été proposés, et nous y reviendrons peut-être dans un instant, mais nous pourrions sans doute voter sur cet amendement. Je suis prêt à appuyer l'amendement CPC‑5.
J'aimerais une précision. Je pense qu'il a été question d'inclure les mots « sans s'y limiter ». Monsieur Schaan, avez-vous dit plus tôt que vous souhaitiez que ce soit inclus dans cet amendement?
Puisque l'amendement CPC‑5 vient d'être adopté, l'amendement BQ‑1 est maintenant irrecevable en raison du conflit de lignes que j'avais mentionné.
Cela nous amène à l'amendement NDP‑4.
Avant de céder la parole à M. Masse, je veux simplement l'informer que, si l'amendement NDP‑4 est adopté, l'amendement NDP‑5 ne pourra pas être proposé, en raison d'un conflit de lignes, encore une fois.
[Traduction]
Vous allez devoir choisir lequel vous voulez proposer, parce que si l'amendement NDP‑4 est adopté, l'amendement NDP‑5 ne pourra pas être proposé.
Monsieur le président, je pense que nous avons eu une bonne discussion. Je peux laisser tomber les amendements NDP‑4 et NDP‑5. Je suis à l'aise avec la discussion que nous avons eue et la solution que nous avons trouvée.
L'amendement CPC‑6 ajoute, après la ligne 11 de la page 5, la définition suivante du terme « profilage »:
S'entend de toute forme de traitement automatisé de renseignements personnels consistant à utiliser ces renseignements pour évaluer certains aspects personnels relatifs à un individu, notamment pour analyser ou prédire des éléments concernant son rendement au travail, sa situation économique, sa santé, sa fiabilité, son comportement, sa localisation ou ses déplacements.
Dans le mémoire qu'il a présenté au Comité au sujet du projet de loi C‑27, le commissaire à la protection de la vie privée du Canada souligne une lacune de celui-ci. « Contrairement au Règlement général sur la protection des données (RGPD) de l'Union européenne et à d'autres lois modernes sur la protection des renseignements personnels en Californie et au Québec », dit-il, le projet de loi C‑27 ne contient pas de dispositions obligeant les organisations à prendre des mesures de protection contre le profilage effectué par des systèmes automatisés de décision. Selon le libellé du projet de loi, des obligations s'appliqueraient aux organisations seulement lorsqu'elles utilisent des systèmes automatisés de décision pour prendre des décisions, formuler des recommandations ou faire des prédictions en ce qui concerne une personne. Or, comme le commissaire le souligne, « bien que le profilage puisse être implicitement inclus dans les recommandations ou les prédictions, ne pas le mentionner explicitement dans la [loi proposée] risque d'ajouter une ambiguïté inutile qui pourrait donner lieu à une lacune importante » en matière de protection de la vie privée. Ainsi, « l'obligation de transparence pourrait ne pas s'appliquer à des activités souvent opaques comme le courtage de données — vendre ou rendre accessibles [...] des ensembles de données sur des individus à l'insu de ceux-ci —, alors que ce serait particulièrement nécessaire ». On ne dit pas clairement « non plus si les obligations s'appliqueraient aux environnements numériques personnalisés », comme le métavers, dans le cas de Facebook.
Bien que le projet de loi C‑27 tel qu'il est rédigé actuellement ne comprenne aucune mention du terme « profilage », les conservateurs proposent deux amendements qui utilisent ce terme, alors c'est ce qui rend nécessaire l'ajout de cette définition.
L'amendement CPC‑6 vise donc à ajouter dans le projet de loi une définition du terme « profilage » dans le but d'appuyer d'autres amendements des conservateurs qui utilisent ce terme. Ces amendements visent à permettre aux personnes d'interjeter appel des décisions automatisées à leur égard lorsqu'elles ont fait l'objet d'un profilage et à introduire une exigence selon laquelle les organisations sont tenues d'expliquer, en langage clair, la façon dont leurs systèmes automatisés de décision font du profilage dans les groupes sélectionnés.
Si vous me le permettez, monsieur le président, j'aurais une question à poser aux témoins.
Le commissaire à la protection de la vie privée du Canada et les intervenants du Centre pour les droits numériques se sont dits préoccupés par les lacunes existantes en matière de prise de décision.
À l'heure actuelle, le projet de loi comporte-t-il d'autres lacunes liées au traitement automatisé ou à la prise de décision?
Bien qu'il n'y ait pas une définition du terme « profilage » dans le projet de loi, ce concept est déjà inclus, selon nous, dans les obligations et les exigences relatives aux systèmes automatisés de décision. Cependant, s'il y avait un désir d'indiquer de façon explicite que les décisions automatisées incluent des possibilités de profilage, je pense que ce serait un bon ajout au projet de loi.
Le Règlement général sur la protection des données de l'Union européenne et d'autres lois font des distinctions quant au profilage en ce qui concerne les paramètres de groupe.
Pour ce qui est des renseignements personnels, y a-t-il d'autres articles du projet de loi qui ne tiennent pas compte de l'option de retrait d'un individu lorsqu'un groupe dont il fait partie choisit de s'y inscrire? En d'autres termes, à partir du moment où une personne se retrouve à l'intérieur d'un groupe, est-il possible pour elle de se retirer de ce groupe?
Le projet de loi C‑27 donne aux personnes le droit de demander que des renseignements personnels à leur sujet qui sont présentés sous une forme qui permet encore de les identifier soient supprimés d'une base de données.
Cependant, comme nous en avons discuté au début, si ces renseignements sont anonymisés, il n'existe plus de renseignements sur un individu, alors il n'y a pas lieu de faire une telle demande.
On ne définit pas le profilage dans le projet de loi, alors qu'on sait très bien que ça a lieu, indirectement. J'irais même jusqu'à dire que le profilage racial est très important pour plusieurs fournisseurs de services qui font de la collecte massive de données. Je ne veux pas entrer dans un débat, mais on a vu à plusieurs reprises, à Montréal particulièrement, toute la question du profilage racial dans le dossier de la sécurité publique.
Inévitablement, des individus se retrouvent associés à certains groupes profilés en fonction d'éléments de leur vie privée, comme la race ou l'âge. L'absence d'une définition extrêmement explicite du profilage dans le projet de loi pourrait-elle faire courir un risque à ces individus, qui sont profilés sans même le savoir et qui n'auront donc pas la possibilité de contester la loi dans l'avenir, d'une façon ou d'une autre?
Comme on le disait en parlant de l'amendement précédent, on entend par renseignements personnels non seulement les renseignements servant à identifier un individu, mais bien tous les renseignements qui le concernent. Alors, ça inclut vraiment le concept de profilage. Si des renseignements sur un individu sont conservés dans une base de données et qu'on s'en sert pour créer un profil, ou même que certains fournisseurs les utilisent à des fins de marketing ou de publicité, ça demeure des renseignements personnels qui concernent un individu, alors celui-ci bénéficie encore de tous les droits et recours en matière de protection des renseignements personnels.
Étant donné que les renseignements inférés sont inclus dans la définition des renseignements personnels et qu'il existe une proximité entre la notion de renseignement inféré et le concept de profilage, celui-ci y serait donc inclus aussi.
Comme mon collègue vient de le dire, si ces renseignements sont utilisés pour créer un profil, c'est aussi pour générer par inférence de l'information à propos d'un individu selon son appartenance à un groupe.
Je comprends donc que vous n'êtes pas contre notre proposition d'inclure cette définition dans le projet de loi. Selon nous, c'est essentiel. Êtes-vous du même avis?
Selon nous, la définition proposée dans le projet de loi inclut déjà la notion de profilage, mais ce ne serait pas une mauvaise chose que d'y ajouter ce concept. Ce serait d'autant plus utile que d'autres amendements que les conservateurs souhaitent proposer s'appuient sur le concept de profilage.
Selon notre interprétation du projet de loi, la définition inclut déjà ce concept, mais ce serait bien de l'y ajouter à des fins de précision.
Ce sont des exigences de transparence. Essentiellement, les organismes qui utilisent des systèmes décisionnels automatisés doivent mentionner aux utilisateurs qu'ils les utilisent. Une fois qu'une décision est prise à l'aide d'un tel système, un individu peut aussi demander que la décision soit expliquée. Comment, exactement, ses renseignements personnels ont-ils été utilisés pour en arriver à la décision prise par le système?
Ce sont les deux exigences relatives aux systèmes décisionnels automatisés.
C'est semblable à la notion de renseignements inférés, qui était déjà incluse dans le projet de loi, d'une certaine façon, mais le fait de l'ajouter explicitement ne nuit pas nécessairement à son interprétation.
Je reviens au bon travail que le Comité a fait en plaçant d'emblée l'intérêt supérieur de l'enfant au premier plan dans les futures mesures législatives.
Je pense à mon fils de quatre ans. Le ministère reconnaît‑il que des entreprises cherchent à établir le profil des enfants qui peuvent mettre la main sur le iPad de leurs parents et vouloir qu'on leur achète les derniers jouets de la Pat'Patrouille? La Pat'Patrouille est partout. Il est bien connu que les entreprises qui ont accès à la licence de la Pat'Patrouille font du profilage et essaient d'amener les parents comme moi à acheter des jouets vraiment médiocres qui remplissent mon sous-sol et que je trouve sous mon divan.
Bien évidemment, le profilage comme moyen d'obtenir des renseignements personnels, de les automatiser d'une certaine façon et de les utiliser pour vendre des produits à une personne nécessiterait que la personne soit informée du fait qu'un système décisionnel automatisé est utilisé et qu'elle sache quels renseignements personnels sont utilisés pour parvenir à la décision.
Comme nous avons établi que les renseignements sur les enfants sont de nature sensible, les sociétés seraient tenues d'adopter des programmes de gestion de la protection des renseignements personnels adéquats pour veiller à ce que les renseignements sensibles, par exemple, concernant votre enfant de quatre ans, ne soient pas utilisés de façon inappropriée. Il s'agit de savoir comment on les protège et comment on établit les liens. Le fait d'établir des liens avec vos renseignements, par exemple, pourrait être acceptable dans certaines circonstances, mais il faudrait que la façon d'obtenir le consentement et comment on l'utilise soient clairs.
Si le projet de loi C‑27 est adopté, certains des amendements déjà adoptés permettraient-ils d'avoir les mesures de protection nécessaires pour mettre fin à cette pratique commerciale?
Encore une fois, c'est sans savoir en quoi consistait l'entente de service initiale avec la personne. Ils doivent vous dire en langage clair et simple quand des renseignements sont recueillis, quand le compte de votre enfant de quatre ans est créé, et c'est ce que le projet de loi C‑27 exigera: « Voici ce que nous allons faire avec vos renseignements, êtes-vous à l'aise avec cela? »
Tout d'abord, comme il s'agit d'un enfant de quatre ans, cela signifie que c'est vous qui prenez la décision. Je suis sûr que votre enfant de quatre ans est probablement très intelligent, mais il ne répondrait probablement pas aux critères de capacité établis par la Cour suprême pour prendre des décisions par lui-même. Vous prendriez la décision de dire que vous êtes prêt à leur transférer ces renseignements.
Il y a des règles sur ce qui se passe ensuite. Ce serait en grande partie basé sur ce à quoi vous avez dit oui. Ils pourraient vous revenir en disant: « Il semble que vous ayez un enfant de quatre ans chez vous. Je parie que vous aimez beaucoup la Pat'Patrouille. Vous devriez en voir ou en acheter plus. » Cela dépendrait de ce à quoi vous avez consenti au départ.
Mon enfant a un iPad, et ne me jugez pas, s'il vous plaît. Il l'utilise parfois la fin de semaine, peu importe, cela arrive, et ce genre de choses se produit avec la Pat'Patrouille. Je sais que M. Généreux rit, car c'est pareil avec ses petits-enfants. C'est un fait; je suis allé chez lui et j'ai vu des jouets de la Pat'Patrouille.
L'autre scénario, c'est que, chez moi, j'ai l'application Alexa d'Amazon. Encore une fois, ne me jugez pas, mais c'est ma vie. Mes enfants font jouer toutes sortes de musique bizarres comme des chansons de grenouilles en ce moment. Je n'en reviens pas. Il y a aussi mon iPhone et mon Samsung qui m'écoutent, et tout semble relié.
Samedi soir, nous cuisinions des mets philippins, et ma femme disait à mes enfants pourquoi nous faisons les choses d'une certaine façon, que cela faisait partie de sa culture. Le lendemain, sur Facebook, nous avons vu apparaître des reels sur des mets philippins. C'est un fait, et cela arrive à tout le monde. Les reels que j'écoute portent souvent sur le rugby, la politique et la cuisine philippine, alors voilà.
L'autre scénario qui me préoccupe concerne les enfants. Je ne crois pas que cette loi va mettre fin à tout ce qui nous inquiète tous à leur sujet. Toutes ces choses se disent à la maison, et la plupart d'entre nous ont probablement un appareil Google ou Alexa chez eux, car ils sont maintenant omniprésents. Nous ne pourrons pas mettre fin à tous les types de profilage, même si nous avons des mesures de protection très solides et un libellé clair dans le projet de loi, parce que les entreprises auront toujours beaucoup de moyens pour contourner l'intention de la loi. Il faudra attendre que les tribunaux statuent dans des affaires pour passer à l'étape suivante et mieux protéger les enfants.
Les directives et la jurisprudence aideront à préciser les responsabilités qui résulteront ou qui sont définies et adoptées dans ce projet de loi. En établissant le paramètre général que les renseignements sur les enfants ou sur les personnes âgées de moins de 18 ans sont de nature sensible — et en fixant ainsi une barre plus haute pour leur traitement, leur protection et leur utilisation —, je pense que ce sont les lignes directrices et la jurisprudence qui viendront ensuite préciser la façon pour les entreprises de répondre à cette obligation.
La mesure dans laquelle les technologies modernes et nouvelles... Et c'est pourquoi il est très important que la loi demeure neutre sur le plan technologique, car il y aura de nouveaux outils qui permettront d'utiliser les renseignements de façons que nous ne pouvons pas prévoir à l'heure actuelle. Les définitions générales, comme le fait de mentionner que les renseignements personnels sont des renseignements concernant une personne, ou qu'un système décisionnel automatisé utilise des renseignements pour prendre automatiquement une décision à votre sujet, sont utiles parce qu'elles signifient que les gens sont tenus de respecter ces normes.
Je conviens que chacune de ces utilisations sera liée à ce à quoi vous avez consenti, à ce que vous avez accepté, à ce que vous avez dit et à ce qui se passe avec vos renseignements personnels. Les concepts généraux qui sont établis, en particulier aujourd'hui, incluent l'inférence et les fonctions qui font en sorte que vos renseignements peuvent se trouver dans un ensemble de données plus vaste encore utilisé pour prendre des décisions à votre sujet, ce qui veut dire vous pouvez avoir des recours ou un droit en ce qui concerne votre vie privée.
Comme aucun autre intervenant ne semble vouloir discuter de l'amendement CPC‑6, nous sommes prêts à le mettre aux voix.
Cela dit, je vois que M. Masse et M. Williams ne sont pas ici en ce moment. Dans ce cas, nous pourrions procéder par consensus.
[Traduction]
Y a‑t‑il consensus dans la salle sur l'amendement CPC‑6?
(L'amendement est adopté.)
Le président: Cela nous amène à l'amendement CPC‑7.
Monsieur Masse et monsieur Williams, nous avons adopté l'amendement CPC‑6 par consensus. J'espère que cela vous convient à tous les deux, car c'est déjà fait.
Au sujet de l'amendement CPC‑7, j'ai M. Perkins, mais je présume que c'est quelqu'un d'autre du côté conservateur qui le propose.
Je ne pensais pas que nous en arriverions là aujourd'hui.
Cet amendement s'enchaîne bien avec l'excellente discussion que nous venons d'avoir avec M. Schaan sur la nature implicite ou explicite des éléments de ce projet de loi. L'amendement CPC‑7 propose de définir ainsi les renseignements de nature sensible:
de nature sensible S'agissant de renseignements, vise notamment tout renseignement au sujet d'un individu qui révèle l'un ou l'autre des éléments suivants:
a) son origine raciale ou ethnique;
b) ses opinions politiques, ses convictions religieuses ou philosophiques, son appartenance syndicale ou politique ou les contributions à des fins politiques qu'il a faites dans le passé;
c) son orientation sexuelle ou ses habitudes sexuelles;
d) des données génétiques ou des données biométriques qui permettent de l'identifier;
e) son état de santé, y compris tout traitement ou toute ordonnance figurant à son dossier médical;
f) ses identifiants auprès d'un gouvernement, tel son numéro d'assurance sociale, de passeport ou de permis de conduire;
g) le contenu de ses appareils électroniques, y compris ses messages, ses images, ses carnets d'adresses, ses calendriers et l'historique de ses appels;
h) ses mots de passe;
i) des données de nature financière.
Le projet de loi C‑27 parle à plusieurs endroits de « renseignements de nature sensible » et de « nature sensible » sans donner de définition. En laissant cela ouvert à l'interprétation, on risque évidemment de créer des problèmes pour les consommateurs et les entreprises et de voir des renseignements être considérés comme sensibles et d'autres pas. Les interprétations vont donc varier. Pour résoudre ce problème, les groupes d'intervenants et le commissaire à la protection de la vie privée ont recommandé d'inclure une définition claire de ce que sont des renseignements de nature sensible, en précisant une liste d'éléments que les législateurs considèrent comme tels.
Je souligne que, dans son témoignage le 31 octobre, le Centre for Digital Rights a mentionné ce qui se traduirait ainsi:
À l'heure actuelle, la définition des catégories de renseignements personnels sensibles reste ouverte et les mots « sensible » et « de nature sensible » sont utilisés dans tout le projet de loi C‑27 sans définition (à l'exception des mineurs). La définition est donc laissée à la discrétion de l'organisme avec le risque évident que certaines données sensibles ne soient pas considérées comme telles et que les interprétations varient.
C'est un élément clé qui distingue la Loi sur la protection de la vie privée des consommateurs d'autres lois modernes sur la protection des renseignements personnels, comme le RGPD de l'Union européenne, et les lois de la Californie et du Québec:
Donc, pour donner une certitude aux Canadiens et aux entreprises canadiennes, et pour harmoniser le tout avec la loi 25 du Québec... Le projet de loi C‑27 devrait d'abord définir « renseignements de nature sensible » en établissant un principe général, suivi d'une liste explicitement non exhaustive d'exemples...
Dans le mémoire qu'il a présenté au Comité, le commissaire à la protection de la vie privée a recommandé de:
Modifier la LPVPC afin d’inclure une définition de l’expression « renseignements de nature sensible » qui établirait un principe général, suivie d’une liste d’exemples non exhaustive.
Au paragraphe 1 de l'article 9 du RGPD, on peut lire ce qui suit:
Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
Il est très clair que nous nous sommes fortement appuyés sur l'exemple du RGPD pour proposer cet amendement.
Je note que le Conseil canadien de recherches a déclaré le 9 mai:
Nous estimons que le projet de loi C‑27 pourrait offrir davantage de protection aux mineurs, groupe dont il ne parle guère. Certes, le projet de loi indique que les renseignements relatifs aux mineurs constituent des renseignements de nature délicate, mais il n’offre aucune définition des termes « mineur » et « renseignements de nature délicate ».
En Australie, la Privacy Act a un libellé semblable à celui du RGPD.
Aux États-Unis, l'American Data Privacy and Protection Act prévoit toute une série d'éléments dans sa définition, que l'on pourrait traduire ainsi, y compris:
i) un identifiant délivré par le gouvernement, comme un numéro de sécurité sociale, un numéro de passeport ou un numéro de permis de conduire...
ii) tout renseignement qui porte sur la santé physique, la santé mentale, le handicap, le diagnostic, le traitement ou l'état de santé d'une personne, qu'il concerne le passé, le présent ou l'avenir.
La liste comprend les renseignements financiers et:
iv) les renseignements biométriques.
v) les renseignements génétiques.
vi) les renseignements précis de géolocalisation.
vii) les communications privées d'une personne...
La liste comprend les mots de passe, l'orientation sexuelle ou:
ix) le comportement sexuel d'une manière incompatible avec les attentes raisonnables de la personne à l'égard de la divulgation de tels renseignements.
x) les renseignements sur le calendrier, le carnet d'adresses, les appels téléphoniques ou les messages textes, les photos, les enregistrements audio ou les vidéos, conservés à des fins personnelles par une personne, peu importe si ces renseignements sont stockés sur son appareil...
(1220)
Cela inclut des images intimes non consensuelles, des renseignements qui révèlent le contenu vidéo ou les services demandés ou sélectionnés par une personne et des renseignements sur des mineurs.
Je vais vous en dire plus.
Daniel Konikoff, de l'Université de Toronto, a fait la déclaration suivante:
Le terme « sensibilité » apparaît souvent dans la Loi sur la protection de la vie privée des consommateurs, ou LPVPC, mais il n'est pas défini dans le glossaire du projet de loi. Le projet de loi C‑27 devrait suivre les normes mondiales et définir explicitement les renseignements de nature sensible pour inclure les catégories susmentionnées, tout en mettant l'accent sur les données biométriques, qui sont au coeur de l'identité d'une personne. La loi sur l'intelligence artificielle de l'Union européenne a déjà une longueur d'avance à cet égard, car elle définit explicitement les données biométriques d'une manière à tenir compte de leur caractère sensible, de leur capacité unique à identifier une personne et de l'importance du consentement dans les systèmes qui identifient les gens en fonction « de caractéristiques humaines physiologiques, comportementales et psychologiques » [...]
Le fait que la LPVPC ne considère pas les données biométriques comme étant des renseignements de nature sensible laisse beaucoup trop de place à l'interprétation et peut amener des entreprises à instaurer des mesures de protection inadéquates — ou à ne pas en instaurer du tout — pour des renseignements pour lesquels il faudrait des mesures de protection plus rigoureuses. Sans cette définition, d'autres dispositions de la LPVPC telles que le paragraphe 53(2) et l'alinéa 62(2)e), qui portent sur les périodes de rétention des renseignements personnels, ou le paragraphe 57(1), qui porte sur l'établissement de mesures de protection proportionnelles au degré de sensibilité des renseignements, sont laissés à l'interprétation.
La Californie se conforme à la loi fédérale aux États-Unis, qui renferme en grande partie le même libellé concernant l'orientation sexuelle, l'origine raciale ou ethnique ou les croyances religieuses ou philosophiques.
Je ferai remarquer que l'Association canadienne des libertés civiles a souligné que les renseignements de nature sensible ne sont toujours pas définis dans le projet de loi C‑27. Elle a fait la déclaration suivante : « Le Parlement devrait respecter les normes internationales et définir de manière explicite les renseignements de nature sensible afin de mieux protéger les catégories spéciales de renseignements personnels. »
Le projet de loi C‑27 définit les renseignements personnels comme étant « tout renseignement concernant un individu identifiable ». D'après le Règlement général sur la protection des données de l'Union européenne, les renseignements personnels comprennent les noms, les numéros d'identification, « des données de localisation, un identifiant en ligne ou des éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » de la personne.
Je pense qu'il y a de nombreux témoignages de la part d'entreprises et de groupes de défense des libertés civiles, ainsi que du commissaire à la protection de la vie privée, qui ont mis en évidence la nécessité d'inclure une définition. Par ailleurs, je reconnais certains des arguments qui ont été avancés par le ministère à propos de la nature de ces listes. Toutefois, je me suis beaucoup appuyé sur l'expertise du commissaire à la protection de la vie privée lorsque j'ai présenté cette mesure législative. Notre intention est d'éviter une interprétation large si et quand ce projet de loi sera adopté et deviendra la nouvelle norme au Canada.
Monsieur Savard‑Tremblay, est-ce possible de nous envoyer votre sous-amendement par écrit, dans les deux langues officielles, si cela n'a pas déjà été fait?
Si je comprends bien l'intention du sous-amendement de M. Savard-Tremblay, « tout autre renseignement portant atteinte au droit fondamental à la vie privée » serait ajouté à la longue liste des facteurs.
Est‑ce exact?
Cette liste serait essentiellement considérée comme étant non exhaustive et inclurait « tout autre renseignement ».
Ce n'est qu'une question pour obtenir des éclaircissements. Je pense avoir bien compris.
En fait, la liste actuelle se veut sans doute exhaustive, mais je pense qu'il faut se donner la possibilité d'ajouter à la liste d'autres types de renseignements qui pourraient porter atteinte au droit fondamental à la vie privée.
Je crois que c'est suffisamment éloquent. Au besoin, ça offrira une autre base d'interprétation en cas de litiges, par exemple.
Je pense que ce qui me pose problème, c'est que cette disposition modifiée ajoute des facteurs ou des catégories de types de renseignements qui seraient alors qualifiés de sensibles et nécessiteraient alors un consentement exprès en toutes circonstances.
Est‑ce exact, monsieur Schaan?
Pourriez-vous me dire si mon interprétation est exacte?
Les renseignements financiers ou les données biométriques, par exemple, posent-ils des problèmes qui pourraient donner lieu à des risques de réglementation excessive?
Je me demande simplement si les institutions financières, par exemple, ont l'habitude de gérer ce type de situation.
Je commencerai, puis je céderai la parole à mon collègue.
Je pense que l'intention générale de garantir que les renseignements de nature très personnelle bénéficient d'un haut degré de protection de la part des acteurs commerciaux est une intention commune pour l'intégralité de cette mesure législative.
La raison pour laquelle nous avons une définition de « renseignements personnels » et de ce qui est proposé ici comme étant des « renseignements sensibles », c'est qu'il y a des renseignements personnels qui ne sont pas de nature sensible. Idéalement, tout en étant le plus précis possible pour que les entreprises comprennent leurs obligations, nous laissons de la place pour deux choses: premièrement, le CPVP doit pouvoir interpréter et comprendre continuellement la nature changeante des renseignements et, deuxièmement, il faut permettre au contexte d'éclairer les renseignements.
Bien souvent, certains de ces identifiants ne sont pas considérés comme étant des renseignements personnels. Mon adresse, à moins de l'avoir restreinte dans divers formats, n'est pas toujours de nature sensible, car on peut la trouver dans toutes sortes d'annuaires publics et diverses autres sources.
Toutefois, le fait que ces identifiants puissent être liés à des données sur le prix de vente de ma maison, par exemple, qui comprennent soudainement des données financières, complexifie l'utilisation de ces renseignements. Pour la personne qui a mon adresse en sa possession, c'est alors une donnée de nature sensible. Elle doit être traitée de la sorte, et je dois pouvoir donner mon consentement exprès à l'utilisation de ces données.
Je vais maintenant céder la parole à M. Chhabra, mais c'est ici que je pense que nous devrions nous assurer que nous atteignons les trois objectifs suivants: premièrement, nous avons fait la distinction entre les renseignements de nature sensible et les renseignements personnels, en reconnaissant que certains renseignements sont en fait plus sensibles et doivent être davantage protégés; deuxièmement, nous avons laissé de la place pour les conseils du CPVP; et troisièmement, il y a de la place pour le contexte, car les renseignements ne sont pas forcément les mêmes dans toutes les situations.
Pour faire suite aux arguments soulevés par M. Schaan, d'après notre interprétation de l'amendement CPC‑7, il établirait des catégories très larges de renseignements sensibles qui vont au‑delà de ce qui est actuellement prévu dans le RGPD de l'Union européenne ou dans le bulletin du commissaire à la protection de la vie privée sur les renseignements sensibles.
Il n'offre pas une analyse contextuelle ou une définition de la sensibilité dans un scénario donné. Par exemple, le RGPD ne considère pas les données financières comme étant universellement sensibles. Je pense que c'était la nature de la question.
Cela correspond également aux conclusions du CPVP et des tribunaux canadiens, qui ont déclaré que ce ne sont pas tous les renseignements personnels qui sont de nature sensible et que la sensibilité dépend des circonstances.
Dans l'affaire Banque Royale du Canada c. Trang en 2016, la Cour suprême a estimé que le degré de sensibilité d'une donnée financière précise dépend du contexte.
Pour évaluer le caractère sensible de renseignements financiers [dans ce cas‑ci, le solde hypothécaire], il faut tenir compte des renseignements financiers connexes qui sont déjà du domaine public, de la raison pour laquelle les renseignements financiers sont rendus publics et de la nature de la relation entre le débiteur hypothécaire, le créancier hypothécaire et les tiers directement touchés.
Cette affaire a également été citée par le commissaire à la protection de la vie privée dans ses orientations concernant la signification des renseignements sensibles, qui ont été publiées en 2022. Elle illustre des scénarios où il peut y avoir des raisons très valables et importantes d'échanger certaines données financières dans certaines circonstances, mais le fait de déclarer que tous ces renseignements sont sensibles ne permettrait pas cette compréhension du contexte.
Pour faire suite à ces remarques, j'en conclus que si vous considérez toutes ces catégories de renseignements personnels comme étant des renseignements sensibles, vous élevez la barre en exigeant un consentement exprès dans toutes les circonstances, ce qui élimine toute possibilité de tenir compte de la dépendance à l'égard du contexte.
Quel serait le fardeau potentiel pour l'industrie qui fonctionne probablement à l'heure actuelle pour faire toutes sortes de choses que nous... Je pense que nous tenons pour acquis que l'échange de renseignements est nécessaire pour certains des services que nous utilisons régulièrement et qui sont très pratiques pour nous... Si nous plaçons la barre aussi haut, je crains que ces services dont nous dépendons actuellement ne soient plus pratiques.
Autrement dit, ces entreprises devront nous demander notre consentement exprès sur beaucoup plus de choses que nous l'aurions souhaité en apportant ce changement.
J'ai l'impression qu'il y a un risque élevé de conséquences involontaires d'une réglementation excessive. Je voulais juste vérifier, monsieur Schaan, si vous êtes d'accord et si vous pouvez nous donner des exemples. J'ai du mal à en trouver un.
Monsieur le président, je pense effectivement que l'objectif est de veiller à ce qu'il y ait des mesures de protection appropriées en place pour les renseignements qui sont vraiment sensibles.
Bien entendu, le problème lorsqu'on dresse une liste, c'est qu'on doit veiller à ce que chaque cas d'utilisation des catégories de cette liste réponde toujours au critère du consentement exprès. Comme nous l'avons signalé, des données financières, par exemple, peuvent en fait être interprétées très largement et ne requièrent pas toujours un consentement exprès.
Je pense que le défi pour une organisation commerciale en possession de certaines de ces données personnelles est que, si elle reçoit ce projet de loi et essaie de réfléchir à sa mise en œuvre, il y a soudainement toute une série de nouvelles interactions potentielles qu'elle pourrait devoir avoir pour mettre en œuvre certaines de ces dispositions.
Certaines d'entre elles risquent d'entraver considérablement les processus opérationnels existants. Cela ne veut pas dire que nous ne voulons pas exclure les processus opérationnels nuisibles, mais pour certains d'entre eux, il pourrait y avoir une meilleure façon de nous assurer que les renseignements personnels sensibles sont définis et compris à un niveau général, sans pour autant supprimer les deux éléments que j'ai suggérés comme étant importants. L'un d'eux est de laisser place aux conseils et l'autre, au contexte dans certaines situations. Le fait de qualifier automatiquement les renseignements de sensibles dans tous les cas peut ne pas être approprié dans une situation particulière.
Dans certaines circonstances, des éléments d'information, tels que des données concernant des achats, ne seraient pas forcément considérés comme étant sensibles dans un contexte donné, mais pourraient l'être dans un autre contexte. Citons, par exemple, une personne qui achète des aliments ou des produits de santé susceptibles d'être liés à un diagnostic médical. Autrement dit, les renseignements que l'on peut en déduire, à partir de quelque chose qui semble à première vue inoffensif, pourraient en fait être des données sensibles. C'est pourquoi il est si important de maintenir cet élément de sensibilisation au contexte dans le projet de loi et dans la manière dont il est interprété et appliqué par le CPVP.
Pour faire suite à ce que vous avez dit, admettons que certains des renseignements qui figurent sur cette liste ne sont pas forcément considérés comme sensibles dans toutes les circonstances. Cela signifie‑t‑il qu'il s'agit nécessairement de renseignements non protégés? Je ne pense pas que ce soit le cas, n'est‑ce pas? Je veux dire qu'ils sont toujours considérés comme des renseignements personnels. C'est juste qu'ils ne nécessitent pas toujours un consentement exprès pour être recueillis, utilisés, etc.
Mais ce projet de loi renferme encore des exigences assez importantes qui constitueraient des obligations pour les entreprises qui recueillent et utilisent ces renseignements, même s'ils ne sont pas nécessairement considérés comme étant de nature sensible dans toutes les circonstances, n'est‑ce pas?
C'est exact. Ce que la LPVPC vise à faire en gros, c'est de veiller à ce qu'il y ait un seuil élevé de protection de la vie privée pour tous les renseignements personnels utilisés dans un contexte commercial, ainsi qu'une application importante et significative des obligations liées aux entités commerciales qui interagissent avec les renseignements personnels.
Le terme « sensible » vise à ce qu'il y ait un cercle concentrique ou un cercle intérieur de données très protégées pour lesquelles des protocoles de sécurité et des mesures de protection de la vie privée beaucoup plus élevées sont en place, notamment en ce qui concerne la manière dont ces renseignements ont été obtenus, en particulier par l'entremise d'une forme de consentement exprès. Ce n'est pas le Far West ou Fort Knox. Idéalement, c'est une utilisation très restreinte qui est logique et très limitée en raison de la nature des renseignements qui sont en jeu.
C'est tout à fait logique. Je sais que nous n'avons pas encore abordé ces parties du projet de loi, si bien qu'il est facile de réfléchir aux définitions au point où nous en sommes et de ne pas prendre en considération le nombre très élevé d'exigences et d'obligations auxquelles les entreprises seraient soumises, compte tenu de tous les renseignements personnels qu'elles peuvent utiliser. C'est intéressant.
Si nous ajoutons le sous-amendement de M. Savard-Tremblay à cette liste, nous passons à « tout autre renseignement ». Je pense que cela amène le cercle extérieur à inclure presque n'importe quoi en tant que renseignement sensible. J'y vois un risque très élevé de conséquences involontaires.
Monsieur Schaan, pourriez-vous vous prononcer à ce sujet?
Certainement, l'insertion du droit fondamental à la vie privée dans le projet de loi suggère que ce droit s'applique aux renseignements personnels. Si nous ajoutons une catégorie de renseignements sensibles — à savoir tous les renseignements pour lesquels il existe un droit fondamental à la vie privée, qui, d'après le préambule, sont tous les renseignements personnels en raison de la nature du droit fondamental à la vie privée —, il n'y a alors plus de distinction entre les renseignements personnels et les renseignements sensibles. Tous les renseignements sont sensibles. Tous les renseignements doivent être traités de la sorte et nécessitent donc un consentement exprès.
Cela aurait une incidence importante sur les autres parties de ce projet de loi — autrement dit, tous les renseignements personnels sont assortis d'un certain nombre de normes et d'obligations différentes. Cela changerait considérablement la nature du projet de loi, n'est‑ce pas? Quelle serait l'incidence si le sous-amendement de M. Savard-Tremblay était adopté?
Si tous les renseignements personnels sont des renseignements sensibles, il n'y a pas d'autre moyen pour une entreprise d'accéder à des renseignements à moins d'avoir le consentement exprès de la personne. Si l'on considère le volume de renseignements personnels fournis dans un contexte commercial, je ne vois pas très bien comment on pourrait le mettre en œuvre.
Cela changerait fondamentalement les pratiques opérationnelles, car si les entreprises devaient s'en remettre au consentement exprès pour chaque renseignement personnel recueilli... Ce n'est pas ainsi que le marché fonctionne à l'heure actuelle.
Tous les renseignements personnels tirés de...
J'aurais dû vous prévenir à l'avance, mais mes parents sont en visite de Winnipeg. Je ne porte pas de...
Exactement. C'était ma façon de veiller à ce que vous soyez tous gentils aujourd'hui.
Des voix: Ah, ah!
M. Mark Schaan: Exactement.
Pour le bracelet Fitbit de ma mère, chaque donnée est un renseignement personnel lié à son activité. Si elle devait donner son consentement exprès chaque fois que ces données personnelles sont communiquées à l'organisation, elle passerait ses journées entières à cliquer sur « oui », car chacun de ces renseignements nécessite un consentement exprès. En effet, selon la définition, si un renseignement est soumis à un droit fondamental à la vie privée, il s'agit de tous les renseignements. Nous avons dit dans le préambule que le but de ces renseignements personnels est que les gens aient un droit fondamental à la vie privée, ce qui signifie la vie privée liée à leurs renseignements personnels.
Nous atténuons ensuite cela et le permettons grâce à toutes les dispositions dans le reste du projet de loi qui précisent comment les choses se déroulent dans diverses situations. Parfois, c'est par l'entremise d'un consentement exprès. La loi évoque les moyens d'obtenir un intérêt légitime et des moyens de garantir des exceptions au consentement. Toutefois, aucun de ces scénarios n'est possible si tous les renseignements sont sensibles, car on doit expressément dire « oui » chaque fois.
Il me semble que cela irait à l'encontre de ce projet de loi, des intentions du projet de loi. En outre, ce serait très agaçant pour presque tous les utilisateurs de services qui requièrent le partage de renseignements personnels, y compris votre mère, et moi avec ma montre Apple.
Je suis certain, si l'on universalise cela à l'ensemble de notre économie, qu'il y a beaucoup d'autres exemples que nous tenons probablement pour acquis, dans une certaine mesure, mais je pense que cela nuirait considérablement à la conduite des affaires pour offrir la valeur attendue de ces services.
Un des objectifs de la mesure législative proposée est de minimiser la lassitude du consentement et de maximiser le consentement lorsqu'il est véritablement important et considéré comme important. L'obligation de donner son consentement explicite pour chaque utilisation des renseignements que l'on fournit à une personne morale risque d'accroître considérablement la lassitude du consentement. Les gens se lassent d'avoir à dire oui ou non, même si c'est en langage clair.
En essayant de limiter le consentement à ce pour quoi il est le plus nécessaire... Nous comprenons l'intention de l'amendement CPC‑7, qui vise à mettre un peu de chair autour de l'os et à définir et à préciser ce qui est réellement de nature délicate. Nous avons souligné que certaines catégories pourraient être trop vastes ou manquer de contexte, et qu'il y a peut-être une meilleure façon de procéder. L'idée qu'il existe des renseignements de nature délicate... Cela existe clairement. Comment peut‑on circonscrire cela sans exclure la possibilité de dire que le consentement est requis pour tout, qu'il est nécessaire pour tout type de renseignement — qui peuvent être de nature délicate ou non —, malgré leurs différentes utilisations?
Je ne sais pas si c'est ce que visait M. Savard-Tremblay, mais après avoir entendu ces précisions, ce sous-amendement ne me semble pas avoir beaucoup d'utilité quant à l'atteinte des objectifs politiques de ce projet de loi précis. Je me demande si nous pouvons passer au vote.
Je sais que mon collègue, M. Gaheer, était sur la liste et souhaitait faire quelques observations au sujet de la motion originale présentée par les conservateurs, que nous espérons avoir l'occasion d'examiner aujourd'hui.
D'ici là, nous poursuivrons la discussion sur le sous-amendement jusqu'à ce que j'aie épuisé la liste des intervenants.
Sur ma liste, j'ai M. Brad Vis et M. Savard-Tremblay.
À titre d'information, M. Williams aimerait présenter une motion vers la fin de la réunion. Donc, nous pourrions passer à la motion de M. Williams aux environs de 12 h 55.
À mon avis, ce sous-amendement n'est pas mal intentionné, mais j'accepte les explications selon lesquelles il est trop vaste, dans ce contexte. Les députés conservateurs voteront contre.
Merci, monsieur le président. Je croyais que c'était le tour de mon collègue.
J'aurais aimé pouvoir intervenir il y a à peu près 20 minutes pour empêcher qu'on parle pour rien de mon sous-amendement, parce que j'ai finalement décidé que je voulais le retirer pour plutôt proposer autre chose.
À la suite des échanges que j'ai entendus, je crois que, plutôt que d'ajouter le point j) à l'amendement CPC‑7, il serait infiniment plus précis que cet élément constitue la fin de l'amendement NDP‑6. C'est une proposition que je lance. Je ne vous l'envoie pas sous forme écrite, parce que vous l'avez déjà.
Ce serait donc la fin du libellé proposé par l'amendement NDP‑6, au lieu d'avoir « des renseignements personnels à l'égard desquels, en raison du contexte de leur utilisation ou de leur communication, l'individu a une attente raisonnable élevée en matière de protection de la vie privée ».
Je pense que ça préciserait le tout, en plus de répondre à l'ensemble des craintes et des facteurs à considérer que nous avons entendus au sujet du sous-amendement que j'avais proposé précédemment.
Je vous invite à envoyer à la greffière le texte du sous-amendement, afin que nous puissions en débattre.
Il reste peu de temps à la réunion. Je vais quand même vous laisser finir votre intervention, monsieur Savard‑Tremblay, si vous avez quelque chose à ajouter. Cela dit, je pense que nous avons bien compris le sous-amendement que vous suggérez: il s'agit de remplacer la fin de l'amendement NDP‑6 par ce que vous aviez proposé d'ajouter comme point j) à l'amendement CPC‑7.
Le libellé sera envoyé par écrit à la greffière et transmis aux membres du Comité, et nous pourrons en débattre la prochaine fois. Comme il reste seulement 10 minutes à la réunion, si vous êtes d'accord, chers collègues, je propose que nous arrêtions ici notre étude article par article du projet de loi.
(1250)
[Traduction]
Nous reviendrons au sous-amendement proposé par M. Savard-Tremblay lors de la prochaine réunion, car j'aimerais que nous ayons assez de temps pour la motion de M. Williams.
Monsieur le président, on pourrait penser qu'avec 15 milliards de dollars de l'argent durement gagné des contribuables, le Canada aurait obtenu des chaînes d'approvisionnement pour les batteries, une poignée d'emplois dans le secteur de la fabrication des pièces d'automobiles, ou même un volant. À Windsor — et je sais que nous en avons déjà parlé —, 15 milliards de dollars sont allés à l'usine Stellantis. Cette semaine, le syndicat, les membres des Syndicats des métiers de la construction du Canada, nous ont appris que l'usine emploie toujours des travailleurs étrangers plutôt que des travailleurs canadiens, une situation que nous avons dénoncée avec véhémence: ces emplois auraient dû être offerts aux Canadiens. Pour 15 milliards de dollars, les Canadiens auraient dû avoir priorité. Nous avons travaillé avec les syndicats pour veiller à obtenir de bons emplois pour les gens de Windsor. Cette usine est à Windsor et nous voulons que les bons citoyens de Windsor décrochent ces emplois et travaillent dans cette usine, en particulier pour une telle somme. Le syndicat affirme que Stellantis continue d'embaucher des travailleurs étrangers pour pourvoir des postes promis à des Canadiens. Stellantis a même demandé à ses fournisseurs canadiens de parrainer des travailleurs étrangers et des réfugiés pour effectuer le travail, alors que plus de 180 monteurs de charpentes métalliques et mécaniciens de chantier canadiens se tournent les pouces à la maison sans emploi. C'est un problème très préoccupant actuellement pour ce gouvernement.
Monsieur le président, la motion vise à demander ce qui suit:
Qu'en ce qui concerne les subventions gouvernementales aux usines de batteries pour véhicules électriques, le Comité invite les PDG de Stellantis N.V., LG Energy Solutions, Ltd., NextStar Energy Inc. et le ministre de l'Innovation, des Sciences et du Développement économique du Canada à répondre aux questions au plus tard le vendredi 17 mai 2024.
Je vous remercie de présenter cette motion. J'ajouterais un amendement afin d'inclure le ministre Vic Fedeli, de la province de l'Ontario. Il s'agit d'un investissement par des partenaires égaux. À bien des égards, il serait scandaleux de ne pas inclure la province, car elle est tout aussi responsable de permettre cela et de faire un suivi des gens qui sont présents sur le site au moyen du Code du travail.
Nous avons entendu des allégations au sujet du genre de travail qui se fait là‑bas. Pourquoi laisserions-nous la province de côté? Je pense que nous raterions une occasion de comprendre ce qui se passe vraiment et de clarifier les choses. Cette motion fait suite à une autre motion conservatrice qui est examinée par le comité OGGO. La présente motion se rapporte plus spécifiquement à ma circonscription. Plus il y aura de transparence, mieux ce sera, à mon avis.
Je propose un amendement visant à inclure le ministre Vic Fedeli, et tout responsable provincial, pour faire respecter le contrat. Encore une fois, il s'agit d'une entente entre partenaires égaux, et il serait étrange d'exclure la province de ce processus.
Monsieur Turnbull, je suis désolé. Nous devons nous occuper de l'amendement avant de pouvoir reprendre la discussion sur la motion.
J'ai l'impression que vous êtes possiblement contre la motion, mais sommes-nous d'accord pour adopter l'amendement proposé, et pouvons-nous revenir au débat sur la motion?
Cette motion vise principalement à obtenir un appui pour inviter les PDG à comparaître. Nous ne les avons pas entendus et ils n'ont pas réagi. Le syndicat a indiqué qu'il n'a reçu aucune réponse des dirigeants à quelque niveau que ce soit.
Le ministre a comparu au Comité. Lorsqu'on parle de la possibilité de convoquer le ministre pour d'autres sujets... Lorsqu'il était ici, nous ne pouvions pas l'interroger sur ces questions.
Le but est principalement de convoquer les PDG ici, devant le Comité. La province peut probablement parler du processus et de ce qu'elle a fait de son côté pour essayer de travailler avec ces entreprises. Elle considérera cela comme un investissement. Je suis certain que cela fonctionnera aussi pour les syndicats, alors je ne vois pas en quoi cela pourrait nuire.
L'idée était de faire venir les PDG. Il est question d'entreprises qui ont promis des emplois canadiens aux travailleurs canadiens, et elles ne respectent pas leur promesse.
L'amendement me laisse indifférent, mais il ne correspond pas à notre objectif. Nous voulons mettre l'accent sur les entreprises qui doivent expliquer pourquoi, lorsqu'elles reçoivent de l'argent durement gagné par les contribuables, elles n'utilisent pas cet argent pour créer des emplois pour les Canadiens plutôt que pour des travailleurs étrangers.
Oui, je veux m'exprimer au sujet de l'amendement proposé.
Loin de moi l'envie de me mêler de ce qui se passe en Ontario, mais le nœud du problème est précisément le fait que, selon moi, les provinces doivent rendre des comptes à leur population, et non à la Chambre des communes. Je serais donc plutôt porté à m'opposer à cet amendement.
Je tiens simplement à souligner que le Comité a reçu un rapport très détaillé du sous-comité. Nous avions convenu d'un horaire. Nous avons accordé la priorité à beaucoup de travaux et nous avons même réussi à ajouter des séances pour veiller à ce que tous aient l'occasion d'étudier leurs divers sujets.
Évidemment, chers collègues conservateurs, nous savons que vous présentez chaque semaine une nouvelle motion comprenant un échéancier visant apparemment à retarder les travaux sur le projet de loi C‑27. Entendez-moi bien: je ne dis pas que l'objet de la motion est sans importance.
Toutefois, monsieur Williams, je remarque que Honda n'est même pas incluse. Vous avez commencé par parler de Honda, mais l'entreprise ne figure même pas dans la motion que vous avez présentée, ce qui est plutôt étrange.
Quoi qu'il en soit, je pense que le calendrier du Comité est complètement rempli jusqu'à la pause estivale, fin juin. Donc, je dirais que nous devrions nous en tenir à cela. Nous nous sommes entendus avec les conservateurs pour tenir une séance supplémentaire sur TDDC. Si vous voulez ceci au lieu de cela, je pense que c'est une option que vous pourriez envisager, mais lorsque vous arrivez semaine après semaine avec un nouveau sujet prétendument urgent, je vous inviterais simplement à établir vos priorités, à un moment donné, et à dire ce que vous tenez vraiment à étudier.
Je pense que nous sommes tous d'accord pour dire que le projet de loi C‑27 est prioritaire. Nous entrons dans le vif du sujet et nous faisons de l'excellent travail ensemble. Nous voulons maintenir cet élan. Vous pourriez attendre à l'automne pour étudier cette question précise, ou remplacer l'étude sur TDDC. Voilà ce que je propose, bien humblement, comme solution de rechange.
Je suis vraiment déçu que le Comité et les membres aient proposé une telle motion sans inclure le partenaire le plus important de cet investissement à Windsor, soit la province de l'Ontario, dont il n'est pas question ici. Je comprends la position du Bloc à ce sujet, mais, en même temps, cela empêche la province de se faire entendre ici, à la table, au lieu qu'on lui prête des propos de manière abusive.
Si vous regardez l'annonce de Honda, vous constaterez que c'était une incroyable pluie d'éloges qui a duré une demi-heure, mais on y a aussi mentionné que la province de l'Ontario était un partenaire égal avec le gouvernement fédéral pour tous ces investissements, y compris celui de Windsor. Il a fallu le faire deux fois, parce que l'investissement initial n'était pas le même que l'investissement actuel, et elle allait évidemment quitter la table à ce moment‑là.
L'absence de la province, ici, est plutôt étonnante. Les conservateurs ou les libéraux fédéraux pourraient peut-être en dire plus sur les raisons pour lesquelles ils ne veulent pas que des représentants provinciaux viennent témoigner pour expliquer comment la province est arrivée à des décisions différentes pour chaque usine. Stellantis, Volkswagen et Honda sont toutes des entreprises différentes, mais elles participent toutes à la construction des nouvelles installations et se sont vu offrir des contrats différents, et pas seulement des subventions. En fin de compte, tous les aspects — subventions directes pour l'éventuelle mise au point de batteries, main-d'œuvre, etc. — relèvent de la province de l'Ontario, car c'est elle qui a compétence en la matière par l'intermédiaire de son ministère du Travail.
Pour être bien honnête, il est étrange et tordu de ne pas offrir aux autorités provinciales l'occasion d'expliquer ce qu'elles font. Comment peut‑on parler d'un partenariat complet si l'une des parties n'est même pas invitée pour donner des explications sur ce qui se passe, y compris avec Stellantis ou qui que ce soit d'autre? Cela n'a aucun sens, et cela ne mènera à aucune solution. Nous recevrons des lettres et des allégations de diverses sources.
Je suis heureux que le syndicat intervienne à ce sujet, car c'est lui qui est sur le terrain, mais c'est aussi lui qui doit se plaindre auprès des autorités provinciales de l'Ontario.
Il est aberrant qu'on songe à examiner la question sans la présence d'un représentant du gouvernement de Doug Ford, encore une fois, étant donné les énormes subventions accordées par l'Ontario. Essentiellement, il m'est impossible d'appuyer une sorte d'expédition de pêche qui ne donnera pas des résultats concrets pour les travailleurs, ce qui est notre objectif. Nous voulons de véritables résultats pour les travailleurs.
L'an dernier, si vous vous souvenez bien, lorsque cela a été mis en place, j'ai dit que le projet Stellantis aurait dû servir de tremplin pour la création de formations et de possibilités pour les nouvelles installations qui obtiennent maintenant des investissements, parce que c'était un précurseur pour tous ces autres projets. J'ai assisté à l'inauguration du projet Stellantis, et à l'époque, personne ne parlait des travailleurs étrangers, ni le gouvernement fédéral ni le gouvernement provincial. Essentiellement, nos accords commerciaux et la façon dont les choses ont été présentées nous ont laissés exposés à diverses pratiques qui continuent de miner les gestes que nous devons poser, en tant que pays, à savoir nous battre pour de bons emplois dans le secteur de l'automobile.
Sans cet élément, sans cette présence du gouvernement fédéral et du gouvernement provincial, je trouve que ce n'est pas seulement une occasion ratée, mais aussi un manque de respect envers la province. Je pense que c'est un manque de respect envers les travailleurs. Je trouve que c'est un manque de respect envers les citoyens de Windsor qui veulent que les choses soient claires. Je pense que c'est malheureux.
Si l'on veut continuer de se servir de la situation comme d'un ballon politique, soit. S'il y a eu entre la province de l'Ontario et le gouvernement fédéral des ententes partisanes qui sont de nature trop délicate pour en parler ici, ces ententes ne disparaîtront pas. Si nous voulons que quelque chose disparaisse ou soit réglé, alors nous devons accueillir les personnes qui prennent les décisions et qui sont les vrais partenaires. Encore une fois, il s'agit de la province de l'Ontario, du gouvernement fédéral et de toutes les entreprises concernées, y compris les syndicats, qui devraient également avoir l'occasion de se faire entendre ici. Les exclure est tout simplement inacceptable.