INDU Réunion de comité

     Bonjour à tous et à toutes.

    Je déclare la séance ouverte.

    Je vous souhaite la bienvenue à la 122^e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.

    La réunion d'aujourd'hui se déroule sous forme hybride, conformément à l'ordre adopté et au Règlement.

    Avant de commencer, j'aimerais rappeler à tous les députés et aux autres participants ici présents les importantes mesures préventives suivantes.

    Afin de prévenir les incidents acoustiques perturbateurs et potentiellement dangereux, susceptibles de causer des blessures, je rappelle aux participants de toujours garder leur oreillette éloignée des microphones.

    Comme il est indiqué dans le communiqué du président envoyé à tous les députés le lundi 29 avril 2024, les mesures suivantes ont été prises pour aider à prévenir les incidents acoustiques.

    Toutes les oreillettes ont été remplacées par un modèle qui réduit considérablement la probabilité d'un incident acoustique. Les nouvelles oreillettes sont noires, alors que les anciennes étaient grises.

    Veuillez utiliser uniquement les oreillettes noires approuvées.

    Par défaut, toutes les oreillettes inutilisées au début d'une réunion seront débranchées.

    Lorsque vous n'utilisez pas la vôtre, veuillez la placer face vers le bas, au milieu de l'autocollant sur la table, comme l'indique l'image sur la table.

    Veuillez aussi consulter les cartes sur la table pour connaître les lignes directrices sur la prévention des incidents acoustiques.

    Finalement, la disposition de la salle a été modifiée, comme vous pouvez le constater depuis une semaine, pour augmenter la distance entre les microphones et réduire le risque de retour de son causé par une oreillette à proximité.

    Ces mesures sont en place afin que nous puissions exercer nos activités sans interruption et pour protéger la santé et la sécurité de tous les participants, y compris les interprètes, que nous remercions d'ailleurs.

    Je vous remercie tous de votre coopération.

    Cela dit, nous tenons une nouvelle réunion sur le projet de loi C‑27.

    Conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois.

    Sur ce, j'aimerais souhaiter la bienvenue à nouveau aux témoins qui se joignent à nous.

    Du ministère de l'Industrie et participant par vidéoconférence, nous recevons spécialement aujourd'hui M. Mark Schaan, sous-ministre adjoint principal, et sur place, à Ottawa, nous recevons M. Samir Chhabra et Mme Runa Angus.

    Je vous remercie d'être parmi nous aujourd'hui.

    Avant de commencer, j'aimerais ajouter ce qui suit.

    Chers collègues, je vous rappelle simplement que nous en sommes toujours à l’amendement CPC‑7.

    (Article 2)

     Le président: Nous sommes saisis d'un sous-amendement du Bloc, dont nous débattions.

    Je donne la parole à M. Garon afin qu'il nous présente son sous-amendement.

    Merci, monsieur le président.

    À la dernière réunion, nous en étions à l'amendement CPC‑7, et nous avions déposé un sous-amendement.

    Vers la fin de la rencontre, après avoir débattu du sous-amendement pendant quelques minutes, nous avons compris que le fait de décider ce que nous inclurions dans la définition de l'expression « de nature sensible » posait plusieurs difficultés.

    J'ai donc fait parvenir à tout le monde une proposition qui devrait permettre d'obtenir le consentement unanime nécessaire pour pouvoir modifier mon sous-amendement.

    Je pourrais vous la lire si vous le désirez.

    D'abord, afin de retirer le sous-amendement de M. Garon qui est présentement débattu, soit celui qui incorporait une partie de l'amendement NDP‑6, il faut le consentement unanime des membres du Comité.

    Permettez-moi de poser une question. Est-ce que...

    Vous présenterez votre nouveau sous-amendement par la suite. Ce sera alors plus simple ainsi.

    Est-ce que je pourrai le présenter immédiatement après?

    Si vous le souhaitez.

    Si les gens me le permettent, ce serait une belle façon de le faire.

    Le Comité consent-il à l'unanimité à ce que M. Garon retire son sous-amendement?

    Je vois que tout le monde est d'accord.

    (Le sous-amendement est retiré.)

    Monsieur Garon, je vous cède la parole pour présenter un nouveau sous-amendement visant à modifier l'amendement CPC‑7.

    Merci, monsieur le président.

    Je remercie mes collègues d'avoir permis cela.

    Mon sous-amendement serait le suivant. Évidemment, ce n'est pas dans la nature de mon parti de présenter quelque chose seulement en français. Cependant, pour préserver la santé des oreilles des collègues, je vais le faire.

    Je propose que la motion CPC‑7, proposant la modification de l’article 2 du projet de loi C‑27 par adjonction, après la ligne 2, page 4, d'une liste d'éléments soit ainsi modifiée:

    J'imagine qu'il serait approprié de vous donner quelques explications.

    En premier lieu, nous avions discuté de l'introduction ou non d'une liste. Je sais que le gouvernement était un peu froid à l'idée d'introduire une liste, mais l'amendement qu'il avait déposé déclinait effectivement un certain nombre d'éléments qui n'étaient pas présentés sous forme de liste. Dans notre sous-amendement, nous en faisons l'énumération sous la forme d'une liste.

    Ensuite, nous nous sommes dit qu'il y avait deux points à clarifier. D'abord, il y avait la nature contextuelle, soit la prise en compte des renseignements personnels. Je pense que M. Schaan nous en avait notamment parlé. À la première ligne, nous indiquons que l'individu doit avoir une attente élevée en matière de protection de la vie privée, ce qui n'est pas exactement la définition précisée par la Cour suprême. Cela fait en sorte que, un jour ou l'autre, il sera possible qu'une interprétation en soit donnée par le commissaire et par les divers tribunaux.

    En fait, nous savons que l'Union européenne a mis en place l'étalon de référence pour ce qui est de la protection de la vie privée. Nous nous sommes donc inspirés de la liste de l'Union européenne, qui comportait notamment la question des données génétiques et biométriques. Pour nous, c'est d'une importance capitale.

    Nous avons évidemment consulté plusieurs intervenants, à divers endroits. Nous faisons comme le ministre, nous ne disons pas qui nous avons consulté. J'espère que tout le monde sera d'accord sur cela. Il est impossible de modifier des données biométriques ou génétiques une fois qu'elles ont été volées. Si l'on a volé vos données biométriques, elles sont volées pour la vie. C'est pourquoi, pour nous, il est primordial qu'elles soient considérées comme étant de nature sensible.

    Nous avons également ajouté l'appartenance syndicale qui, à notre avis, allait de pair avec l'appartenance politique, qui est aussi un élément couvert par l'Union européenne.

    Lors de la dernière réunion, les fonctionnaires avaient discuté de la question des orientations sexuelles ou habitudes sexuelles. Nous savons que cette information est à la source de possibles discriminations. Nous avons vérifié ce qu'a fait l'Union européenne, et elle considère également que cette information est de nature sensible. Évidemment, je sais que l'opinion des fonctionnaires diffère, cela dit en tout respect, mais il semble qu'en Europe, cela fonctionne bien. L'économie ne s'est pas arrêtée pour autant.

    Je voulais vous parler en dernier lieu des données de nature financière. Dans l'Union européenne, les données de nature financière sont considérées comme faisant l'objet d'une attente élevée en matière de protection de la vie privée. J'ai vérifié cela auprès d'amis français. Dans l'Union européenne, le système bancaire fonctionne encore, et les gens sont protégés.

    Il existe évidemment de l'information qui peut passer d'une banque à l'autre. C'est de l'information qui, à bien des égards, n'est pas nominative et qui, lorsqu'elle est transférée, ne fait pas l'objet d'une attente raisonnable en matière de vie privée. Mentionnons, par exemple, l'évasion fiscale ou les comptes étrangers. Ce sont tous des éléments qui font l'objet de conventions internationales, d'échanges d'information à l'égard desquels nous n'avons pas d'attente raisonnable en matière de protection de la vie privée.

    Il va y avoir un débat, et, à mon avis, il va être très intéressant. J'avais un peu de difficulté concernant l'argument selon lequel le système bancaire allait arrêter de fonctionner et que les banques n'échangeraient plus de renseignements.

    Nous avons devant nous le projet de loi concernant la mise en œuvre du budget, où il va être question du système bancaire ouvert. Pour le Québec, il est évidemment inacceptable que le gouvernement fédéral impose des règles aux caisses Desjardins.

    Il n'en demeure pas moins que, dans ce contexte, les échanges d'information vont être encadrés par le protocole sur le système bancaire ouvert. Dans le contexte de la protection de la vie privée, il nous semble adéquat de préciser que les renseignements de nature financière sont de nature sensible. Nous sommes évidemment ouverts à la discussion, mais sachez que nous y avons beaucoup réfléchi et que nous croyons qu'il est très probable que cette proposition fera consensus.

    Merci, monsieur Garon.

    Les prochains intervenants au sujet du sous-amendement présenté par M. Garon sont MM. Masse et Albas.

    Monsieur Masse, vous avez la parole.

    J'aimerais obtenir des éclaircissements pour m'assurer d'avoir bien compris, et j'aurai peut-être besoin de consulter les attachés de recherche. Parle‑t‑on, en anglais, de « trade union » ou simplement de « union »? C'est peut-être une question de traduction. Je pose cette question parce que trade union renvoie souvent aux métiers de la construction ou à une autre catégorie de métiers spécialisés, ce qui peut être différent des autres syndicats. Je suis simplement curieux au sujet de ce changement.

    Pour ce qui est de l'absence de « renseignement personnel », je ne sais pas si nous avons besoin du mot « personnel » ou non dans le texte. C'est une grande différence.

    Je vous remercie d'adopter cette approche constructive pour essayer de trouver une solution. Cependant, ces deux éléments m’intriguent et j’aimerais obtenir des précisions.

    Merci, monsieur Masse. La question se pose, en effet.

    Pour ce qui est des syndicats, je remarque que l'on utilise le terme trade unions dans le libellé anglais de la version originale de l'amendement CPC‑7.

    Votre question s'adresse‑t‑elle à M. Schaan?

    Oui, mais j'aimerais bien sûr entendre la réponse de M. Garon, au cas où il aurait fait ses recherches.

    À vrai dire, ma question s'adresse à M. Schaan et à M. Garon.

    Monsieur Schaan ou monsieur Garon, vous avez la parole.

    En fait, l'intention, c'était d'inclure l'appartenance à un syndicat ou à du militantisme syndical. On va donc utiliser, en anglais, une expression comme « trade union » ou « labour union ».

    D'accord. C'est ce que je pensais.

    En cas de doute, c'est la version française qui l'emporte.

    Je ne sais pas si l'on devrait parler, en anglais, de « labour union » ou de « trade union ».

    Aimeriez-vous dire quelque chose, monsieur Schaan?

    J'aimerais seulement ajouter une chose, monsieur le président. Au Canada, la loi qui gère la constitution d'un syndicat, c'est la Loi sur les syndicats ouvriers.

    Dans le jargon fédéral, la loi constitutive actuelle pour les syndicats est la Loi sur les syndicats ouvriers. Je ne pourrais pas dire si l'utilisation du terme « trade union », en anglais, exclut d'autres syndicats, mais la Loi sur les syndicats ouvriers englobe bien plus que les métiers de la construction.

    Merci beaucoup de cette clarification, monsieur Schaan.

    Selon ma liste, les prochains intervenants sont M. Albas, M. Turnbull, M. Vis et M. Williams.

    Monsieur Albas, vous avez la parole.

    Merci, monsieur le président.

    J'ai une brève question.

    Je siège au Comité mixte permanent d'examen de la réglementation, alors j'examine toujours les traductions françaises et anglaises. J'aimerais que les fonctionnaires nous donnent des précisions sur la dernière partie de la première phrase.

    En français, on dit « qui comprend notamment et sans limite ».

    En anglais, on dit « which include but is not limited to ». Est‑ce essentiellement la même chose?

    J'ai une question complémentaire pour M. Garon.

    Monsieur le président, je vais laisser mes collègues répondre à cette question.

    Je pense que le mot « notamment » fait l'affaire. En effet, « notamment » se traduit par « included ».

    Merci.

    Les fonctionnaires le confirment. Je ne veux pas que cela aboutisse devant le Comité d'examen de la réglementation, et que l'on doive débattre de la question pour savoir si cela veut dire la même chose.

    À ce sujet, j'aimerais poser une question à M. Garon.

    Il est toujours un peu délicat de parler de quelque chose qui n'a pas encore été déterminé. Lorsque vous dites que l'attente est la même en matière de protection de la vie privée et que vous dites « sans limite », à quoi cela pourrait‑il faire référence? Nous comptons sur l'interprétation que feront les bureaucrates et le ministre responsable à l'avenir, interprétation qui leur permettra de déterminer quels renseignements auront ce statut. J'hésite toujours — surtout après la débâcle du projet de loi C‑22 — à donner trop de pouvoir en matière d'interprétation pour des décisions qui devront être prises à l'avenir, sans préciser ce à quoi nous consentons.

    Premièrement, nous incluons une liste. Deuxièmement, nous ajoutons « et sans limite », pour une raison très simple, à savoir que, si l'on avait adopté cette loi il y a 10 ans, les données biométriques n'y auraient pas figuré. On n'y aurait pas pensé. Or, la technologie change rapidement.

    L'interprétation établie par la Cour suprême, à savoir « une attente raisonnable au respect de la vie privée », fait l'objet, si je comprends bien, d'un critère juridique. De notre côté, nous introduisons la notion d'une « attente élevée en matière de protection de la vie privée ». Cette notion pourrait être interprétée plus tard par les tribunaux de façon à allonger la liste au fil des changements qui surviennent dans l'environnement dans lequel les consommateurs et les citoyens évoluent.

    En principe, cela permettrait aux tribunaux d'interpréter la notion d'« attente élevée en matière de protection de la vie privée » et d'allonger la liste au besoin.

    Je ne pense pas, cependant, que ce soit de nature à changer le pouvoir réglementaire du ministre.

    Je respecte le travail qui se fait ici. Comme vous le savez, je ne suis pas un membre régulier de ce comité. Je ne formulerai pas de commentaires parce que la question a peut-être déjà été soulevée.

    C'est pour cette raison que la loi prévoit habituellement des examens quinquennaux ou décennaux. Si d'autres sujets sont jugés importants dans 5 ou 10 ans, j'aimerais que ces décisions découlent de l'examen que les parlementaires auront effectué. Ainsi, la balle restera dans le camp du Parlement plutôt que dans celui d'une personne qui fera une recommandation et d'un ministre dont le système de valeurs pourrait être très différent de celui de certains parlementaires.

    Cela dit, je vous remercie, monsieur le président.

    Je remercie M. Garon de ses interventions aujourd'hui.

    Merci, monsieur Albas.

    Les examens quinquennaux ou décennaux sont un bel idéal qui n'est pas toujours respecté. M. Masse pourrait en témoigner, mais c'est un bel idéal, en effet.

    Monsieur Turnbull, vous avez la parole.

    Merci, monsieur le président.

    Je tiens à remercier M. Garon d'avoir présenté un sous-amendement qui tente de combiner de nombreux points que les deux partis ont soulevés pendant le débat afin de trouver une solution. Je lui en suis reconnaissant. Je remercie également M. Masse d'avoir accepté que certaines de ses idées soient intégrées à un amendement. C'est formidable.

    Monsieur le président, j'aimerais intervenir.

    Je vous demanderais un instant, monsieur Turnbull.

    Monsieur Garon, vous avez la parole.

    Je voulais seulement dire qu'il n'y a pas d'interprétation en français.

    D'accord.

    Il semblerait qu'il n'y a pas d'interprétation.

    Monsieur le président, l'interprétation fonctionne maintenant.

    Monsieur Turnbull, pouvez-vous reprendre depuis le début, s'il vous plaît?

    Je ne faisais qu'exprimer ma reconnaissance pour votre travail, monsieur Garon, et aussi pour le fait que M. Masse vous a permis d'intégrer certaines de ses idées dans le sous-amendement que vous avez proposé. C'est formidable. Je crois que nous partons du bon pied.

    J'ai quelques questions.

    Lors de la dernière réunion, nous avions engagé un débat sur les données financières. Je sais que cela fait partie de votre liste. Je serais porté à croire que les données financières sont des renseignements de nature sensible. Cependant, le commissaire à la protection de la vie privée et la Cour suprême ne sont pas du même avis. Ils ont dit que le degré selon lequel certains renseignements d'ordre financier sont sensibles dépend du contexte. Je peux continuer et les citer.

    Dans la décision qu'elle a rendue dans l'affaire RBC c. Trang en 2016, la Cour suprême a déclaré explicitement que les renseignements financiers ne sont pas toujours considérés comme sensibles, ou que l'importance du caractère sensible varie selon le contexte dans lequel les renseignements sont utilisés. Je pourrais peut-être demander à M. Schaan d'appuyer mes dires à ce sujet, afin que vous n'ayez pas à vous contenter de me croire sur parole. Les experts et les fonctionnaires sont ici pour une bonne raison.

    Monsieur Schaan, pouvez-vous ajouter quelque chose?

    Je vais d'abord vous parler des données financières, puis je céderai la parole à mes collègues pour qu'ils vous parlent du traitement des données et des renseignements financiers en vertu du Règlement général sur la protection des données, ou RGPD, car je sais que cette question a été soulevée à titre de comparaison.

    Il est important de souligner que notre système est assez unique, car dès qu'un renseignement personnel est jugé de nature sensible, il faut obtenir un consentement exprès, et pas seulement pour la collecte du renseignement, mais aussi pour son utilisation et sa divulgation. Cela signifie que le consentement exprès est requis pour la collecte initiale du renseignement auprès d'une personne et pour son utilisation future. Ensuite, lorsque l'information doit être communiquée à une partie qui n'est pas celle qui l'a recueillie, y compris dans le cadre de processus commerciaux, le consentement exprès est de nouveau requis.

    La catégorie des données et des renseignements de nature financière est extrêmement vaste. Elle comprend, entre autres, les données sur les transactions et celles sur le recours d'une personne à plus d'une hypothèque ou non. Il s'agit d'une foule de renseignements qui sont, grosso modo, des renseignements personnels qui vous lient à tout type de transaction financière, et il y en a beaucoup.

    Le consentement exprès serait requis pour chaque collecte, utilisation et communication de ces renseignements. Je vous donne un exemple. Si j'effectue un paiement régulier par l'entremise de ma banque et qu'elle doit faire appel à une tierce partie pour traiter ce paiement — comme beaucoup le font pour continuer à utiliser les données sur les transactions —, il faudrait obtenir un consentement exprès pour chaque divulgation tout le long de la chaîne. Il ne faudrait pas seulement le faire lorsque j'ouvre mon compte bancaire ou lorsque j'effectue la transaction; ce consentement serait exigé à chaque étape. C'est une catégorie assez large.

    Je pense qu'il est important de souligner la distinction entre cette obligation d'obtenir le consentement exprès et les diverses façons dont le traitement des données et des renseignements est autorisé en vertu du RGPD. À ce titre, je vais céder la parole à mes collègues, qui pourront vous expliquer pourquoi cette mesure n'a pas engorgé le système de l'Union européenne. C'est en partie parce que cette question n'est pas comprise de la même façon.

    Je cède la parole à mes collègues.

    Je vais répondre à la question au sujet du RGPD.

    Le RGPD ne porte pas sur des renseignements de nature sensible, mais sur des catégories particulières de données à caractère personnel. Ces catégories particulières sont énoncées à l'article 9 du RGPD:

    Ce sont les catégories prévues dans le RGPD. Comme M. Schaan l'a dit, les données financières ne figurent pas sur la liste des renseignements de nature sensible du RGPD.

    Je vous remercie de ces réponses.

    Aidez-moi à comprendre. Nous en avons parlé la dernière fois, mais je me demande ce que cela peut bien faire. Pourquoi ne devrions-nous pas inclure les renseignements de nature financière? M. Garon, ou quelqu'un d'autre, pourrait dire que ces renseignements sont vraiment importants et qu'ils doivent être protégés. Le système financier ne serait pas paralysé et ne serait pas complètement ruiné si nous adoptions ce sous-amendement. J'aimerais revenir là‑dessus et vous demander quelles seraient les répercussions pour le citoyen moyen qui dépend de ces tierces parties et qui s'attend à ce que les renseignements financiers soient transférés de façon à ne pas imposer un fardeau sur les services qu'il utilise et consomme régulièrement.

    Monsieur Schaan, je vais m'adresser à vous, et vous pourrez demander à un autre membre de votre équipe de répondre, au besoin. Aidez-nous à comprendre les répercussions de cette mesure. Vous avez déjà dit, en quelque sorte, qu'un consentement exprès serait requis tout le long de la chaîne de divulgation. Pouvez-vous nous donner plus de détails sur l'incidence que cela pourrait avoir sur les citoyens ordinaires?

    Je vais revenir aux principes fondamentaux. Il est important de mentionner la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE. Une chose qui sera transférée à la Loi sur la protection de la vie privée des consommateurs est le principe de reddition de comptes selon lequel ceux qui recueillent, utilisent et divulguent les données seront redevables tout au long du cycle de vie des renseignements personnels qu'ils auront recueillis pour une utilisation à long terme, et ils seront assujettis aux règles de la LPRPDE en raison de ces divulgations continues. C'est l'une des façons qui nous permet de veiller à ce qu'il y ait une reddition de comptes tout au long de la chaîne de valeur des données.

    Il est important de souligner que l'on exige déjà, dans une large mesure, une reddition de compte de la part de ceux qui utilisent, recueillent et divulguent des renseignements personnels. L'expression « de nature sensible » aura pour effet, comme je l'ai dit, d'exiger un consentement exprès, nonobstant le principe de reddition de comptes. Dans toute la chaîne de valeur, les données sont très souvent transférées et communiquées entre des entités qui ne sont pas nécessairement la même entité que celle qui a recueilli les données au départ.

    L'on a parlé des banques, mais même avec les détaillants ou d'autres entités, il y a souvent beaucoup de gens. Votre banque a recours à une tierce partie, comme Interac, et doit ensuite transférer les renseignements à l'institution financière hôte. Si vous utilisez une carte de crédit, le tiers qui traite les paiements interviendra souvent avant que l'information ne parvienne à votre banque aux fins du paiement, et l'information sera ensuite communiquée de nouveau au détaillant d'origine aux fins de compensation.

    En achetant une pomme à l'épicerie, les renseignements personnels liés à des renseignements de nature financière peuvent être communiqués six ou sept fois, et chaque fois, le consentement exprès de la personne serait requis pour le paiement et la compensation de cette transaction. C'est assez lourd, lorsque l'on imagine la vaste catégorie des données financières et le fait que l'on va maintenant exiger un consentement exprès à chaque étape de la chaîne de valeur, au lieu de compter sur les dispositions de reddition de comptes prévues dans la Loi sur la protection de la vie privée des consommateurs et la LPRPDE et sur les règles associées à l'utilisation des renseignements personnels de façon plus générale.

    Lors de notre dernière réunion, nous avons fait valoir que ce n'est pas parce que les renseignements personnels ne sont pas tous considérés comme des renseignements de nature sensible qu'ils ne seront pas protégés et assujettis à des normes très élevées. La Loi sur la protection de la vie privée des consommateurs a été conçue à cette fin. Bien sûr, nous n'avons pas encore examiné cette partie du projet de loi parce qu'elle viendra plus tard. Nous en sommes toujours aux définitions. Nous n'en avons pas encore parlé, alors ce n'est peut-être pas aussi présent dans l'esprit des gens, mais je pense que vous avez raison de dire, monsieur Schaan, que le principe de reddition de comptes est déjà intégré dans ce projet de loi.

    Est‑ce que le commissaire à la protection de la vie privée surveille déjà les transferts de renseignements de nature financière? Joue‑t‑il déjà un rôle à cet égard?

    Je vais céder la parole à mes collègues, mais je dirai simplement que toutes les dispositions de la loi qui ont trait aux renseignements personnels et à leur utilisation relèvent du commissaire à la protection de la vie privée, sous réserve de plaintes et de recours éventuels.

    Je vais demander à mes collègues de vous donner plus de détails sur les pouvoirs du commissaire à la protection de la vie privée quant à l'utilisation des renseignements personnels, et pas seulement des renseignements de nature sensible.

    Comme M. Schaan vient de le dire, le commissaire à la protection de la vie privée exerce un contrôle sur l'ensemble de la collecte, de la divulgation et de l'utilisation des renseignements personnels, ce qui inclut les renseignements de nature sensible. Évidemment, cela comprend également les données financières.

    Le commissaire réalise une analyse contextuelle. Les renseignements qui ne seront pas jugés de nature sensible dans un contexte pourront l'être dans un autre. Un regroupement de renseignements pourra être jugé de nature sensible alors que des catégories individuelles ne le seront pas. C'est ainsi que le commissaire à la protection de la vie privée traite les renseignements personnels. Il détermine si l'information est de nature sensible ou non et il exige que les obligations soient proportionnelles à la nature sensible de l'information.

    Le bureau examine certainement les renseignements financiers. Il y a de nombreux cas où ils ont dit que les renseignements financiers étaient de nature sensible, et il y en a d'autres où ils ont dit qu'ils ne l'étaient pas, car le contexte était différent.

    Le fait d'inclure toutes les données financières à titre de renseignement de nature sensible — ce qui serait le cas avec ce sous-amendement — enlèverait au commissaire à la protection de la vie privée son pouvoir discrétionnaire et sa capacité de publier des directives et d'examiner le contexte pour déterminer la nature sensible de ces données financières.

    Est‑ce exact?

    Oui.

    Je vois que la réponse est oui, mais le microphone n'était pas allumé.

    Je vais brièvement revenir en arrière. Les catégories du RGPD que Mme Angus a lues ne comprenaient pas certains éléments qui figurent sur la liste que M. Garon a présentée dans son sous-amendement. Si je ne me trompe pas, les catégories du RGPD correspondent seulement aux alinéas a), b), c), d) et e). Si nous voulons vraiment assurer l'interopérabilité et utiliser la norme établie dans le RGPD de l'Union européenne — et cela fait partie de l'argument présenté —, il faudrait supprimer les alinéas f), g) et h). Lorsque je les ai lus, je me suis dit qu'ils pourraient entraîner des conséquences assez importantes, peut-être imprévues.

    Ai‑je raison de dire que le RGPD inclut ce qui se trouve aux alinéas a), b), c), d) et e), mais pas ce qui se trouve aux alinéas f), g) et h)? N'hésitez pas à me corriger si j'ai tort.

    Je vais commencer, puis je céderai la parole à mes collègues.

    Essentiellement, vous avez raison. Il faut tenir compte de certains éléments dans les alinéas f), g) et h).

    Comme nous en avons parlé à la dernière réunion, le commissaire à la protection de la vie privée a souligné que dans deux provinces, les renseignements contenus dans le permis de conduire ne sont pas considérés comme des renseignements personnels. Il est important de faire la distinction entre le permis de conduire — parce que ce n'est pas ce que dit cet amendement — et le numéro de permis de conduire, soit ce qui est mentionné. Il y a beaucoup de renseignements personnels sur notre permis de conduire, c'est certain, mais ce que l'on souhaite considérer comme un renseignement de nature sensible ici, c'est le numéro de permis de conduire, et le commissaire à la protection de la vie privée a déjà déclaré qu'il ne s'agissait pas, dans deux provinces, d'un renseignement personnel. Par conséquent, le fait de lui accorder le statut de renseignement de nature sensible non seulement relève la barre, mais exige en fait un consentement exprès.

    Nous avons déjà parlé des données financières, mais les mots de passe ont souvent aussi un contexte qui devrait être pris en considération.

    Sur ce, je vais demander à mes collègues d'expliquer davantage diverses questions à la fin de la liste.

    Comme M. Schaan l'a souligné, le contexte est essentiel pour analyser la nature sensible d'une information. Dans le mémoire qu'il a présenté au Comité, le commissaire à la protection de la vie privée a mentionné que l'analyse du contexte de la collecte, de l'utilisation ou de la communication de tout renseignement est un élément fondamental. C'est très important parce que, même s'il peut y avoir des situations où il est plutôt rare qu'une catégorie de renseignements soit considérée de nature sensible ou non sensible, le contexte est ce qui donne au commissaire la capacité de s'assurer que la vie privée est protégée au plus haut niveau.

    Comme M. Schaan l'a déjà souligné, les données financières ne sont pas incluses dans la loi 25 du Québec ni dans le RGPD — le Règlement général sur la protection des données — de l'Union européenne ou du Royaume-Uni. De même, les mots de passe ne sont pas inclus dans le cas des autres administrations, sauf en Californie, où il est considéré comme tel dans des situations très précises, c'est‑à‑dire lorsque les renseignements de connexion, soit le mot de passe et les éléments d'identification de l'utilisateur, donnent accès à des renseignements de nature sensible.

    De plus, en incluant les mots de passe, bien sûr, comme nous l’avons expliqué la dernière fois au Comité, on introduit une certaine non-neutralité à l'égard des technologies qui pourrait également être problématique dans certains cas.

    Comme M. Schaan l'a déjà souligné, le commissaire à la protection de la vie privée a expressément déclaré qu'un permis de conduire n'était pas considéré comme contenant des renseignements personnels dans deux provinces. Le fait de l'inclure dans les renseignements personnels de nature sensible, alors qu'il ne considère même pas cela comme des renseignements personnels, constituerait un genre de conflit.

    Je vais ajouter un élément technique.

    L'amendement parle de renseignements sur l'assurance sociale comme étant de nature sensible. Le concept d'assurance sociale n'est pas reconnu dans le système canadien. Le commissaire à la protection de la vie privée peut avoir désigné à maintes occasions le numéro d'assurance sociale comme de nature sensible, mais le concept d'assurance sociale n'est pas, en fait, un concept qui existe dans le droit canadien.

    De même, en ce qui concerne le numéro de passeport, je présume qu'il ne s'agit en fait que du numéro, si on se fie au libellé qui dit « ses identifiants auprès d'un gouvernement, tels que son numéro d'assurance sociale, de passeport ou de permis de conduire ».

    Le numéro de passeport est‑il également de nature sensible? C'est le même argument que pour le permis de conduire. Je suppose que les passeports contiennent beaucoup de renseignements personnels qui devraient être assujettis à des normes élevées, mais est‑ce que le numéro du passeport est un renseignement de nature sensible? Il semble que ce soit l'intention ici.

    Monsieur Schaan, le même argument que vous avez avancé concernant les numéros de permis de conduire s'applique‑t‑il aussi aux numéros de passeport?

    Comme M. Chhabra l'a fait remarquer dans l'exemple de la Californie, il s'agit en partie de savoir à quoi ils servent et ce qu'ils révèlent.

    Dans le cas de l'Ontario, ceux d'entre nous qui sont citoyens de cette province savent que notre date de naissance est incluse dans les six derniers chiffres de notre numéro de permis de conduire. Ce n'est pas le cas dans diverses autres provinces, alors encore une fois, c'est là que le contexte aura de l'importance.

    Dans bon nombre de cas, en raison de ce pour quoi on peut potentiellement utiliser un numéro de passeport et faire le lien avec la personne, on considérerait probablement qu'il s'agit de renseignements personnels qu'il vaut la peine de protéger. Cependant, en soi, cela ne signifie pas nécessairement que la combinaison de chiffres et de lettres constitue des renseignements de nature sensible, parce que, encore une fois, c'est à quoi il sert.

    Je pense qu'il est plus important de donner au commissaire une grande latitude pour établir et encadrer ce qui peut ou ne peut pas être fait avec ce type de renseignements et les mesures de protection qui doivent être mises en place —  y compris, par exemple, proposer que le consentement exprès est la meilleure approche dans certains contextes —, que de lui donner une simple catégorisation générale. Encore une fois, dans cette catégorisation, il y a des utilisations, des contextes ou, en fait, des cas où il ne s'agit pas nécessairement même de renseignements personnels en soi.

    En fait, en les incluant ici, nous disons que le contexte n'a pas d'importance, de l'oublier pour ce qui est de déterminer si des renseignements sont de nature sensible ou non, car il s'agit toujours de renseignements de nature sensible.

    C'est vraiment le cœur du problème, à mon avis, car certains renseignements ne sont pas toujours considérés comme de nature sensible. Si la Cour suprême du Canada dit que les renseignements financiers ne sont pas toujours sensibles, il faudrait peut-être en tenir compte.

    Juste pour clarifier un dernier point concernant les alinéas f), g) et h), les numéros d'assurance sociale, de passeport et de permis de conduire, les mots de passe et les données de nature financière ne sont pas considérés comme étant de nature sensible dans le RGPD ni dans la loi 25 du Québec. Est‑ce exact?

    C'est exact.

    Je vous remercie.

    Merci beaucoup, monsieur Turnbull.

    Monsieur Vis, vous avez la parole.

    Merci, monsieur le président.

    J'aime beaucoup ce qui, je pense, est un débat très pertinent.

    Pour revenir à l'arrêt Banque Royale du Canada c. Trang de 2016, monsieur Schaan, pourriez-vous préciser si cet arrêt portait en fin de compte sur le consentement exprès ou le consentement implicite pour ce qui est de l'échange de renseignements contenu dans le prêt hypothécaire d'une personne?

    Je vais demander à Mme Angus de répondre à cette question.

    Cette affaire portait précisément sur les états de mainlevée d'hypothèque et la question de savoir si une banque pouvait communiquer à une autre banque un état de mainlevée d'hypothèque. La Cour suprême a jugé que, dans ce cas, elles le pouvaient, parce qu'il ne s'agissait pas de renseignements de nature sensible.

    Pour revenir à ma question, cela concernait‑il la relation d'une personne avec sa banque et le fait d'avoir un consentement exprès pour communiquer ces renseignements, ou s'agissait‑il d'établir s'il y avait consentement implicite?

    Je vais devoir vérifier et vous revenir à ce sujet, car l'élément central de cette affaire concernait précisément la nature sensible de ces renseignements.

    Très bien. D'après ce que je comprends de cette affaire, les Trang n'ont pas remboursé leur prêt hypothécaire et se sont tournés vers une autre banque. Ils ont dit qu'ils ne pouvaient pas communiquer ces renseignements parce qu'ils sont de nature sensible. Cependant, la Cour suprême a statué qu'ils avaient donné un consentement implicite lorsqu'ils ont signé avec la première banque et fourni leurs renseignements personnels. Par conséquent, une banque a été autorisée à avoir accès aux renseignements de nature sensible de leur prêt hypothécaire parce qu'ils ont donné un consentement implicite lorsqu'ils ont signé le contrat et ont reçu l'argent de la banque au départ.

    Je dis cela parce que, en fin de compte, je crois que l’argument présenté par le ministère en ce moment n'est pas conforme aux faits. Affirmer qu'il faut donner un consentement explicite pour acheter une pomme mine la relation commerciale complète qui existe déjà entre les institutions bancaires et leurs clients au Canada. Franchement, je pense que c'est un argument un peu irresponsable qui n'est pas bien étayé.

    Je tiens à le souligner, et je le dis avec le plus grand respect, parce que le bulletin d'interprétation sur les renseignements de nature sensible...

    Cela ne semblait pas respectueux.

    Excusez-moi, qu'avez-vous dit, monsieur Turnbull?

    J'ai dit que cela ne semblait pas respectueux, mais ce n'est pas grave.

    D'accord. Je vous remercie de m'avoir fait part de votre opinion.

    Ce n'est rien.

    Selon l'interprétation, les renseignements financiers sont des renseignements de nature sensible. Comme le fait remarquer la Cour dans l'arrêt Trang, « les renseignements d'ordre financier appartiennent à l'une des catégories de renseignements personnels se situant au cœur de 'l'ensemble de renseignements biographiques' des particuliers [...]. Toutefois, le degré selon lequel un renseignement d'ordre financier précis est sensible est fonction du contexte. » Je crois comprendre, d'après l'interprétation du commissaire à la protection de la vie privée, qu'il est possible de dresser une liste de renseignements de nature sensible et de prévoir un argument contextuel lors de l'application de la loi.

    Ce que le ministère fait en ce moment, c'est qu'il prédétermine l'application de la loi qui serait faite à l'égard des renseignements de nature sensible, comme pour la pomme dont j'ai parlé. Je pense que c'est un peu exagéré parce que nous avons des processus bien définis au Canada entre les institutions bancaires et leurs clients qui permettent de traiter les renseignements de nature sensible avec sagesse. Je ne vois pas le fondement de cela... Il y a en plus la décision de la Cour suprême, qui portait sur le consentement implicite.

    Je vais vous poser une autre question. En ce qui concerne la liberté de l'information au Canada, les renseignements financiers sont-ils considérés comme étant de nature sensible aux termes de la loi sur la liberté de l'information?

    Voulez-vous dire aux termes de la Loi sur l'accès à l'information?

    Oui, désolé, l'article 20 de la Loi sur l'accès à l'information.

    Je vais devoir m'en remettre à mes collègues, mais pour revenir rapidement au point précédent, il n'est pas question de contexte dans le sous-amendement proposé. C'est une liste déterminative. On mentionne précisément que les renseignements de nature sensible sont ceux énumérés. Il n'est pas mentionné « en raison du contexte de leur collecte, de leur utilisation ou de leur communication », par exemple, qui figure dans les autres versions. Il n'est donc pas question de contexte et il s'agit de tous les renseignements financiers. Peu importe que les renseignements aient été recueillis auparavant dans le cadre d'un consentement implicite ou qu'ils aient été utilisés par la suite avec un consentement implicite, parce que, essentiellement, en les qualifiant de nature sensible, nous exigeons un consentement exprès et un consentement exprès pour chaque élément de la chaîne de valeur.

    Par contre, le commissaire à la protection de la vie privée a dit: « Toutefois, le degré selon lequel un renseignement d'ordre financier précis est sensible est fonction ducontexte. » Il dit donc que les renseignements financiers sont de nature sensible, mais que cela dépend aussi du contexte. C'est ce que j'essaie de dire, monsieur Schaan.

    Cependant, dans le sous-amendement que vous avez créé, vous modifiez les règles en vertu desquelles il a la capacité d'interpréter cela. Il n'y a pas de contexte. Il...

    On pourrait en dire autant de l'applicabilité de la Loi sur la protection des renseignements personnels et les documents électroniques dans le contexte d'une toute nouvelle loi. Il se pourrait que les tribunaux rendent une décision complètement différente parce que nous avons une toute nouvelle loi. Nous n'avons même pas eu de débat sur ce sujet et sur l'application de certaines des décisions antérieures que le commissaire à la protection de la vie privée a prises et, par extension, que la Cour suprême prendra peut-être un jour.

    Pour poursuivre sur la question du contexte... Le commissaire ne peut interpréter que ce qui est dans la loi, et à l'heure actuelle, certaines propositions font mention précisément du contexte, mais pas cette proposition. Elle énumère une liste de renseignements, les décrète de nature sensible et, en raison d'autres parties du projet de loi, décrète que les renseignements de nature sensible nécessitent un consentement exprès.

    Quelles sont ces autres parties du projet de loi?

    Les parties du projet de loi sur lesquelles nous nous pencherons, je l'espère, énoncent les règles relatives aux renseignements de nature sensible, y compris en ce qui concerne le consentement. C'est là qu'il sera mentionné que les renseignements de nature sensible — ou du moins la version actuelle parle de renseignements de nature sensible — nécessitent un consentement exprès.

    Pouvez-vous me dire de quel article il s'agit? Je veux le lire tout de suite.

    Je peux le faire pour M. Schaan.

    On parle des renseignements de nature sensible dans l'article sur les définitions, au paragraphe 2(2) proposé; sous la rubrique « Programme de gestion de la protection des renseignements personnels », au paragraphe 9(2) proposé; sous la rubrique « Fins acceptables »...

    Pouvez-vous me donner le numéro de la page, s'il vous plaît?

    C'est sous, en commençant par les définitions, au paragraphe 2(2) proposé; sous la rubrique « Programme de gestion de la protection des renseignements personnels », au paragraphe 9(2) proposé; sous la rubrique « Fins acceptables », au paragraphe 12(2) proposé; sous la rubrique « Consentement », au paragraphe 15(5) proposé; sous la rubrique « Transaction commerciale éventuelle », au sous-alinéa 22(1)b)(ii) proposé; sous la rubrique « Transaction commerciale effectuée », au sous-alinéa 22(3)a)(ii) proposé; sous la rubrique « Conservation et retrait des renseignements personnels », au paragraphe 53(2) proposé; sous la rubrique « Mesures de sécurité », au paragraphe 57(1) proposé...

    Monsieur Chhabra, quel article précis s'appliquerait à l'exemple de la pomme?

    Je pense que le point que M. Schaan essayait de faire valoir et le point que nous essayions de soulever plus tôt...

    Non, précisément, dans le projet de loi actuel, où l'interprétation de « renseignements de nature sensible » s'appliquerait-elle?

    L'interprétation de « renseignements de nature sensible », bien sûr, s'appliquerait à tous ces articles, mais je...

    Il y a toutefois des articles précis. Je veux seulement le numéro précis.

    Plus précisément, ce serait le consentement. Je pense que si je comprends bien votre exemple...

    Ce n'est pas mon exemple. C'est l'exemple du ministère.

    Je crois que c'est le paragraphe 15(5) proposé qui porte sur le consentement.

    Je vous remercie.

    Je pense que le point que le député soulevait plus tôt concernait l'incidence que cela aurait dans la pratique. Si je comprends bien l'exemple qui a été donné, il existe déjà un système de paiements qui permettrait de gérer ces questions. Cependant, bien sûr, le point que le ministère tente de faire valoir ici, c'est que le système de traitement des paiements repose sur notre système de lois, y compris la Loi sur la protection des renseignements personnels et les documents électroniques. Autrement dit, cette loi, dans sa forme actuelle, et la Loi sur la protection de la vie privée des consommateurs, dans la forme qui était proposée, autorisent ces systèmes et processus existants lorsqu'ils sont appropriés, légaux et qu'ils reposent sur des utilisations appropriées du consentement.

    Le point que M. Schaan a soulevé plus tôt, je crois, c'est que si nous modifions la définition de « renseignements de nature sensible » comme le propose le sous-amendement du Bloc québécois, que le Comité étudie en ce moment, cela empêcherait ces systèmes de traitement des paiements de s'appuyer sur les approches qu'ils utilisent actuellement. C'est pourquoi il est particulièrement important de bien définir ce qu'on entend par « renseignements de nature sensible ».

    Je renvoie le Comité à la formulation privilégiée par le commissaire à la protection de la vie privée à ce sujet, qui est de commencer par une référence à la notion de contexte. Le contexte de la collecte, de l'utilisation ou de la communication est essentiel. Par la suite, nous pourrions présenter une liste qui n'est ni exhaustive ni exclusive et qui donne une indication des types de zones dont nous parlons. La formulation actuelle du sous-amendement du Bloc québécois ne permet pas d'analyse contextuelle et ne donne pas de marge de manœuvre à propos de ce qui se trouve sur la liste. Comme M. Schaan l'a déjà souligné, il s'agit d'une liste ferme et définitive.

    Premièrement, on dit « et sans limite ».

    Cela signifie simplement qu'on peut y ajouter des éléments.

    Ce qui figure sur la liste reste sur la liste.

    Autrement dit, la liste elle-même est définitive. On peut y ajouter des éléments, mais qu'en est‑il des éléments sur la liste? Dans sa forme actuelle... Ce que nous voulons dire, c'est que cela doit être de nature sensible, peu importe le contexte.

    Pour en revenir à la page 12 du projet de loi, sous la rubrique « Forme de consentement », on fait valoir l'argument que j'essaie de faire valoir, à savoir que nous pouvons avoir des renseignements de nature sensible tout en permettant une analyse du contexte, même si les renseignements sont jugés de nature sensible. On peut lire sous « Forme de consentement », à la page 12:

    Je le dis dans le contexte de l'arrêt de la Cour suprême dont il a été question au cours des deux dernières réunions, qui portait précisément sur le consentement implicite. On doit tenir compte « des attentes raisonnables de l'individu » — ce dont nous n'avons pas discuté, nous avons fait une lecture sans nuance de ce que seraient les renseignements de nature sensible — et « la nature sensible des renseignements personnels à recueillir, à utiliser ou à communiquer ». Plus loin dans le projet de loi, ce que je lis, c'est qu'il y a une attente raisonnable au sujet des renseignements qui pourraient être jugés sensibles et leur applicabilité commerciale.

    Vous avez fait allusion au paragraphe 15(5), et c'est ce que nous regardons également. Il est écrit:

    Il faut tenir compte des deux dans ce scénario pour que ce soit pris en considération. Donc, quand vous dites « et la nature sensible » et que, par définition, vous élaborez un projet de loi qui dit que cette information est toujours sensible, vous rendez inutile la capacité de tirer parti du consentement implicite. Vous vous retrouvez donc par défaut avec un scénario de consentement exprès, et c'est le problème que nous soulevons.

    Je vois. Je vais y réfléchir un peu.

    Autrement dit, le critère concernant le recours approprié au consentement implicite nécessite le respect de deux critères subordonnés: les attentes raisonnables et la nature sensible des renseignements. Si nous considérons automatiquement les renseignements personnels comme des renseignements de nature sensible dans tous les cas, cette analyse contextuelle devient impossible.

    Je ne suis pas tout à fait d'accord avec vous, compte tenu du bulletin d'interprétation du commissaire à la protection de la vie privée, mais je vais m'arrêter ici.

    Je reviens à mon autre question sur l'accès à l'information. À ma connaissance, tous les renseignements sont considérés comme étant de nature sensible dans la législation canadienne. Ce que j'essaie de faire valoir, c'est qu'il existe d'autres contextes dans lesquels l'information financière est jugée sensible.

    Ici au Comité, nous avons dû examiner des contrats qui valent plus de 15 milliards de dollars cette année seulement pour Stellantis, NorthStar et Volkswagen. Tous les arguments avancés pour expliquer pourquoi la population ne devait pas avoir accès à l'information reposaient sur la nature sensible de ces renseignements pour les entreprises. Cela situe le contexte de mon approche. Je sais que c'est un exemple qui ne se rapporte pas à la loi, mais il était vraiment frustrant en tant que député de n'avoir que deux heures pour examiner des contrats de 15 milliards de dollars.

    Quoi qu'il en soit, je m'écarte du sujet.

    Monsieur Chhabra, c'était une analyse très utile. Je ne suis toujours pas d'accord, mais vous avez soulevé un bon point. Merci.

    Merci, monsieur Vis.

    Je passe maintenant la parole à M. Williams.

    Merci beaucoup.

    Je suis d'accord pour dire que c'est une bonne discussion dans l'ensemble.

    Je pense que nous devrons peut-être revenir un peu en arrière. Lorsque nous regardons la différence entre les renseignements personnels et les renseignements de nature sensible, nous voyons que les renseignements de nature sensible sont plus susceptibles de se traduire par des préjudices ou une discrimination. Nous nous assurons ici qu'il y a une autre couche de protection lorsque nous examinons ces exemples.

    Je compte parmi les membres du Comité qui désapprouvent l'absence des données financières ici. Je pense que le risque de vol d'identité et de fraude est plus élevé. C'est la même chose pour les permis de conduire. De plus en plus, nous voyons partout des Canadiens qui risquent de se faire voler leur identité. À mesure que la technologie s'améliore et que les Canadiens utilisent de plus en plus d'application et de technologies, ils constatent que leur vie privée est menacée. Je pense qu'il est très important d'indiquer que ces éléments sont de nature sensible, surtout au moment où nous voyons que les Canadiens sont plus vulnérables.

    Monsieur Schaan, à quel endroit utilisons-nous le mot « sensible » dans le projet de loi? Quand nous parlons de renseignements, à quel endroit utilisons-nous ce terme en général?

    Je vais commencer puis céder la parole à M. Chhabra.

    Comme M. Chhabra l'a dit, le mot « sensible » est utilisé à différents endroits dans le projet de loi. C'est particulièrement important où l'on mentionne l'information qu'on ne peut pas utiliser parce qu'elle est considérée comme étant de nature sensible. C'est l'exemple qu'il vient tout juste de passer en revue avec M. Vis. Nous avons mentionné un critère à deux volets, essentiellement, pour des choses comme le consentement implicite lorsque les renseignements sont considérés comme étant de nature sensible, ce qui signifie que le consentement exprès est nécessaire.

    Pour revenir à la discussion de la semaine dernière, cela ne laisse pas entendre que des choses comme votre permis de conduire ou vos renseignements personnels de nature financière ne sont aucunement protégés. Ils ont des protections considérables, et en autorisant le Commissariat à la protection de la vie privée à établir des lignes directrices et à prononcer sur ces questions, on peut obtenir une surveillance efficace de ces renseignements sans nécessairement laisser entendre qu'il faut un consentement exprès dans tous les cas. C'est la partie la plus importante de ce qui se produit lorsqu'on juge que quelque chose est de nature sensible.

    Je vais céder la parole à M. Chhabra pour qu'il explique encore une fois à quel endroit le mot « sensible » apparaît dans le projet de loi.

    Je suis désolé, mais j'aimerais un dernier détail pour situer le contexte, monsieur Chhabra, dans votre réponse.

    Nous utilisons le mot « généralement » lorsque nous identifions ce qui est de nature sensible. Dans le jargon juridique, le mot « généralement » ne suppose‑t‑il pas qu'il faut une offre d'approbation ou d'évaluation sans mettre trop l'accent sur...? Dans ce contexte, le mot « généralement » accorde‑t‑il de certaines façons un peu plus de latitude?

    Je suis d'accord pour dire que c'est formulé de manière à ce qu'on se fie à l'évaluation contextuelle qui serait effectuée. Quand on dit que quelque chose serait « généralement » considéré comme étant de nature sensible, on indique une voie à suivre. On établit un cadre stratégique qui permet de faire une interprétation efficace.

    Le Comité envisage maintenant l'insertion dans la section des définitions d'une définition de « sensible » à laquelle on pourra ensuite essayer de se fier pour savoir ce qui est généralement considéré comme des renseignements de nature sensible. Cela devient alors une loi très ambiguë et très difficile à interpréter et à appliquer. Ce n'est pas ce que le Commissariat à la protection de la vie privée a demandé, à savoir une décision axée sur le contexte qui indique, potentiellement, certains éléments qui seraient considérés comme étant de nature sensible.

    Pour répondre à la question que vous avez posée plus tôt sur les renseignements de nature sensible, c'est mentionné 17 fois dans la loi. Je serais heureux de vous indiquer chaque endroit, si cela peut être utile.

    Ce n'est pas dans la définition, mais il est sous-entendu que le risque de préjudices et de discrimination est plus élevé. Nous examinons tout ce projet de loi depuis le début, et il n'est toujours pas indiqué dans l'énoncé de l'objet que la protection de la vie privée est un droit fondamental.

    Nous regardons ce qui s'en vient, et j'aimerais ajouter un amendement. Je vais ajouter un élément sur les données de localisation qui n'est pas là et qui est très important selon moi, compte tenu de ce que la technologie sera d'ici 10 ans environ. Ces renseignements comprennent tout ce qui se trouve dans nos téléphones, nos montres et nos voitures pour indiquer qui nous sommes et où nous nous trouvons.

    Je vais faire marche arrière et mentionner que les données financières évoluent également. Le gouvernement se penche actuellement sur le système bancaire ouvert. Nous avons exercé des pressions à cette fin. Le but du système bancaire ouvert est de veiller à ce que les clients puissent contrôler leurs données financières en donnant leur consentement. C'est essentiellement le libellé que nous avons inscrit. Les clients exercent ensuite un contrôle là‑dessus.

    Si ce ne sont pas des données de nature sensible, que faisons-nous alors avec le consentement et comment le donnons-nous? Je pense que c'est une forme de contrôle pour les Canadiens et les gens lorsqu'il est inscrit la plupart du temps qu'ils peuvent déplacer leurs renseignements en donnant leur consentement, lorsque nous considérons la protection de la vie privée comme un droit fondamental. La consignation et la surveillance des données nécessitent le consentement de la personne. Pour moi, par leur nature même, lorsqu'il est question de préjudices ou de discrimination, ce sont des renseignements de nature sensible. Plus loin dans le projet de loi — car nous parlons seulement des définitions —, nous pouvons prendre ce contexte et discuter de la façon dont c'est utilisé et de ce qui se passera. Je ne pense toutefois pas que nous devrions retirer cela de ce que nous considérons comme des renseignements de nature sensible.

    Si nous prenons le risque de préjudices ou de discrimination, de toute évidence, nous envisageons une couche de protection supplémentaire pour les évaluations des facteurs relatifs à la vie privée, mais je pense que, en tant que comité, nous ne faisons que définir l'information qui est démesurément utilisée dans le vol d'identité, la fraude, la stigmatisation et la discrimination. Je pense que tout ce que nous faisons, c'est inscrire cela comme quelque chose que nous voulons protéger, et je pense que ce sont les choses que nous essayons de cerner.

    Monsieur le président, je vais commencer par en parler, mais j'aimerais ajouter l'alinéa i), qui porterait sur les données de localisation. Je vais mentionner très rapidement pourquoi je pense que c'est important.

    Les données de localisation sont considérées comme étant de nature sensible pour plusieurs raisons, dont la sécurité personnelle. Les données de localisation peuvent révéler à quel endroit une personne vit, travaille, se déplace fréquemment...

    J'invoque le Règlement.

    Je suis désolé de vous interrompre, monsieur Williams.

    Je ne pense pas que le président soit prêt à entendre le rappel au Règlement.

    Nous pouvons faire une pause, monsieur le président. Quelle est la soupe aujourd'hui?

    M. Perkins m'a inspiré.

    Monsieur Turnbull, nous allons entendre votre rappel au Règlement.

    Je voulais juste vérifier si on peut présenter un amendement à un sous-amendement. Je ne pense pas que c'est possible. Je pense que M. Williams est en train de sous-sous-amender quelque chose, ce que la procédure ne permet pas.

    En effet, monsieur Turnbull; on ne peut pas amender un sous-amendement. Nous débattons actuellement d'un sous-amendement.

    Monsieur Williams, si le sous-amendement de M. Garon est adopté, vous pourrez peut-être amender l'amendement modifié.

    D'accord. Je vais donc résumer.

    Je ne présente pas l'amendement maintenant, mais à propos de mon argument concernant les données de nature sensible, les données de localisation sont certainement un ajout nécessaire. Pour revenir à mon argument initial à ce sujet, je pense que pour ce que nous envisageons en ce qui a trait au consentement, ce n'est pas le bon article pour en débattre. Sauf erreur, nous discutons de ce qui constitue des données de nature sensible, de ce qui peut présenter un risque de préjudices ou de discrimination et de ce qui nécessite une couche de protection supplémentaire. Chose certaine, je pense que les éléments qu'on a décrits font tous partie de cela, et je crois que le sous-amendement de M. Garon est bon.

    Merci beaucoup, monsieur Williams.

    Monsieur Masse, vous avez la parole.

    Merci, monsieur le président.

    Je pense qu'il est important de mentionner que nous sommes dans une impasse. Nous avons ici un argument qui est plus philosophique que technique à propos du projet de loi. Selon moi, l'utilisation des données dans le système dont se servent actuellement les établissements financiers est inefficace pour l'économie. C'est certainement désavantageux pour le client, et c'est une des choses que je veux changer dans ce projet de loi.

    J'ai fait une blague sur les automobiles lorsque M. Williams a soulevé certaines questions liées à la localisation. Il fait preuve d'une grande perspicacité en le mentionnant, car la valeur des automobiles à l'avenir sera autant attribuable à la collecte de renseignements qu'à la production, à la construction et à la distribution dans la société. Il sera question de la valeur du client, qui doit avoir un certain choix.

    Cela répare une injustice sociale et un modèle de dépendance économique que nous avons lorsqu'il s'agit des établissements financiers. Cela met essentiellement les consommateurs et les PME dans une position désavantageuse au sein de notre économie. Il est révoltant que certains renseignements actuellement recueillis par des sociétés émettrices de cartes de crédit soient régulièrement distribués et vendus aux établissements financiers, qui s'en servent ensuite contre leurs propres clients.

    Ce que je veux que cet amendement fasse, de mon point de vue à ce stade‑ci, c'est renforcer la voie à suivre pour que les gens puissent utiliser de manière calculée leurs renseignements pour quantifier cela, même économiquement s'ils le souhaitent, en donnant leur consentement. Entre autres choses, je pense qu'on a peur de subir des conséquences lorsqu'on utilise son téléphone si jamais nous donnons suite à ce genre d'amendement. Cependant, on peut quantifier cela de manière à ce que, par exemple, on puisse vendre ses renseignements ou y donner accès dans un modèle d'autonomisation et obtenir ainsi des frais et des coûts moins élevés ou des incitatifs financiers, ce qui pourrait être possible grâce au système modifié de traitement de l'information.

    Je n'ai pas vraiment de question à ce stade‑ci. Je ne sais pas à quel point le gouvernement veut s'engager sur cette voie s'il n'a pas l'appui des autres partis pour sa position particulière. Je comprends d'où elle provient. C'est vraiment une question de savoir à quel point on veut prolonger l'étude de ce projet de loi et ce processus, car je ne vais pas céder. Il est nettement avantageux pour la classe sociale et ouvrière d'avoir des modèles d'autonomisation pour leurs renseignements financiers et tout le reste. Il revient aux entreprises de présenter un modèle qui fonctionne pour elles. Cela doit se faire en offrant un meilleur soutien aux clients.

    Je ne suis pas certain de la voie à suivre à ce stade‑ci. Je pense que nous sommes actuellement dans une impasse philosophique, et nous pouvons continuer avec d'autres questions et d'autres commentaires. Cependant, j'aimerais que ce qui se rapporte à la protection de la vie privée dans le projet de loi soit réglé rapidement. En même temps, j'aimerais un changement d'ordre philosophique. Le NPD en est là en ce moment. Nous profitons de l'influence que nous avons actuellement pour amener les établissements financiers à faire ce qu'ils sont censés faire depuis longtemps, c'est‑à‑dire servir les clients. À notre époque, tout est rattaché à l'information, et nous devrions donc saisir les occasions de l'utiliser pour la classe ouvrière, car les frais, les coûts et l'approche financière qui découlent de ces politiques au pays nuisent grandement à la productivité.

    Je vais conclure là‑dessus, car il est très important de comprendre que nos systèmes de gestion de l'argent et de l'information sont étroitement liés. À quoi bon empêcher les consommateurs ou les particuliers d'exercer leurs droits? Ce serait une erreur.

    Merci.

    Monsieur Garon, vous avez la parole.

    Merci, monsieur le président.

    Beaucoup de choses ont été dites sur l'amendement.

    D'abord, le gouvernement n'en veut pas. Il ne veut pas que nos données financières, qui sont extrêmement sensibles, qui peuvent être volées et utilisées, fassent l'objet d'une forme assez forte de consentement.

    C'est déplorable. Je ne le répéterai jamais assez. Nous ne savons pas qui le ministre a consulté avant de déposer le projet de loi C‑27, qui a fini par donner lieu à une tonne d'amendements parce qu'il était mal rédigé à l'origine.

    Nous ne savons même pas quelles banques, quelles institutions financières, quelles compagnies d'assurance, quels groupes de défense d'intérêts privés ont été consultés. Il s'agissait peut-être de groupes de consommateurs, nous ne le savons pas. Cependant, il est évident, encore une fois, que si nous nous fions à ceux qui défendent ce projet de loi, nous avons l'impression d'entendre les gens de l'industrie.

    Mon sous-amendement a été formulé de façon à ce que l'élément contextuel soit bien présent. Quand on dit que « l'individu a généralement une attente élevée en matière de protection de la vie privée », cela implique que le Commissaire à la protection de la vie privée pourra intégrer l'élément contextuel. Il n'y a absolument pas d'ambiguïté là-dedans.

    Par ailleurs, la Loi 25, au Québec, protège d'une certaine façon les données financières, mais nous rappelons quand même au gouvernement que la majorité des institutions financières sont réglementées par le fédéral.

     Monsieur le président, j'aimerais citer un passage d'un jugement de la Cour suprême: « [...] je conviens avec le Commissaire que les renseignements financiers sont généralement des renseignements extrêmement sensibles. » Je le répète: « [...] je conviens avec le Commissaire que les renseignements financiers sont généralement des renseignements extrêmement sensibles. »

    On trouve ce jugement dans l'affaire Trang. La Cour suprême reconnaît que, dans certaines circonstances et certaines relations d'affaires, un certain consentement est implicite et les tribunaux ont de la latitude pour l'interpréter.

    Dans mon sous-amendement, on ne dit pas que les renseignements financiers sont toujours sensibles. Néanmoins, généralement, c'est ce qu'il dit pour les cas où les circonstances indiquent une attente élevée, ce qui est entièrement conforme au jugement de la Cour suprême dans le jugement Trang. Cela a été écrit dans cet esprit.

    Par ailleurs — et c'est important de le dire —, je suis d'accord avec mon collègue M. Masse pour dire que de ne pas inclure les renseignements financiers équivaudrait à un recul par rapport au droit actuel.

    Encore une fois, nous maintenons notre position.

    J'aimerais aussi revenir rapidement sur les commentaires de mon collègue M. Williams.

    Nous disons que les renseignements de nature sensible ne se limitent pas à ceux indiqués dans la liste. Les données de géolocalisation sont un exemple de renseignements pouvant être considérés comme étant d'une telle nature, si la personne a généralement une attente élevée en matière de la vie privée à cet égard et que c'est lu dans son contexte.

    Cela montre l'importance de prévoir une certaine flexibilité, étant donné que les examens quinquennaux n'ont pas toujours lieu après cinq ans. Parfois, ils se font après huit, dix ou douze ans.

    Je pense donc qu'il faut adopter l'amendement.

    Finalement, il faut tenir compte de la fatigue liée au consentement. On nous dit que les gens deviendront épuisés de devoir consentir à ce que leurs renseignements soient utilisés. En raison de ce phénomène sociologique, nous devrions nous abstenir d'inclure l'information financière d'une personne dans ses renseignements de nature sensible.

    Je n'ai pas de doute quant à la formation scientifique des fonctionnaires qui sont ici aujourd'hui, mais je me suis quand même permis d'aller consulter la littérature scientifique pour voir ce qu'il en était sur la fatigue liée au consentement. C'est ce que j'ai lu.

    Je comprends qu'il peut y avoir présomption que les gens finiront par être exténués de devoir donner leur consentement quand il y aura des alertes toutes les cinq secondes sur leur montre Apple, comme celle de mon collègue M. Turnbull, chaque fois qu'une banque voudra utiliser leurs renseignements personnels.

    Toutefois, la réalité, c'est que, sauf au bureau du ministre de l'Innovation, des Sciences et de l'Industrie, présentement, personne ne nous parle de fatigue due au consentement.

    Les gens ont peur que leurs données soient volées et utilisées.

    Les gens ont peur d'être localisés. On sait que beaucoup de renseignements sont contenus dans les appareils, notamment les téléphones cellulaires. Les gens nous en parlent. Toutefois, je n'ai jamais entendu quelqu'un me demander de faire attention à ce qu'on ne l'épuise pas quand nous allons légiférer pour protéger ses renseignements personnels. Cela ne m'est jamais arrivé. Je n'accepte pas cet argument.

    Merci, monsieur Garon.

    Monsieur Turnbull, vous avez la parole.

    J'écoute tous mes collègues ici, mais j'ai vraiment l'impression que cela aura un effet négatif. Les fonctionnaires nous ont dit à maintes reprises lorsque je leur ai posé des questions que ce sous-amendement ferait en sorte que tout ce qui se trouve sur la liste, même si on peut y ajouter des éléments, est considéré comme de l'information de nature délicate, ce qui signifie que le consentement exprès est nécessaire chaque fois que les données sont recueillies, utilisées ou divulguées. Imaginer un peu les conséquences de cela.

    Je ne veux pas argumenter contre les points qui ont été soulevés. Idéologiquement, oui, je suis d'accord. Tous ces renseignements sont importants. Il faut les protéger et les soumettre à des exigences rigoureuses. Cela fait partie de l'élaboration du projet de loi, si je comprends bien. Cela ne signifie toutefois pas que toutes les données personnelles devraient être considérées comme étant de nature sensible. Je sais que c'est un peu exagéré, mais je pense que nous avons fait valoir à maintes reprises que cette liste comprend des choses qui ne sont pas dans le Règlement général sur la protection des données de l'Union européenne.

    J'ai ce règlement ici. Je vais vous dire très précisément quels sont les renseignements inclus. Je suis surpris que des membres du Comité avancent que les éléments de cette liste se trouvent dans le règlement général. À ma connaissance, ce n'est pas le cas. Lorsque je cherche les données personnelles qui sont considérées comme étant de nature sensible dans le Règlement général sur la protection des données de l'Union européenne, voici ce que je vois:

    C'est tout.

    Je crois également comprendre, après l'avoir demandé aux fonctionnaires, que la liste qui se trouve ici... Nous avons les alinéas f), g) et h), et M. Williams veut ajouter l'alinéa i), qui porte sur les données de localisation, si nous finissons par en arriver là. À mon avis, cette liste nous éloigne de l'Union européenne et de la loi 25 du Québec.

    Puis‑je tirer cela au clair, monsieur Schaan, en vous demandant de le répéter? Est‑il vrai que nous allons faire bande à part avec les alinéas f), g) et h)? S'ils sont ajoutés au libellé et que ce sous-amendement est adopté, nous allons faire bande à part. Autrement dit, le Canada aurait une loi plus stricte que le Québec par rapport à ce qui est considéré comme des renseignements personnels de nature sensible. Est‑ce bien le cas?

    Compte tenu de la liste que nous avons actuellement et de l'ajout de ces vastes concepts, oui, notre loi irait bien au‑delà de ce qui est considéré comme des renseignements de nature sensible dans la loi du Québec et dans le Règlement général sur la protection des données.

    Est‑ce que cela nuirait au commerce au pays? Y aurait‑il un effet néfaste sur les échanges commerciaux de manière générale? Nous faisons l'épicerie. Nous achetons des choses. Nous utilisons sans cesse nos cartes Interac.

    Quelles seraient les répercussions sur le Canadien ordinaire? Je pense qu'elles seraient très importantes.

    Je vais laisser mes collèges répondre également.

    La chaîne de valeur du traitement des renseignements financiers est un processus à étapes multiples. Outre le responsable de la collecte initiale des renseignements, elle comporte de nombreux joueurs qui remplissent chacun un rôle distinct relatif aux services financiers.

    Les renseignements initiaux sont recueillis à la première étape, qui est celle du paiement, de la transaction et du point de vente. Ils parcourent ensuite la chaîne de valeur pour permettre finalement aux fonds d'être retirés de votre compte bancaire et versés aux créanciers. Si ces renseignements étaient considérés comme sensibles, vous auriez à donner expressément votre consentement à chacune des étapes de la chaîne de valeur parce que chacune de ces étapes entraîne la communication de renseignements. Au mieux, cette obligation interrompt de nombreuses activités d'affaires, mais elle alourdit aussi considérablement la responsabilité du consommateur concernant la circulation de ses données financières et la satisfaction continue de ses besoins économiques.

    Je vais demander à mes collègues s'ils veulent ajouter quelque chose.

    Brièvement, pour reprendre et renforcer un peu ce que M. Schaan vient de dire, nous pouvons réfléchir aux répercussions, certes, sur les opérations commerciales quotidiennes, mais aussi sur l'interopérabilité des systèmes. Une discussion approfondie s'est poursuivie pendant plusieurs réunions du Comité à propos de la force des mesures incitatives destinées aux entreprises canadiennes, de la capacité du cadre concurrentiel à favoriser l'innovation et la prestation de nouveaux services efficaces de même que de l'attraction qu'exercent les systèmes au pays auprès des investisseurs.

    Les membres du Comité ont mentionné le système bancaire ouvert ou les services bancaires axés sur le consommateur. Nous parlons donc d'un écosystème qui se sert exclusivement du concept des données au service de l'innovation pour créer de nouveaux concurrents et ébranler l'ancien système. Dans ce contexte, la mise en place de règles ou d'approches différentes concernant le caractère sensible des renseignements pourrait avoir une incidence sur la capacité à attirer des investissements de même que sur les nouveaux services et les nouvelles offres qui sont développés et commercialisés. Encore une fois, il est très important de déterminer si la valeur ajoutée de l'ajout des données financières à la catégorie des renseignements de nature sensible l'emporte sur les facteurs qui viennent d'être décrits.

    Est‑ce l'approche réclamée par le Commissariat à la protection de la vie privée? Ce n'est pas mon impression. Le commissaire veut que certaines catégories de renseignements sensibles soient établies, mais il veut être en mesure d'exercer un pouvoir discrétionnaire et de tenir compte du contexte pour déterminer le caractère sensible ou non de renseignements personnels en particulier. Est‑ce exact? Que penserait le commissaire du sous-amendement dont nous débattons aujourd'hui?

    Avant que le témoin ne réponde, je demanderais aux collègues d'attendre la fin de la réunion pour bavarder. Vous pouvez aussi demander à la présidence de suspendre la réunion. Je demanderais à tout le monde d'écouter en signe de respect la discussion que nous avons, car elle est importante.

    Allez‑y, monsieur Schaan.

    Le commissaire a souligné lors d'apparitions publiques précédentes l'importance d'établir une définition du terme « de nature sensible » qui déclinerait les catégories de renseignements vraisemblablement sensibles et qui inclurait le contexte de la collecte, de l'utilisation ou de la communication de ces renseignements de manière à ce que le commissaire puisse étayer ce contexte dans des lignes directrices. Les catégories que le commissaire a énumérées ne comprennent pas celles qui figurent aux alinéas f) à i).

     Mes collègues peuvent-ils confirmer ce que je viens de dire?

    Merci, monsieur Schaan.

    Le commissaire a énoncé clairement les avantages de faire reposer sur le contexte toute définition que le Comité pourrait choisir d'adopter. Rappelons-nous également que le commissaire a publié à plusieurs reprises des lignes directrices sur le sujet, notamment en 2022.

     Afin de m'assurer que nous sommes tous au même diapason, je veux préciser que de ne pas inclure un élément dans la définition ne porte pas atteinte au pouvoir du commissaire d'inclure l'élément en question et de fournir une définition beaucoup plus détaillée fondée sur le contexte ou encore des paramètres sur ce qui conférerait un caractère sensible à certains renseignements — y compris plusieurs types de données financières — dans un contexte donné. Le commissaire pourrait également apporter ces précisions dans le cadre de lignes directrices. La question dont devrait débattre le Comité est celle de savoir si les répercussions non voulues de l'inclusion d'un élément strictement dans la définition l'emportent sur les efforts à consentir pour l'inclure. Il faut soupeser les avantages de cette inclusion par rapport à ce que peut faire le commissaire dans ses lignes directrices.

     Monsieur Garon a affirmé que la fatigue du consentement n'existait pas vraiment. Je pense que le sous-amendement pourrait rendre cette fatigue réelle et en fait l'aggraver aux yeux du Canadien moyen. Je fais confiance aux systèmes en place pour assurer notre protection. Ils tombent parfois en panne, ce qui est normal. Des atteintes à la protection de la vie privée se produisent de temps à autre. Ce sont des choses que pourra régler le commissaire à la protection de la vie privée.

    Parmi les aspects du projet de loi que nous n'avons pas encore examinés, y en a‑t‑il qui pourraient confirmer aux membres du Comité que certains types de renseignements prévus aux alinéas f), g) et h) sont protégés même s'ils ne sont pas nécessairement considérés comme sensibles? C'est le cœur du problème à mon avis. Certains députés invoquent des arguments idéologiques en disant qu'il faudrait considérer comme « sensibles » certains renseignements pour s'assurer qu'ils sont vraiment protégés.

     Je décèle une volonté d'aller en ce sens. Je comprends l'intention derrière cette démarche. Les motifs sont nobles. Il faut toutefois anticiper les conséquences voulues ou non voulues de cette désignation dans des situations où le contexte ne peut pas être pris en compte. Le vrai problème se trouve là. Le projet de loi en tant que tel établit un régime pour que les alinéas f), g) et h) soient assortis d'exigences très robustes, voire même plus robustes qu'auparavant.

    Monsieur Schaan, j'aimerais savoir ce que vous en pensez parce que j'ai l'impression que c'est cela qui manque. Nous nous acharnons sur une définition. Nous essayons d'intégrer quelque chose à la définition qui est en fait traité dans le reste du projet de loi, mais nous brûlons des étapes. Je ne veux pas avoir l'air condescendant, mais notre étude n'est pas encore à ce stade. Nous n'avons pas encore examiné le reste du projet de loi.

    Monsieur Schaan, pouvez-vous nous parler de mesures énoncées dans le reste du projet de loi qui mettraient la barre plus haute ou qui resserreraient les exigences relatives aux renseignements personnels au point de lever la nécessité de considérer tous les renseignements comme sensibles pour les protéger?

    C'est exact. La structure de la Loi sur la protection de la vie privée des consommateurs apporte des améliorations considérables à la Loi sur la protection des renseignements personnels et les documents électroniques pour le traitement des renseignements personnels en général et des renseignements de nature sensible en particulier. Certains des éléments qui nécessitent un consentement exprès sont traités plus en profondeur dans d'autres dispositions. Par exemple, quelles sont les obligations liées à la protection générale des renseignements personnels? Quels types de programmes de protection de la vie privée permettent de s'assurer que des mesures telles que des contrôles efficaces sont mises en place? Quels sont les risques encourus liés à la cybersécurité? Voilà des aspects que les programmes de protection de la vie privée prennent en compte.

    D'autres dispositions traitent des critères à respecter avant de communiquer des renseignements personnels et des circonstances qui permettent de le faire. Quand peut‑on transférer des données financières, par exemple, d'un processus de paiement à l'autre, et quelles sont les mesures de sauvegarde applicables?

    La loi prévoit un ensemble de normes très élevées pour le traitement des renseignements personnels au sens large, qui s'applique entre autres à plusieurs des circonstances visées dans les dispositions proposées sur les renseignements de nature sensible. En désignant des renseignements comme sensibles, on instaure l'obligation du consentement exprès et on enlève la souplesse permettant d'interpréter selon le contexte dont voudrait disposer le commissaire à la protection de la vie privée. On laisse aussi entendre à tort que toutes les mesures de protection des renseignements prévues ailleurs dans le projet de loi n'auront aucun effet.

    Je ne sais pas si mes collègues veulent ajouter quelque chose.

    Je cherche une disposition précise qui traite des renseignements personnels et des exigences qui y sont associées et qui rassurerait les membres du Comité. Je ne parviens pas à la trouver dans mon cartable. Je vais la trouver, car je me souviens de l'avoir lue.

    Je vais faire appel à mes collègues, qui pourront présenter quelques-unes des dispositions qui traitent des renseignements personnels et des mesures de sauvegarde solides qui y sont associées.

     Comme je l'ai mentionné plus tôt, le projet de loi renferme 17 dispositions qui mentionnent explicitement les renseignements de nature sensible, notamment le paragraphe 15(5) proposé, qui décrit la forme de consentement. Le terme apparaît aussi sous le titre « Conservation et retrait des renseignements personnels » au paragraphe 53(2) proposé, et sous le titre « Mesures de sécurité » au paragraphe 57(1) proposé et à l'alinéa 58(8)a) proposé.

    Ce terme apparaît un peu partout dans le projet de loi, notamment dans les passages qui traitent des responsabilités des propriétaires des données.

    Mes collègues sont peut-être en mesure d'énumérer d'autres dispositions.

    N'oublions pas que les renseignements personnels au sens large ne se réduisent pas aux renseignements de nature sensible. Toutes les obligations, qu'elles soient liées aux mesures de sécurité ou à la conservation et au retrait des renseignements personnels, comme mes collègues l'ont dit, s'appliquent à tous les renseignements personnels. C'est leur teneur qui varie.

    Concernant les renseignements personnels au sens large, le critère des fins acceptables s'applique, évidemment. Les renseignements personnels peuvent être recueillis, utilisés ou communiqués seulement à des fins acceptables. Cette obligation s'applique à tous les renseignements personnels, et non pas seulement aux renseignements de nature sensible. Les organisations ne peuvent pas utiliser ces renseignements à leur guise. Cette obligation doit être respectée, peu importe le contexte.

    D'accord. Merci.

    Mes collègues d'en face ont mentionné le système bancaire ouvert. Quelle incidence le sous-amendement aurait‑il sur le système bancaire ouvert? J'ai l'impression que cela pourrait entraver considérablement le développement de ce système.

    Je vais commencer. Mes collègues voudront probablement compléter ma réponse.

    Puisque les données financières seront considérées comme des renseignements de nature sensible, les services financiers axés sur le consommateur seront assujettis aux obligations relatives à la mobilité des données prévues dans des dispositions de la Loi sur la protection de la vie privée des consommateurs selon lesquelles un seul fournisseur de services communiquera les renseignements du client aux autres fournisseurs de services désignés par ce dernier. Cette obligation n'a toutefois pas pour effet d'éliminer ou de changer les réalités du secteur des services financiers.

     Les nouveaux joueurs du secteur de la technologie financière comptent probablement davantage que les autres sur les processeurs tiers, car ils se sont bâti un créneau dans une branche précise de l'innovation financière. Ils peuvent fournir des services, mais ils ne disposent pas nécessairement de toutes les ressources dont disposent normalement les fournisseurs de services financiers de plus grande taille. Le consentement exprès du client devra être obtenu chaque fois qu'un renseignement est communiqué. Pour fournir des services financiers fluides, ces fournisseurs devront communiquer plusieurs fois avec le client pour obtenir son consentement afin de ne pas interrompre la communication des renseignements financiers.

    Je ne sais pas si M. Chhabra et Mme Angus veulent ajouter quelque chose.

    J'ajouterais une chose.

    Au cours des derniers jours, j'ai discuté avec des spécialistes des systèmes bancaires ouverts — ou services bancaires axés sur les clients. Je peux vous dire avec certitude que pour les questions liées au consentement, à l'autorisation et à l'authentification — qui correspondent chacune à l'une des étapes de la chaîne de valeur qui servent à différentes fins au sein du système bancaire ouvert —, le fait d'insister pour considérer toutes les données financières comme des renseignements sensibles change les paramètres de ce qui est en marche dans le secteur. Il est prudent d'affirmer que cela ralentira probablement l'avancement des travaux en gestation. Il y a une distinction importante à faire entre, d'une part, les renseignements personnels ou sensibles qui exigent un consentement exprès, et d'autre part, les éléments qui sont désignés comme des renseignements personnels, mais qui n'ont pas à être désignés comme sensibles étant donné que leur utilisation ou leur communication s'inscrit dans un système bancaire ouvert qui consiste dans certains cas à transférer les renseignements pour permettre la prestation de services.

    Je comparerais cela à la pointe de l'iceberg. Il faut comprendre que le consentement exprès est visible et accessible à tous les consommateurs dans le système, mais que beaucoup de travail doit être fait en coulisse, si vous voulez, pour communiquer les données qui ne sont pas considérées comme sensibles dans le contexte et assurer ainsi la prestation des services que voient les consommateurs.

    Certaines données financières sont-elles toujours sensibles? Pourrait‑on invoquer cet argument? Je me fais l'avocat du diable. Y a‑t‑il une catégorie de données financières qui devrait toujours être considérée comme sensible? Si ce n'est pas le cas, nous avons vraiment un problème.

    Le problème est encore pire que je l'aurais cru au départ. Y a‑t‑il un moyen d'établir qu'une catégorie de renseignements financiers est sensible dans n'importe quel contexte? Le contexte compte‑t‑il toujours? Je sais que la question est difficile, mais je voulais quand même la soumettre à des experts.

    Nous sommes nombreux à être réticents à l'idée que nos données financières soient communiquées à des inconnus, mais le contexte peut relativiser les choses. Je pourrais vous demander si vous êtes à l'aise avec le fait que je connaisse le solde de votre hypothèque ou le montant de vos paiements hypothécaires mensuels. Vous voulez probablement qu'un nombre très limité de personnes soient au courant. Pensez par contre à votre paiement hypothécaire qui se fait automatiquement ou que vous faites manuellement avec votre application bancaire. Votre transfert franchit six processeurs différents pour passer du secteur des comptes au secteur des hypothèques, et tout cela dans une seule institution financière. Si je vous disais que votre paiement allait passer par six ou huit mains et que je vous demandais, puisque vos données sont probablement très sensibles, si vous vouliez être mis au courant de chacune des étapes... Si les gens savaient que le transfert de ces données est géré par un programme de protection de la vie privée qui exige une justification claire chaque fois que des données sont communiquées et que celui qui a recueilli les données initialement est responsable de leur traitement et de la conformité à la protection de la vie privée tout le long de la chaîne de valeur, ils seraient pour la plupart à l'aise avec le processus. Les gens ne voudraient pas donner huit fois leur consentement. Ils voudraient que les données circulent avec fluidité.

     C'est ce qui rend si embêtant de décréter que certains renseignements sont toujours sensibles en toute circonstance, car il arrive souvent que les mêmes renseignements ne soient pas sensibles dans un contexte donné.

    Si je devais résumer ce que vous avez dit, c'est que le contexte est toujours important en ce qui concerne les données financières. N'est‑ce pas le point sous-jacent que vous avez soulevé avec votre exemple?

    Je pense que c'est juste.

    L'environnement de services financiers intégré que vous avez décrit ne serait‑il pas chose du passé si ce sous-amendement est adopté?

    Les processus commerciaux qui, d'après ce que j'ai compris, sont actuellement en vigueur dans le secteur des services financiers comptent de nombreux intervenants qui requièrent de multiples divulgations de renseignements par transaction. Si chacune de ces divulgations est assujettie à un consentement exprès, l'expérience des services financiers serait très différente de celle que nous connaissons à l'heure actuelle.

    Je suis heureux d'apprendre que vous n'avez pas utilisé l'exemple de la pomme. J'ai remarqué que cela a suscité une réaction de la part de mon collègue, M. Vis, plus tôt.

    Effectivement.

    Je vous remercie des précisions. Nous vous en sommes reconnaissants.

    Merci beaucoup, monsieur Turnbull.

    Monsieur Perkins, vous avez la parole.

    Merci, monsieur le président.

    Merci aux fonctionnaires.

    Avant de poser quelques questions sur ce sujet, que je ne crois pas avoir abordé, je signale que c'est la troisième réunion que nous tenons sur l'amendement CPC‑7, ce qui est en grande partie attribuable à la volonté du gouvernement de le modifier. Je le mentionne seulement parce que le gouvernement a suggéré qu'il faudrait quatre réunions pour mener l'étude article par article et que c'est lui qui fait pression pour que ce soit plus long.

    Monsieur Schaan, je suis un peu préoccupé par ce que vous avez dit plus tôt à propos du commissaire à la protection de la vie privée. Le projet de loi C‑11, qui a été le prédécesseur de ce projet de loi, a tenté d'apporter des modifications à la Loi sur la protection des renseignements personnels à la dernière législature, et j'aimerais lire un passage du mémoire que le commissaire à la protection de la vie privée a présenté au Comité, si vous le permettez:

    Cela vous rappelle‑t‑il quelque chose? C'est dans le sous-amendement du député Garon.

    C'était pour le dernier projet de loi, et je suis donc surpris, monsieur Schaan, que vous ayez dit que le commissaire à la protection de la vie privée n'a pas demandé cela. C'est écrit dans son mémoire.

    Monsieur Perkins, je ferais remarquer que le projet de loi C‑11 a été envisagé par un précédent commissaire à la protection de la vie privée.

    Ah, d'accord. Le fait que le Commissariat à la protection de la vie privée ait dit cela n'a donc aucune importance.

    Permettez-moi de continuer. Connaissez-vous la loi sur la protection de la vie privée de la Californie?

    Oui.

    Vous savez que les dispositions particulières qui irritent le gouvernement figurent dans cette loi.

    Je cède la parole à M. Chhabra pour qu'il parle des questions concernant la Californie.

    Je pense qu'il est vraiment important de souligner que le témoignage auquel on fait référence traite de l'intérêt d'avoir un exemple qui est fourni dans la définition.

    Je tiens à préciser que l'amendement auquel nous réagissons ne fournit pas d'exemples. Il ne dit pas « Il pourrait s'agir », par exemple. C'est « Il peut s'agir ». C'est complètement différent que de proposer une définition qui dépend du contexte, suivie de quelques exemples. C'est donc complètement différent de ce que nous envisageons ici.

    Étant donné que j'ai travaillé cinq ans au siège social d'une banque canadienne et que j'ai siégé à des réunions de groupe de discussion avec des particuliers et des clients, je peux vous dire que de nombreux clients ne divulguent même pas leurs renseignements à leur conjoint. Croyez-moi, les renseignements d'ordre financier et médical sont parmi les plus sensibles, et les gens veulent être protégés.

    De plus, savez-vous qu'aux États-Unis, la loi américaine sur la protection et la confidentialité des données est en train d'être étudiée au Congrès, et qu'elle fait exactement la même chose? C'est un projet de loi bipartisan.

    Je vais céder la parole à M. Chhabra, mais je voudrais faire remarquer que l'un des aspects fondamentaux que nous avons essayé de mettre en lumière au cours de la discussion d'aujourd'hui est l'importance d'une sorte d'outil d'interprétation propre au contexte au début de la liste. Ce serait quelque chose comme, « en raison du contexte de leur collecte, de leur utilisation ou de leur communication, l'individu a une attente élevée en matière de protection de la vie privée, notamment ». Le contexte est un aspect. Le deuxième consiste à savoir si l'on considère que cela inclut, par définition, tous les membres d'une catégorie de renseignements ou si c'est à titre indicatif.

    Ce sont là deux points très importants sur lesquels nous nous penchons. Je pense que dans le libellé actuel, il n'y a pas la même compréhension du contexte de la collecte, de l'utilisation ou de la communication, et des ajouts peuvent être apportés à la liste, mais son contenu est définitif.

    La loi de la Californie et la loi sur la protection des données ont-elles eu pour conséquence que chaque fois qu'une personne utilise une carte de débit, elle doit donner son autorisation?

    Comme on l'a signalé, le Règlement général sur la protection des données, ou RGPD, ne considère pas les données financières comme étant des renseignements sensibles.

    La loi de la Californie les considère comme des renseignements sensibles, et l'État compte une plus grande population que celle de l'ensemble du Canada.

    Demandent-ils la permission chaque fois qu'ils utilisent une carte de débit?

    M. Chhabra pourra peut-être parler du libellé précis de la loi de la Californie.

    La Californie considère les renseignements financiers comme étant des renseignements sensibles, mais quant à savoir si cela signifie que lorsque vous utilisez une carte de débit, vous avez besoin d'un consentement exprès, c'est vous qui utilisez la carte de débit, alors je ne pense pas... En utilisant la carte de débit, vous y consentez.

    Notre point précédent concernait le traitement de ces renseignements. Je ne connais pas suffisamment le libellé de la loi californienne pour savoir si elle inclut également une obligation de consentement exprès et si les divulgations sont incluses dans cette obligation.

    Monsieur Schaan, l'actuel commissaire à la protection de la vie privée, dans l'annexe à son mémoire sur le projet de loi C‑27, demande également la liste.

    Il souligne l'importance du contexte et mentionne une liste indicative.

    Le gouvernement croit au droit d'une grande institution financière, par exemple, d'utiliser vos données financières personnelles d'une manière qui n'est pas considérée comme étant sensible. C'est de ce côté qu'elle veut être, et non du côté de la protection des renseignements personnels d'une personne et de l'obligation d'obtenir l'autorisation, qu'elle peut d'ailleurs obtenir de manière générale. Ce n'est pas difficile. Nous donnons tous des autorisations générales pour la protection des renseignements personnels ou l'utilisation des données lorsque nous souscrivons à des services bancaires.

    Je ne suis pas à l'aise avec cette description. Je pense que le gouvernement suggère que la définition d'une information sensible devrait être assortie d'une grande souplesse afin de comprendre le contexte et les cas d'utilisation où cette information peut ne pas être sensible.

    Je tiens à souligner que nous ne suggérons pas que les protections prévues pour les renseignements personnels non sensibles entraînent une violation de la vie privée d'une personne ou portent atteinte à son droit fondamental à la vie privée. Je pense que c'est comparer deux choses très différentes.

    Je dirais que, lorsque ce projet de loi sera adopté, nous serons déjà en décalage par rapport à la Californie et aux États-Unis, compte tenu de la direction qu'ils prennent en ce qui concerne la loi américaine sur la protection et la confidentialité des données.

    J'ai terminé mes questions, monsieur le président.

    Merci beaucoup, monsieur Perkins.

    Monsieur Généreux, vous avez la parole.

    Merci, monsieur le président.

    Merci aux témoins d'être avec nous.

    Pendant que nous débattions de ces questions, un article est sorti sur TVA Nouvelles. Cet article nous apprend que Hyundai a été victime d'une fuite de données, et qu'il y a eu une augmentation de ce genre de fuite de 225 % depuis l'an dernier.

    Notre collègue du NPD a d'ailleurs mentionné l'information que recueillent les automobiles. Je suis content de me promener encore avec une auto de 2009. Personne ne peut savoir où je vais avec cette auto. Cela me rassure.

    M. Turnbull a peur que, si l'amendement CPC‑7 est adopté, tel qu'il serait modifié par le sous-amendement, les gens soient obligés de donner leur consentement à toutes les étapes d'un processus de chaîne de valeur.

    Les lois sont mises en application par règlement après leur adoption. Ces règlements peuvent-ils être faits de façon à éviter ce genre de multiplication des demandes d'autorisation à chaque étape?

    Ce n'est pas une question de réglementation. C'est une définition qui inclut les renseignements de nature sensible. C'est donc une question d'interprétation de la définition.

    Je rappelle que le gouvernement a proposé 50 amendements dans le projet de loi et que plusieurs sous-amendements devront être étudiés. Inévitablement, le projet de loi a été écrit avec plein de défauts, c'est le moins qu'on puisse dire, et on essaie de les corriger.

    Si on ajoute une liste de tels éléments, même une liste non exhaustive qui permet une interprétation éventuelle, ces éléments seront-ils mis en œuvre par règlement, ce qui permettra de donner la latitude nécessaire à l'application du projet de loi?

    Dans ce cas, c'est difficile de prévoir l'interprétation qui peut être faite à cause de la construction de la phrase. Il est dit que la liste est non exclusive, mais tous les éléments dans la liste sont inclus dans la définition. Il n'y a pas de place à l'interprétation, parce que c'est clair.

    C'est pour cette raison que nous trouvons important de donner au commissaire du contexte au début de la liste et que celle-ci soit donnée à titre indicatif.

    Si je comprends bien, vous aimeriez ne pas avoir d'amendement CPC‑7 du tout et ne pas avoir de liste.

    Est-ce cela?

    Non. Nous sommes à l'aise à l'idée d'inclure une liste, mais une liste à titre indicatif et non exclusive.

    La liste doit présenter ces deux aspects afin qu'il puisse y avoir plus d'éléments que ce qui figure sur la liste à titre indicatif, donnant ainsi un contexte au Commissariat à la protection de la vie privée. Il peut ainsi indiquer le contexte dans lequel une information serait ou ne serait pas considérée comme sensible.

    Merci.

    Merci, monsieur Généreux.

    Monsieur Williams, vous avez la parole.

    Merci.

    Je veux aborder les aspects financiers dont nous avons parlé, en particulier le système bancaire ouvert. Un régime solide de protection des données est un argument en faveur d'un système bancaire ouvert. Voilà pourquoi on examine cette solution pour le Canada. Cela permet l'introduction d'une meilleure technologie de protection des données.

    Monsieur Chhabra, vous avez pris le temps de parler du système bancaire ouvert. J'ai consacré des milliers d'heures à discuter de la question avec des particuliers et à essayer de faire avancer... en particulier parce que les gens estiment qu'une IPA et le cadre à venir les rendront plus concurrentiels, dans l'ensemble du processus, par rapport aux institutions bancaires ordinaires. C'est ce qu'on a constaté en Australie et au Royaume-Uni.

    Vous dites avoir déjà parlé à certains de ces groupes. Je ne vois toujours pas en quoi considérer les données financières comme des renseignements de nature sensible nuira aux institutions financières au Canada. Je pense plutôt que cela les renforcera. Je ne vois pas vraiment pourquoi une protection accrue des consommateurs et l'utilisation d'une technologie pour protéger ces données — assurant ainsi une meilleure protection des données pour les consommateurs de technologie canadienne au Canada — seraient considérées comme un désavantage, d'autant plus que la seule chose qui découle du budget, jusqu'à maintenant, est un cadre pour le système bancaire ouvert, et davantage de consultations avec l'industrie.

    Si nous développons une IPA qui sera utilisée dans l'ensemble du système bancaire ouvert, en quoi cela désavantagerait‑il notre système bancaire ouvert, y compris son cadre, par rapport aux systèmes d'autres pays?

    C'est une question de divulgation. C'est lié à la nature de l'exigence du consentement explicite pour chaque utilisation, collecte et divulgation de renseignements financiers, car la liste, telle que conçue, énonce que ces renseignements sont de nature sensible, par définition, ce qui signifie qu'une institution ne peut pas présumer le consentement implicite.

    Par conséquent, le traitement des renseignements financiers, qui sont souvent transférés de l'institution qui en a fait la collecte à une autre dans le cadre d'une chaîne de responsabilité, nécessitera le consentement explicite de la personne. Chacune de ces étapes représente un désavantage par rapport à l'idée d'une cadre pratique dans lequel le consentement est requis uniquement là où il est le plus important, c'est‑à‑dire lorsque la confidentialité des renseignements pourrait être très menacée et lorsqu'une personne peut ne pas avoir compris que ces renseignements, dans le cadre du service qu'elle reçoit, peuvent être transférés.

    D'accord. Ce sera mon dernier commentaire, et j'espère que nous nous prononcerons là‑dessus bientôt.

    Je pense, lorsqu'on examine le secteur financier et le système bancaire ouvert, que ce cadre offre aux clients la possibilité d'accorder ou de révoquer explicitement leur consentement et facilite l'accès de tierces parties comparativement à tous nos cadres précédents. Le système bancaire ouvert devrait servir d'exemple expliquant pourquoi nous considérons les données financières comme des renseignements de nature sensible et pourquoi le Canada veut protéger ces données de manière explicite. Quant à la deuxième partie, nous avons inclus le mot « généralement », car ce mot offre au commissaire à la protection de la vie privée une certaine latitude dans la détermination des données financières qui peuvent être utilisées, compte tenu de leur nature sensible, et du contexte dans lequel elles peuvent être utilisées.

    Je pense que nous avons donné tout cela et que nous avons abondamment examiné la question.

    Merci, monsieur le président.

    Merci beaucoup.

    Monsieur Masse, vous avez la parole.

    Merci, monsieur le président.

    Je tiens à ce que certaines de nos divergences figurent au compte rendu.

    Nous parlons de l'autonomisation des consommateurs par rapport à leurs renseignements personnels, mais en même temps, nous avons un gouvernement qui n'a apporté aucun changement au droit d'auteur de la Couronne depuis 1911. Pour ceux qui ne connaissent pas le droit d'auteur de la Couronne, il a été introduit au Canada en 1909, et a été modifié en 1911. Cela signifie — et c'est très important pour les entreprises, les éducateurs et la société en général — que toutes les informations détenues par le gouvernement sont essentiellement suspendues ou ne sont pas fournies au public, ce qui est différent des régimes des États‑Unis et d'autres pays du Commonwealth. J'ai de la difficulté à comprendre que le gouvernement veuille conserver le contrôle des renseignements créés et diffusés publiquement alors que les États‑Unis ne le font pas, que la Grande‑Bretagne ne le fait pas et que les autres pays du Commonwealth ne l'ont pas fait non plus.

    Monsieur Schaan, quel pays est équivalent au nôtre pour ce qui est du droit d'auteur de la Couronne? On a fait valoir que le gouvernement veut rejeter cet amendement afin que le public détienne les informations et un certain contrôle. En même temps, ce gouvernement continue de bloquer le renouvellement du droit d'auteur de la Couronne, qui fournit au grand public des renseignements qu'il a payés. Où donc y a‑t‑il une cohérence par rapport au droit d'auteur de la Couronne?

    La position du gouvernement sur le droit d'auteur de la Couronne n'est pas une position singulière. Je pense qu'il est important d'examiner les orientations du Conseil du Trésor sur le caractère public des informations produites par la Couronne, y compris la norme de l'accessibilité par défaut et l'importance de veiller à ce que ces renseignements soient effectivement partagés de manière ouverte. Du côté de la Couronne, il existe un certain nombre d'utilisations particulières de renseignements protégés par le droit d'auteur qu'il faut comprendre dans leur contexte global.

    Selon vous, y a‑t‑il un pays ayant un régime semblable au nôtre? Pouvez-vous nous donner un exemple?

    Je ne suis pas assez renseigné à ce sujet, étant donné que la séance d'aujourd'hui est consacrée au projet de loi relatif à la protection de la vie privée, pour donner des exemples de régimes de droits d'auteur de la Couronne à l'échelle internationale.

    Je comprends, mais cela nous ramène à l'importance de la raison pour laquelle l'on considère que les renseignements ont de la valeur. Nous n'avons toujours pas d'éléments de comparaison pour le moment.

    Je vais en rester là. Je tenais à souligner que je trouve très ironique que le gouvernement accorde de l'importance aux renseignements produits aux frais de l'État — renseignements qui seraient très utiles pour les entreprises et la recherche universitaire —, mais qu'il ne les divulgue pas parce qu'il en a le contrôle. Même l'ancien secrétaire parlementaire des libéraux qui a occupé ce poste, l'ancien solliciteur général, était beaucoup plus ouvert et favorable à la réforme du droit d'auteur de la Couronne, mais nous savons où cela a mené.

    Merci, monsieur le président.

    Merci, monsieur Masse.

    J'ai M. Van Bynen, suivi de M. Turnbull.

    Merci, monsieur le président.

    Il me semble que la préoccupation, ici, est liée à la confidentialité et à la nature sensible des renseignements.

    Monsieur Schaan, pour que ce soit clair, pourriez-vous me dire quels types de protections incluses dans le projet de loi portent sur la confidentialité des renseignements?

    La LPVPC comprend un certain nombre de dispositions dont nous n'avons pas encore parlé et qui rehaussent le degré de protection pour l'ensemble des renseignements personnels qui sont collectés, utilisés et communiqués par les entreprises dans le contexte canadien. Cela comprend l'obligation d'obtenir le consentement explicite dans divers domaines, ainsi que des restrictions quant au moment et à la manière de recourir à d'autres formes de consentement. La LPVPC met aussi en place un régime d'application très rigoureux pour le recours à ces deux exceptions, et précise les programmes de protection de la vie privée qui doivent être établis. À titre d'exemple, les mesures de sécurité qu'une entreprise est tenue de mettre en place pour se protéger de toute violation ou vulnérabilité font l'objet d'une surveillance. Il y a l'application liée aux exceptions. Si le commissaire à la protection de la vie privée détermine qu'un recours à une exception au consentement n'est pas raisonnable, ce recours est alors considéré comme une utilisation illégale de renseignements personnels, ce qui est passible des amendes les plus élevées prévues au titre du Régime de sanctions administratives pécuniaires.

    Il s'agit d'une approche globale très rigoureuse du traitement des renseignements personnels, ce qui comprend un niveau de protection de la vie privée accru pour la catégorie des renseignements de nature sensible. Cependant, aux fins de la discussion, l'aspect le plus important est le consentement explicite.

    Plus tôt, vous avez indiqué que certaines obligations sont requises pour assurer la protection de la vie privée. Pouvez-vous en dire plus à ce sujet, s'il vous plaît, et expliquer quelle incidence cela peut avoir sur la question dont nous discutons? Plus précisément, je suis préoccupé par la distinction entre « sensible » et « privé », mais surtout, par le genre d'obligations nécessaires pour protéger la vie privée des consommateurs et le rôle du commissaire à la protection de la vie privée pour veiller au respect de ces obligations.

    Le régime est supervisé par le commissaire à la protection de la vie privée, qui a des pouvoirs considérables, notamment le pouvoir de rendre des ordonnances et de recommander des sanctions pécuniaires administratives, et le pouvoir de signer des ententes de consentement afin de modifier les comportements de ceux qui pourraient violer la vie privée des Canadiens. Tout cela est interprété dans le vaste contexte du droit fondamental à la vie privée, qui a été inclus dans le préambule et au début du projet de loi.

    Les cas d'utilisation des renseignements personnels dont nous avons parlé aujourd'hui seraient régis par des obligations rigoureuses en matière d'utilisation des renseignements personnels, pourvu qu'ils ne soient pas de nature sensible. Au moment de collecter des renseignements, une entreprise devrait indiquer clairement au consommateur comment ces renseignements seront utilisés, y compris leur transfert futur. L'entreprise sera tenue d'instaurer un programme de protection de la vie privée incluant la sécurité des renseignements dans leurs divulgations.

    Ces obligations seraient transférées à une entité divulguée. Dans ce cas d'utilisation particulier, si l'entité divulguée est une entreprise de traitement des paiements, même si cela n'annule pas la responsabilité du collecteur d'origine, elle sera tenue d'assurer la confiance et la sécurité continues pour les renseignements en sa possession, et ce, même s'ils lui ont été communiqués sans consentement explicite.

    Chaque étape de cette chaîne de valeur demeure régie par une approche globale qui vise à s'assurer que la protection continue de la vie privée des Canadiens demeure un facteur primordial dans la transaction en général et lors de la collecte, de l'utilisation et la communication des renseignements.

    Plus tôt, vous avez mentionné qu'en précisant ces...

    Merci, monsieur Van Bynen. Je suis désolé, mais vous aurez une autre occasion lorsque nous reviendrons au projet de loi C‑27. Nous arrivons à la fin de la séance.

    Chers collègues, je vous remercie de votre coopération au cours de cette réunion.

    Merci à tous.

    Merci aux témoins.

    Bonne journée.

    La séance est levée.