:
Bonjour à tous et à toutes.
Je déclare la séance ouverte.
Je vous souhaite la bienvenue à la 122e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.
La réunion d'aujourd'hui se déroule sous forme hybride, conformément à l'ordre adopté et au Règlement.
Avant de commencer, j'aimerais rappeler à tous les députés et aux autres participants ici présents les importantes mesures préventives suivantes.
Afin de prévenir les incidents acoustiques perturbateurs et potentiellement dangereux, susceptibles de causer des blessures, je rappelle aux participants de toujours garder leur oreillette éloignée des microphones.
Comme il est indiqué dans le communiqué du président envoyé à tous les députés le lundi 29 avril 2024, les mesures suivantes ont été prises pour aider à prévenir les incidents acoustiques.
Toutes les oreillettes ont été remplacées par un modèle qui réduit considérablement la probabilité d'un incident acoustique. Les nouvelles oreillettes sont noires, alors que les anciennes étaient grises.
Veuillez utiliser uniquement les oreillettes noires approuvées.
Par défaut, toutes les oreillettes inutilisées au début d'une réunion seront débranchées.
Lorsque vous n'utilisez pas la vôtre, veuillez la placer face vers le bas, au milieu de l'autocollant sur la table, comme l'indique l'image sur la table.
Veuillez aussi consulter les cartes sur la table pour connaître les lignes directrices sur la prévention des incidents acoustiques.
Finalement, la disposition de la salle a été modifiée, comme vous pouvez le constater depuis une semaine, pour augmenter la distance entre les microphones et réduire le risque de retour de son causé par une oreillette à proximité.
Ces mesures sont en place afin que nous puissions exercer nos activités sans interruption et pour protéger la santé et la sécurité de tous les participants, y compris les interprètes, que nous remercions d'ailleurs.
Je vous remercie tous de votre coopération.
Cela dit, nous tenons une nouvelle réunion sur le projet de loi .
Conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois.
Sur ce, j'aimerais souhaiter la bienvenue à nouveau aux témoins qui se joignent à nous.
Du ministère de l'Industrie et participant par vidéoconférence, nous recevons spécialement aujourd'hui M. Mark Schaan, sous-ministre adjoint principal, et sur place, à Ottawa, nous recevons M. Samir Chhabra et Mme Runa Angus.
Je vous remercie d'être parmi nous aujourd'hui.
Avant de commencer, j'aimerais ajouter ce qui suit.
[Traduction]
Chers collègues, je vous rappelle simplement que nous en sommes toujours à l’amendement CPC‑7.
(Article 2)
Le président: Nous sommes saisis d'un sous-amendement du Bloc, dont nous débattions.
[Français]
Je donne la parole à M. Garon afin qu'il nous présente son sous-amendement.
:
Merci, monsieur le président.
Je remercie mes collègues d'avoir permis cela.
Mon sous-amendement serait le suivant. Évidemment, ce n'est pas dans la nature de mon parti de présenter quelque chose seulement en français. Cependant, pour préserver la santé des oreilles des collègues, je vais le faire.
Je propose que la motion CPC‑7, proposant la modification de l’article 2 du projet de loi C‑27 par adjonction, après la ligne 2, page 4, d'une liste d'éléments soit ainsi modifiée:
De nature sensible S'agissant de renseignements, vise notamment tout renseignement au sujet d'un individu à l'égard desquels l'individu a généralement une attente élevée en matière de protection de la vie privée, qui comprend notamment et sans limite:
a) Son origine raciale ou ethnique;
b) Ses opinions politiques, ses convictions religieuses ou philosophiques, son appartenance syndicale ou politique ou les contributions à des fins politiques qu'il a faites dans le passé;
c) Son orientation sexuelle ou ses habitudes sexuelles;
d) Des données génétiques ou des données biométriques qui permettent de l'identifier;
e) Son état de santé, y compris tout traitement ou toute ordonnance figurant à son dossier médical;
f) Ses identifiants auprès d'un gouvernement, tels que son numéro d'assurance sociale, de passeport ou de permis de conduire;
h) Ses données de nature financière.
J'imagine qu'il serait approprié de vous donner quelques explications.
En premier lieu, nous avions discuté de l'introduction ou non d'une liste. Je sais que le gouvernement était un peu froid à l'idée d'introduire une liste, mais l'amendement qu'il avait déposé déclinait effectivement un certain nombre d'éléments qui n'étaient pas présentés sous forme de liste. Dans notre sous-amendement, nous en faisons l'énumération sous la forme d'une liste.
Ensuite, nous nous sommes dit qu'il y avait deux points à clarifier. D'abord, il y avait la nature contextuelle, soit la prise en compte des renseignements personnels. Je pense que M. Schaan nous en avait notamment parlé. À la première ligne, nous indiquons que l'individu doit avoir une attente élevée en matière de protection de la vie privée, ce qui n'est pas exactement la définition précisée par la Cour suprême. Cela fait en sorte que, un jour ou l'autre, il sera possible qu'une interprétation en soit donnée par le commissaire et par les divers tribunaux.
En fait, nous savons que l'Union européenne a mis en place l'étalon de référence pour ce qui est de la protection de la vie privée. Nous nous sommes donc inspirés de la liste de l'Union européenne, qui comportait notamment la question des données génétiques et biométriques. Pour nous, c'est d'une importance capitale.
Nous avons évidemment consulté plusieurs intervenants, à divers endroits. Nous faisons comme le ministre, nous ne disons pas qui nous avons consulté. J'espère que tout le monde sera d'accord sur cela. Il est impossible de modifier des données biométriques ou génétiques une fois qu'elles ont été volées. Si l'on a volé vos données biométriques, elles sont volées pour la vie. C'est pourquoi, pour nous, il est primordial qu'elles soient considérées comme étant de nature sensible.
Nous avons également ajouté l'appartenance syndicale qui, à notre avis, allait de pair avec l'appartenance politique, qui est aussi un élément couvert par l'Union européenne.
Lors de la dernière réunion, les fonctionnaires avaient discuté de la question des orientations sexuelles ou habitudes sexuelles. Nous savons que cette information est à la source de possibles discriminations. Nous avons vérifié ce qu'a fait l'Union européenne, et elle considère également que cette information est de nature sensible. Évidemment, je sais que l'opinion des fonctionnaires diffère, cela dit en tout respect, mais il semble qu'en Europe, cela fonctionne bien. L'économie ne s'est pas arrêtée pour autant.
Je voulais vous parler en dernier lieu des données de nature financière. Dans l'Union européenne, les données de nature financière sont considérées comme faisant l'objet d'une attente élevée en matière de protection de la vie privée. J'ai vérifié cela auprès d'amis français. Dans l'Union européenne, le système bancaire fonctionne encore, et les gens sont protégés.
Il existe évidemment de l'information qui peut passer d'une banque à l'autre. C'est de l'information qui, à bien des égards, n'est pas nominative et qui, lorsqu'elle est transférée, ne fait pas l'objet d'une attente raisonnable en matière de vie privée. Mentionnons, par exemple, l'évasion fiscale ou les comptes étrangers. Ce sont tous des éléments qui font l'objet de conventions internationales, d'échanges d'information à l'égard desquels nous n'avons pas d'attente raisonnable en matière de protection de la vie privée.
Il va y avoir un débat, et, à mon avis, il va être très intéressant. J'avais un peu de difficulté concernant l'argument selon lequel le système bancaire allait arrêter de fonctionner et que les banques n'échangeraient plus de renseignements.
Nous avons devant nous le projet de loi concernant la mise en œuvre du budget, où il va être question du système bancaire ouvert. Pour le Québec, il est évidemment inacceptable que le gouvernement fédéral impose des règles aux caisses Desjardins.
Il n'en demeure pas moins que, dans ce contexte, les échanges d'information vont être encadrés par le protocole sur le système bancaire ouvert. Dans le contexte de la protection de la vie privée, il nous semble adéquat de préciser que les renseignements de nature financière sont de nature sensible. Nous sommes évidemment ouverts à la discussion, mais sachez que nous y avons beaucoup réfléchi et que nous croyons qu'il est très probable que cette proposition fera consensus.
:
Premièrement, nous incluons une liste. Deuxièmement, nous ajoutons « et sans limite », pour une raison très simple, à savoir que, si l'on avait adopté cette loi il y a 10 ans, les données biométriques n'y auraient pas figuré. On n'y aurait pas pensé. Or, la technologie change rapidement.
L'interprétation établie par la Cour suprême, à savoir « une attente raisonnable au respect de la vie privée », fait l'objet, si je comprends bien, d'un critère juridique. De notre côté, nous introduisons la notion d'une « attente élevée en matière de protection de la vie privée ». Cette notion pourrait être interprétée plus tard par les tribunaux de façon à allonger la liste au fil des changements qui surviennent dans l'environnement dans lequel les consommateurs et les citoyens évoluent.
En principe, cela permettrait aux tribunaux d'interpréter la notion d'« attente élevée en matière de protection de la vie privée » et d'allonger la liste au besoin.
Je ne pense pas, cependant, que ce soit de nature à changer le pouvoir réglementaire du ministre.
:
Je ne faisais qu'exprimer ma reconnaissance pour votre travail, monsieur Garon, et aussi pour le fait que M. Masse vous a permis d'intégrer certaines de ses idées dans le sous-amendement que vous avez proposé. C'est formidable. Je crois que nous partons du bon pied.
J'ai quelques questions.
Lors de la dernière réunion, nous avions engagé un débat sur les données financières. Je sais que cela fait partie de votre liste. Je serais porté à croire que les données financières sont des renseignements de nature sensible. Cependant, le commissaire à la protection de la vie privée et la Cour suprême ne sont pas du même avis. Ils ont dit que le degré selon lequel certains renseignements d'ordre financier sont sensibles dépend du contexte. Je peux continuer et les citer.
Dans la décision qu'elle a rendue dans l'affaire RBC c. Trang en 2016, la Cour suprême a déclaré explicitement que les renseignements financiers ne sont pas toujours considérés comme sensibles, ou que l'importance du caractère sensible varie selon le contexte dans lequel les renseignements sont utilisés. Je pourrais peut-être demander à M. Schaan d'appuyer mes dires à ce sujet, afin que vous n'ayez pas à vous contenter de me croire sur parole. Les experts et les fonctionnaires sont ici pour une bonne raison.
Monsieur Schaan, pouvez-vous ajouter quelque chose?
:
Je vais d'abord vous parler des données financières, puis je céderai la parole à mes collègues pour qu'ils vous parlent du traitement des données et des renseignements financiers en vertu du Règlement général sur la protection des données, ou RGPD, car je sais que cette question a été soulevée à titre de comparaison.
Il est important de souligner que notre système est assez unique, car dès qu'un renseignement personnel est jugé de nature sensible, il faut obtenir un consentement exprès, et pas seulement pour la collecte du renseignement, mais aussi pour son utilisation et sa divulgation. Cela signifie que le consentement exprès est requis pour la collecte initiale du renseignement auprès d'une personne et pour son utilisation future. Ensuite, lorsque l'information doit être communiquée à une partie qui n'est pas celle qui l'a recueillie, y compris dans le cadre de processus commerciaux, le consentement exprès est de nouveau requis.
La catégorie des données et des renseignements de nature financière est extrêmement vaste. Elle comprend, entre autres, les données sur les transactions et celles sur le recours d'une personne à plus d'une hypothèque ou non. Il s'agit d'une foule de renseignements qui sont, grosso modo, des renseignements personnels qui vous lient à tout type de transaction financière, et il y en a beaucoup.
Le consentement exprès serait requis pour chaque collecte, utilisation et communication de ces renseignements. Je vous donne un exemple. Si j'effectue un paiement régulier par l'entremise de ma banque et qu'elle doit faire appel à une tierce partie pour traiter ce paiement — comme beaucoup le font pour continuer à utiliser les données sur les transactions —, il faudrait obtenir un consentement exprès pour chaque divulgation tout le long de la chaîne. Il ne faudrait pas seulement le faire lorsque j'ouvre mon compte bancaire ou lorsque j'effectue la transaction; ce consentement serait exigé à chaque étape. C'est une catégorie assez large.
Je pense qu'il est important de souligner la distinction entre cette obligation d'obtenir le consentement exprès et les diverses façons dont le traitement des données et des renseignements est autorisé en vertu du RGPD. À ce titre, je vais céder la parole à mes collègues, qui pourront vous expliquer pourquoi cette mesure n'a pas engorgé le système de l'Union européenne. C'est en partie parce que cette question n'est pas comprise de la même façon.
Je cède la parole à mes collègues.
:
Je vais revenir aux principes fondamentaux. Il est important de mentionner la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE. Une chose qui sera transférée à la Loi sur la protection de la vie privée des consommateurs est le principe de reddition de comptes selon lequel ceux qui recueillent, utilisent et divulguent les données seront redevables tout au long du cycle de vie des renseignements personnels qu'ils auront recueillis pour une utilisation à long terme, et ils seront assujettis aux règles de la LPRPDE en raison de ces divulgations continues. C'est l'une des façons qui nous permet de veiller à ce qu'il y ait une reddition de comptes tout au long de la chaîne de valeur des données.
Il est important de souligner que l'on exige déjà, dans une large mesure, une reddition de compte de la part de ceux qui utilisent, recueillent et divulguent des renseignements personnels. L'expression « de nature sensible » aura pour effet, comme je l'ai dit, d'exiger un consentement exprès, nonobstant le principe de reddition de comptes. Dans toute la chaîne de valeur, les données sont très souvent transférées et communiquées entre des entités qui ne sont pas nécessairement la même entité que celle qui a recueilli les données au départ.
L'on a parlé des banques, mais même avec les détaillants ou d'autres entités, il y a souvent beaucoup de gens. Votre banque a recours à une tierce partie, comme Interac, et doit ensuite transférer les renseignements à l'institution financière hôte. Si vous utilisez une carte de crédit, le tiers qui traite les paiements interviendra souvent avant que l'information ne parvienne à votre banque aux fins du paiement, et l'information sera ensuite communiquée de nouveau au détaillant d'origine aux fins de compensation.
En achetant une pomme à l'épicerie, les renseignements personnels liés à des renseignements de nature financière peuvent être communiqués six ou sept fois, et chaque fois, le consentement exprès de la personne serait requis pour le paiement et la compensation de cette transaction. C'est assez lourd, lorsque l'on imagine la vaste catégorie des données financières et le fait que l'on va maintenant exiger un consentement exprès à chaque étape de la chaîne de valeur, au lieu de compter sur les dispositions de reddition de comptes prévues dans la Loi sur la protection de la vie privée des consommateurs et la LPRPDE et sur les règles associées à l'utilisation des renseignements personnels de façon plus générale.
:
Je vois que la réponse est oui, mais le microphone n'était pas allumé.
Je vais brièvement revenir en arrière. Les catégories du RGPD que Mme Angus a lues ne comprenaient pas certains éléments qui figurent sur la liste que M. Garon a présentée dans son sous-amendement. Si je ne me trompe pas, les catégories du RGPD correspondent seulement aux alinéas a), b), c), d) et e). Si nous voulons vraiment assurer l'interopérabilité et utiliser la norme établie dans le RGPD de l'Union européenne — et cela fait partie de l'argument présenté —, il faudrait supprimer les alinéas f), g) et h). Lorsque je les ai lus, je me suis dit qu'ils pourraient entraîner des conséquences assez importantes, peut-être imprévues.
Ai‑je raison de dire que le RGPD inclut ce qui se trouve aux alinéas a), b), c), d) et e), mais pas ce qui se trouve aux alinéas f), g) et h)? N'hésitez pas à me corriger si j'ai tort.
:
Je vais commencer, puis je céderai la parole à mes collègues.
Essentiellement, vous avez raison. Il faut tenir compte de certains éléments dans les alinéas f), g) et h).
Comme nous en avons parlé à la dernière réunion, le commissaire à la protection de la vie privée a souligné que dans deux provinces, les renseignements contenus dans le permis de conduire ne sont pas considérés comme des renseignements personnels. Il est important de faire la distinction entre le permis de conduire — parce que ce n'est pas ce que dit cet amendement — et le numéro de permis de conduire, soit ce qui est mentionné. Il y a beaucoup de renseignements personnels sur notre permis de conduire, c'est certain, mais ce que l'on souhaite considérer comme un renseignement de nature sensible ici, c'est le numéro de permis de conduire, et le commissaire à la protection de la vie privée a déjà déclaré qu'il ne s'agissait pas, dans deux provinces, d'un renseignement personnel. Par conséquent, le fait de lui accorder le statut de renseignement de nature sensible non seulement relève la barre, mais exige en fait un consentement exprès.
Nous avons déjà parlé des données financières, mais les mots de passe ont souvent aussi un contexte qui devrait être pris en considération.
Sur ce, je vais demander à mes collègues d'expliquer davantage diverses questions à la fin de la liste.
:
Comme M. Schaan l'a souligné, le contexte est essentiel pour analyser la nature sensible d'une information. Dans le mémoire qu'il a présenté au Comité, le commissaire à la protection de la vie privée a mentionné que l'analyse du contexte de la collecte, de l'utilisation ou de la communication de tout renseignement est un élément fondamental. C'est très important parce que, même s'il peut y avoir des situations où il est plutôt rare qu'une catégorie de renseignements soit considérée de nature sensible ou non sensible, le contexte est ce qui donne au commissaire la capacité de s'assurer que la vie privée est protégée au plus haut niveau.
Comme M. Schaan l'a déjà souligné, les données financières ne sont pas incluses dans la loi 25 du Québec ni dans le RGPD — le Règlement général sur la protection des données — de l'Union européenne ou du Royaume-Uni. De même, les mots de passe ne sont pas inclus dans le cas des autres administrations, sauf en Californie, où il est considéré comme tel dans des situations très précises, c'est‑à‑dire lorsque les renseignements de connexion, soit le mot de passe et les éléments d'identification de l'utilisateur, donnent accès à des renseignements de nature sensible.
De plus, en incluant les mots de passe, bien sûr, comme nous l’avons expliqué la dernière fois au Comité, on introduit une certaine non-neutralité à l'égard des technologies qui pourrait également être problématique dans certains cas.
Comme M. Schaan l'a déjà souligné, le commissaire à la protection de la vie privée a expressément déclaré qu'un permis de conduire n'était pas considéré comme contenant des renseignements personnels dans deux provinces. Le fait de l'inclure dans les renseignements personnels de nature sensible, alors qu'il ne considère même pas cela comme des renseignements personnels, constituerait un genre de conflit.
:
Comme M. Chhabra l'a fait remarquer dans l'exemple de la Californie, il s'agit en partie de savoir à quoi ils servent et ce qu'ils révèlent.
Dans le cas de l'Ontario, ceux d'entre nous qui sont citoyens de cette province savent que notre date de naissance est incluse dans les six derniers chiffres de notre numéro de permis de conduire. Ce n'est pas le cas dans diverses autres provinces, alors encore une fois, c'est là que le contexte aura de l'importance.
Dans bon nombre de cas, en raison de ce pour quoi on peut potentiellement utiliser un numéro de passeport et faire le lien avec la personne, on considérerait probablement qu'il s'agit de renseignements personnels qu'il vaut la peine de protéger. Cependant, en soi, cela ne signifie pas nécessairement que la combinaison de chiffres et de lettres constitue des renseignements de nature sensible, parce que, encore une fois, c'est à quoi il sert.
Je pense qu'il est plus important de donner au commissaire une grande latitude pour établir et encadrer ce qui peut ou ne peut pas être fait avec ce type de renseignements et les mesures de protection qui doivent être mises en place — y compris, par exemple, proposer que le consentement exprès est la meilleure approche dans certains contextes —, que de lui donner une simple catégorisation générale. Encore une fois, dans cette catégorisation, il y a des utilisations, des contextes ou, en fait, des cas où il ne s'agit pas nécessairement même de renseignements personnels en soi.
:
Je ne suis pas tout à fait d'accord avec vous, compte tenu du bulletin d'interprétation du commissaire à la protection de la vie privée, mais je vais m'arrêter ici.
Je reviens à mon autre question sur l'accès à l'information. À ma connaissance, tous les renseignements sont considérés comme étant de nature sensible dans la législation canadienne. Ce que j'essaie de faire valoir, c'est qu'il existe d'autres contextes dans lesquels l'information financière est jugée sensible.
Ici au Comité, nous avons dû examiner des contrats qui valent plus de 15 milliards de dollars cette année seulement pour Stellantis, NorthStar et Volkswagen. Tous les arguments avancés pour expliquer pourquoi la population ne devait pas avoir accès à l'information reposaient sur la nature sensible de ces renseignements pour les entreprises. Cela situe le contexte de mon approche. Je sais que c'est un exemple qui ne se rapporte pas à la loi, mais il était vraiment frustrant en tant que député de n'avoir que deux heures pour examiner des contrats de 15 milliards de dollars.
Quoi qu'il en soit, je m'écarte du sujet.
Monsieur Chhabra, c'était une analyse très utile. Je ne suis toujours pas d'accord, mais vous avez soulevé un bon point. Merci.
Je suis d'accord pour dire que c'est une bonne discussion dans l'ensemble.
Je pense que nous devrons peut-être revenir un peu en arrière. Lorsque nous regardons la différence entre les renseignements personnels et les renseignements de nature sensible, nous voyons que les renseignements de nature sensible sont plus susceptibles de se traduire par des préjudices ou une discrimination. Nous nous assurons ici qu'il y a une autre couche de protection lorsque nous examinons ces exemples.
Je compte parmi les membres du Comité qui désapprouvent l'absence des données financières ici. Je pense que le risque de vol d'identité et de fraude est plus élevé. C'est la même chose pour les permis de conduire. De plus en plus, nous voyons partout des Canadiens qui risquent de se faire voler leur identité. À mesure que la technologie s'améliore et que les Canadiens utilisent de plus en plus d'application et de technologies, ils constatent que leur vie privée est menacée. Je pense qu'il est très important d'indiquer que ces éléments sont de nature sensible, surtout au moment où nous voyons que les Canadiens sont plus vulnérables.
Monsieur Schaan, à quel endroit utilisons-nous le mot « sensible » dans le projet de loi? Quand nous parlons de renseignements, à quel endroit utilisons-nous ce terme en général?
:
Je vais commencer puis céder la parole à M. Chhabra.
Comme M. Chhabra l'a dit, le mot « sensible » est utilisé à différents endroits dans le projet de loi. C'est particulièrement important où l'on mentionne l'information qu'on ne peut pas utiliser parce qu'elle est considérée comme étant de nature sensible. C'est l'exemple qu'il vient tout juste de passer en revue avec M. Vis. Nous avons mentionné un critère à deux volets, essentiellement, pour des choses comme le consentement implicite lorsque les renseignements sont considérés comme étant de nature sensible, ce qui signifie que le consentement exprès est nécessaire.
Pour revenir à la discussion de la semaine dernière, cela ne laisse pas entendre que des choses comme votre permis de conduire ou vos renseignements personnels de nature financière ne sont aucunement protégés. Ils ont des protections considérables, et en autorisant le Commissariat à la protection de la vie privée à établir des lignes directrices et à prononcer sur ces questions, on peut obtenir une surveillance efficace de ces renseignements sans nécessairement laisser entendre qu'il faut un consentement exprès dans tous les cas. C'est la partie la plus importante de ce qui se produit lorsqu'on juge que quelque chose est de nature sensible.
Je vais céder la parole à M. Chhabra pour qu'il explique encore une fois à quel endroit le mot « sensible » apparaît dans le projet de loi.
:
Ce n'est pas dans la définition, mais il est sous-entendu que le risque de préjudices et de discrimination est plus élevé. Nous examinons tout ce projet de loi depuis le début, et il n'est toujours pas indiqué dans l'énoncé de l'objet que la protection de la vie privée est un droit fondamental.
Nous regardons ce qui s'en vient, et j'aimerais ajouter un amendement. Je vais ajouter un élément sur les données de localisation qui n'est pas là et qui est très important selon moi, compte tenu de ce que la technologie sera d'ici 10 ans environ. Ces renseignements comprennent tout ce qui se trouve dans nos téléphones, nos montres et nos voitures pour indiquer qui nous sommes et où nous nous trouvons.
Je vais faire marche arrière et mentionner que les données financières évoluent également. Le gouvernement se penche actuellement sur le système bancaire ouvert. Nous avons exercé des pressions à cette fin. Le but du système bancaire ouvert est de veiller à ce que les clients puissent contrôler leurs données financières en donnant leur consentement. C'est essentiellement le libellé que nous avons inscrit. Les clients exercent ensuite un contrôle là‑dessus.
Si ce ne sont pas des données de nature sensible, que faisons-nous alors avec le consentement et comment le donnons-nous? Je pense que c'est une forme de contrôle pour les Canadiens et les gens lorsqu'il est inscrit la plupart du temps qu'ils peuvent déplacer leurs renseignements en donnant leur consentement, lorsque nous considérons la protection de la vie privée comme un droit fondamental. La consignation et la surveillance des données nécessitent le consentement de la personne. Pour moi, par leur nature même, lorsqu'il est question de préjudices ou de discrimination, ce sont des renseignements de nature sensible. Plus loin dans le projet de loi — car nous parlons seulement des définitions —, nous pouvons prendre ce contexte et discuter de la façon dont c'est utilisé et de ce qui se passera. Je ne pense toutefois pas que nous devrions retirer cela de ce que nous considérons comme des renseignements de nature sensible.
Si nous prenons le risque de préjudices ou de discrimination, de toute évidence, nous envisageons une couche de protection supplémentaire pour les évaluations des facteurs relatifs à la vie privée, mais je pense que, en tant que comité, nous ne faisons que définir l'information qui est démesurément utilisée dans le vol d'identité, la fraude, la stigmatisation et la discrimination. Je pense que tout ce que nous faisons, c'est inscrire cela comme quelque chose que nous voulons protéger, et je pense que ce sont les choses que nous essayons de cerner.
Monsieur le président, je vais commencer par en parler, mais j'aimerais ajouter l'alinéa i), qui porterait sur les données de localisation. Je vais mentionner très rapidement pourquoi je pense que c'est important.
Les données de localisation sont considérées comme étant de nature sensible pour plusieurs raisons, dont la sécurité personnelle. Les données de localisation peuvent révéler à quel endroit une personne vit, travaille, se déplace fréquemment...
:
Merci, monsieur le président.
Je pense qu'il est important de mentionner que nous sommes dans une impasse. Nous avons ici un argument qui est plus philosophique que technique à propos du projet de loi. Selon moi, l'utilisation des données dans le système dont se servent actuellement les établissements financiers est inefficace pour l'économie. C'est certainement désavantageux pour le client, et c'est une des choses que je veux changer dans ce projet de loi.
J'ai fait une blague sur les automobiles lorsque M. Williams a soulevé certaines questions liées à la localisation. Il fait preuve d'une grande perspicacité en le mentionnant, car la valeur des automobiles à l'avenir sera autant attribuable à la collecte de renseignements qu'à la production, à la construction et à la distribution dans la société. Il sera question de la valeur du client, qui doit avoir un certain choix.
Cela répare une injustice sociale et un modèle de dépendance économique que nous avons lorsqu'il s'agit des établissements financiers. Cela met essentiellement les consommateurs et les PME dans une position désavantageuse au sein de notre économie. Il est révoltant que certains renseignements actuellement recueillis par des sociétés émettrices de cartes de crédit soient régulièrement distribués et vendus aux établissements financiers, qui s'en servent ensuite contre leurs propres clients.
Ce que je veux que cet amendement fasse, de mon point de vue à ce stade‑ci, c'est renforcer la voie à suivre pour que les gens puissent utiliser de manière calculée leurs renseignements pour quantifier cela, même économiquement s'ils le souhaitent, en donnant leur consentement. Entre autres choses, je pense qu'on a peur de subir des conséquences lorsqu'on utilise son téléphone si jamais nous donnons suite à ce genre d'amendement. Cependant, on peut quantifier cela de manière à ce que, par exemple, on puisse vendre ses renseignements ou y donner accès dans un modèle d'autonomisation et obtenir ainsi des frais et des coûts moins élevés ou des incitatifs financiers, ce qui pourrait être possible grâce au système modifié de traitement de l'information.
Je n'ai pas vraiment de question à ce stade‑ci. Je ne sais pas à quel point le gouvernement veut s'engager sur cette voie s'il n'a pas l'appui des autres partis pour sa position particulière. Je comprends d'où elle provient. C'est vraiment une question de savoir à quel point on veut prolonger l'étude de ce projet de loi et ce processus, car je ne vais pas céder. Il est nettement avantageux pour la classe sociale et ouvrière d'avoir des modèles d'autonomisation pour leurs renseignements financiers et tout le reste. Il revient aux entreprises de présenter un modèle qui fonctionne pour elles. Cela doit se faire en offrant un meilleur soutien aux clients.
Je ne suis pas certain de la voie à suivre à ce stade‑ci. Je pense que nous sommes actuellement dans une impasse philosophique, et nous pouvons continuer avec d'autres questions et d'autres commentaires. Cependant, j'aimerais que ce qui se rapporte à la protection de la vie privée dans le projet de loi soit réglé rapidement. En même temps, j'aimerais un changement d'ordre philosophique. Le NPD en est là en ce moment. Nous profitons de l'influence que nous avons actuellement pour amener les établissements financiers à faire ce qu'ils sont censés faire depuis longtemps, c'est‑à‑dire servir les clients. À notre époque, tout est rattaché à l'information, et nous devrions donc saisir les occasions de l'utiliser pour la classe ouvrière, car les frais, les coûts et l'approche financière qui découlent de ces politiques au pays nuisent grandement à la productivité.
Je vais conclure là‑dessus, car il est très important de comprendre que nos systèmes de gestion de l'argent et de l'information sont étroitement liés. À quoi bon empêcher les consommateurs ou les particuliers d'exercer leurs droits? Ce serait une erreur.
:
Merci, monsieur le président.
Beaucoup de choses ont été dites sur l'amendement.
D'abord, le gouvernement n'en veut pas. Il ne veut pas que nos données financières, qui sont extrêmement sensibles, qui peuvent être volées et utilisées, fassent l'objet d'une forme assez forte de consentement.
C'est déplorable. Je ne le répéterai jamais assez. Nous ne savons pas qui le ministre a consulté avant de déposer le projet de loi , qui a fini par donner lieu à une tonne d'amendements parce qu'il était mal rédigé à l'origine.
Nous ne savons même pas quelles banques, quelles institutions financières, quelles compagnies d'assurance, quels groupes de défense d'intérêts privés ont été consultés. Il s'agissait peut-être de groupes de consommateurs, nous ne le savons pas. Cependant, il est évident, encore une fois, que si nous nous fions à ceux qui défendent ce projet de loi, nous avons l'impression d'entendre les gens de l'industrie.
Mon sous-amendement a été formulé de façon à ce que l'élément contextuel soit bien présent. Quand on dit que « l'individu a généralement une attente élevée en matière de protection de la vie privée », cela implique que le Commissaire à la protection de la vie privée pourra intégrer l'élément contextuel. Il n'y a absolument pas d'ambiguïté là-dedans.
Par ailleurs, la Loi 25, au Québec, protège d'une certaine façon les données financières, mais nous rappelons quand même au gouvernement que la majorité des institutions financières sont réglementées par le fédéral.
Monsieur le président, j'aimerais citer un passage d'un jugement de la Cour suprême: « [...] je conviens avec le Commissaire que les renseignements financiers sont généralement des renseignements extrêmement sensibles. » Je le répète: « [...] je conviens avec le Commissaire que les renseignements financiers sont généralement des renseignements extrêmement sensibles. »
On trouve ce jugement dans l'affaire Trang. La Cour suprême reconnaît que, dans certaines circonstances et certaines relations d'affaires, un certain consentement est implicite et les tribunaux ont de la latitude pour l'interpréter.
Dans mon sous-amendement, on ne dit pas que les renseignements financiers sont toujours sensibles. Néanmoins, généralement, c'est ce qu'il dit pour les cas où les circonstances indiquent une attente élevée, ce qui est entièrement conforme au jugement de la Cour suprême dans le jugement Trang. Cela a été écrit dans cet esprit.
Par ailleurs — et c'est important de le dire —, je suis d'accord avec mon collègue M. Masse pour dire que de ne pas inclure les renseignements financiers équivaudrait à un recul par rapport au droit actuel.
Encore une fois, nous maintenons notre position.
J'aimerais aussi revenir rapidement sur les commentaires de mon collègue M. Williams.
Nous disons que les renseignements de nature sensible ne se limitent pas à ceux indiqués dans la liste. Les données de géolocalisation sont un exemple de renseignements pouvant être considérés comme étant d'une telle nature, si la personne a généralement une attente élevée en matière de la vie privée à cet égard et que c'est lu dans son contexte.
Cela montre l'importance de prévoir une certaine flexibilité, étant donné que les examens quinquennaux n'ont pas toujours lieu après cinq ans. Parfois, ils se font après huit, dix ou douze ans.
Je pense donc qu'il faut adopter l'amendement.
Finalement, il faut tenir compte de la fatigue liée au consentement. On nous dit que les gens deviendront épuisés de devoir consentir à ce que leurs renseignements soient utilisés. En raison de ce phénomène sociologique, nous devrions nous abstenir d'inclure l'information financière d'une personne dans ses renseignements de nature sensible.
Je n'ai pas de doute quant à la formation scientifique des fonctionnaires qui sont ici aujourd'hui, mais je me suis quand même permis d'aller consulter la littérature scientifique pour voir ce qu'il en était sur la fatigue liée au consentement. C'est ce que j'ai lu.
Je comprends qu'il peut y avoir présomption que les gens finiront par être exténués de devoir donner leur consentement quand il y aura des alertes toutes les cinq secondes sur leur montre Apple, comme celle de mon collègue M. Turnbull, chaque fois qu'une banque voudra utiliser leurs renseignements personnels.
Toutefois, la réalité, c'est que, sauf au bureau du ministre de l'Innovation, des Sciences et de l'Industrie, présentement, personne ne nous parle de fatigue due au consentement.
Les gens ont peur que leurs données soient volées et utilisées.
Les gens ont peur d'être localisés. On sait que beaucoup de renseignements sont contenus dans les appareils, notamment les téléphones cellulaires. Les gens nous en parlent. Toutefois, je n'ai jamais entendu quelqu'un me demander de faire attention à ce qu'on ne l'épuise pas quand nous allons légiférer pour protéger ses renseignements personnels. Cela ne m'est jamais arrivé. Je n'accepte pas cet argument.
:
J'écoute tous mes collègues ici, mais j'ai vraiment l'impression que cela aura un effet négatif. Les fonctionnaires nous ont dit à maintes reprises lorsque je leur ai posé des questions que ce sous-amendement ferait en sorte que tout ce qui se trouve sur la liste, même si on peut y ajouter des éléments, est considéré comme de l'information de nature délicate, ce qui signifie que le consentement exprès est nécessaire chaque fois que les données sont recueillies, utilisées ou divulguées. Imaginer un peu les conséquences de cela.
Je ne veux pas argumenter contre les points qui ont été soulevés. Idéologiquement, oui, je suis d'accord. Tous ces renseignements sont importants. Il faut les protéger et les soumettre à des exigences rigoureuses. Cela fait partie de l'élaboration du projet de loi, si je comprends bien. Cela ne signifie toutefois pas que toutes les données personnelles devraient être considérées comme étant de nature sensible. Je sais que c'est un peu exagéré, mais je pense que nous avons fait valoir à maintes reprises que cette liste comprend des choses qui ne sont pas dans le Règlement général sur la protection des données de l'Union européenne.
J'ai ce règlement ici. Je vais vous dire très précisément quels sont les renseignements inclus. Je suis surpris que des membres du Comité avancent que les éléments de cette liste se trouvent dans le règlement général. À ma connaissance, ce n'est pas le cas. Lorsque je cherche les données personnelles qui sont considérées comme étant de nature sensible dans le Règlement général sur la protection des données de l'Union européenne, voici ce que je vois:
[...] données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique [...]
C'est tout.
Je crois également comprendre, après l'avoir demandé aux fonctionnaires, que la liste qui se trouve ici... Nous avons les alinéas f), g) et h), et M. Williams veut ajouter l'alinéa i), qui porte sur les données de localisation, si nous finissons par en arriver là. À mon avis, cette liste nous éloigne de l'Union européenne et de la loi 25 du Québec.
Puis‑je tirer cela au clair, monsieur Schaan, en vous demandant de le répéter? Est‑il vrai que nous allons faire bande à part avec les alinéas f), g) et h)? S'ils sont ajoutés au libellé et que ce sous-amendement est adopté, nous allons faire bande à part. Autrement dit, le Canada aurait une loi plus stricte que le Québec par rapport à ce qui est considéré comme des renseignements personnels de nature sensible. Est‑ce bien le cas?
:
Je vais laisser mes collèges répondre également.
La chaîne de valeur du traitement des renseignements financiers est un processus à étapes multiples. Outre le responsable de la collecte initiale des renseignements, elle comporte de nombreux joueurs qui remplissent chacun un rôle distinct relatif aux services financiers.
Les renseignements initiaux sont recueillis à la première étape, qui est celle du paiement, de la transaction et du point de vente. Ils parcourent ensuite la chaîne de valeur pour permettre finalement aux fonds d'être retirés de votre compte bancaire et versés aux créanciers. Si ces renseignements étaient considérés comme sensibles, vous auriez à donner expressément votre consentement à chacune des étapes de la chaîne de valeur parce que chacune de ces étapes entraîne la communication de renseignements. Au mieux, cette obligation interrompt de nombreuses activités d'affaires, mais elle alourdit aussi considérablement la responsabilité du consommateur concernant la circulation de ses données financières et la satisfaction continue de ses besoins économiques.
Je vais demander à mes collègues s'ils veulent ajouter quelque chose.
:
Monsieur Garon a affirmé que la fatigue du consentement n'existait pas vraiment. Je pense que le sous-amendement pourrait rendre cette fatigue réelle et en fait l'aggraver aux yeux du Canadien moyen. Je fais confiance aux systèmes en place pour assurer notre protection. Ils tombent parfois en panne, ce qui est normal. Des atteintes à la protection de la vie privée se produisent de temps à autre. Ce sont des choses que pourra régler le commissaire à la protection de la vie privée.
Parmi les aspects du projet de loi que nous n'avons pas encore examinés, y en a‑t‑il qui pourraient confirmer aux membres du Comité que certains types de renseignements prévus aux alinéas f), g) et h) sont protégés même s'ils ne sont pas nécessairement considérés comme sensibles? C'est le cœur du problème à mon avis. Certains députés invoquent des arguments idéologiques en disant qu'il faudrait considérer comme « sensibles » certains renseignements pour s'assurer qu'ils sont vraiment protégés.
Je décèle une volonté d'aller en ce sens. Je comprends l'intention derrière cette démarche. Les motifs sont nobles. Il faut toutefois anticiper les conséquences voulues ou non voulues de cette désignation dans des situations où le contexte ne peut pas être pris en compte. Le vrai problème se trouve là. Le projet de loi en tant que tel établit un régime pour que les alinéas f), g) et h) soient assortis d'exigences très robustes, voire même plus robustes qu'auparavant.
Monsieur Schaan, j'aimerais savoir ce que vous en pensez parce que j'ai l'impression que c'est cela qui manque. Nous nous acharnons sur une définition. Nous essayons d'intégrer quelque chose à la définition qui est en fait traité dans le reste du projet de loi, mais nous brûlons des étapes. Je ne veux pas avoir l'air condescendant, mais notre étude n'est pas encore à ce stade. Nous n'avons pas encore examiné le reste du projet de loi.
Monsieur Schaan, pouvez-vous nous parler de mesures énoncées dans le reste du projet de loi qui mettraient la barre plus haute ou qui resserreraient les exigences relatives aux renseignements personnels au point de lever la nécessité de considérer tous les renseignements comme sensibles pour les protéger?
:
J'ajouterais une chose.
Au cours des derniers jours, j'ai discuté avec des spécialistes des systèmes bancaires ouverts — ou services bancaires axés sur les clients. Je peux vous dire avec certitude que pour les questions liées au consentement, à l'autorisation et à l'authentification — qui correspondent chacune à l'une des étapes de la chaîne de valeur qui servent à différentes fins au sein du système bancaire ouvert —, le fait d'insister pour considérer toutes les données financières comme des renseignements sensibles change les paramètres de ce qui est en marche dans le secteur. Il est prudent d'affirmer que cela ralentira probablement l'avancement des travaux en gestation. Il y a une distinction importante à faire entre, d'une part, les renseignements personnels ou sensibles qui exigent un consentement exprès, et d'autre part, les éléments qui sont désignés comme des renseignements personnels, mais qui n'ont pas à être désignés comme sensibles étant donné que leur utilisation ou leur communication s'inscrit dans un système bancaire ouvert qui consiste dans certains cas à transférer les renseignements pour permettre la prestation de services.
Je comparerais cela à la pointe de l'iceberg. Il faut comprendre que le consentement exprès est visible et accessible à tous les consommateurs dans le système, mais que beaucoup de travail doit être fait en coulisse, si vous voulez, pour communiquer les données qui ne sont pas considérées comme sensibles dans le contexte et assurer ainsi la prestation des services que voient les consommateurs.
:
Merci, monsieur le président.
Merci aux fonctionnaires.
Avant de poser quelques questions sur ce sujet, que je ne crois pas avoir abordé, je signale que c'est la troisième réunion que nous tenons sur l'amendement CPC‑7, ce qui est en grande partie attribuable à la volonté du gouvernement de le modifier. Je le mentionne seulement parce que le gouvernement a suggéré qu'il faudrait quatre réunions pour mener l'étude article par article et que c'est lui qui fait pression pour que ce soit plus long.
Monsieur Schaan, je suis un peu préoccupé par ce que vous avez dit plus tôt à propos du commissaire à la protection de la vie privée. Le projet de loi , qui a été le prédécesseur de ce projet de loi, a tenté d'apporter des modifications à la Loi sur la protection des renseignements personnels à la dernière législature, et j'aimerais lire un passage du mémoire que le commissaire à la protection de la vie privée a présenté au Comité, si vous le permettez:
Bien que le CPVP et les tribunaux aient donné certaines interprétations de la nature sensible des renseignements, il serait préférable de disposer d'une définition législative qui établit un principe général et qui dépend du contexte, suivie d'une liste d'exemples explicitement non exhaustive (comme ceux figurant à l'article 9 du RGPD). Ceci offrirait une plus grande certitude pour les organisations et les consommateurs quant à l'interprétation de cette expression. Voici un exemple d'une telle définition:
Renseignements de nature sensible — Des renseignements personnels pour lesquels les attentes d'un individu sont plus élevées en matière de vie privée, ou pour lesquels la collecte, l'utilisation ou la communication entraîne un risque accru de préjudice pour l'individu. Il peut s'agir, entre autres [...]
Cela vous rappelle‑t‑il quelque chose? C'est dans le sous-amendement du député Garon.
[...] de renseignements qui révèlent la race ou l'origine ethnique, l'identité de genre, l'orientation sexuelle, les opinions politiques ou les croyances religieuses ou philosophiques; de l'information génétique; de renseignements biométriques dans le but d'identifier précisément un individu; de renseignements financiers; de renseignements sur la santé; ou de renseignements qui révèlent la géolocalisation d'un individu.
C'était pour le dernier projet de loi, et je suis donc surpris, monsieur Schaan, que vous ayez dit que le commissaire à la protection de la vie privée n'a pas demandé cela. C'est écrit dans son mémoire.
:
Merci, monsieur le président.
Merci aux témoins d'être avec nous.
Pendant que nous débattions de ces questions, un article est sorti sur TVA Nouvelles. Cet article nous apprend que Hyundai a été victime d'une fuite de données, et qu'il y a eu une augmentation de ce genre de fuite de 225 % depuis l'an dernier.
Notre collègue du NPD a d'ailleurs mentionné l'information que recueillent les automobiles. Je suis content de me promener encore avec une auto de 2009. Personne ne peut savoir où je vais avec cette auto. Cela me rassure.
M. Turnbull a peur que, si l'amendement CPC‑7 est adopté, tel qu'il serait modifié par le sous-amendement, les gens soient obligés de donner leur consentement à toutes les étapes d'un processus de chaîne de valeur.
Les lois sont mises en application par règlement après leur adoption. Ces règlements peuvent-ils être faits de façon à éviter ce genre de multiplication des demandes d'autorisation à chaque étape?
Je veux aborder les aspects financiers dont nous avons parlé, en particulier le système bancaire ouvert. Un régime solide de protection des données est un argument en faveur d'un système bancaire ouvert. Voilà pourquoi on examine cette solution pour le Canada. Cela permet l'introduction d'une meilleure technologie de protection des données.
Monsieur Chhabra, vous avez pris le temps de parler du système bancaire ouvert. J'ai consacré des milliers d'heures à discuter de la question avec des particuliers et à essayer de faire avancer... en particulier parce que les gens estiment qu'une IPA et le cadre à venir les rendront plus concurrentiels, dans l'ensemble du processus, par rapport aux institutions bancaires ordinaires. C'est ce qu'on a constaté en Australie et au Royaume-Uni.
Vous dites avoir déjà parlé à certains de ces groupes. Je ne vois toujours pas en quoi considérer les données financières comme des renseignements de nature sensible nuira aux institutions financières au Canada. Je pense plutôt que cela les renforcera. Je ne vois pas vraiment pourquoi une protection accrue des consommateurs et l'utilisation d'une technologie pour protéger ces données — assurant ainsi une meilleure protection des données pour les consommateurs de technologie canadienne au Canada — seraient considérées comme un désavantage, d'autant plus que la seule chose qui découle du budget, jusqu'à maintenant, est un cadre pour le système bancaire ouvert, et davantage de consultations avec l'industrie.
Si nous développons une IPA qui sera utilisée dans l'ensemble du système bancaire ouvert, en quoi cela désavantagerait‑il notre système bancaire ouvert, y compris son cadre, par rapport aux systèmes d'autres pays?
:
Merci, monsieur le président.
Je tiens à ce que certaines de nos divergences figurent au compte rendu.
Nous parlons de l'autonomisation des consommateurs par rapport à leurs renseignements personnels, mais en même temps, nous avons un gouvernement qui n'a apporté aucun changement au droit d'auteur de la Couronne depuis 1911. Pour ceux qui ne connaissent pas le droit d'auteur de la Couronne, il a été introduit au Canada en 1909, et a été modifié en 1911. Cela signifie — et c'est très important pour les entreprises, les éducateurs et la société en général — que toutes les informations détenues par le gouvernement sont essentiellement suspendues ou ne sont pas fournies au public, ce qui est différent des régimes des États‑Unis et d'autres pays du Commonwealth. J'ai de la difficulté à comprendre que le gouvernement veuille conserver le contrôle des renseignements créés et diffusés publiquement alors que les États‑Unis ne le font pas, que la Grande‑Bretagne ne le fait pas et que les autres pays du Commonwealth ne l'ont pas fait non plus.
Monsieur Schaan, quel pays est équivalent au nôtre pour ce qui est du droit d'auteur de la Couronne? On a fait valoir que le gouvernement veut rejeter cet amendement afin que le public détienne les informations et un certain contrôle. En même temps, ce gouvernement continue de bloquer le renouvellement du droit d'auteur de la Couronne, qui fournit au grand public des renseignements qu'il a payés. Où donc y a‑t‑il une cohérence par rapport au droit d'auteur de la Couronne?
:
Le régime est supervisé par le commissaire à la protection de la vie privée, qui a des pouvoirs considérables, notamment le pouvoir de rendre des ordonnances et de recommander des sanctions pécuniaires administratives, et le pouvoir de signer des ententes de consentement afin de modifier les comportements de ceux qui pourraient violer la vie privée des Canadiens. Tout cela est interprété dans le vaste contexte du droit fondamental à la vie privée, qui a été inclus dans le préambule et au début du projet de loi.
Les cas d'utilisation des renseignements personnels dont nous avons parlé aujourd'hui seraient régis par des obligations rigoureuses en matière d'utilisation des renseignements personnels, pourvu qu'ils ne soient pas de nature sensible. Au moment de collecter des renseignements, une entreprise devrait indiquer clairement au consommateur comment ces renseignements seront utilisés, y compris leur transfert futur. L'entreprise sera tenue d'instaurer un programme de protection de la vie privée incluant la sécurité des renseignements dans leurs divulgations.
Ces obligations seraient transférées à une entité divulguée. Dans ce cas d'utilisation particulier, si l'entité divulguée est une entreprise de traitement des paiements, même si cela n'annule pas la responsabilité du collecteur d'origine, elle sera tenue d'assurer la confiance et la sécurité continues pour les renseignements en sa possession, et ce, même s'ils lui ont été communiqués sans consentement explicite.
Chaque étape de cette chaîne de valeur demeure régie par une approche globale qui vise à s'assurer que la protection continue de la vie privée des Canadiens demeure un facteur primordial dans la transaction en général et lors de la collecte, de l'utilisation et la communication des renseignements.