INDU Réunion de comité

     Je déclare la séance ouverte.

    Bonjour à tous et à toutes.

    Je vous souhaite la bienvenue à la 90^e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes. La réunion d'aujourd'hui se déroule en format hybride, conformément au Règlement.

    Conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois.

    J'aimerais souhaiter la bienvenue aux témoins d'aujourd'hui, du Commissariat à la protection de la privée du Canada. Tout d'abord, il s'agit de M. Philippe Dufresne, commissaire à la protection de la vie privée du Canada.

    Je vous remercie d'être de retour parmi nous.

    Ensuite, nous recevons Mme Lara Ives, directrice exécutive, Direction des politiques, de la recherche et des affaires parlementaires, ainsi que M. Michael Maguire, directeur, Loi sur la protection des renseignements personnels et les documents électroniques, Direction de la conformité.

    Je vous remercie tous les trois d'être revenus. J'ai bon espoir qu'aujourd'hui, tout va bien se dérouler — je regarde mes collègues —, et que nous aurons la chance d'avoir une rencontre normale et de profiter de vos lumières sur le projet de loi C‑27.

    Sans plus tarder, monsieur Dufresne, je vous accorde la parole pour cinq minutes.

    Merci, monsieur le président.

    Mesdames et messieurs les membres du Comité, je suis heureux d'être ici aujourd'hui pour aider le Comité dans le cadre de son étude du projet de loi C‑27, Loi sur la mise en œuvre de la Charte numérique, qui édicterait la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données, ainsi que la Loi sur l'intelligence artificielle et les données.

    Lorsque j'ai comparu devant le Comité, il y a trois semaines, j'ai prononcé une déclaration préliminaire sur le projet de loi et présenté mes 15 recommandations clés pour améliorer et renforcer le projet de loi. Aujourd'hui, je souhaite revenir brièvement sur la lettre que le ministre de l'Innovation, des Sciences et de l'Industrie a adressée au Comité, le 3 octobre 2023, y réagir et répondre aux questions qui pourraient vous rester.

    Je suis ravi de la position du ministre sur les amendements en cours de rédaction sur la Loi sur la protection de la vie privée des consommateurs, ou LPVPC proposée, puisqu'il semble prêt à accepter 4 des 15 recommandations clés du Commissariat, à savoir reconnaître explicitement la protection de la vie privée comme un droit fondamental, renforcer la protection de la vie privée des enfants, donner plus de marge de manœuvre au Commissariat pour utiliser des « accords de conformité », notamment par le recours à des sanctions pécuniaires et permettre une plus grande coopération entre les organismes de réglementation.

    Je salue aussi l'ouverture dont le ministre a fait preuve à l'idée d'apporter d'autres amendements par suite de l'étude menée par ce comité.

    Je profite de l'occasion pour faire état d'autres moyens par lesquels le projet de loi devrait être renforcé et amélioré en vue de mieux protéger le droit fondamental à la vie privée des Canadiennes et des Canadiens, qui sont abordés dans les autres recommandations que nous avons formulées au Comité.

    Je soulignerai brièvement ici cinq de nos recommandations qui ressortent particulièrement à la lumière de la lettre du ministre, et je serai heureux de parler de toutes nos recommandations au cours de la discussion qui suivra.

    Premièrement, les évaluations des facteurs relatifs à la vie privée, ou EFVP devraient être exigées par la loi pour les activités à risque élevé, y compris l'intelligence artificielle, ou IA, et l'IA générative. Ce point est extrêmement important dans le cas d'un système d'IA qui pourrait rendre des décisions ayant des répercussions majeures sur les Canadiennes et les Canadiens, à savoir s'ils recevront une offre d'emploi, s'ils remplissent les conditions requises pour obtenir un prêt, s'ils doivent payer une prime d'assurance plus élevée ou s'ils sont soupçonnés de comportement suspect ou illégal.

    Même si la LIAD exigerait que les responsables des systèmes d'IA évaluent et atténuent les risques de préjudice des systèmes d'IA à incidence élevée, la définition du terme « préjudice » dans le projet de loi ne prend pas en compte la protection de la vie privée. Cela signifie que des évaluations proactives des risques seraient effectuées pour les préjudices ne concernant pas la vie privée, mais pas pour les préjudices concernant la vie privée. Il s'agit d'une lacune importante étant donné que, dans un récent rapport de l'OCDE sur l'IA générative, les menaces pour la vie privée figuraient parmi les trois principaux risques reconnus par les membres du G7.

    Selon moi, l'IA responsable doit commencer par de solides protections de la vie privée, ce qui inclut des évaluations des facteurs relatifs à la vie privée.

    Deuxièmement, le projet de loi C‑27 ne prévoit pas de sanctions pécuniaires en cas de violation des dispositions qui obligent les organisations à recueillir, à utiliser et à communiquer des renseignements personnels uniquement à des fins et d'une manière qu'une personne raisonnable estimerait acceptables dans les circonstances. Cette omission ferait de la loi fédérale sur la protection des renseignements personnels dans le secteur privé une exception par rapport à l'Union européenne et au régime québécois, qui autorisent l'imposition de sanctions pécuniaires pour des violations aussi importantes du droit à la vie privée.

     Si l'objectif est, comme l'a indiqué le ministre, de disposer d'une loi en la matière qui comprend un outil concret et efficace afin d'encourager la conformité et d'intervenir en cas de contraventions majeures à la loi lorsque les circonstances le justifient, objectif que je partage, il est évident, selon moi, que cette lacune doit être comblée pour une disposition aussi importante.

    Troisièmement, il reste l'ajout proposé d'un nouveau tribunal, qui deviendrait un quatrième palier de contrôle dans le processus de plaintes. Comme nous l'avons indiqué dans notre mémoire au Comité, cette solution rendrait la procédure plus longue et plus coûteuse que les modèles communs utilisés à l'échelle internationale et dans les provinces.

    C'est pourquoi nous avons recommandé deux options pour résoudre ce problème. La première option consisterait à faire contrôler les décisions du tribunal proposé directement par la Cour d'appel fédérale, et la seconde option serait de conférer au Commissariat le pouvoir d'infliger des sanctions pécuniaires et de faire en sorte que ces décisions puissent être contrôlées par la Cour fédérale sans qu'il soit nécessaire de créer un nouveau tribunal, ce qui est le modèle le plus courant dans d'autres ressorts semblables.

    Quatrièmement, le projet de loi tel qu'il est rédigé permet toujours au gouvernement de déroger à la loi par voie de règlement sans avoir à démontrer que ces dérogations sont nécessaires. Cette situation doit être corrigée, car elle crée trop d'incertitude pour l'industrie et la population canadienne et pourrait réduire considérablement la protection des renseignements personnels sans une surveillance exercée par le Parlement.

     Cinquièmement, et en conclusion, le projet de loi limiterait l'obligation pour les organisations d'expliquer, sur demande, les prédictions faites, les recommandations formulées ou les décisions prises au sujet des Canadiennes et des Canadiens à l'aide de l'intelligence artificielle aux situations qui ont une incidence importante sur l'individu. Alors que l'intelligence artificielle est en plein essor et que les risques pour la vie privée ont été reconnus par le G7 et dans le monde entier, je recommande, dans ce domaine, plus de transparence plutôt que moins.

    Sur ce, je suis maintenant prêt à répondre à vos questions.

    Merci beaucoup, monsieur Dufresne.

    Monsieur Perkins, vous avez la parole.

    Merci, monsieur le président, et merci, monsieur le commissaire.

     À mon avis, la protection et la sauvegarde des renseignements personnels dans le monde numérique et dans le monde de l'intelligence artificielle dans lequel nous évoluons doivent être assurées contre les abus des entreprises et ce qu'elles peuvent faire, intentionnellement ou non, avec ces renseignements.

     Après huit ans, ce nouveau projet de loi libéral sur la protection de la vie privée, qui est imparfait, a été présenté il y a 18 mois et il est resté un an à la Chambre avant d'être mis à l'étude. Vous êtes le commissaire à la protection de la vie privée du Canada, le gardien de la vie privée dans ce pays. Le gouvernement libéral vous a‑t‑il consulté avant de présenter ce projet de loi en juin 2022 et vous a‑t‑il associé à son élaboration?

    Monsieur Perkins, le projet de loi a été présenté avant que je n'entre officiellement en fonction comme commissaire à la protection de la vie privée. En fait, le projet de loi a été présenté le jour où la Chambre des communes a approuvé ma proposition de nomination à ce poste. Il est certain que je n'ai pas été consulté ni associé avant cette date en ce qui concerne le projet de loi C‑27, parce que je n'étais pas le commissaire.

    Depuis, je fais des recommandations...

    Votre bureau a‑t‑il été consulté?

    Je sais qu'il a eu des échanges continus entre mon bureau et le ministère en ce qui concerne la protection de la vie privée. Je ne connais pas l'étendue des détails qui auraient été communiqués à mon bureau avant mon arrivée.

    Peut-être que vous ou vos collègues pourriez m'énumérer, si vous avez fait part de vos préoccupations ou des souhaits du Commissariat à la protection de la vie privée du Canada, les éléments qui devraient figurer dans ce projet de loi pour l'actualiser.

    Quels sont les quatre ou cinq éléments clés qui, selon le Commissariat, devaient figurer dans ce projet de loi avant que celui‑ci soit présenté à la Chambre?

    Le Commissariat a formulé plusieurs recommandations sur le projet de loi qui a précédé le projet de loi C‑27. L'une d'entre elles consistait à reconnaître la protection de la vie privée comme un droit de la personne fondamental. Des préoccupations ont été soulevées au sujet de certaines définitions, comme les fins acceptables ou les modes de transmission de l'information. Mon prédécesseur avait déposé une longue liste de recommandations, laquelle est du domaine public. Plusieurs d'entre elles ont été prises en considération et ont abouti au projet de loi C‑27.

    D'autres sont restées en suspens. Dans mes observations, j'ai souligné 15 recommandations clés. Dans l'annexe, nous avons fait référence à des recommandations antérieures.

    Comme il y a 15 éléments, dont vous dites que beaucoup ont été rendus publics dans la version précédente de ce projet de loi, il semblerait que le gouvernement n'en a pas tenu compte dans la rédaction de ce projet de loi.

     Le gouvernement libéral ignore‑t‑il souvent les recommandations du commissaire à la protection de la vie privée sur la façon d'améliorer la loi pertinente?

    J'estime que mon rôle et celui de mon bureau consistent à promouvoir et à protéger les droits fondamentaux des Canadiens en matière de protection de la vie privée et à vous conseiller, en tant que parlementaires, dans la prise de décisions. C'est dans cet esprit que j'ai formulé 15 recommandations. Je les ai communiquées. Le Commissariat a fait de même, avant que je ne sois commissaire, en présentant ses points de vue. Certains ont été retenus par les parlementaires, par le gouvernement, d'autres non.

     Dans le cas présent, comme je l'ai dit dans ma déclaration liminaire, je suis heureux de constater que, du moins jusqu'à présent, quatre de mes 15 recommandations semblent avoir été retenues. J'espère pouvoir vous convaincre tous, y compris le gouvernement, de retenir les autres.

    Après que le projet de loi soit resté sur la glace pendant un an, je suppose qu'il y a eu quelques... Le ministre a déclaré ici qu'il avait finalement pris contact et discuté avec vous, ou que le ministère l'avait fait. Il y a deux semaines, il a comparu devant nous et a admis que son projet de loi était très imparfait dans des domaines fondamentaux. Il propose huit amendements majeurs, qu'il ne nous a pas encore communiqués après deux demandes de notre part de produire ces documents.

     Vous a‑t‑il divulgué les versions préliminaires de ces amendements?

    Non, il ne l'a pas fait. Je dispose de la même information que vous, c'est‑à‑dire la lettre qui a été déposée au comité.

    En tant que gardien de la vie privée au Canada, le ministre libéral tenait vraiment à faire adopter un projet de loi qui protège la vie privée des Canadiens contre les abus des entreprises dans le monde des données massives dans lequel nous vivons. Il voulait un libellé juridique vraiment important et précis pour faire ce que vous et votre prédécesseur avez dit sur des enjeux tels que la protection des droits fondamentaux dans l'article 5 proposé.

    Ne pensez-vous pas qu'une personne raisonnable qui a vraiment cet objectif à coeur demanderait l'avis des experts indépendants sur la meilleure façon de procéder?

    Je pense que nous avons des conseils importants à donner. L'idéal serait que le Commissariat soit consulté le plus tôt possible, le plus souvent possible, sur les changements proposés en matière de protection de la vie privée. Je comprends qu'il y a des enjeux en raison de la confidentialité des documents du Cabinet quant à ce qui peut être divulgué ou non, mais pour ce qui est des sujets pris en compte — les thèmes, les enjeux — je suis d'accord avec vous que si nous sommes en mesure de donner notre avis en amont, il y a plus de chances que ces enjeux soient résolus.

    Les avant-projets de règlements et les commentaires peuvent toujours être rendus publics avant d'être soumis au Cabinet, afin de garantir qu'il s'agit bien de ce qui est nécessaire pour réaliser l'objectif sans avoir à passer par la bureaucratie du Cabinet.

     En ce qui concerne les droits fondamentaux dans l'article 5 proposé, je ne crois pas que le préambule ait une quelconque valeur puisqu'il ne fait pas partie des lois publiées du Canada. L'article relatif à l'objet de la Loi définit l'importance du projet de loi et son but.

     Si le projet de loi stipule que le droit fondamental à la protection de la vie privée a la même valeur que la capacité d'une organisation à l'utiliser, n'est‑ce pas mettre la charrue avant les bœufs? La vie privée d'une personne ne devrait-elle pas être plus importante que la capacité d'une entreprise à l'utiliser?

    Elle devrait l'être, et c'est pourquoi j'ai recommandé cette reconnaissance explicite.

     Comme vous le savez, jusqu'à présent, cela était décrit parfois comme un intérêt en matière de vie privée ou comme un droit — le libellé était plus tiède, je suppose — et j'ai recommandé instamment que nous devions rendre cela explicite. Nous devons reconnaître qu'il s'agit d'un droit quasi constitutionnel, comme les tribunaux et la communauté internationale l'ont dit, de sorte que dans la disposition de déclaration d'objet — et j'ai recommandé de l'ajouter dans le préambule ainsi que dans la disposition de déclaration d'objet, mais vous avez raison — la disposition de déclaration d'objet est la clé — si vous utilisez l'expression « droit fondamental », vous envoyez un signal aux tribunaux, aux décideurs, à moi que même lorsque vous cherchez l'équilibre entre ce droit et d'autres éléments, notamment les besoins des organisations — qui doivent être pris en compte; nous devons innover en même temps — s'il y a un conflit évident, l'un doit prévaloir, et c'est le droit fondamental qui devrait prévaloir. C'est pourquoi il est si important que cela soit inscrit dans la Loi.

     J'ai trouvé encourageant que le ministre déclare que telle est désormais l'intention. Il est certain que je le préconise depuis le premier jour.

    Je vous remercie.

     Merci beaucoup, monsieur Perkins et monsieur Dufresne.

    Monsieur Sorbara, vous avez la parole.

    Merci, monsieur le président

    Bienvenue, monsieur le commissaire.

     Monsieur le commissaire, le 3 octobre, il y a deux ou trois semaines, je crois, vous avez prononcé le discours-cadre à la Conférence sur le Big Data et les Analytiques à Montréal. J'ai eu l'occasion de lire votre allocution. Dans l'une des sections traitant de la réforme du droit et de la réglementation de l'IA au Canada, vous faites référence aux changements apportés à la LPVPC et à la LIAD. Vous dites aussi être encouragé par la présentation du projet de loi et, je paraphrase, par son ton et son orientation. L'une de vos observations porte sur la protection des droits fondamentaux à la vie privée.

    À la lecture de votre allocution sur le projet de loi C‑27, l'orientation du projet de loi, on voit que vous êtes encouragé.

    J'ai dit que c'était un pas dans la bonne direction, alors je suis encouragé. Je vois la possibilité d'apporter d'autres améliorations, et ce sont les 15 recommandations que je fais, mais j'ai dit que c'est un pas dans la bonne direction.

    Il s'agit de nouveaux termes, de nouveaux lexiques, qui font leur entrée dans notre vocabulaire sur l'IA générative, si je peux utiliser cette expression. Si vous deviez contextualiser le risque — et vous utilisez beaucoup le mot « risque » — pour la vie privée, comment l'évalueriez-vous?

    Les risques pour la vie privée sont importants dans le contexte de l'IA. C'est en tout cas mon avis. C'est aussi l'avis des ministres du G7.

     J'ai cité un récent rapport de l'OCDE, publié en septembre dernier, dans lequel l'OCDE a sondé tous les ministres du Numérique et de la Technologie du G7 sur les principaux risques de l'IA — et pas seulement sur les risques, mais aussi sur les principaux avantages, car il y a des avantages par rapport à la productivité et ainsi de suite. Les trois principaux risques mentionnés dans le rapport concernent la protection de la vie privée. Le premier est la désinformation et la mésinformation. Il y avait des risques pour les droits d'auteur. Les risques pour la vie privée viennent en troisième position, et il y a les risques de préjugés exagérés et de discrimination. Ce sont les principaux risques. Je suis d'accord avec ce classement.

    Je vous remercie pour ce commentaire nuancé, car l'étude de ce projet de loi au sein de ce comité va être une très bonne expérience d'apprentissage pour moi.

     Diriez-vous qu'avec ce projet de loi, le Canada est à l'avant-garde?

     Avec la LIAD, le Canada a la possibilité d'être le premier. Un projet de loi chemine en Europe, et nous l'avons souligné dans notre mémoire sur le projet de loi C‑27. C'est un pas dans la bonne direction et le Parlement doit bien faire les choses. Dans le contexte de l'IA, en particulier, je souligne que le projet de loi de la LIAD instaurerait d'importantes mesures proactives d'atténuation des risques pour gérer les préjudices et les préjugés. C'est une bonne chose, et ce sont des mesures importantes, mais elles ne prévoient pas de mesures proactives pour protéger la vie privée, l'un des trois principaux risques. C'est pourquoi j'insiste pour que l'évaluation des facteurs relatifs à la vie privée soit une obligation dans le projet de loi sur la protection de la vie privée, afin de combler cette lacune.

    Si je comprends bien — et je vous prie de m'excuser si je ne comprends pas, vous devrez être indulgent envers moi — c'est pourquoi il est important d'inscrire la protection de la vie privée sur la liste des droits fondamentaux.

    L'inscription de la vie privée sur la liste des droits fondamentaux en fait certainement partie et envoie certainement un message d'interprétation sur le traitement à lui réserver. Faire de l'évaluation des facteurs relatifs à la vie privée une exigence juridique explicite est utile aux organisations, car elles sauront ce qu'elles doivent faire. Nous pouvons donner des orientations au moyen de la réglementation ou par l'entremise de mon bureau, afin que l'industrie ait cette certitude et sache ainsi pourquoi elle investit des ressources dans ce domaine. C'est pour protéger la vie privée, bien sûr, mais aussi pour avoir l'appui législatif nécessaire.

    Très bien. Lorsque vous mentionnez l'industrie, je reviens en arrière et je pense que la personne a le droit de protéger sa vie privée dans une certaine mesure, et pas seulement avec l'industrie. Il s'agit également d'envoyer un signal à l'industrie sur la manière dont elle doit traiter la vie privée de chacun. Je relie cela à la responsabilité personnelle de l'individu, mais aussi à la responsabilité personnelle liée à l'industrie.

     En ce qui concerne vos commentaires sur les flux de données transfrontaliers, il est évident que nous travaillons et que nous sommes connectés dans un monde intégré, comme nous le constatons tous les jours, et c'est parfois une bonne chose et parfois une mauvaise chose, malheureusement.

     Comment les données transfrontalières circulent-elles, selon vous, et comment devrions-nous aborder cet enjeu?

     C'est un enjeu auquel la communauté internationale est confrontée. Le projet de loi C‑27 renferme des dispositions visant à s'assurer que d'autres pays offrent des niveaux de protection similaires au moyen de contrats. D'autres régimes ont des règles plus détaillées à ce sujet, par exemple le Règlement général sur la protection des données, le RGPD qui prévoit un régime d'adéquation.

    Il existe plusieurs modèles à cette fin, et ce qui est important, c'est de garantir que la vie privée des Canadiens est protégée lorsque des données quittent le Canada.

    Avec mon bagage en comptabilité — je viens plutôt du monde de la finance — je sais qu'il y a une comptabilité fondée sur des règles et une comptabilité fondée sur des principes. Avec ce type de projet de loi, est‑il préférable de le fonder sur des règles ou sur des principes?

    Il est fondé sur des principes, car il doit être neutre sur le plan technologique. La loi doit résister à l'épreuve du temps. Elle a 20 ans, et la Loi sur la protection de la vie privée dans le secteur public est encore plus ancienne. Nous devons donc faire en sorte que ce texte législatif suive l'évolution rapide des technologies. Nous parlons de principes, mais nous avons aussi besoin d'obligations précises dans la Loi, afin que les organisations et les Canadiens connaissent leurs droits.

     Par exemple, nous prenons très au sérieux la sécurité des voyageurs aériens. Nous procédons en permanence à des contrôles de sécurité avant le départ pour garantir qu'ils sont effectués de manière proactive, et non après coup. J'estime que les évaluations des facteurs relatifs à la vie privée sont du même ordre. En veillant à ce que la vie privée soit prise en compte dès le départ, on la traite comme un droit fondamental et on atténue les risques, et pas seulement après coup.

    Merci, monsieur.

     Merci beaucoup, monsieur Sorbara.

    Monsieur Lemire, vous avez la parole pour six minutes.

    Merci, monsieur le président.

    Monsieur Dufresne, je vous remercie de votre présence et de vos recommandations constructives.

    Lors de votre dernier passage au Comité, vous aviez dit ceci:

    Cependant, comme l'a noté mon collègue conservateur, le préambule n'a pas force de loi.

    Pouvez-vous nous expliquer les motivations derrière cette recommandation?

    En fait, notre recommandation est double. Nous trouvons que l'ajout d'un préambule est un pas dans la bonne direction. Celui-ci fait allusion aux instruments internationaux et à toutes sortes de choses. On peut regarder le préambule en cas d'ambiguïté, même si cela n'a pas la force obligatoire d'un article de loi. Nous avons donc recommandé d'amender le préambule, mais nous recommandons aussi d'amender l'article 5, qui porte sur l'objet de la loi.

    Dans la décision de la Cour d'appel fédérale dans l'affaire mettant en cause Google, où il était question de l'application de la Loi sur la protection des renseignements personnels et les documents électroniques, la Cour a dit explicitement que c'était dans l'énoncé d'objet d'une loi qu'on pouvait voir le mieux l'intention du législateur. Alors, effectivement, il est important que l'article 5 soit amendé.

     Avez-vous le sentiment que la reconnaissance de la vie privée en tant que droit fondamental positionne le Canada comme chef de file en matière de protection de la dignité humaine dans le monde?

    Évidemment, l'un de nos objectifs est d'atteindre les normes les plus élevées à l'échelle internationale. Cela nous rapproche-t-il de celles de l'Europe, par exemple?

    Oui, cela nous rapproche de celles de l'Europe. D'ailleurs, c'est explicite dans les règlements généraux sur la protection des données qu'on trouve en Europe et dans le régime québécois, par exemple. En fait, dans toutes les rencontres internationales auxquelles j'ai participé, il y avait un consensus à cet égard: on doit le traiter comme un droit fondamental. C'est donc important pour le Canada sur la scène l'internationale, mais, avant tout, c'est important pour tous les citoyens, c'est-à-dire pour toutes les Canadiennes et tous les Canadiens. La vie privée est non seulement essentielle et fondamentale en soi — c'est un vecteur de liberté —, mais elle est aussi à la base d'autres droits. Elle soutient les droits électoraux, les droits de la personne et l'égalité, entre autres. Il est donc essentiel que ce soit reconnu, sans ambiguïté.

    On constate que le ministre a repris certaines de vos recommandations qui touchent à la protection de la vie privée. Par contre, vous en avez émis plusieurs, c'est-à-dire une quinzaine. Y a-t-il d'autres recommandations que vous aimeriez voir mises en évidence, aujourd'hui, afin de mettre en lumière les questions liées à la protection de la vie privée? Je parle évidemment de recommandations que le ministre n'a pas nécessairement soulevées jusqu'à présent.

    Tout à fait.

    En fait, j'ai fait une liste. Le ministre a indiqué vouloir en adopter quatre; il en reste donc 11 sur les 15 recommandations proposées. Parmi celles-là, j'ai fait référence à cinq recommandations en particulier, aujourd'hui.

    La première, c'est d'avoir les évaluations des facteurs relatifs à la vie privée lorsqu'on fait face à une nouvelle technologie qui peut avoir une incidence importante sur les Canadiens, comme l'intelligence artificielle générative. Cela m'apparaît être une lacune importante dans la Loi. On le fait pour d'autres types de préjudices, mais pas pour les préjudices à la vie privée, et cela me semble contradictoire, à la lumière de ce que nous dit l'OCDE, à savoir que la vie privée arrive en troisième position au chapitre des menaces. Il faut absolument la traiter de façon importante.

    J'ai aussi recommandé de faire preuve d'une plus grande transparence en ce qui concerne les décisions qui sont prises par l'intelligence artificielle. Le projet de loi, en ce moment, prévoit le droit à une explication, ce qui existe dans d'autres régimes. Cela dit, ce droit est limité aux décisions qui ont un impact important sur les gens. Je recommande donc de retirer cette condition, afin que, peu importe l'importance de l'impact, on ait droit à cette transparence et on puisse obtenir cette explication si quelque décision nous concernant a été prise.

    Dans le domaine de l'intelligence artificielle, les gens sont inquiets. On l'entend de plus en plus. Il faut les rassurer. L'intelligence artificielle présente des avantages importants. Personnellement, je suis convaincu qu'avec une plus grande transparence, on pourrait expliquer aux gens ce que c'est et ce que ce n'est pas; on pourrait leur expliquer qu'ils sont protégés par des régimes rigoureux de vie privée, entre autres.

    J'ai également parlé des sanctions administratives pécuniaires. Celles-ci sont utilisées en dernier recours. Je n'y tiens pas parce que je souhaite qu'elles soient imposées — j'espère qu'elles ne le seront pas —. mais j'aimerais que cela motive les décideurs à prendre de bonnes décisions, entre autres. Or il y a une lacune: en ce moment, on ne peut pas avoir de sanctions administratives pécuniaires pour l'une des violations les plus importantes de la Loi, celle de ne pas avoir d'intérêts légitimes. Je pense qu'il est important qu'on puisse tenir compte de cet élément.

    Nous avons aussi parlé du fait qu'un grand pouvoir réglementaire est donné au gouvernement, celui de faire des exceptions à la Loi sans avoir à établir la nécessité de ces exceptions. Cela m'apparaît trop large. Il y a même un article dans la Loi qui permet, par règlement, de retirer complètement la Loi. Cela va trop loin et ce doit être corrigé, selon moi.

    Finalement, il y a la question du tribunal, qui viendrait ajouter un autre palier d'appel. Cela entraîne des délais et des coûts et la création d'une nouvelle structure. C'est une anomalie par rapport au modèle qu'on trouve au Québec, en Europe et un peu partout. Ma recommandation est la suivante: si on crée ce tribunal, il faut que ce soit un appel direct à la cour d'appel. Comme cela, on ajoute une étape et on en enlève une autre. Il y a également la possibilité de faire en sorte que, comme dans les autres modèles, mon bureau ait l'autorité de donner ces amendes, et que ce soit révisable devant le système de justice ordinaire, comme c'est le cas dans la plupart des systèmes.

    Rapidement, verriez-vous d'un bon œil que les pénalités sont autres que pécuniaires?

    J'ai posé cette question auparavant et les gens du ministère semblaient être quand même ouverts à cette idée.

    En ce moment, selon le projet de loi, mon bureau a la possibilité d'émettre des ordonnances.

    Je pense que, dans la majorité des cas, on utilisera les ordonnances plutôt que les sanctions administratives pécuniaires. D'ailleurs, le projet de loi réglemente très bien les sanctions en indiquant les facteurs qui doivent être pris en considération. On considère entre autres l'approche et la diligence de l'entreprise, puis le fait que l'entreprise se soit conformée à un projet de certification ou non. La bonne foi de l'entreprise et ses efforts sont vraiment tenus en compte.

    On a le pouvoir d'émettre des ordonnances, ce qui est extrêmement important. Je crois que les amendes sont assez élevées, mais, au moyen du pouvoir d'émettre des ordonnances, on peut mettre fin à la pratique et à la collecte d'informations. Ces deux outils sont donc très importants. Évidemment, il y a aussi les outils de persuasion et de négociation. C'est pour cela que nous avons recommandé de pouvoir avoir des ententes d'ordonnance, ce que le ministre a accepté. Cela aussi, c'est très important.

    L'approche que je privilégie s'appuie sur le dialogue et sur le fait d'amener les organismes à prendre de bonnes décisions avant d'avoir commis des erreurs.

     Merci beaucoup.

    Merci, monsieur Lemire.

    Monsieur Masse, vous avez la parole.

    Je vous remercie, monsieur le président.

     Monsieur le commissaire, je vous remercie de votre présence.

     Je suis désolé de poser une question une deuxième fois. Nous avons eu des problèmes techniques de ce côté‑ci, si bien que j'ai manqué une partie des témoignages et le reste.

     J'ai posé cette question à des fonctionnaires. Le Tribunal de la concurrence a récemment infligé une sanction pécuniaire de 9 millions de dollars au Bureau de la concurrence pour avoir fait son travail. Le Bureau de la concurrence a fait ce qu'il pensait être la chose à faire et a fait preuve de diligence raisonnable en examinant la prise de contrôle de Shaw par Rogers. On m'a assuré que cela ne pourrait pas se produire dans cette situation si un tel tribunal était créé. Est‑ce exact? Je voulais savoir si vous étiez du même avis.

    Si je comprends bien la situation concernant le Bureau de la concurrence, le Tribunal a rendu une ordonnance pour les frais de justice et les dépens dans ce litige. C'est une possibilité qui s'offre aux tribunaux dans un litige. C'est un pouvoir dont le Tribunal jouirait, si je comprends bien. Mes collègues peuvent le confirmer, mais il est proposé que le Tribunal soit en mesure d'accorder des dépens. Le Tribunal aurait ce pouvoir dans ce cas.

    C'est là mon problème avec le gouvernement dans ce dossier. Je ne suis même pas sûr qu'il prend ce projet de loi au sérieux. Nous avons du mal à faire passer des amendements. Il y a le drame que cela soulève. Peut-être recevrons-nous demain les amendements de votre ministère, s'il se conforme à la demande. Je l'ai demandé directement. J'espère que nous pourrons en confier l'examen à nos propres chercheurs et analystes.

     À bien des égards, il devient presque théorique de savoir si le Bureau de la concurrence et une entité publique indépendante sont en mesure de défier les conglomérats et les pouvoirs en place à l'avenir. En fait, les 9 millions de dollars sont une goutte dans l'océan, dans le cas de Rogers. C'est une pression sur le Bureau de la concurrence et cela donne clairement froid dans le dos à tous ceux qui s'intéressent aux droits des consommateurs au Canada. En fait, une procédure judiciaire peut essentiellement servir à vous intimider.

     C'est bon à savoir. J'avais quelques réserves sur le Tribunal au départ. Si c'est le cas, c'est encore plus odieux.

     En ce qui concerne vos 15 recommandations, pourrions-nous passer en revue les cinq recommandations que le ministre a acceptées? Je tiens à ce que ce soit clair pour les personnes présentes. Pouvez-vous nous dire quelles recommandations le ministre a retenues parmi les quinze que vous avez soumises aujourd'hui?

    Bien sûr. En ce qui concerne la question précédente, c'est l'article 20 de la Loi sur le Tribunal qui donnerait la possibilité d'accorder des dépens conformément aux règles du Tribunal.

     En ce qui concerne les recommandations auxquelles le ministre a adhéré, la première est la reconnaissance de la vie privée comme un droit fondamental. Dans l'annexe de sa lettre, si j'ai bien compris, il reprend ma recommandation en la reconnaissant dans le préambule et dans la disposition de déclaration d'objet.

    C'est la première.

    La deuxième est la reconnaissance d'une protection renforcée de la vie privée des enfants. C'est celle dans laquelle j'avais recommandé d'amender le préambule. Le ministre est d'accord et va plus loin. Il propose de modifier l'article 12 sur les « fins acceptables » pour y inclure la protection de la vie privée des enfants. Je souscris à cette recommandation supplémentaire.

    C'est la deuxième.

    C'est la deuxième.

    La troisième recommandation vise à donner plus de marge de manoeuvre à mon bureau...

    Sans entrer dans les détails, s'agirait‑il des recommandations un, deux, trois, quatre et cinq? Est‑ce ainsi que vous avez ordonné le document que vous nous avez soumis?

    Je les énumérais dans l'ordre où le ministre les a présentées. Si vous préférez, je peux vous donner les numéros dans mes recommandations.

     Oui, j'aimerais bien.

    Ma recommandation numéro un sur les droits fondamentaux a été retenue. La recommandation numéro deux sur la vie privée des enfants a été retenue.

     La recommandation numéro 12 consiste à « [o]ffrir une plus grande souplesse pour l’utilisation des accords de conformité volontaires en vue de régler les affaires ».

     La recommandation numéro 15 ne figure pas explicitement dans l'annexe. Je déduis du témoignage du ministre et des mentions générales dans sa lettre qu'il est ouvert à la coordination et à la coopération entre les organismes de réglementation. Il s'agit de la recommandation numéro 15.

     Je crois comprendre...

    C'est peut-être une quatrième recommandation.

    C'est exact.

    Comme ma question précédente sur le Tribunal élimine cette possibilité, il faudrait vraiment que nous le déterminions, parce qu'on m'a dit que ce n'était pas le cas, et maintenant c'est le cas.

     La cinquième recommandation y figure‑t‑elle aussi? Correspond-elle à l'une de vos recommandations?

    J'en ai cité quatre. Ce sont les quatre — les numéros 1, 2, 12 et 15.

     Le ministre a fait allusion à d'autres thèmes dans sa lettre. Il a parlé des exceptions, mais il n'a pas été aussi catégorique.

    Nous savons seulement que trois amendements seront proposés, ce sera donc intéressant, car cela ne correspond même pas à la liste que nous avons.

     Je vais bientôt manquer de temps, j'en suis conscient. Est‑il possible que vous nous présentiez un classement de vos autres recommandations?

     Je vais passer le tout en revue et faire preuve de diligence raisonnable, mais je suis curieux de savoir où, selon l'opinion professionnelle du commissaire à la protection de la vie privée et de votre bureau, il y a un niveau ou un degré élevé d'exposition ou de complications qu'il faut corriger, et peut-être quelles autres recommandations sont moins onéreuses pour la protection de la vie privée. Je cherche une sorte de classement qui nous permettrait de nous frayer un chemin, surtout en ce qui concerne celles qui seront présentées.

    Je vous l'ai donnée aujourd'hui dans ma déclaration liminaire. J'ai dressé une liste de cinq recommandations que le ministre n'a pas encore retenues.

    Très bien.

    Ce serait la priorité absolue, à commencer par la notion d'une évaluation des facteurs relatifs à la vie privée pour l'IA générative. À mon avis, il s'agit d'une lacune majeure.

     Si vous prenez la LIAD et si vous examinez les amendements à la LIAD que le ministre propose, vous constatez qu'il est beaucoup question d'atténuation, de détermination et de gestion des risques. C'est absolument essentiel et crucial. Cependant, nous devons le faire pour protéger la vie privée et pour atténuer les préjudices non liés à la protection de la vie privée. J'insiste beaucoup sur ce point.

     L'autre recommandation importante, que je qualifierais de priorité absolue, est de veiller à ce que des amendes soient prévues en cas de violation de la disposition relative aux « fins acceptables ». C'est la violation de l'article 12. Il s'agit de la disposition centrale essentielle. C'est en quelque sorte le coeur du projet de loi, mais aucune amende n'est prévue. À mon avis, cela devrait être corrigé. Il suffit de l'ajouter à la liste des manquements.

     D'autres lois comparables, comme celle du Québec, par exemple, disent simplement « une violation de la Loi ». Toute la Loi est là. Tout est couvert. Cette approche énumère les infractions et le projet de loi C‑11 comportait d'autres omissions. Cela a été corrigé dans une certaine mesure, mais il faut poursuivre les corrections.

     J'ai parlé de la transparence algorithmique. C'est un élément important, surtout à l'ère de l'IA. Encore une fois, nous pouvons gérer cela en fournissant des orientations à l'industrie, c'est donc réalisable, mais je pense que les Canadiens ont besoin de comprendre ce qui se passe avec leurs données et comment les décisions sont prises à leur sujet. Si nous limitons cela aux questions qui ont une incidence considérable, nous créons des débats et nous limitons la transparence que les Canadiens méritent.

     C'est...

    Je crois que mon temps est écoulé.

     Pour résumer, voici ce que nous avons fait. Nous avons un projet de loi dans lequel les mauvais acteurs privés ont la possibilité de poursuivre votre commissariat, tout comme le Bureau de la concurrence, et nous avons limité les amendes et les sanctions que nous pouvons infliger aux mauvais acteurs.

     C'est un scénario parfait.

     Merci, monsieur le président.

    Merci, monsieur Masse.

     Avant de céder la parole à M. Williams, si vous le permettez, chers collègues, je vais m'accorder une minute pour poser une brève question à M. Dufresne.

     Des députés: D'accord.

     Le président: Il y a consentement unanime.

     J'ai une question à vous poser, monsieur Dufresne.

    Si je vous demandais de vous faire l'avocat du diable, selon vous, quel serait le meilleur argument en faveur du tribunal?

    D'après ce que j'ai compris des commentaires publics, on craint que trop de responsabilités ou trop de pouvoirs soient concentrés dans un seul organisme, à savoir mon bureau. Étant donné qu'on donne le pouvoir de délivrer des ordonnances et des amendes pécuniaires importantes, on se demande s'il n'y aurait pas lieu d'avoir davantage d'équité procédurale.

    Je crois qu'on peut répondre à ces préoccupations en disant qu'effectivement, il doit y avoir une équité procédurale plus grande. C'est le modèle qu'on a au Québec et à l'international. Le processus ne peut pas rester le même dans un système où il y a des amendes et des ordonnances. En ce moment, nous avons un système d'enquête où des recommandations sont faites à la fin. L'équité procédurale n'est donc pas la même que celle prévue par ce projet de loi.

    Par ailleurs, le projet de loi prévoit un nouveau mécanisme au sein de mon bureau, qui s'appelle les investigations. Cela assure cette équité procédurale et donne le droit aux parties d'être entendues. Ce modèle existe au Québec, en Colombie‑Britannique, en Europe, en Grande‑Bretagne et en France. Le commissaire peut commencer son enquête de façon un peu plus informelle au début, mais, au moment de délivrer des ordonnances ou des amendes, cela devient plus formel et on passe à une deuxième étape. C'est là que se trouve l'équité procédurale.

    À mon sens, le fait d'avoir ce système et d'aller directement à la Cour d'appel fédérale par la suite ne serait pas problématique. La Cour suprême a reconnu que la multiplicité des rôles d'un même décideur administratif était acceptable. Évidemment, il faut gérer cela de façon appropriée.

    Bref, voilà ma réponse. Je pense que cela vient d'une préoccupation à propos de la concentration des fonctions.

     Merci beaucoup.

    Monsieur Williams, vous avez la parole.

    Merci, monsieur le président, et merci monsieur le commissaire à la protection de la vie privée.

     Je sais qu'il a beaucoup été question aujourd'hui de ce que le ministre a dit et de ce qui s'en vient. Je tiens à ce que ce soit très clair pour ceux qui nous écoutent à la maison: ce projet de loi est très important parce que, pour la première fois depuis une vingtaine d'années, nous composons avec la plus grande quantité de données que les individus, y compris nos enfants, aient jamais eue au grand jour. Nous avons affaire à des données et, bien sûr, dans la deuxième section, à l'IA. Ce n'est pas au ministre d'approuver certains amendements ou de décider ce qu'il veut nous donner. Il revient à ce comité, puis à la Chambre des communes de déterminer comment ce projet de loi, s'il est adéquat, permettra de protéger les Canadiens. Je tiens à le dire très clairement.

     À la lecture du projet de loi dans sa forme actuelle, nous pensons que ce gouvernement n'a pas pris la protection de la vie privée au sérieux. Il n'a pas fait de la protection de la vie privée un droit fondamental dans l'énoncé de l'objet de ce projet de loi, ce que d'autres sous-régions du pays, comme le Québec, font déjà.

     Je veux parler aujourd'hui d'une partie de ce projet de loi qui confère déjà plus de pouvoirs aux entreprises qu'aux individus. Il s'agit d'un article dont vous avez déjà parlé, je pense, et qui s'intitule « intérêt légitime ».

     Monsieur le commissaire, j'aimerais que vous définissiez l'expression « intérêt légitime » dans vos propres mots pour le grand public et les personnes qui nous écoutent. Je sais que vous avez une formation en droit. C'est votre quatrième recommandation. Je voudrais que vous expliquiez comment ce projet de loi continue à permettre au gouvernement de faire des exceptions à la loi en prenant des règlements, sans qu'il doive prouver que ces exceptions sont nécessaires.

    Le projet de loi prévoit certaines exceptions à l'obligation ordinaire d'avoir à la fois consentement et connaissance. Il prévoit des exceptions dans des situations liées et nécessaires aux activités d'une entreprise. Il y a une réserve pour les activités qui ne devraient pas avoir pour but d'influencer des personnes. Le projet de loi reconnaît qu'il peut arriver que des entreprises aient besoin l'information et qu'il ne soit pas pratique d'obtenir le consentement des personnes ou de les informer. La condition est qu'une personne raisonnable s'attende à la collecte ou à l'utilisation de ces renseignements pour une telle activité.

     Je suis préoccupé par le fait que le projet de loi fournit une liste d'activités qui pourraient être considérées comme des activités commerciales dans la Loi. Certaines d'entre elles sont... La première catégorie englobe les « activités nécessaires à la fourniture d’un produit ou à la prestation d’un service demandé par l’individu à l’organisation ». Il y a cet élément de nécessité. La deuxième parle des « activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation ». Là encore, le critère de la nécessité s'applique. La troisième parle des « activités nécessaires pour assurer la sécurité d’un produit ou d’un service que l’organisation fournit ». Cet élément de nécessité est crucial, car c'est ce qui justifie le fait que vous obteniez un consentement.

     Cependant, la quatrième catégorie — il s'agit de l'alinéa 18(2)d) — stipule « toute autre activité réglementaire ». Cela signifie que le gouvernement peut ajouter n'importe quoi sans qu'il y ait nécessité.

     Je recommande de limiter cette disposition en disant « toute autre activité réglementaire nécessaire », ou en précisant que le gouvernement est toujours limité par ce critère de nécessité.

    Dans quelle mesure serait‑il difficile pour vous et votre bureau de réfuter les allégations relatives à la collecte et à l'utilisation des données des Canadiens sans consentement en vertu de l'exemption fondée sur l'« intérêt légitime » pour les entreprises, telle qu'elle est actuellement libellée?

    Ma préoccupation par rapport à cette disposition ne tient pas à notre capacité à prouver ou à réfuter un point, ou à formuler une conclusion sur un point. Elle tient au fait que, si vous ajoutez une activité à cette liste, je suis lié par cette liste. Les tribunaux sont liés par cette liste. Si vous y ajoutez une activité qui n'est pas nécessaire, cela devient une exception inutile à la règle du consentement. C'est une exception qu'il me faudrait appliquer, car il est certain que je suis lié par la Loi. J'appliquerai la Loi, tout comme les tribunaux le feront. Cela signifie qu'en raison de cet alinéa, il y a ce risque ou cette possibilité. Je ne dis pas que c'est l'intention du gouvernement de le faire, mais la Loi permettrait au gouvernement de créer une exemption qui n'est pas nécessaire.

     Je pense que la portée de cette disposition devrait être réduite et limitée pour garantir que les exceptions que nous avons au droit fondamental à la vie privée sont nécessaires.

    Monsieur le commissaire, répondez par oui ou par non: êtes-vous d'accord avec le fait que le projet de loi C‑27 — en ne définissant pas l'expression « intérêt légitime » pour les entreprises, dans sa forme actuelle — permet au gouvernement de dresser des listes d'activités et de prendre des règlements qui avantageraient les entreprises au détriment de la vie privée des gens?

    Je dis qu'il s'agit d'un octroi problématique d'un pouvoir au gouvernement pour déroger à des parties de la Loi.

    Êtes-vous à l'aise avec le libellé actuel du projet de loi, oui ou non?

    Cet article... je ne suis pas à l'aise avec cet article. Je recommande qu'il soit modifié de manière à restreindre le pouvoir. Comme je l'ai dit dans mon mémoire, un autre article de la Loi qui est mis en évidence dans mon mémoire prévoit encore une fois qu'une activité entière peut être entièrement soustraite à l'application de la Loi. Le projet de loi ne s'appliquerait pas du tout. Il faut corriger cet article pour en limiter la portée.

    Je vous remercie, monsieur.

     Merci beaucoup.

    Monsieur Turnbull, c'est à votre tour.

    Je remercie M. Dufresne et son équipe de leur présence. Je suis heureux d'entendre votre témoignage. Lorsque je siégeais au comité de la procédure et que j'ai eu l'occasion de travailler avec vous et votre bureau, je vous ai toujours trouvé très serviable et très bon communicateur. Je vous en remercie. J'apprécie votre expertise. Vous apportez beaucoup à cette conversation, et c'est très important.

     Nous voulons renforcer ce projet de loi et continuer à le renforcer tout au long de ce qui sera, je l'espère, une relation de travail collaborative pour nous tous.

     Bien entendu, l'une de mes principales préoccupations concerne les droits des enfants. Je sais que vous en avez parlé et que vous avez écrit à ce sujet. Comme nous le savons, de nombreux enfants sont aujourd'hui immergés dans le monde numérique. Je peux parler d'expérience. Ma fille de 11 ans cache des appareils, utilise de nombreuses applications et télécharge des choses. Des fenêtres contextuelles s'affichent et elle fait parfois des achats. Des données sont recueillies sur ses préférences, et cela me préoccupe vraiment. Je pense que cela préoccupe beaucoup de Canadiens en ce qui concerne les données des enfants et la protection de leur droit à la vie privée.

     Existe‑t‑il actuellement au Canada des lois qui aident à protéger la vie privée des enfants en ligne? C'est ma première question, et j'en aurai une autre dans un instant.

    En ce qui concerne les lois en vigueur en matière de protection de la vie privée, nous avons donné des orientations sur la manière d'obtenir un consentement valable. Nous y exposons certains éléments qui devraient être pris en compte dans le contexte des enfants.

     Mes collègues fédéraux, provinciaux et territoriaux et moi-même avons récemment publié une déclaration, une résolution, sur la protection de la vie privée des jeunes. Elle donne des exemples de choses à faire et à ne pas faire avec les données des enfants, elle les encourage à ne pas prendre de mauvaises décisions et elle reconnaît qu'ils sont plus vulnérables.

    Dans une certaine mesure, nous pouvons interpréter la loi pour protéger les enfants, mais nous devons faire plus, et ce projet de loi est un point de départ. La version initiale du projet de loi comporte désormais une reconnaissance, et je reconnais le mérite du ministre Champagne à cet égard. Cette reconnaissance figurait dans la version initiale du projet de loi C‑27, telle qu'elle a été déposée — à savoir que les renseignements de mineurs seraient considérés comme étant de nature sensible. Cela a des répercussions dans plusieurs domaines, par rapport aux droits de disposition, etc.

     Nous en avons tenu compte et, dans nos recommandations, nous avons recommandé d'aller encore plus loin en soulignant l'intérêt supérieur de l'enfant dans le préambule du projet de loi, de sorte qu'en cas de doute, aux fins d'interprétation, on puisse s'y référer. Le ministre a dit qu'il était d'accord et a suggéré d'aller plus loin en incluant la situation particulière des enfants dans l'article 12 proposé sur l'interprétation des fins acceptables. Il s'agit d'une amélioration supplémentaire à laquelle je souscrirais certainement. Nous voyons des observations de cet ordre dans le contexte européen avec le considérant 38 du RGPD, qui souligne que les enfants méritent une protection spéciale. C'est ce que l'UNICEF a dit.

     Nous savons que nos enfants sont des citoyens numériques. Ils passent du temps en ligne dans tous les aspects de leur vie, y compris à l'école. Nous l'avons certainement constaté davantage pendant la pandémie. Il est important que la loi les protège suffisamment et les protège en tant qu'enfants. Nous devons assurer l'intérêt supérieur de l'enfant. Il faut que les enfants puissent être des enfants dans ce monde, qu'ils soient protégés et qu'ils ne subissent pas de conséquences plus tard, lorsqu'ils seront adultes, pour des choses qu'ils ont faites en ligne. Il y a des améliorations à cet égard, et j'y souscris certainement.

    Lorsque vous dites « aller plus loin », cela m'intéresse. C'est toujours une question d'équilibre. Plus tard, nous aurons peut-être une question sur le soutien de l'innovation et l'équilibre avec les droits à la vie privée. Comme nous le savons, pour toutes ces questions difficiles et les technologies émergentes, c'est une question d'équilibre. Cela m'intéresse. À votre avis, devrait‑il y avoir un ensemble supplémentaire d'amendes ou de sanctions pour les violations des renseignements de nature sensible collectés sur les enfants?

    La nature sensible de l'information est un élément qui sera pris en compte dans le projet de loi. Il sera pris en compte. Je dois en tenir compte dans ma conduite. La nature sensible de l'information a une incidence sur la forme de consentement, les périodes de conservation et les mesures de sécurité. Il s'agit certainement d'un élément à prendre en considération, et il devrait être pertinent.

     La proposition du ministre, à laquelle je souscris, d'ajouter à la situation particulière des enfants à la disposition sur les fins acceptables, l'article 12 proposé, est importante. J'ajouterais à cela ma recommandation d'aujourd'hui de veiller à ce que des amendes soient prévues en cas de violation de l'article 12 proposé et des fins acceptables, y compris en cas de traitement inapproprié des renseignements relatifs à des enfants.

    En outre, en ce qui concerne les enfants, je ne suggère rien de plus que ce qui a été suggéré dans les récentes propositions du ministre...

    Je vous remercie. Je comprends.

    L'autre chose qui me vient souvent à l'esprit, c'est la façon dont les entreprises collectent souvent des renseignements. Nous avons entendu parler de Tim Hortons qui recueille les données de localisation des utilisateurs de son application. Je pense que c'est inquiétant pour beaucoup de Canadiens — d'être suivis et de ne pas savoir comment cette information sera utilisée. Comment le projet de loi C‑27 pourrait-il empêcher que cela se produise?

     Le projet de loi C‑27 doit empêcher cela dans la même mesure que la Loi actuelle. Comme vous le savez, mon bureau a enquêté sur cette affaire. Nous avons conclu que Tim Hortons avait enfreint la Loi sur la protection de la vie privée en recueillant plus de données que nécessaire et en ne faisant pas preuve de transparence en ce qui concerne l'utilisation de ces données.

    Nous voyons ces situations et nous avons formulé des recommandations et des conclusions. Le projet de loi C‑27 sera plus utile que la Loi actuelle, car il prévoira des obligations plus explicites par rapport à l'explication du consentement — afin que le consentement soit expliqué d'une manière plus compréhensible. Il est également possible que mon Bureau rende des ordonnances et que des amendes soient infligées.

    Dans le cas de Tim Hortons, je pense que l'entreprise a suivi les recommandations. Dans la décision que j'ai rendue l'an dernier dans l'affaire de Home Depot, où j'ai constaté une violation de la vie privée, l'entreprise a accepté la recommandation. Toutefois, ce ne sera pas toujours le cas, et il faut donc disposer de ces outils d'application de la loi — non pas pour les utiliser, espérons-nous, mais pour obtenir ces résultats plus rapidement et de manière proactive.

    Quelles seraient les conséquences...

    Monsieur Turnbull, votre temps est écoulé.

     Monsieur Lemire, vous avez la parole.

    Merci, monsieur le président.

    Monsieur Dufresne, j'aimerais que vous nous parliez de l'avancement rapide de la technologie, qui pose des difficultés importantes en matière de vie privée et de sécurité des données. Pourriez-vous envisager l'implantation d'un bac à sable technologique? Je parle de l'obligation de mettre un nouveau programme dans un environnement séparé avant de le mettre à la disposition du public, pour évaluer si les normes relatives à la vie privée sont adéquates.

     Pourrait-on prévoir une telle obligation dans le projet de loi?

    Oui, absolument. Le recours aux bacs à sable est une bonne pratique. Nos collègues britanniques ont une pratique avancée à cet égard. Dans le contexte de l'intelligence artificielle, entre autres, cela permet à l'industrie de tester l'information et les méthodes dans un environnement sécuritaire.

    Évidemment, notre bureau a besoin de ressources pour mettre en place un bac à sable. Le projet de loi prévoit certains éléments qui ne vont pas aussi loin qu'un bac à sable, mais qui demandent à mon bureau de donner des avis à l'industrie, au besoin. Ce sera important, surtout pour les petites et moyennes entreprises. Encore là, il faut des ressources. Le projet de loi prévoit aussi l'approbation de codes de pratique ou de programmes de certification.

    Ce sont toutes des mesures proactives et préventives. Ma recommandation sur les évaluations des facteurs relatifs à la vie privée en est une autre, ainsi que les programmes de gestion de la protection de la vie privée. C'est cela, l'approche. Les organisations doivent le faire au départ et investir les ressources nécessaires.

    Toutefois, un rapport de l'Organisation de coopération et de développement économiques, l'OCDE, a sondé les chefs d'entreprises et les juristes pour leur demander à quels défis ils faisaient face, pas tant en matière d'intelligence artificielle, mais plutôt sur le plan du commerce international, et ils disaient qu'il était parfois difficile de savoir où investir leurs ressources, parce que certains de leurs investissements ne leur apportaient pas de bénéfice juridique ou que ce n'était pas très clair.

    Alors, même si on veut mettre en place un bac à sable par bonne volonté, il peut être difficile pour les dirigeants d'entreprises de convaincre les actionnaires de le financer. Une obligation juridique aiderait les entreprises, puisqu'elles se diraient non seulement que c'est la chose à faire, mais qu'en plus, la loi le leur demande. C'est la même chose dans le cas des évaluations des facteurs relatifs à la vie privée.

    Par ailleurs, j'aime beaucoup les programmes de certification que propose le projet de loi C‑27. Ce modèle existe en Europe et incite essentiellement les entreprises à créer de tels programmes et à les faire évaluer par le commissaire. Si elles le font et respectent le processus, cela va les aider en cas de plainte, puisqu'elles auront démontré leur bonne foi et leur proactivité. Cela peut même limiter l'imposition d'amendes.

    Tout cela oriente les incitatifs dans la bonne direction. Les incitatifs sont extrêmement importants. On veut encourager l'innovation et on veut encourager le Canada à se distinguer. Il faut donc à la fois prévoir des amendes dans les cas problématiques et récompenser et souligner les bons comportements. Cela va de pair.

    Ce que j'aime du mandat de mon bureau, c'est la promotion et la protection. Il ne s'agit pas seulement de dire aux gens, après le fait, qu'ils n'ont pas agi adéquatement. Il faut travailler main dans la main pour que ce soit fait dès le début.

     Merci beaucoup, monsieur Dufresne.

    Merci beaucoup.

    Monsieur Masse, vous avez maintenant la parole.

    Merci, monsieur le président.

     Je suis curieux de savoir comment le modèle canadien proposé ici se compare au modèle américain, selon vous. Nous sommes tellement liés par le commerce, et de nombreuses entreprises sont des filiales d'un côté ou de l'autre. Je suis curieux de savoir si vous avez eu des discussions avec les États-Unis. Je sais qu'ils n'ont pas de commissariat à la protection de la vie privée, mais ils ont d'autres instances.

     Pourrions-nous avoir votre avis à ce sujet?

    Nous avons beaucoup de discussions, surtout avec la FTC aux États-Unis, qui a compétence en matière de droit antitrust. C'est l'équivalent de notre Bureau de la concurrence. Dans ce contexte, elle s'occupe aussi de la protection de la vie privée.

     Il n'y a pas de cadre législatif national sur la protection de la vie privée aux États-Unis à l'heure actuelle. Des projets ont été présentés au Congrès en ce sens, mais ils ne cheminent pas. La Californie a son propre modèle et dispose de mécanismes innovants pour protéger la vie privée. À l'échelle nationale, il n'y a pas d'équivalent aux États-Unis.

     Nous sommes en discussion étroite avec ces collègues au sujet de l'IA. En fait, lorsque j'étais au Japon en juin dernier, nous avons publié une déclaration sur l'IA générative. Elle émanait de tous les commissaires à la protection de la vie privée du G7 et, pour les États-Unis, de la FTC. Nous avons souligné quelques éléments dans cette déclaration. Nous avons souligné que des lois s'appliquent à l'IA en matière de la protection de la vie privée et qu'elles doivent être appliquées et respectées. Nous y insistions aussi sur la nécessité de procéder à des évaluations des facteurs relatifs à la vie privée. Nous devons avoir une culture de protection de la vie privée lorsque nous traitons de l'IA générative, car dans de nombreux cas, elle est fondée sur des renseignements personnels.

     Il y a beaucoup d'échanges dans ce domaine. Je pense que le consensus consiste à faire en sorte que nos citoyens sont conscients que, oui, l'IA évolue rapidement, mais que nous avons des lois en matière de protection de la vie privée pour protéger les citoyens.

    Rien ne bouge au Congrès des États-Unis en ce moment. Ils n'arrivent pas à se mettre d'accord sur un lunch, et encore moins sur un président de la Chambre, alors il n'y aura pas beaucoup de mouvement dans ce dossier.

     Je pense que ce qui me préoccupe, cependant, par rapport au contexte plus général, c'est l'influence que les entreprises exercent sur les assemblées législatives des États-Unis avec certaines activités de lobbying qui peuvent s'y dérouler. Nous avons un facteur d'endiguement jusqu'à un certain point ici, à part le fait que des personnes peuvent obtenir des avantages plus tard, mais ce n'est rien à comparer à la situation aux États-Unis. Nous devons simplement ne pas l'oublier alors que nous poursuivons nos travaux avec les États-Unis.

     Vous avez parlé du Japon. Très brièvement, avant que l'on me retire la parole, qu'en est‑il de l'Europe? Quelles sont vos relations là‑bas et que s'y passe‑t‑il?

    Oui, nous travaillons très étroitement avec l'Europe, avec le G7 et avec la communauté internationale.

    J'ai participé à une réunion de l'Assemblée mondiale de la protection de la vie privée pas plus tard que la semaine dernière pour parler des utilisations éthiques de l'IA et insister sur la nécessité de disposer de protections solides et proactives de la vie privée.

     Pour en revenir à la collaboration avec le G7, nous avons travaillé en étroite collaboration et publié une déclaration sur l'IA. J'ai été heureux de voir cette déclaration citée dans le code volontaire publié par le ministère de l'Industrie pour traiter de l'IA, pour rappeler aux organisations que nous avons des lois qui s'appliquent et qui doivent être respectées.

     Toutefois, dans ce nouveau projet de loi, c'est la raison pour laquelle je souligne que nous devons absolument nous assurer que des évaluations protectrices et proactives des facteurs relatifs à la vie privée y figurent, et qu'elles constituent une obligation légale. À l'heure actuelle, dans le secteur public, il n'y a pas d'obligation d'évaluer les facteurs relatifs à la vie privée. C'est une politique du Conseil du Trésor. Souvent, nous constatons que si ces évaluations sont réalisées, elles le sont après coup. Il est donc important d'avoir cette obligation légale.

     Je peux vous dire que la communauté internationale accorde beaucoup d'attention à l'IA, tout comme les ministres du G7. Comme vous l'avez dit, les débats se poursuivent aux États-Unis, mais on insiste certainement sur le fait qu'on ne peut pas séparer la vie privée de l'IA. Pour protéger l'IA, pour traiter avec l'IA, pour avoir des garde-fous, il faut de solides protections de la vie privée.

    Merci beaucoup.

    Monsieur Généreux, vous avez la parole.

     Merci, monsieur le président.

    Je remercie également les témoins.

    Monsieur Dufresne, le nouveau projet de loi libéral sur la protection de la vie privée a été présenté il y a 18 mois. Cependant, il était resté sur les tablettes pendant un an, avant que les libéraux le présentent à la Chambre. Si j'ai bien compris ce que vous avez dit plus tôt, en tant que commissaire à la vie privée, vous n'avez pas eu l'occasion de commenter le projet de loi, puisque vous êtes entré en fonction au moment du dépôt du projet de loi. Cela dit, votre bureau a eu l'occasion de faire des commentaires sur le projet de loi.

    Aujourd'hui, vous nous avez dit que vous aviez émis 15 recommandations. Pour sa part, le ministre a proposé huit amendements, dont vous n'avez pas vu les textes, pas plus que nous, d'ailleurs. Aujourd'hui, on vous pose des questions sur une version du projet de loi qui est loin d'être la dernière.

    Au cours des délibérations que nous aurons au cours des prochains mois, prévoyez-vous être en mesure de nous donner un avis sur les futurs textes de loi que contiendront les amendements des libéraux? Cela nous permettrait de faire une évaluation et de connaître la vôtre quant au texte du projet de loi. De toute évidence, c'est loin d'être la version définitive.

    Par ailleurs, selon vous, comment se fait-il que le ministre n'ait retenu que la moitié de vos propositions? En fait, il a retenu quatre ou cinq propositions des quinze que vous aviez faites. Comment se fait-il, à votre avis, qu'il n'en ait pas retenu davantage?

    En ce qui a trait à la dernière question, je pense qu'il faudrait demander au ministre pourquoi il a accepté certaines propositions, et pas d'autres. Il a certainement mentionné, dans sa lettre, qu'il était disposé à en étudier d'autres, suivant les délibérations du Comité. Au-delà de cela, je ne pourrais que faire des suppositions.

    Pour ce qui est de fournir des avis supplémentaires, je serai heureux d'assister le Comité de la façon qui pourra lui être utile, que ce soit en commentant des propositions ou en revenant devant le Comité pour répondre à d'autres questions, un peu plus tard au cours de l'étude. Cela me fera vraiment plaisir.

    On l'a dit et on l'a répété, ce projet de loi est l'un des plus importants qui auront jamais été déposés à la Chambre des communes. Il traite d'un sujet fondamental, à savoir la protection de la vie privée de l'ensemble des Canadiens.

    Pendant plusieurs réunions, nous avons tenu des discussions. Pour nous, il est insensé que nous n'ayons pas le texte aujourd'hui, et que vous ne soyez pas en mesure de faire des commentaires sur les propositions d'amendements. Une lettre a été émise, mais il ne s'agit pas de textes légaux. Vous savez très bien que, dans ce cas, l'importance des mots est fondamentale, particulièrement dans la première recommandation sur le droit fondamental à la vie privée. Au départ, elle faisait partie du préambule, mais elle revient dans le projet de loi.

    Oui.

    Tout comme nous, vous n'avez pas encore vu les textes finaux de ce qui est proposé dans la lettre du ministre. Or je trouve fondamental que vous nous donniez des avis durant le processus d'étude du projet de loi.

    Comptez-vous le faire?

    Ce que je peux dire, c'est que j'ai vu ce qui est proposé dans la lettre. Ultimement, il faudra certainement voir les amendements, afin de savoir à quoi ressemblera le texte.

    Par contre, je peux vous donner mon avis sur ce qui n'est pas dans la lettre.

    Le ministre a parlé de quatre éléments au sujet desquels il a dit être prêt à faire un pas. J'ai parlé de celui sur la vie privée, en disant que, tel que c'est décrit jusqu'à présent, cela me semble certainement se rapprocher de ma recommandation. C'est aussi le cas pour ce qui est de la protection de la vie privée des enfants, mais il faudra voir le libellé. Quant à la question des ententes volontaires, il y a moins de détails à cet égard. Je trouve donc plus difficile de dire que je suis satisfait de tous les détails, puisque je ne les ai pas tous vus. Enfin, il y a la question de la coopération entre les autorités réglementaires en réponse à l'une de nos recommandations.

    Tout à l'heure, on parlait de la Commission fédérale du commerce des États‑Unis. En vertu de la Loi, mon bureau peut collaborer avec cette commission sur des enquêtes conjointes — on l'a déjà fait, par le passé —, mais on ne peut pas en faire autant avec le Bureau de la concurrence du Canada. Il me semble paradoxal que je puisse collaborer davantage avec d'autres pays qu'avec mon propre pays. Il s'agit d'un élément qu'il va falloir régler, parce qu'il y a de plus en plus des chevauchements entre la vie privée, les droits de la personne, le droit à la concurrence et le droit d'auteur. On le voit certainement dans le contexte de l'intelligence artificielle, mais pas seulement là. La collaboration est parfois bénéfique pour tout le monde, c'est-à-dire pour les Canadiens et les Canadiennes ainsi que pour l'industrie.

    J'ai quand même déposé huit autres recommandations auxquelles le ministre n'a pas signalé son accord. Je vous fais tout de suite part de ces recommandations, parce qu'il n'y a rien sur la table concernant...

     Permettez-moi de vous interrompre.

    Parmi les huit recommandations qui n'ont visiblement pas été retenues par le ministre jusqu'à maintenant, lesquelles sont fondamentales et devraient se retrouver dans le projet de loi C‑27?

    Parmi mes 15 recommandations, ce serait certainement la sixième, qui porte sur les évaluations des facteurs relatifs à la vie privée. C'est fondamental, parce que, sans cela, on n'évaluera pas les risques que pose l'intelligence artificielle en matière de vie privée, alors qu'on sait qu'ils sont importants. C'est donc la première recommandation que je soulignerais.

    De quels risques parlez-vous exactement? Parlez-vous des risques associés à la collecte de données par des entreprises?

    Je parle de tous les risques pour la vie privée associés à la collecte de données, à leur utilisation, à leur rétention, à leur sauvegarde, aux objectifs, à leur communication à des fins qu'une personne raisonnable estimerait acceptables, etc.

    On doit en tenir compte dans le contexte de l'intelligence artificielle et prévoir une obligation. L'obligation d'avoir un programme de gestion de la protection de la vie privée existe déjà, mais il faut que ce soit plus ciblé. Je compare cela aux tests qui sont effectués avant un vol en avion. Il faut vérifier les risques pour la vie privée et les méthodes pour gérer ces risques. C'est très important.

     L'absence d'amendes pécuniaires dans les cas où des données personnelles sont utilisées à des fins inacceptables est également une lacune du projet de loi. Il faut ajouter cela.

    Vous avez déjà ma liste de 15 recommandations. Je vous fais donc part de celles qui n'ont pas été adoptées par le ministre.

    Merci, monsieur Généreux.

    Monsieur Gaheer, vous avez la parole.

    C'est parfait. Merci, monsieur le président, et merci, monsieur le commissaire.

     La législation canadienne sur la protection de la vie privée a 20 ans. Au cours de cette période, Facebook a vu le jour, l'iPhone a été lancé. Les médias sociaux se sont répandus. Il est très inquiétant de constater que nous n'avons pas fait de mise à jour depuis 20 ans.

     Je fais partie de la génération qui était très jeune à l'époque du lancement de Facebook, entre autres. Je pense que des personnes — je ne fais pas partie de cette catégorie, soit dit en passant; j'étais très prudent — ont publié des renseignements qu'elles ne souhaitaient peut-être pas publier, surtout en y repensant après coup.

     Nous savons que le nouveau texte de loi prévoit un élargissement des renseignements personnels dont les personnes peuvent demander l'élimination. Que couvrent les lois actuelles et comment le projet de loi renforce‑t‑il la capacité des Canadiens à faire éliminer leurs renseignements personnels?

    Sur ce point, l'un des éléments du projet de loi est qu'il accorde un plus grand droit à l'élimination de renseignements, ce qui est donc positif. Surtout, par rapport aux enfants, il crée un droit à l'élimination plus fort. L'exemple que vous avez donné est celui d'une publication faite lorsque vous êtes mineur, puis, à l'âge adulte, vous souhaitez la retirer. La protection est plus forte.

     L'une de mes recommandations, en fait, c'est de renforcer encore cette protection, même pour les adultes, parce qu'actuellement, le projet de loi prévoit une exception selon laquelle l'organisation n'a pas besoin d'éliminer vos renseignements si elle les conserve conformément à sa politique de conservation et qu'elle vous a informé de cette politique. Cette disposition ne s'applique pas aux mineurs, mais elle s'applique aux adultes. Nous recommandons de supprimer cette exception, car nous estimons qu'elle est très large. Si l'organisation vous informe de sa politique de conservation, vous ne jouissez pas du droit à l'élimination de ces renseignements.

     Nous n'avons pas vu ce type de condition dans les modèles internationaux. Je pense que nous devrions prévoir un droit plus important à l'élimination dans cette section.

    Comment le processus fonctionnerait‑il? Je sais quels sites Web j'utilise, par exemple, mais je ne me souviens peut-être pas de tous. Comment une personne qui souhaite éliminer certains renseignements pourrait-elle trouver l'endroit où ils sont stockés? Et si l'entreprise n'existe plus?

    Les organisations ont l'obligation de préparer de manière proactive des programmes de gestion de la vie privée et de communiquer certains renseignements à leur sujet. S'il s'agit de renseignements en ligne, l'idée est que vous les verrez en ligne, mais les organisations ont l'obligation de les rendre aussi conviviaux... Évidemment, si des organisations voient des renseignements les concernant et qu'elles ont des difficultés à les trouver, elles peuvent communiquer avec mon bureau et nous pouvons les aider à voir ce qui se passe.

     Cela touche à la question de la transparence et à la nécessité de veiller à ce que les Canadiens puissent comprendre ce qui se passe, car tout le monde n'est pas expert en technologie, alors que nous vivons une vie très numérique. Comprendre ce qui se passe, certainement en ce qui concerne l'IA, la notion de décideurs algorithmiques et...

     Nous entendons beaucoup de commentaires à ce sujet. Nous sondons les Canadiens et nous constatons qu'ils sont préoccupés par la protection de leur vie privée. Je pense qu'une partie de la solution réside dans la communication, en veillant à ce que les Canadiens puissent comprendre la situation, connaître les institutions qui les protègent, leurs droits et l'usage qui est fait de leurs renseignements. Parfois, nous pouvons avoir une impression plus négative que la réalité.

     C'est pourquoi je recommande une grande transparence. Dans le projet de loi actuel, les organisations qui prennent des décisions en matière d'IA concernant les Canadiens — si elles ont une grande incidence — doivent expliquer de manière proactive les processus généraux de ces décisions. Elles doivent aussi répondre aux questions en cas de demandes, mais uniquement si la décision a une grande incidence sur les Canadiens.

     Je recommande que si un Canadien demande une explication, il la reçoive, même si elle n'a pas une grande incidence sur lui. Elle a toujours une incidence sur lui. Les Canadiens veulent savoir ce qui se passe. Je pense qu'il est bénéfique pour les Canadiens de comprendre l'utilisation de leurs données.

    C'est très bien. Je vous remercie.

     Mon collègue, M. Turnbull, a posé une question sur le cas de Tim Hortons et la façon dont l'application suivait les données.

     Le scénario auquel je veux faire référence est fréquent. Je suis dans une pièce, et un appareil peut s'y trouver, et je parle d'un certain produit avec mon ami. Je vais dans l'autre pièce, où se trouve mon ordinateur, je vais en ligne et je vois une publicité pour ce même produit. Il peut s'agir d'un produit très précis à cette occasion, de sorte qu'on ne s'attendrait pas normalement à voir cette publicité apparaître.

     Que fait ce projet de loi pour protéger les Canadiens contre cela? Quelles sanctions les entreprises peuvent-elles encourir si elles ne se conforment pas à ces nouvelles lois?

    Cela soulève toute la question du consentement à être suivi et de la protection de la vie privée par défaut. Que font les organisations, et que vous disent-elles à propos de ces dispositions par défaut? À mon avis, les dispositions par défaut devraient viser la protection de la vie privée, surtout lorsqu'il s'agit de mineurs. Il faut s'assurer que ces protections sont en place, que vous les comprenez et que vous pouvez demander... Encore une fois, c'est une question de transparence. Votre exemple est parfait. Vous voyez cette annonce et vous voulez savoir pourquoi vous la recevez. Il s'agit de pouvoir obtenir cette explication et de comprendre si vous avez consenti à cela et comment votre consentement est interprété.

     C'est ce que nous avons constaté dans certaines enquêtes menées par mon bureau, qu'il s'agisse de Tim Hortons, de Home Depot ou, plus récemment, de Postes Canada. C'est le sentiment que les Canadiens ne connaissent pas l'utilisation qui est faite de l'enseignement, et il y a parfois un décalage entre ce que les organisations croient que les Canadiens acceptent et comprennent, et la réalité.

    Cette transparence que l'explication... Je le répète, ce sont les évaluations des facteurs relatifs à la vie privée et la consultation de mon bureau qui vous permettent d'acquérir ces réflexes. La protection de la vie privée est une priorité. Ce n'est pas quelque chose que l'on fait après coup. Vous êtes en train de concevoir et de réfléchir. Vous devez penser à l'innovation, c'est vrai, mais les deux ne s'excluent pas mutuellement.

     Lorsque j'ai été nommé, j'ai dit que la vie privée est un droit fondamental, sans être un obstacle à l'innovation. Elle n'est pas un obstacle à l'intérêt public. Nous pouvons avoir les deux. Les Canadiens méritent d'avoir les deux et des outils comme celui‑ci aideront les organisations à bien faire les choses, surtout les petites et les moyennes entreprises.

    C'est très bien. Je vous remercie.

    Merci, monsieur Gaheer.

     Monsieur Vis, la parole est à vous.

    Merci, monsieur le président, et merci aux témoins.

     La dernière fois que je me suis adressé à vous, j'ai présenté une motion visant à obtenir certaines réponses sur les raisons pour lesquelles le gouvernement a présenté un projet de loi défectueux. Je pense que nous avons obtenu des résultats et que nous constatons aujourd'hui une certaine productivité: une partie de cette information a été fournie, et je peux constater qu'elle vous a été très utile à vous aussi, monsieur Dufresne, ce qui est positif.

     Certains de mes collègues ont déjà évoqué les changements dont le ministre a parlé concernant l'article 12 du projet de loi. J'aimerais m'y attarder très brièvement.

     Cependant, tout d'abord, si je comprends bien, lorsque la version actuelle du projet de loi, qui est défectueuse, sera amendée, nous verrons une définition du droit des enfants à la protection de la vie privée. Est‑ce exact?

    Encore une fois, nous attendrons de voir ce qui sera fait, mais il est proposé de reconnaître dans le préambule l'importance de protéger la vie privée des enfants, donc cela y figurera.

     De même, la proposition se trouve à l'article 12...

    Nous savons déjà que cela figurera dans le préambule, mais un droit fondamental à la vie privée basé sur l'information qui nous a été fournie sera‑t‑il défini dans le texte du projet de loi?

    D'après ce que je comprends de ce que le ministre propose dans sa lettre, il veut amender le préambule pour reconnaître la vie privée comme un droit fondamental, et amender l'article 5 du projet de loi pour reconnaître que la vie privée est un droit fondamental dans la disposition de déclaration d'objet, qui a plus de force que le préambule...

    Bien.

    En ce qui concerne les enfants, si je comprends bien, l'approche est similaire, c'est‑à‑dire que l'on reconnaît l'importance de la protection de la vie privée des enfants dans le préambule, mais aussi dans l'article 12 proposé, la disposition relative aux « fins acceptables ».

    Pouvons-nous dûment modifier l'article 12 proposé sans avoir une définition claire de ce qu'est un « mineur » et de ce qui constitue un « enfant » dans ce projet de loi également? Devons-nous amender ces dispositions avant que nous puissions envisager d'apporter des changements à l'article 12?

    La définition d'un « mineur » — et je sais que la question a été posée lors de réunions précédentes — pourrait être incluse dans un amendement, peut-être en référence aux dispositions...

     Je suis désolé, il me reste peu de temps.

     Recommanderiez-vous que nous définissions le terme « mineur » dans ce projet de loi, afin de fournir une plus grande certitude pour protéger les enfants en ce qui concerne leur droit à la vie privée?

    Je souscrirais à cette solution afin d'éliminer toute incertitude. Si on ne donne pas de précision, je présume qu'on utilisera les âges de la majorité dans les différentes provinces, mais je ne vois pas d'inconvénient à le préciser ici.

    Je vous remercie. C'est très utile.

     La Bibliothèque du Parlement nous a fourni un document comparatif et l'un des points abordés est celui des notions de consentement. Par rapport aux enfants, peut‑on vraiment parler de consentement explicite lorsqu'un enfant décide de télécharger une application sur l'iPhone de ses parents?

    Encore une fois, cela s'inscrit dans les exigences relatives à la prestation du consentement et à ce qui constitue un consentement valable et explicite. Nous avons donné des orientations à ce sujet. Cela fait partie des orientations que mon bureau peut donner, mais il est certain que le consentement des enfants doit être vu différemment.

    Recommanderiez-vous que nous le définissions clairement, afin d'éliminer toute confusion sur le fait que le consentement est défini deux fois dans ce projet de loi, une fois pour les adultes et une fois pour les mineurs, si nous décidons d'amender le projet de loi pour y inclure une définition des mineurs?

    Il faudrait que j'examine le libellé précis de la proposition, mais il est certain...

    Nous pourrions compter sur vous pour nous fournir ce libellé, monsieur.

    C'est exact. Je suis heureux de faire des suggestions à ce sujet, si cela peut vous aider.

     À l'heure actuelle, le libellé reconnaît que les renseignements de mineurs sont de nature sensible, et on utilise la nature sensible comme facteur pour un certain nombre de choses, y compris le consentement.

    Je sais, mais je le répète, la raison pour laquelle je pense que les définitions sont si importantes est que la définition de la nature sensible peut devenir confuse si nous n'avons pas de définition claire de ce qu'est un enfant en premier lieu dans ce projet de loi.

     Je pense que les mêmes préoccupations que j'entretiens concernant les notions de consentement pourraient également s'appliquer aux notions de l'effacement dans le projet de loi. S'il existe une notion de consentement explicite pour un enfant, quel serait le lien avec l'effacement ou le droit à la suppression des données?

    L'idée derrière la suppression des données pour les enfants dans ce cas est que vous pouvez avoir consenti à une chose en tant qu'enfant, que mineur — et une disposition prévoit l'obtention du consentement parental à moins que vous ne puissiez l'accorder en tant que mineur — mais en tant qu'adulte, vous pouvez arriver à la conclusion que vous ne consentez plus à cette utilisation.

    Je vous remercie.

     Pour ce qui est du premier point, remettons les choses dans leur contexte. M. Turnbull a parlé de sa fille et des applications. J'ai des enfants qui ont sensiblement le même âge et j'ai les mêmes préoccupations. On nous a rapporté beaucoup de cas. En Colombie-Britannique, nous avons entendu parler d'Amanda Todd, une jeune femme qui s'est suicidée par honte après s'être exposée sur Internet. Imaginez qu'une jeune fille s'expose sur une application ou une plateforme et que cette application ou cette plateforme ne lui donne pas le droit de faire retirer cette information assez rapidement alors qu'elle était mineure. Ce projet de loi va‑t‑il assez loin pour garantir que les droits des mineurs sont protégés dans les cas graves mettant en cause des renseignements de nature sensible comme celui que je viens de décrire?

    Le projet de loi prévoit que le mineur, une fois adulte, peut le faire supprimer...

    Mais pas en tant qu'enfant.

    Il s'agit d'un mineur également. Les renseignements de mineurs ne tombent pas sous le coup de l'exception prévue s'il y a une politique de conservation. Une plus grande protection est accordée pour retirer les renseignements de mineurs, et c'est ce que le projet de loi prévoit.

    Sans aucun doute, si une telle situation se présentait, pensez-vous que ce projet de loi est suffisamment solide pour pallier ces situations de grande vulnérabilité?

    Je pense que le projet de loi prévoit des protections solides pour les renseignements de mineurs, et il sera également interprété comme tel par mon bureau, car la nature sensible est un facteur dont je dois tenir compte.

    En vertu du projet de loi, pensez-vous que vous disposez de pouvoirs suffisants pour poursuivre cette application tierce qui pourrait conserver des renseignements de nature sensible sur un enfant vulnérable?

    Actuellement, je n'ai pas la capacité de recommander — et encore moins d'infliger — une amende dans cette situation, parce que l'article 12 ne fait pas partie des infractions...

    Nous recommandez-vous de vous conférer le pouvoir, en tant que commissaire à la protection de la vie privée, d'infliger rapidement et résolument des amendes dans les cas où les droits des enfants et leur vulnérabilité ont été remis en question ou lorsqu'ils ont été exposés, ou...? Vous voyez ce que je veux dire.

    Mon bureau doit être en mesure d'agir rapidement, donc tous les outils devraient être disponibles.

    À l'heure actuelle, vous ne pourriez pas agir rapidement si vous le souhaitiez.

    Nous ne le pouvons pas en ce qui concerne les amendes. C'est pourquoi nous devons avoir la possibilité de conclure des accords de conformité qui comporteraient des considérations financières, de faire en sorte que les violations des fins acceptables soient assorties d'amendes et d'adopter le recours au Tribunal de manière à ne pas retarder davantage le processus...

    Nous ne voulons pas de retard, n'est‑ce pas?

    Les retards ne sont pas souhaitables dans le contexte...

    Croyez-vous qu'un tribunal retardera votre capacité ou la capacité des gens à faire effacer d'Internet des renseignements de nature sensible?

    Je pense que l'ajout d'un niveau de contrôle au processus ajoutera un délai et un coût, et c'est pourquoi j'ai proposé deux options pour résoudre ce problème.

    Je vois. Donc, dans certains cas, si nous retenons la voie du tribunal, la suppression d'Internet de renseignements de nature sensible concernant un enfant pourrait être retardée. Elle pourrait être retardée si nous suivons le modèle de gouvernance qui est suggéré dans le projet de loi.

    J'en parle dans le contexte des sanctions pécuniaires. Selon ce projet de loi, j'aurai la capacité de rendre des ordonnances, de sorte qu'il n'y aura pas de retard en ce qui concerne les ordonnances. Je peux ordonner à une organisation de mettre fin à une pratique et à une collecte, de sorte...

    Dans d'autres ressorts, les commissaires à la protection de la vie privée peuvent-ils porter des accusations criminelles lorsque des renseignements vulnérables ou sensibles concernant des enfants sont en cause?

    Que ce soit ici ou ailleurs, un commissaire ne peut pas porter des accusations criminelles. Cela revient aux policiers, mais il y a...

    Un commissaire peut‑il recommander à un corps policier compétent de porter ces accusations?

    Des dispositions nous permettent d'aviser les autorités dans ce contexte, et en fait, l'une de mes recommandations est de modifier la période pour porter des accusations punissables sur déclaration de culpabilité par procédure sommaire. Actuellement, elle est de 12 mois, et je recommande que cette période soit plus longue ou qu'il y ait une possibilité de prorogation, parce que je ne veux pas que les gens voient le délai s'écouler si le processus prend plus de temps.

    C'est une recommandation pertinente.

     Je vous remercie.

    Merci, monsieur Vis.

     C'est au tour de M. Van Bynen.

    Merci, monsieur le président. Je trouve ces conversations très instructives.

     Monsieur le commissaire, dans son rapport annuel de 2018‑2019, votre bureau recommandait d'octroyer au Commissariat le pouvoir de mener des inspections sans motifs. Ce qui me préoccupe, c'est que nous n'avons pas besoin de nous inquiéter des bons. C'est contre les méchants que nous devons pouvoir agir rapidement.

     Quels seraient les avantages pour le CPVP de disposer de pouvoirs proactifs, plutôt que de devoir donner à une organisation un préavis raisonnable avant de procéder à un audit, alors qu'il est possible qu'elle ait déjà enfreint la LPVPC?

    La recommandation relative aux audits a été formulée dans un souci de proactivité. Cela vient de l'idée selon laquelle un grand pouvoir implique une grande responsabilité. Par conséquent, si vous jouissez de pouvoirs dans les cas où une exemption au consentement est possible pour l'utilisation de renseignements, il devrait y avoir une capacité de « regarder sous le capot », selon l'expression de mon prédécesseur, c'est‑à‑dire procéder à des vérifications. C'est ce que permet le processus d'audit.

     Les critères de déclenchement d'un audit ont suscité des inquiétudes. Je cherche l'article dans le projet de loi C‑27. Mes collègues peuvent me l'indiquer. À l'époque, dans la législation en vigueur, il était question d'avoir des motifs raisonnables de croire que la loi avait été violée, et l'on reconnaît que c'était trop strict. Le libellé du projet de loi C‑27 parle maintenant d'avoir été violé ou d'être susceptible d'être violé, si je me souviens bien, et je pourrai rectifier cela... Voici le libellé de l'article 97 proposé:

    Donc, le libellé a été amélioré dans la version du projet de loi C‑27. Le critère n'est pas aussi réactif qu'il l'était, en raison de cette idée de « susceptible de contrevenir ».

    Je pense que la rapidité de l'audit est essentielle, surtout alors que nous vivons dans un monde numérique et que l'information peut disparaître très rapidement.

     Cela m'amène à ma question suivante, sur les amendes qui peuvent être infligées. Quelle est l'ampleur des amendes proposées et, à votre avis, vu la portée et l'étendue des plateformes actuelles, les amendes sont-elles suffisantes pour avoir un effet concret? Quels pouvoirs supplémentaires souhaiteriez-vous avoir? Je crains que l'amende ne soit simplement considérée comme un coût d'exploitation, et que les plateformes conservent les données et continuent de contrevenir à la loi.

     Pourriez-vous préciser l'ampleur des amendes?

    Oui, et comme vous le savez, je pense, la question a été posée aux fonctionnaires du ministère. Je suis d'accord avec la réponse des fonctionnaires du ministère à cette question, à savoir que les amendes sont comparables et, dans certains cas, plus élevées que celles de nos comparateurs en Europe, en pourcentage. Je cherche les articles. Je pense que c'est 4 % du chiffre d'affaires. S'il s'agit d'une amende, elle peut atteindre 10 millions de dollars et 3 % du chiffre d'affaires mondial brut de l'organisation, et s'il s'agit d'une infraction, les pourcentages sont plus élevés.

     C'est comparable à ce que nous voyons à l'échelle internationale, mais il y a aussi la possibilité de rendre des ordonnances. Je pense que la combinaison de ces deux outils est importante et doit être suivie, mais le pourcentage n'est pas trop faible par rapport aux comparateurs internationaux.

    Jusqu'à présent, dans quelle mesure l'obstruction a‑t‑elle été un problème pour votre ministère?

    En ce qui concerne mon bureau, nous traitons les plaintes individuelles au cas par cas. Il y a eu des situations dans lesquelles nous faisons des recommandations et celles‑ci sont respectées. Parfois, elles ne le sont pas.

     Pour ce qui est de l'obstruction pure et simple, qui irait jusqu'à constituer une infraction criminelle, je n'ai eu vent d'aucun cas. C'est une chose qui, bien sûr, doit être établie dans la loi afin que l'on dispose d'un outil ou d'un mécanisme si un tel cas se présente.

     Cette capacité est liée à la nécessité de disposer d'un pouvoir d'exécution. Si l'on n'a actuellement que la capacité de faire des recommandations, cela n'est utile que si l'organisation est réceptive et se conforme. Si elle ne le fait pas, on n'a aucun recours.

    J'aimerais revenir sur une question antérieure. Je ne suis pas sûr d'avoir obtenu une réponse précise.

     L'objectif de cette loi sur la protection de la vie privée met‑il les droits des intérêts commerciaux et ceux des intérêts personnels sur un pied d'égalité?

    À l'heure actuelle, si nous examinons l'article 5 proposé, la disposition relative à l'objet parle « des règles régissant la protection des renseignements personnels d’une manière qui tient compte, à la fois, du droit à la vie privée des individus quant aux renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser... » et ainsi de suite.

     C'est pourquoi j'ai été préoccupé dès le début par la nécessité de reconnaître le droit à la vie privée comme un droit fondamental. Il s'agit de bien faire comprendre que oui, il faut tenir compte de ces deux éléments, mais ils ne sont pas égaux. Oui, il faut tout faire pour avoir à la fois l'innovation et la vie privée. Dans la plupart des cas, je suis convaincu qu'il est possible d'obtenir ces deux éléments. Il en va de même pour l'intérêt public.

     S'il advient un conflit manifeste que l'on ne peut pas résoudre, le droit fondamental doit prévaloir.

    Le mot « et » dans l'objet vous dérange‑t‑il?

    Je pense que le fait de reconnaître dans le préambule que la vie privée est un droit fondamental de cette façon, avec cet amendement, précise la nature supérieure du droit dont nous parlons, ce qui est conforme à la façon dont il est traité à l'échelle internationale et par les tribunaux au Canada.

    Combien de temps me reste‑t‑il, monsieur le président?

    Il ne vous en reste plus, mais j'ai été très généreux avec le temps pour tout le monde, alors si vous voulez, vous pouvez...

    J'ai une autre question.

     Nous parlons de la concurrence et de la portée, de l'échelle et de la concentration des ressources. La loi ne fait pas de distinction entre les petites et les grandes entreprises sur le plan des obligations.

     Y a‑t‑il un risque que cela constitue un désavantage concurrentiel pour les petites entreprises en ce qui concerne les obligations qui leur sont imposées?

    Il est indispensable de faire en sorte que les petites et moyennes entreprises puissent respecter le régime, absolument. Le projet de loi prévoit un rôle d'orientation pour mon bureau. Il prévoit la possibilité de participer à des programmes de certification et à des codes de pratique. C'est un aspect qui doit être pris en compte. C'est en tout cas une chose à laquelle je porte grande attention.

     En ce qui concerne la concurrence et la protection de la vie privée, il y a là un exemple de recoupement entre la concurrence et la protection de la vie privée. Il faut veiller à ce que la protection de la vie privée ne nuise pas à la concurrence, et vice versa. Nous avons fait des recommandations au Parlement et au ministère sur l'examen du droit de la concurrence, afin de nous assurer que vous traitez ce que nous appelons les « modèles sombres », qui sont une utilisation manipulatrice du langage et des outils psychologiques pour inciter les individus à faire de mauvais choix, que ce soit du point de vue de la protection de la vie privée ou de celui de la concurrence.

     C'est pourquoi, au cours des derniers mois, mes collègues — le commissaire à la concurrence et le président du CRTC — et moi-même avons créé un forum des autorités de réglementation du numérique. Nous travaillons ensemble pour cerner les points de connexion et d'interopérabilité. Il existe des groupes similaires à l'échelle internationale. Pour l'instant, au cours de notre première année d'existence, nous nous concentrons sur l'IA et nous nous efforçons d'être à la pointe de ces nouvelles choses.

     C'est pourquoi ma 15^e recommandation est d'étendre la capacité de mon bureau de collaborer avec des régulateurs comme ceux‑ci, en particulier dans le contexte des plaintes. Actuellement, je ne peux pas le faire avec mes collègues canadiens, mais je peux le faire avec mes collègues internationaux.

    Je vous remercie. C'est très instructif.

     Merci.

    Monsieur Lemire, vous avez la parole.

    Merci, monsieur le président.

    Merci, monsieur Dufresne. Vos recommandations étaient déjà claires, mais votre témoignage d'aujourd'hui les rend encore plus claires.

    J'aimerais que nous nous projetions dans le temps, puisque l'un des objectifs évidents du projet de loi est de protéger les gens au fil du temps.

    Avec l'émergence de l'informatique quantique, quelle garantie ou quel mécanisme de surveillance pourrait être nécessaire pour assurer l'efficacité de la protection des informations et des données des Canadiens?

     Il faut s'assurer que la loi tiendra la route malgré l'évolution rapide de la technologie, voire avec celle-ci. On parle beaucoup de l'intelligence artificielle générative, en ce moment. Dans un an, ce sera encore plus puissant. Ce sera peut-être autre chose, qui sait? Il faudra donc que la loi soit en mesure de s'y adapter. C'est pourquoi le projet de loi contient des principes et ne parle pas de l'intelligence artificielle générative de façon précise, par exemple, mais plutôt de décisions automatisées. Il faut que les définitions englobent tout cela et qu'il y ait une flexibilité qui permette au gouvernement d'établir des règlements et à mon bureau d'établir des lignes directrices pour qu'on puisse s'adapter aux nouvelles technologies.

    La recommandation que nous faisons sur les évaluations des facteurs relatifs à la vie privée est très importante à cet égard. Chaque fois qu'on développe quelque chose, il faut documenter cela, évaluer les risques et faire des consultations, justement pour devancer ces technologies. C'est une de mes priorités, avec la protection de la vie privée des enfants. Il faut suivre l'évolution de la technologie. C'est une mesure qui permet de le faire.

    Une autre de nos recommandations porte sur l'information dépersonnalisée. On définit l'information dépersonnalisée de façon un peu trop large, selon moi, notamment en français. Cette définition doit être très stricte, parce qu'elle limite les obligations juridiques. Dans ces définitions, nous devons aussi tenir compte du risque de « repersonnalisation ». Le projet de loi dit qu'on peut en faire davantage avec une information dépersonnalisée et que, si elle est anonymisée, la loi ne s'applique pas du tout. Il y a donc une grande responsabilité qui vient avec cela. Il faut que ces définitions soient strictes.

    Sur la question des informations dépersonnalisées, j'ai recommandé qu'on tienne compte du risque de « repersonnalisation », parce que la technologie évolue. Si une information est dépersonnalisée aujourd'hui, mais que, dans deux ou trois ans, avec la technologie, on est capable de savoir de nouveau à qui elle est liée, on revient au point de départ. Il faut que cela puisse évoluer avec le temps.

    Merci beaucoup, monsieur Lemire.

    Merci, monsieur le président.

    Monsieur Masse, vous avez la parole.

    Merci, monsieur le président.

     En ce qui concerne le tribunal, vous avez parlé de solutions de rechange si nous n'avons pas recours au tribunal. Quel serait le tableau de votre conception si nous abandonnions complètement le tribunal?

    Ce serait en fait le modèle qui existe au Québec et qui existe à l'échelle internationale. En fait, le RGPD — qui, comme vous le savez, est le règlement qui s'applique à l'Union européenne — stipule que les autorités responsables de la protection des données, qui seraient les commissaires à la protection de la vie privée, ont le pouvoir d'imposer des amendes. Dans le considérant, dans la description, il est question du pouvoir des autorités responsables de la protection des données d'imposer des amendes, et celles‑ci sont généralement contrôlées par les tribunaux. Ils citent l'Estonie et le Danemark comme exceptions, où ils doivent demander aux tribunaux d'imposer des amendes en raison de la spécificité de leurs structures juridiques.

     La CAI, qui est mon homologue au Québec, a la capacité d'imposer des amendes. Celles‑ci peuvent faire l'objet d'un examen par le système judiciaire normal. S'il n'y avait pas de tribunal, cela pourrait fonctionner de la même manière. Le projet de loi C‑27, tel qu'il est rédigé, crée déjà un processus plus formel pour mes décisions. Il prévoit que les enquêtes se déroulent en amont. Vous essayez de résoudre les problèmes. Si vous n'y parvenez pas, l'affaire fait l'objet de ce que l'on appelle une enquête, et j'aurai l'obligation, en vertu de la loi, d'adapter les codes de pratique et de consulter l'industrie. L'équité procédurale doit être un élément de ce processus et, en fin de compte, ces décisions, si vous choisissez en tant que Parlement de conférer à mon bureau le pouvoir d'imposer des amendes directement, pourront faire l'objet d'un examen par la Cour fédérale suivant la procédure normale de révision judiciaire. C'est certainement une option.

     Par ailleurs, si la décision est de créer un nouveau tribunal, je recommande que si nous ajoutons un palier de contrôle, nous en supprimions un, de sorte que l'affaire soit renvoyée directement à la Cour d'appel, faute de quoi il y aura des coûts.

    Si nous créons un tribunal, cela créera un conflit avec le modèle québécois, n'est‑ce pas?

    Avec quel modèle? Je suis désolé, mais je ne vous ai pas entendu.

    Si nous créons le tribunal, cela créera un conflit avec le modèle québécois, n'est‑ce pas?

    Eh bien, ce serait un modèle différent. Il y aurait une situation, et il nous faudrait la gérer pratiquement parlant, parce que nous menons des enquêtes conjointes. Comme vous le savez, nous menons actuellement une enquête sur TikTok et ChatGPT. C'est le cas pour l'instant, car je n'ai pas le pouvoir d'imposer des amendes ou émettre des ordres. Ils l'ont, et c'est donc quelque chose que nous devrons gérer.

    Merci, monsieur le président.

     Je suppose que c'est la raison pour laquelle nous n'avons pas les amendements sous les yeux.

    Merci beaucoup, monsieur Masse.

     Je donne maintenant la parole à M. Perkins.

    Merci, monsieur le président, et merci, monsieur le commissaire.

     Nous avons discuté plus tôt du fait que le préambule n'a pas de valeur juridique, qu'il s'agit d'une déclaration d'intention qui, une fois adoptée, ne figure pas dans la loi au Canada. La section relative à l'objectif est donc très importante. Vous venez de dire, en réponse à d'autres questions, que si vous mettez « droit fondamental » et le mot « et », « et » est là pour faire contrepoids, mais ce n'est pas grave. Le « droit fondamental » reste proéminent.

     J'irai dans une autre direction à ce sujet. Supposons que ce soit correct. Les libéraux introduisent dans ce projet de loi un concept de protection de la vie privée, le concept d'intérêt légitime, l'intérêt légitime pour l'entreprise — la grande entreprise et son intérêt légitime à utiliser les données d'une personne sans la permission de le faire —, avec l'autorisation de les utiliser même si cela cause un préjudice à l'individu.

     Je dirais que l'article 18 proposé, qui introduit ce concept, n'accorde pas à la vie privée de l'individu une importance primordiale. L'article 18 proposé rend en fait les intérêts commerciaux plus importants, parce qu'une grande entreprise peut ignorer si vous lui avez donné la permission ou non. Elle peut ignorer si les renseignements utilisés vont vous nuire ou non pour ses propres intérêts légitimes, qui ne correspondent pas toujours à ceux d'un individu.

     Ne convenez-vous pas que le « et » donne beaucoup plus de poids à ce pouvoir dans l'article 18 proposé, lui permettant d'ignorer s'il s'agit ou non d'un droit fondamental?

    J'ai recommandé quelques mesures pour remédier à cette situation dans mes 15 recommandations.

     En ce qui concerne le préambule, nous avons...

    Je ne veux pas parler de cela. Je veux juste parler de cette question. Je n'ai pas beaucoup de temps.

    Bien. Je pense que cela va dans le sens de la recommandation visant à s'assurer que les activités d'affaires sont définies très soigneusement, qu'elles sont toutes nécessaires, et que l'on supprime la possibilité de faire des exceptions par voie réglementaire sans démontrer qu'elles sont nécessaires. La recommandation, en ce qui concerne l'éclaircissement et la mise en évidence du droit fondamental, doit figurer dans la disposition de déclaration d'objet, mais elle devrait également figurer dans un préambule de la loi elle-même et pas seulement dans le projet de loi, de sorte que lorsque les gens la lisent, ils ont...

    Cela enlève le pouvoir au Parlement et laisse aux bureaucrates le soin de décider quelle est la liste, car c'est là que les règlements sont élaborés.

     Je dirais également que les libéraux édulcorent encore plus cette question. Si l'on examine la façon dont le consentement exprès est décrit à l'article 15 proposé... Pour ceux qui nous regardent, le consentement exprès signifie que je dois vous donner la permission d'utiliser mes données. Les libéraux ont conçu un certain nombre de dispositions échappatoires au consentement exprès qui permettent aux entreprises de le contourner. Ces dispositions échappatoires à l'article 18 proposé leur permettent de le contourner.

    Aussi, le paragraphe 12(4) proposé, dans l'objet du projet de loi, stipule que lorsqu'une entreprise a besoin d'utiliser les renseignements d'une personne pour un nouvel usage, elle n'a pas besoin d'obtenir la permission de la personne. Il lui suffit de les enregistrer quelque part. Il n'est pas nécessaire d'obtenir le consentement de la personne si l'entreprise les utilise à d'autres fins.

     Comme nous le savons, ce domaine évolue rapidement. J'ai obtenu le consentement d'une personne il y a cinq ans. Je décide d'utiliser ses données d'une autre manière. Il me suffit de les enregistrer quelque part. Je n'ai même pas besoin de dire à la personne que je les utilise. Il s'agit d'une nouvelle dilution de la protection de la personne en tant que droit fondamental, qui donne beaucoup plus de pouvoir à l'utilisateur... Si l'on ajoute à cela les articles 18 et 15 proposés, les exceptions, et le paragraphe 12(4) proposé, cela donne un pouvoir énorme à une entreprise qui peut faire ce qu'elle veut avec les données d'une personne sans sa permission.

    L'article 14 proposé parle de nouvelles fins et indique qu'elles ne doivent pas les utiliser à d'autres fins que celles qui ont été déterminées et enregistrées, à moins que l'organisation n'obtienne l'autorisation de la personne...

    Désolé, mais ce n'est pas ce que dit le paragraphe 12(4) proposé. Il se lit comme suit:

     Il n'est pas précisé que l'organisation doit obtenir le consentement exprès. Cette question est traitée dans les sections relatives aux fins acceptables et au consentement implicite. Il n'est pas dit qu'il faut revenir pour une nouvelle fin et obtenir un consentement exprès.

    En ce qui concerne les fins, l'une des recommandations que nous avons formulées est de veiller à ce que les fins soient précises et explicites. Il est important que les Canadiens sachent pourquoi ces renseignements sont recueillis, et il est important que lorsque vous recueillez ces renseignements, les Canadiens sachent à quoi ils servent et à quoi ils ne servent pas, et qu'ils puissent s'attendre raisonnablement à ce que cela soit respecté. Nous devons veiller à ce que cela soit utilisé ainsi.

    J'ai une dernière question, qui porte sur la protection de la vie privée. Il y a déjà eu beaucoup de soumissions dans lesquelles on pose des questions sur l'exposition à la violation de sa vie privée lorsqu'on est placé dans un groupe. La gestion des données de groupe est une façon, en tant qu'ancien spécialiste du marketing, de traiter les données des clients. Je les répartis en groupes, en segments de clientèle, puis je vous présente un tableau en fonction des données.

     Ne devrait‑il pas y avoir, pour la protection de la vie privée, des dispositions qui limitent l'utilisation des données de groupe?

    Vous entendrez sans doute diverses opinions à ce sujet. Nous avons formulé des recommandations sur le projet de loi précédent concernant les inférences et le traitement des inférences en tant que renseignements personnels. Je pense que lorsque vous parlez d'IA, nous pouvons voir une capacité de plus en plus accrue à utiliser des renseignements, peut-être même des renseignements dépersonnalisés ou des renseignements anonymes, puis tirer certaines conclusions au sujet de groupes. Je pense qu'il s'agit là d'une question à laquelle il faut réfléchir. Les évaluations de l'impact de l'IA sur la vie privée deviennent, à mon avis, essentielles pour examiner cet aspect. C'est pourquoi nos définitions de la dépersonnalisation et de l'anonymisation sont strictes. Tout le monde n'est pas d'accord avec cela. Certains ont dit que c'était peut-être trop strict, mais cela sort du cadre de la loi.

    J'ai rencontré de nombreux professeurs et informaticiens qui m'ont dit que les données anonymes n'existaient pas. Il est très facile de faire marche arrière, c'est pourquoi j'ai une dernière question.

     Cela fait peser des responsabilités plus importantes sur votre bureau. L'élément tribunal en rajoute probablement aussi.

     Avez-vous fait une estimation de ce que cela va coûter à votre ministère de faire ce degré de...?

    Oui, nous l'avons fait. Le montant auquel nous sommes parvenus correspond presque au double des ressources dont nous disposons actuellement. Nous aurions besoin de 25 millions de dollars de plus par an pour disposer des ressources nécessaires pour la conformité, certes, mais aussi pour la proactivité. Notre analyse prévoit une responsabilité pour ce qui est d'approuver les codes de pratique et les programmes de certification, et peut-être que l'on optera pour des environnements de bac à sable.

    Il faudra des ressources pour tous ces conseils aux organisations et aux PME. Le nouveau processus devra être plus formel. Le fait qu'il y ait plus de protections pourrait bien conduire à plus de plaintes et à plus d'examens et de contestations judiciaires, en tout cas au début.

    Est‑ce que cela change s'il n'y a pas de tribunal parmi vos options, ou si vous avez plus de pouvoir pour conclure des accords de conformité avec des amendes?

    Je pense que les accords de conformité seront utiles, car ils nous permettront de résoudre des problèmes. Encore une fois, cela suppose que l'organisation est d'accord. Un accord de conformité est une convention de règlement. Si l'organisation accepte de payer le montant, nous pouvons résoudre le problème. Si l'organisation ne le fait pas, il faut toujours avoir mis en place une procédure. Je pense que le tribunal aura des ressources à consacrer à cela, s'il est créé. S'il ne l'est pas, une partie de cette tâche devra peut-être être assumée par mon bureau, mais nous la gérerons certainement avec le plus grand soin possible.

    Merci beaucoup. Je donne maintenant la parole à M. Turnbull.

    À vous la parole, monsieur.

    Merci, monsieur le commissaire.

     La conversation d'aujourd'hui est très intéressante. J'aime vraiment toutes les questions et l'engagement positif ici. Je pense que c'est une très bonne chose pour ce travail et cette loi.

     Je voudrais revenir sur une question que j'ai commencée et que je n'ai pas tout à fait terminée.

     Je déduis que le projet de loi C‑27et la lettre d'information au ministre qui fournit des détails, introduisent de nouvelles obligations pour les organisations et les entreprises. Ils confèrent également à votre bureau et à vous-même de nouveaux pouvoirs, ce qui me semble positif.

     L'une des questions que je me pose constamment lorsque je réfléchis au travail qui vous attend, une fois que nous aurons, je l'espère, adopté ce projet de loi et qu'il aura été renforcé à bien des égards, est de savoir si la détection des cas de non-conformité est suffisante. Il me semble qu'il doit être difficile de détecter les personnes qui ne respectent pas les obligations supplémentaires ajoutées dans le projet de loi C‑27.

     Pouvez-vous nous dire comment vous allez procéder? Je sais que vous l'avez mentionné dans votre réponse à la dernière question à propos des ressources supplémentaires nécessaires. Je suis certain que cela en fait partie, mais pourriez-vous nous dire comment vous allez détecter les cas de non-conformité?

     Oui, bien sûr.

     Il est certain que les ressources sont un aspect du tout, parce qu'il faut un certain nombre de choses, que ce soient des audits, des programmes de certification, des conseils ou des communications, pour s'assurer que les Canadiens peuvent nous signaler des choses. Il y a aussi l'aspect technologique. Nous avons au CPVP un laboratoire technique où nous essayons de rester à la pointe des progrès technologiques, et il sera important d'obtenir ces ressources, cette expertise et cette compréhension. Tous ces outils, combinés aux aspects conformité et demande de renseignements, comportent suffisamment d'obligations qui me permettent de demander à voir certains renseignements sur les organisations ou leurs programmes de gestion de la protection de la vie privée.

     Il est certain que nous devrons mettre en place quelque chose pour ne pas être en mode réactif et être au courant de ce qui se passe. Je dois dire que nous avons de bons engagements avec les représentants de l'industrie et du monde universitaire. Je pense que cela se poursuivra, tant au Canada qu'à l'étranger, nous permettant de déceler les tendances et les préoccupations et d'agir en conséquence.

    Juste de façon hypothétique — parce que je suis en train de tester cela dans mon esprit —, je suis sûr qu'il y a des cas de mauvais acteurs qui ne sont pas francs parfois dans le respect de leurs obligations. Je suppose que ma question est de savoir si vous disposez de suffisamment de pouvoirs et d'outils afin de détecter ces activités néfastes dans lesquelles ils ne respectent pas, et peut-être intentionnellement, leurs obligations, même après l'adoption du projet de loi C‑27.

    Nous continuerons à développer nos capacités techniques et nos ressources techniques qui nous permettront de repérer les choses dans l'écosystème. Le projet de loi nous procure davantage de pouvoirs pour obtenir des renseignements et lancer des audits. Mon bureau a la possibilité de lancer des enquêtes. Nous les appelons « enquêtes à l'initiative du commissaire ». Cette possibilité existe. C'est ce que nous avons fait dans le cadre de notre enquête sur TikTok et pour ChatGPT.

     Nous allons continuer à utiliser tous les outils dont nous disposons. La loi imposerait davantage d'obligations aux organisations pour qu'elles partagent leurs renseignements de manière proactive. En ce qui concerne les mauvais acteurs, nous devrons nous assurer que nous sommes en mesure de les identifier de manière proactive, en collaboration avec nos collègues.

    Je vous remercie.

     Lancez-vous une enquête uniquement lorsque vous recevez une plainte, ou comment faites-vous ou détectez-vous initialement les personnes — ou les entreprises, dans la plupart des cas, je pense — qui ne respectent pas leurs obligations? Comment procédez-vous actuellement? De même, à l'avenir, comment envisagez-vous de le faire? Je suppose qu'avec des obligations et des pouvoirs supplémentaires, il y aura beaucoup plus d'activités à surveiller, et c'est ce que nous voulons. Je crois que ce projet de loi le permet et qu'il est conçu de manière à vous donner les moyens de le faire. Cependant, je ne sais pas très bien à quoi ressemble ce processus.

    Nous n'avons pas besoin qu'une personne porte plainte pour lancer une affaire. Nous pouvons effectuer des audits. Nous pouvons lancer une enquête à l'initiative du commissaire. Les enquêtes peuvent avoir pour origine différentes sources. Elles peuvent provenir de la surveillance des rapports des médias. Elles peuvent provenir de la surveillance d'experts et d'acteurs de l'industrie qui peuvent signaler des faits.

     Nous allons continuer à approfondir nos capacités d'effectuer des contrôles ponctuels et nous assurer des tendances et des préoccupations, mais il est certain qu'il s'agit d'une chose qui doit être proactive et pas seulement réactive. Nous devrons disposer des ressources nécessaires, car, comme vous l'avez dit, l'environnement est vaste et il y a beaucoup de ressources en dehors de mon bureau, y compris dans les organisations sur lesquelles nous pourrions avoir besoin d'enquêter. Nous devons donc disposer de capacités équivalentes pour faire notre travail.

    Je n'essaie pas de vous donner des munitions pour demander encore plus de fonds, mais je soupçonne qu'il y a beaucoup d'activités en ligne et beaucoup de données recueillies, et je soupçonne qu'il serait très difficile d'essayer de surveiller et de détecter toute violation des obligations prévues par le projet de loi C‑27. Avec tout le respect que je vous dois, je pense que vous aurez du pain sur la planche à l'avenir. Je ne vous envie pas cela, mais je reconnais l'ampleur du travail qui sera entrepris.

     Je vais peut-être m'arrêter là pour le moment.

     J'ai encore une ou deux questions à poser. À l'inverse — et je pense que mon collègue M. Van Bynen a posé quelques questions à ce sujet —, y a‑t‑il un risque d'aller trop loin? Par « aller trop loin », je veux dire qu'avec cette loi, et le débat que nous avons, nous pourrions aller un ou deux pas trop loin et entraver tous les avantages positifs que les Canadiens retirent de l'utilisation des outils en ligne?

     Les données recueillies ont amélioré nos vies de bien des façons. Il y a un certain équilibre à trouver entre l'innovation et la protection de la vie privée, dont vous avez déjà parlé. Je suppose que je voudrais savoir précisément si vous voyez un risque à aller trop loin. Nous avons vraiment parlé de l'aspect diamétralement opposé, celui de ne pas aller assez loin en ce qui concerne les droits à la vie privée. Si nous allons trop loin, nous pourrions également étouffer l'innovation. Êtes-vous d'accord avec cela et y a‑t‑il un risque?

    Nous devons trouver un équilibre, mais nous devons nous rappeler que ce qui est en cause est un droit fondamental, et nous devons donc partir de ce principe. Nous devons nous assurer que nous protégeons le droit fondamental à la vie privée, parce qu'il est au cœur de notre identité en tant que société et en tant qu'individus.

     Mais nous devons absolument le faire d'une manière qui soutient l'innovation. Nous devons le faire d'une manière qui rend le Canada concurrentiel et lui permet d'oeuvrer sur la scène mondiale et d'y faire des échanges commerciaux.

     La bonne nouvelle, en ce qui concerne la protection de la vie privée, c'est qu'elle nous donne en fait des avantages économiques à bien des égards, certainement en ce qui concerne l'Europe et le fait d'être reconnus par ce système comme offrant des degrés adéquats de protection de la vie privée. Ce n'est pas seulement bon pour la vie privée, c'est bon pour le commerce, car cela offre à nos entreprises de meilleures possibilités d'échanges commerciaux avec l'Europe.

     Il y a des avantages à cela, mais nous devons absolument nous en assurer, et vous devez entendre l'industrie. J'ai entendu l'industrie. J'ai de bons dialogues avec ses représentants. Ils n'adoptent pas toujours la même position que moi, et ce n'est pas grave. Cependant, je peux vous dire que nous avons des débats et des échanges réguliers. Ils viendront devant vous et ils ont un point de vue valable à apporter.

    En effet.

     J'étais en quelque sorte en train d'en arriver là, ce qui est intéressant. Avec tout le respect que je vous dois, je dirais... En tant que commissaire à la protection de la vie privée, défendant le droit fondamental à la vie privée, il me semble que vous pourriez naturellement être enclin à soutenir un seul côté de ce débat. Je perçois que vous reconnaissez certainement le côté de l'innovation et de l'industrie, qui, dans un certain sens, est la responsabilité du ministre.

     Il peut aussi y avoir un revers à la médaille. Ces parties prenantes de l'industrie exprimeraient leur position quant aux limites à ne pas dépasser et aux avantages qui sont également très importants dans le cadre de ce travail. Je tenais à le préciser.

     Avec tout le respect que je vous dois, j'espère que nous pourrons continuer à collaborer activement au fur et à mesure que nous avançons. Je n'en attendais pas moins, car c'est ce qui s'est passé jusqu'à présent dans nos relations de travail.

     Je vous remercie de votre présence aujourd'hui. Je reconnais, avec respect et reconnaissance, la grande valeur de votre témoignage.

     Merci beaucoup, monsieur Turnbull.

    Je vous remercie, monsieur Dufresne, ainsi que votre équipe, de vous être rendus disponibles à nouveau.

    Des voix: Bravo!

    Ce n'est pas tous les jours que nos témoins se font applaudir de la sorte. C'est tout à votre honneur.

    Je remercie les analystes, les interprètes et le personnel de soutien.

    La séance est levée.