:
Je déclare la séance ouverte.
Bonjour à tous et à toutes.
Je vous souhaite la bienvenue à la 90e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes. La réunion d'aujourd'hui se déroule en format hybride, conformément au Règlement.
Conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi .
J'aimerais souhaiter la bienvenue aux témoins d'aujourd'hui, du Commissariat à la protection de la privée du Canada. Tout d'abord, il s'agit de M. Philippe Dufresne, commissaire à la protection de la vie privée du Canada.
Je vous remercie d'être de retour parmi nous.
Ensuite, nous recevons Mme Lara Ives, directrice exécutive, Direction des politiques, de la recherche et des affaires parlementaires, ainsi que M. Michael Maguire, directeur, Loi sur la protection des renseignements personnels et les documents électroniques, Direction de la conformité.
Je vous remercie tous les trois d'être revenus. J'ai bon espoir qu'aujourd'hui, tout va bien se dérouler — je regarde mes collègues —, et que nous aurons la chance d'avoir une rencontre normale et de profiter de vos lumières sur le projet de loi C‑27.
Sans plus tarder, monsieur Dufresne, je vous accorde la parole pour cinq minutes.
:
Merci, monsieur le président.
Mesdames et messieurs les membres du Comité, je suis heureux d'être ici aujourd'hui pour aider le Comité dans le cadre de son étude du projet de loi , qui édicterait la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données, ainsi que la Loi sur l'intelligence artificielle et les données.
Lorsque j'ai comparu devant le Comité, il y a trois semaines, j'ai prononcé une déclaration préliminaire sur le projet de loi et présenté mes 15 recommandations clés pour améliorer et renforcer le projet de loi. Aujourd'hui, je souhaite revenir brièvement sur la lettre que le a adressée au Comité, le 3 octobre 2023, y réagir et répondre aux questions qui pourraient vous rester.
[Traduction]
Je suis ravi de la position du ministre sur les amendements en cours de rédaction sur la Loi sur la protection de la vie privée des consommateurs, ou LPVPC proposée, puisqu'il semble prêt à accepter 4 des 15 recommandations clés du Commissariat, à savoir reconnaître explicitement la protection de la vie privée comme un droit fondamental, renforcer la protection de la vie privée des enfants, donner plus de marge de manœuvre au Commissariat pour utiliser des « accords de conformité », notamment par le recours à des sanctions pécuniaires et permettre une plus grande coopération entre les organismes de réglementation.
Je salue aussi l'ouverture dont le ministre a fait preuve à l'idée d'apporter d'autres amendements par suite de l'étude menée par ce comité.
Je profite de l'occasion pour faire état d'autres moyens par lesquels le projet de loi devrait être renforcé et amélioré en vue de mieux protéger le droit fondamental à la vie privée des Canadiennes et des Canadiens, qui sont abordés dans les autres recommandations que nous avons formulées au Comité.
Je soulignerai brièvement ici cinq de nos recommandations qui ressortent particulièrement à la lumière de la lettre du ministre, et je serai heureux de parler de toutes nos recommandations au cours de la discussion qui suivra.
Premièrement, les évaluations des facteurs relatifs à la vie privée, ou EFVP devraient être exigées par la loi pour les activités à risque élevé, y compris l'intelligence artificielle, ou IA, et l'IA générative. Ce point est extrêmement important dans le cas d'un système d'IA qui pourrait rendre des décisions ayant des répercussions majeures sur les Canadiennes et les Canadiens, à savoir s'ils recevront une offre d'emploi, s'ils remplissent les conditions requises pour obtenir un prêt, s'ils doivent payer une prime d'assurance plus élevée ou s'ils sont soupçonnés de comportement suspect ou illégal.
Même si la LIAD exigerait que les responsables des systèmes d'IA évaluent et atténuent les risques de préjudice des systèmes d'IA à incidence élevée, la définition du terme « préjudice » dans le projet de loi ne prend pas en compte la protection de la vie privée. Cela signifie que des évaluations proactives des risques seraient effectuées pour les préjudices ne concernant pas la vie privée, mais pas pour les préjudices concernant la vie privée. Il s'agit d'une lacune importante étant donné que, dans un récent rapport de l'OCDE sur l'IA générative, les menaces pour la vie privée figuraient parmi les trois principaux risques reconnus par les membres du G7.
Selon moi, l'IA responsable doit commencer par de solides protections de la vie privée, ce qui inclut des évaluations des facteurs relatifs à la vie privée.
[Français]
Deuxièmement, le projet de loi C‑27 ne prévoit pas de sanctions pécuniaires en cas de violation des dispositions qui obligent les organisations à recueillir, à utiliser et à communiquer des renseignements personnels uniquement à des fins et d'une manière qu'une personne raisonnable estimerait acceptables dans les circonstances. Cette omission ferait de la loi fédérale sur la protection des renseignements personnels dans le secteur privé une exception par rapport à l'Union européenne et au régime québécois, qui autorisent l'imposition de sanctions pécuniaires pour des violations aussi importantes du droit à la vie privée.
Si l'objectif est, comme l'a indiqué le ministre, de disposer d'une loi en la matière qui comprend un outil concret et efficace afin d'encourager la conformité et d'intervenir en cas de contraventions majeures à la loi lorsque les circonstances le justifient, objectif que je partage, il est évident, selon moi, que cette lacune doit être comblée pour une disposition aussi importante.
[Traduction]
Troisièmement, il reste l'ajout proposé d'un nouveau tribunal, qui deviendrait un quatrième palier de contrôle dans le processus de plaintes. Comme nous l'avons indiqué dans notre mémoire au Comité, cette solution rendrait la procédure plus longue et plus coûteuse que les modèles communs utilisés à l'échelle internationale et dans les provinces.
C'est pourquoi nous avons recommandé deux options pour résoudre ce problème. La première option consisterait à faire contrôler les décisions du tribunal proposé directement par la Cour d'appel fédérale, et la seconde option serait de conférer au Commissariat le pouvoir d'infliger des sanctions pécuniaires et de faire en sorte que ces décisions puissent être contrôlées par la Cour fédérale sans qu'il soit nécessaire de créer un nouveau tribunal, ce qui est le modèle le plus courant dans d'autres ressorts semblables.
Quatrièmement, le projet de loi tel qu'il est rédigé permet toujours au gouvernement de déroger à la loi par voie de règlement sans avoir à démontrer que ces dérogations sont nécessaires. Cette situation doit être corrigée, car elle crée trop d'incertitude pour l'industrie et la population canadienne et pourrait réduire considérablement la protection des renseignements personnels sans une surveillance exercée par le Parlement.
[Français]
Cinquièmement, et en conclusion, le projet de loi limiterait l'obligation pour les organisations d'expliquer, sur demande, les prédictions faites, les recommandations formulées ou les décisions prises au sujet des Canadiennes et des Canadiens à l'aide de l'intelligence artificielle aux situations qui ont une incidence importante sur l'individu. Alors que l'intelligence artificielle est en plein essor et que les risques pour la vie privée ont été reconnus par le G7 et dans le monde entier, je recommande, dans ce domaine, plus de transparence plutôt que moins.
Sur ce, je suis maintenant prêt à répondre à vos questions.
:
Elle devrait l'être, et c'est pourquoi j'ai recommandé cette reconnaissance explicite.
Comme vous le savez, jusqu'à présent, cela était décrit parfois comme un intérêt en matière de vie privée ou comme un droit — le libellé était plus tiède, je suppose — et j'ai recommandé instamment que nous devions rendre cela explicite. Nous devons reconnaître qu'il s'agit d'un droit quasi constitutionnel, comme les tribunaux et la communauté internationale l'ont dit, de sorte que dans la disposition de déclaration d'objet — et j'ai recommandé de l'ajouter dans le préambule ainsi que dans la disposition de déclaration d'objet, mais vous avez raison — la disposition de déclaration d'objet est la clé — si vous utilisez l'expression « droit fondamental », vous envoyez un signal aux tribunaux, aux décideurs, à moi que même lorsque vous cherchez l'équilibre entre ce droit et d'autres éléments, notamment les besoins des organisations — qui doivent être pris en compte; nous devons innover en même temps — s'il y a un conflit évident, l'un doit prévaloir, et c'est le droit fondamental qui devrait prévaloir. C'est pourquoi il est si important que cela soit inscrit dans la Loi.
J'ai trouvé encourageant que le déclare que telle est désormais l'intention. Il est certain que je le préconise depuis le premier jour.
:
Merci, monsieur le président
Bienvenue, monsieur le commissaire.
Monsieur le commissaire, le 3 octobre, il y a deux ou trois semaines, je crois, vous avez prononcé le discours-cadre à la Conférence sur le Big Data et les Analytiques à Montréal. J'ai eu l'occasion de lire votre allocution. Dans l'une des sections traitant de la réforme du droit et de la réglementation de l'IA au Canada, vous faites référence aux changements apportés à la LPVPC et à la LIAD. Vous dites aussi être encouragé par la présentation du projet de loi et, je paraphrase, par son ton et son orientation. L'une de vos observations porte sur la protection des droits fondamentaux à la vie privée.
À la lecture de votre allocution sur le projet de loi , l'orientation du projet de loi, on voit que vous êtes encouragé.
En fait, j'ai fait une liste. Le ministre a indiqué vouloir en adopter quatre; il en reste donc 11 sur les 15 recommandations proposées. Parmi celles-là, j'ai fait référence à cinq recommandations en particulier, aujourd'hui.
La première, c'est d'avoir les évaluations des facteurs relatifs à la vie privée lorsqu'on fait face à une nouvelle technologie qui peut avoir une incidence importante sur les Canadiens, comme l'intelligence artificielle générative. Cela m'apparaît être une lacune importante dans la Loi. On le fait pour d'autres types de préjudices, mais pas pour les préjudices à la vie privée, et cela me semble contradictoire, à la lumière de ce que nous dit l'OCDE, à savoir que la vie privée arrive en troisième position au chapitre des menaces. Il faut absolument la traiter de façon importante.
J'ai aussi recommandé de faire preuve d'une plus grande transparence en ce qui concerne les décisions qui sont prises par l'intelligence artificielle. Le projet de loi, en ce moment, prévoit le droit à une explication, ce qui existe dans d'autres régimes. Cela dit, ce droit est limité aux décisions qui ont un impact important sur les gens. Je recommande donc de retirer cette condition, afin que, peu importe l'importance de l'impact, on ait droit à cette transparence et on puisse obtenir cette explication si quelque décision nous concernant a été prise.
Dans le domaine de l'intelligence artificielle, les gens sont inquiets. On l'entend de plus en plus. Il faut les rassurer. L'intelligence artificielle présente des avantages importants. Personnellement, je suis convaincu qu'avec une plus grande transparence, on pourrait expliquer aux gens ce que c'est et ce que ce n'est pas; on pourrait leur expliquer qu'ils sont protégés par des régimes rigoureux de vie privée, entre autres.
J'ai également parlé des sanctions administratives pécuniaires. Celles-ci sont utilisées en dernier recours. Je n'y tiens pas parce que je souhaite qu'elles soient imposées — j'espère qu'elles ne le seront pas —. mais j'aimerais que cela motive les décideurs à prendre de bonnes décisions, entre autres. Or il y a une lacune: en ce moment, on ne peut pas avoir de sanctions administratives pécuniaires pour l'une des violations les plus importantes de la Loi, celle de ne pas avoir d'intérêts légitimes. Je pense qu'il est important qu'on puisse tenir compte de cet élément.
Nous avons aussi parlé du fait qu'un grand pouvoir réglementaire est donné au gouvernement, celui de faire des exceptions à la Loi sans avoir à établir la nécessité de ces exceptions. Cela m'apparaît trop large. Il y a même un article dans la Loi qui permet, par règlement, de retirer complètement la Loi. Cela va trop loin et ce doit être corrigé, selon moi.
Finalement, il y a la question du tribunal, qui viendrait ajouter un autre palier d'appel. Cela entraîne des délais et des coûts et la création d'une nouvelle structure. C'est une anomalie par rapport au modèle qu'on trouve au Québec, en Europe et un peu partout. Ma recommandation est la suivante: si on crée ce tribunal, il faut que ce soit un appel direct à la cour d'appel. Comme cela, on ajoute une étape et on en enlève une autre. Il y a également la possibilité de faire en sorte que, comme dans les autres modèles, mon bureau ait l'autorité de donner ces amendes, et que ce soit révisable devant le système de justice ordinaire, comme c'est le cas dans la plupart des systèmes.
:
En ce moment, selon le projet de loi, mon bureau a la possibilité d'émettre des ordonnances.
Je pense que, dans la majorité des cas, on utilisera les ordonnances plutôt que les sanctions administratives pécuniaires. D'ailleurs, le projet de loi réglemente très bien les sanctions en indiquant les facteurs qui doivent être pris en considération. On considère entre autres l'approche et la diligence de l'entreprise, puis le fait que l'entreprise se soit conformée à un projet de certification ou non. La bonne foi de l'entreprise et ses efforts sont vraiment tenus en compte.
On a le pouvoir d'émettre des ordonnances, ce qui est extrêmement important. Je crois que les amendes sont assez élevées, mais, au moyen du pouvoir d'émettre des ordonnances, on peut mettre fin à la pratique et à la collecte d'informations. Ces deux outils sont donc très importants. Évidemment, il y a aussi les outils de persuasion et de négociation. C'est pour cela que nous avons recommandé de pouvoir avoir des ententes d'ordonnance, ce que le ministre a accepté. Cela aussi, c'est très important.
L'approche que je privilégie s'appuie sur le dialogue et sur le fait d'amener les organismes à prendre de bonnes décisions avant d'avoir commis des erreurs.
:
C'est là mon problème avec le gouvernement dans ce dossier. Je ne suis même pas sûr qu'il prend ce projet de loi au sérieux. Nous avons du mal à faire passer des amendements. Il y a le drame que cela soulève. Peut-être recevrons-nous demain les amendements de votre ministère, s'il se conforme à la demande. Je l'ai demandé directement. J'espère que nous pourrons en confier l'examen à nos propres chercheurs et analystes.
À bien des égards, il devient presque théorique de savoir si le Bureau de la concurrence et une entité publique indépendante sont en mesure de défier les conglomérats et les pouvoirs en place à l'avenir. En fait, les 9 millions de dollars sont une goutte dans l'océan, dans le cas de Rogers. C'est une pression sur le Bureau de la concurrence et cela donne clairement froid dans le dos à tous ceux qui s'intéressent aux droits des consommateurs au Canada. En fait, une procédure judiciaire peut essentiellement servir à vous intimider.
C'est bon à savoir. J'avais quelques réserves sur le Tribunal au départ. Si c'est le cas, c'est encore plus odieux.
En ce qui concerne vos 15 recommandations, pourrions-nous passer en revue les cinq recommandations que le a acceptées? Je tiens à ce que ce soit clair pour les personnes présentes. Pouvez-vous nous dire quelles recommandations le ministre a retenues parmi les quinze que vous avez soumises aujourd'hui?
:
Ce serait la priorité absolue, à commencer par la notion d'une évaluation des facteurs relatifs à la vie privée pour l'IA générative. À mon avis, il s'agit d'une lacune majeure.
Si vous prenez la LIAD et si vous examinez les amendements à la LIAD que le propose, vous constatez qu'il est beaucoup question d'atténuation, de détermination et de gestion des risques. C'est absolument essentiel et crucial. Cependant, nous devons le faire pour protéger la vie privée et pour atténuer les préjudices non liés à la protection de la vie privée. J'insiste beaucoup sur ce point.
L'autre recommandation importante, que je qualifierais de priorité absolue, est de veiller à ce que des amendes soient prévues en cas de violation de la disposition relative aux « fins acceptables ». C'est la violation de l'article 12. Il s'agit de la disposition centrale essentielle. C'est en quelque sorte le coeur du projet de loi, mais aucune amende n'est prévue. À mon avis, cela devrait être corrigé. Il suffit de l'ajouter à la liste des manquements.
D'autres lois comparables, comme celle du Québec, par exemple, disent simplement « une violation de la Loi ». Toute la Loi est là. Tout est couvert. Cette approche énumère les infractions et le projet de loi comportait d'autres omissions. Cela a été corrigé dans une certaine mesure, mais il faut poursuivre les corrections.
J'ai parlé de la transparence algorithmique. C'est un élément important, surtout à l'ère de l'IA. Encore une fois, nous pouvons gérer cela en fournissant des orientations à l'industrie, c'est donc réalisable, mais je pense que les Canadiens ont besoin de comprendre ce qui se passe avec leurs données et comment les décisions sont prises à leur sujet. Si nous limitons cela aux questions qui ont une incidence considérable, nous créons des débats et nous limitons la transparence que les Canadiens méritent.
C'est...
:
D'après ce que j'ai compris des commentaires publics, on craint que trop de responsabilités ou trop de pouvoirs soient concentrés dans un seul organisme, à savoir mon bureau. Étant donné qu'on donne le pouvoir de délivrer des ordonnances et des amendes pécuniaires importantes, on se demande s'il n'y aurait pas lieu d'avoir davantage d'équité procédurale.
Je crois qu'on peut répondre à ces préoccupations en disant qu'effectivement, il doit y avoir une équité procédurale plus grande. C'est le modèle qu'on a au Québec et à l'international. Le processus ne peut pas rester le même dans un système où il y a des amendes et des ordonnances. En ce moment, nous avons un système d'enquête où des recommandations sont faites à la fin. L'équité procédurale n'est donc pas la même que celle prévue par ce projet de loi.
Par ailleurs, le projet de loi prévoit un nouveau mécanisme au sein de mon bureau, qui s'appelle les investigations. Cela assure cette équité procédurale et donne le droit aux parties d'être entendues. Ce modèle existe au Québec, en Colombie‑Britannique, en Europe, en Grande‑Bretagne et en France. Le commissaire peut commencer son enquête de façon un peu plus informelle au début, mais, au moment de délivrer des ordonnances ou des amendes, cela devient plus formel et on passe à une deuxième étape. C'est là que se trouve l'équité procédurale.
À mon sens, le fait d'avoir ce système et d'aller directement à la Cour d'appel fédérale par la suite ne serait pas problématique. La Cour suprême a reconnu que la multiplicité des rôles d'un même décideur administratif était acceptable. Évidemment, il faut gérer cela de façon appropriée.
Bref, voilà ma réponse. Je pense que cela vient d'une préoccupation à propos de la concentration des fonctions.
:
Merci, monsieur le président, et merci monsieur le commissaire à la protection de la vie privée.
Je sais qu'il a beaucoup été question aujourd'hui de ce que le a dit et de ce qui s'en vient. Je tiens à ce que ce soit très clair pour ceux qui nous écoutent à la maison: ce projet de loi est très important parce que, pour la première fois depuis une vingtaine d'années, nous composons avec la plus grande quantité de données que les individus, y compris nos enfants, aient jamais eue au grand jour. Nous avons affaire à des données et, bien sûr, dans la deuxième section, à l'IA. Ce n'est pas au ministre d'approuver certains amendements ou de décider ce qu'il veut nous donner. Il revient à ce comité, puis à la Chambre des communes de déterminer comment ce projet de loi, s'il est adéquat, permettra de protéger les Canadiens. Je tiens à le dire très clairement.
À la lecture du projet de loi dans sa forme actuelle, nous pensons que ce gouvernement n'a pas pris la protection de la vie privée au sérieux. Il n'a pas fait de la protection de la vie privée un droit fondamental dans l'énoncé de l'objet de ce projet de loi, ce que d'autres sous-régions du pays, comme le Québec, font déjà.
Je veux parler aujourd'hui d'une partie de ce projet de loi qui confère déjà plus de pouvoirs aux entreprises qu'aux individus. Il s'agit d'un article dont vous avez déjà parlé, je pense, et qui s'intitule « intérêt légitime ».
Monsieur le commissaire, j'aimerais que vous définissiez l'expression « intérêt légitime » dans vos propres mots pour le grand public et les personnes qui nous écoutent. Je sais que vous avez une formation en droit. C'est votre quatrième recommandation. Je voudrais que vous expliquiez comment ce projet de loi continue à permettre au gouvernement de faire des exceptions à la loi en prenant des règlements, sans qu'il doive prouver que ces exceptions sont nécessaires.
:
Je remercie M. Dufresne et son équipe de leur présence. Je suis heureux d'entendre votre témoignage. Lorsque je siégeais au comité de la procédure et que j'ai eu l'occasion de travailler avec vous et votre bureau, je vous ai toujours trouvé très serviable et très bon communicateur. Je vous en remercie. J'apprécie votre expertise. Vous apportez beaucoup à cette conversation, et c'est très important.
Nous voulons renforcer ce projet de loi et continuer à le renforcer tout au long de ce qui sera, je l'espère, une relation de travail collaborative pour nous tous.
Bien entendu, l'une de mes principales préoccupations concerne les droits des enfants. Je sais que vous en avez parlé et que vous avez écrit à ce sujet. Comme nous le savons, de nombreux enfants sont aujourd'hui immergés dans le monde numérique. Je peux parler d'expérience. Ma fille de 11 ans cache des appareils, utilise de nombreuses applications et télécharge des choses. Des fenêtres contextuelles s'affichent et elle fait parfois des achats. Des données sont recueillies sur ses préférences, et cela me préoccupe vraiment. Je pense que cela préoccupe beaucoup de Canadiens en ce qui concerne les données des enfants et la protection de leur droit à la vie privée.
Existe‑t‑il actuellement au Canada des lois qui aident à protéger la vie privée des enfants en ligne? C'est ma première question, et j'en aurai une autre dans un instant.
:
En ce qui concerne les lois en vigueur en matière de protection de la vie privée, nous avons donné des orientations sur la manière d'obtenir un consentement valable. Nous y exposons certains éléments qui devraient être pris en compte dans le contexte des enfants.
Mes collègues fédéraux, provinciaux et territoriaux et moi-même avons récemment publié une déclaration, une résolution, sur la protection de la vie privée des jeunes. Elle donne des exemples de choses à faire et à ne pas faire avec les données des enfants, elle les encourage à ne pas prendre de mauvaises décisions et elle reconnaît qu'ils sont plus vulnérables.
Dans une certaine mesure, nous pouvons interpréter la loi pour protéger les enfants, mais nous devons faire plus, et ce projet de loi est un point de départ. La version initiale du projet de loi comporte désormais une reconnaissance, et je reconnais le mérite du à cet égard. Cette reconnaissance figurait dans la version initiale du projet de loi , telle qu'elle a été déposée — à savoir que les renseignements de mineurs seraient considérés comme étant de nature sensible. Cela a des répercussions dans plusieurs domaines, par rapport aux droits de disposition, etc.
Nous en avons tenu compte et, dans nos recommandations, nous avons recommandé d'aller encore plus loin en soulignant l'intérêt supérieur de l'enfant dans le préambule du projet de loi, de sorte qu'en cas de doute, aux fins d'interprétation, on puisse s'y référer. Le a dit qu'il était d'accord et a suggéré d'aller plus loin en incluant la situation particulière des enfants dans l'article 12 proposé sur l'interprétation des fins acceptables. Il s'agit d'une amélioration supplémentaire à laquelle je souscrirais certainement. Nous voyons des observations de cet ordre dans le contexte européen avec le considérant 38 du RGPD, qui souligne que les enfants méritent une protection spéciale. C'est ce que l'UNICEF a dit.
Nous savons que nos enfants sont des citoyens numériques. Ils passent du temps en ligne dans tous les aspects de leur vie, y compris à l'école. Nous l'avons certainement constaté davantage pendant la pandémie. Il est important que la loi les protège suffisamment et les protège en tant qu'enfants. Nous devons assurer l'intérêt supérieur de l'enfant. Il faut que les enfants puissent être des enfants dans ce monde, qu'ils soient protégés et qu'ils ne subissent pas de conséquences plus tard, lorsqu'ils seront adultes, pour des choses qu'ils ont faites en ligne. Il y a des améliorations à cet égard, et j'y souscris certainement.
:
Le projet de loi doit empêcher cela dans la même mesure que la Loi actuelle. Comme vous le savez, mon bureau a enquêté sur cette affaire. Nous avons conclu que Tim Hortons avait enfreint la Loi sur la protection de la vie privée en recueillant plus de données que nécessaire et en ne faisant pas preuve de transparence en ce qui concerne l'utilisation de ces données.
Nous voyons ces situations et nous avons formulé des recommandations et des conclusions. Le projet de loi sera plus utile que la Loi actuelle, car il prévoira des obligations plus explicites par rapport à l'explication du consentement — afin que le consentement soit expliqué d'une manière plus compréhensible. Il est également possible que mon Bureau rende des ordonnances et que des amendes soient infligées.
Dans le cas de Tim Hortons, je pense que l'entreprise a suivi les recommandations. Dans la décision que j'ai rendue l'an dernier dans l'affaire de Home Depot, où j'ai constaté une violation de la vie privée, l'entreprise a accepté la recommandation. Toutefois, ce ne sera pas toujours le cas, et il faut donc disposer de ces outils d'application de la loi — non pas pour les utiliser, espérons-nous, mais pour obtenir ces résultats plus rapidement et de manière proactive.
:
Oui, absolument. Le recours aux bacs à sable est une bonne pratique. Nos collègues britanniques ont une pratique avancée à cet égard. Dans le contexte de l'intelligence artificielle, entre autres, cela permet à l'industrie de tester l'information et les méthodes dans un environnement sécuritaire.
Évidemment, notre bureau a besoin de ressources pour mettre en place un bac à sable. Le projet de loi prévoit certains éléments qui ne vont pas aussi loin qu'un bac à sable, mais qui demandent à mon bureau de donner des avis à l'industrie, au besoin. Ce sera important, surtout pour les petites et moyennes entreprises. Encore là, il faut des ressources. Le projet de loi prévoit aussi l'approbation de codes de pratique ou de programmes de certification.
Ce sont toutes des mesures proactives et préventives. Ma recommandation sur les évaluations des facteurs relatifs à la vie privée en est une autre, ainsi que les programmes de gestion de la protection de la vie privée. C'est cela, l'approche. Les organisations doivent le faire au départ et investir les ressources nécessaires.
Toutefois, un rapport de l'Organisation de coopération et de développement économiques, l'OCDE, a sondé les chefs d'entreprises et les juristes pour leur demander à quels défis ils faisaient face, pas tant en matière d'intelligence artificielle, mais plutôt sur le plan du commerce international, et ils disaient qu'il était parfois difficile de savoir où investir leurs ressources, parce que certains de leurs investissements ne leur apportaient pas de bénéfice juridique ou que ce n'était pas très clair.
Alors, même si on veut mettre en place un bac à sable par bonne volonté, il peut être difficile pour les dirigeants d'entreprises de convaincre les actionnaires de le financer. Une obligation juridique aiderait les entreprises, puisqu'elles se diraient non seulement que c'est la chose à faire, mais qu'en plus, la loi le leur demande. C'est la même chose dans le cas des évaluations des facteurs relatifs à la vie privée.
Par ailleurs, j'aime beaucoup les programmes de certification que propose le projet de loi . Ce modèle existe en Europe et incite essentiellement les entreprises à créer de tels programmes et à les faire évaluer par le commissaire. Si elles le font et respectent le processus, cela va les aider en cas de plainte, puisqu'elles auront démontré leur bonne foi et leur proactivité. Cela peut même limiter l'imposition d'amendes.
Tout cela oriente les incitatifs dans la bonne direction. Les incitatifs sont extrêmement importants. On veut encourager l'innovation et on veut encourager le Canada à se distinguer. Il faut donc à la fois prévoir des amendes dans les cas problématiques et récompenser et souligner les bons comportements. Cela va de pair.
Ce que j'aime du mandat de mon bureau, c'est la promotion et la protection. Il ne s'agit pas seulement de dire aux gens, après le fait, qu'ils n'ont pas agi adéquatement. Il faut travailler main dans la main pour que ce soit fait dès le début.
:
Nous avons beaucoup de discussions, surtout avec la FTC aux États-Unis, qui a compétence en matière de droit antitrust. C'est l'équivalent de notre Bureau de la concurrence. Dans ce contexte, elle s'occupe aussi de la protection de la vie privée.
Il n'y a pas de cadre législatif national sur la protection de la vie privée aux États-Unis à l'heure actuelle. Des projets ont été présentés au Congrès en ce sens, mais ils ne cheminent pas. La Californie a son propre modèle et dispose de mécanismes innovants pour protéger la vie privée. À l'échelle nationale, il n'y a pas d'équivalent aux États-Unis.
Nous sommes en discussion étroite avec ces collègues au sujet de l'IA. En fait, lorsque j'étais au Japon en juin dernier, nous avons publié une déclaration sur l'IA générative. Elle émanait de tous les commissaires à la protection de la vie privée du G7 et, pour les États-Unis, de la FTC. Nous avons souligné quelques éléments dans cette déclaration. Nous avons souligné que des lois s'appliquent à l'IA en matière de la protection de la vie privée et qu'elles doivent être appliquées et respectées. Nous y insistions aussi sur la nécessité de procéder à des évaluations des facteurs relatifs à la vie privée. Nous devons avoir une culture de protection de la vie privée lorsque nous traitons de l'IA générative, car dans de nombreux cas, elle est fondée sur des renseignements personnels.
Il y a beaucoup d'échanges dans ce domaine. Je pense que le consensus consiste à faire en sorte que nos citoyens sont conscients que, oui, l'IA évolue rapidement, mais que nous avons des lois en matière de protection de la vie privée pour protéger les citoyens.
:
Oui, nous travaillons très étroitement avec l'Europe, avec le G7 et avec la communauté internationale.
J'ai participé à une réunion de l'Assemblée mondiale de la protection de la vie privée pas plus tard que la semaine dernière pour parler des utilisations éthiques de l'IA et insister sur la nécessité de disposer de protections solides et proactives de la vie privée.
Pour en revenir à la collaboration avec le G7, nous avons travaillé en étroite collaboration et publié une déclaration sur l'IA. J'ai été heureux de voir cette déclaration citée dans le code volontaire publié par le ministère de l'Industrie pour traiter de l'IA, pour rappeler aux organisations que nous avons des lois qui s'appliquent et qui doivent être respectées.
Toutefois, dans ce nouveau projet de loi, c'est la raison pour laquelle je souligne que nous devons absolument nous assurer que des évaluations protectrices et proactives des facteurs relatifs à la vie privée y figurent, et qu'elles constituent une obligation légale. À l'heure actuelle, dans le secteur public, il n'y a pas d'obligation d'évaluer les facteurs relatifs à la vie privée. C'est une politique du Conseil du Trésor. Souvent, nous constatons que si ces évaluations sont réalisées, elles le sont après coup. Il est donc important d'avoir cette obligation légale.
Je peux vous dire que la communauté internationale accorde beaucoup d'attention à l'IA, tout comme les ministres du G7. Comme vous l'avez dit, les débats se poursuivent aux États-Unis, mais on insiste certainement sur le fait qu'on ne peut pas séparer la vie privée de l'IA. Pour protéger l'IA, pour traiter avec l'IA, pour avoir des garde-fous, il faut de solides protections de la vie privée.
:
Merci, monsieur le président.
Je remercie également les témoins.
Monsieur Dufresne, le nouveau projet de loi libéral sur la protection de la vie privée a été présenté il y a 18 mois. Cependant, il était resté sur les tablettes pendant un an, avant que les libéraux le présentent à la Chambre. Si j'ai bien compris ce que vous avez dit plus tôt, en tant que commissaire à la vie privée, vous n'avez pas eu l'occasion de commenter le projet de loi, puisque vous êtes entré en fonction au moment du dépôt du projet de loi. Cela dit, votre bureau a eu l'occasion de faire des commentaires sur le projet de loi.
Aujourd'hui, vous nous avez dit que vous aviez émis 15 recommandations. Pour sa part, le ministre a proposé huit amendements, dont vous n'avez pas vu les textes, pas plus que nous, d'ailleurs. Aujourd'hui, on vous pose des questions sur une version du projet de loi qui est loin d'être la dernière.
Au cours des délibérations que nous aurons au cours des prochains mois, prévoyez-vous être en mesure de nous donner un avis sur les futurs textes de loi que contiendront les amendements des libéraux? Cela nous permettrait de faire une évaluation et de connaître la vôtre quant au texte du projet de loi. De toute évidence, c'est loin d'être la version définitive.
Par ailleurs, selon vous, comment se fait-il que le ministre n'ait retenu que la moitié de vos propositions? En fait, il a retenu quatre ou cinq propositions des quinze que vous aviez faites. Comment se fait-il, à votre avis, qu'il n'en ait pas retenu davantage?
:
Ce que je peux dire, c'est que j'ai vu ce qui est proposé dans la lettre. Ultimement, il faudra certainement voir les amendements, afin de savoir à quoi ressemblera le texte.
Par contre, je peux vous donner mon avis sur ce qui n'est pas dans la lettre.
Le ministre a parlé de quatre éléments au sujet desquels il a dit être prêt à faire un pas. J'ai parlé de celui sur la vie privée, en disant que, tel que c'est décrit jusqu'à présent, cela me semble certainement se rapprocher de ma recommandation. C'est aussi le cas pour ce qui est de la protection de la vie privée des enfants, mais il faudra voir le libellé. Quant à la question des ententes volontaires, il y a moins de détails à cet égard. Je trouve donc plus difficile de dire que je suis satisfait de tous les détails, puisque je ne les ai pas tous vus. Enfin, il y a la question de la coopération entre les autorités réglementaires en réponse à l'une de nos recommandations.
Tout à l'heure, on parlait de la Commission fédérale du commerce des États‑Unis. En vertu de la Loi, mon bureau peut collaborer avec cette commission sur des enquêtes conjointes — on l'a déjà fait, par le passé —, mais on ne peut pas en faire autant avec le Bureau de la concurrence du Canada. Il me semble paradoxal que je puisse collaborer davantage avec d'autres pays qu'avec mon propre pays. Il s'agit d'un élément qu'il va falloir régler, parce qu'il y a de plus en plus des chevauchements entre la vie privée, les droits de la personne, le droit à la concurrence et le droit d'auteur. On le voit certainement dans le contexte de l'intelligence artificielle, mais pas seulement là. La collaboration est parfois bénéfique pour tout le monde, c'est-à-dire pour les Canadiens et les Canadiennes ainsi que pour l'industrie.
J'ai quand même déposé huit autres recommandations auxquelles le ministre n'a pas signalé son accord. Je vous fais tout de suite part de ces recommandations, parce qu'il n'y a rien sur la table concernant...
:
C'est parfait. Merci, monsieur le président, et merci, monsieur le commissaire.
La législation canadienne sur la protection de la vie privée a 20 ans. Au cours de cette période, Facebook a vu le jour, l'iPhone a été lancé. Les médias sociaux se sont répandus. Il est très inquiétant de constater que nous n'avons pas fait de mise à jour depuis 20 ans.
Je fais partie de la génération qui était très jeune à l'époque du lancement de Facebook, entre autres. Je pense que des personnes — je ne fais pas partie de cette catégorie, soit dit en passant; j'étais très prudent — ont publié des renseignements qu'elles ne souhaitaient peut-être pas publier, surtout en y repensant après coup.
Nous savons que le nouveau texte de loi prévoit un élargissement des renseignements personnels dont les personnes peuvent demander l'élimination. Que couvrent les lois actuelles et comment le projet de loi renforce‑t‑il la capacité des Canadiens à faire éliminer leurs renseignements personnels?
:
Les organisations ont l'obligation de préparer de manière proactive des programmes de gestion de la vie privée et de communiquer certains renseignements à leur sujet. S'il s'agit de renseignements en ligne, l'idée est que vous les verrez en ligne, mais les organisations ont l'obligation de les rendre aussi conviviaux... Évidemment, si des organisations voient des renseignements les concernant et qu'elles ont des difficultés à les trouver, elles peuvent communiquer avec mon bureau et nous pouvons les aider à voir ce qui se passe.
Cela touche à la question de la transparence et à la nécessité de veiller à ce que les Canadiens puissent comprendre ce qui se passe, car tout le monde n'est pas expert en technologie, alors que nous vivons une vie très numérique. Comprendre ce qui se passe, certainement en ce qui concerne l'IA, la notion de décideurs algorithmiques et...
Nous entendons beaucoup de commentaires à ce sujet. Nous sondons les Canadiens et nous constatons qu'ils sont préoccupés par la protection de leur vie privée. Je pense qu'une partie de la solution réside dans la communication, en veillant à ce que les Canadiens puissent comprendre la situation, connaître les institutions qui les protègent, leurs droits et l'usage qui est fait de leurs renseignements. Parfois, nous pouvons avoir une impression plus négative que la réalité.
C'est pourquoi je recommande une grande transparence. Dans le projet de loi actuel, les organisations qui prennent des décisions en matière d'IA concernant les Canadiens — si elles ont une grande incidence — doivent expliquer de manière proactive les processus généraux de ces décisions. Elles doivent aussi répondre aux questions en cas de demandes, mais uniquement si la décision a une grande incidence sur les Canadiens.
Je recommande que si un Canadien demande une explication, il la reçoive, même si elle n'a pas une grande incidence sur lui. Elle a toujours une incidence sur lui. Les Canadiens veulent savoir ce qui se passe. Je pense qu'il est bénéfique pour les Canadiens de comprendre l'utilisation de leurs données.
:
C'est très bien. Je vous remercie.
Mon collègue, M. Turnbull, a posé une question sur le cas de Tim Hortons et la façon dont l'application suivait les données.
Le scénario auquel je veux faire référence est fréquent. Je suis dans une pièce, et un appareil peut s'y trouver, et je parle d'un certain produit avec mon ami. Je vais dans l'autre pièce, où se trouve mon ordinateur, je vais en ligne et je vois une publicité pour ce même produit. Il peut s'agir d'un produit très précis à cette occasion, de sorte qu'on ne s'attendrait pas normalement à voir cette publicité apparaître.
Que fait ce projet de loi pour protéger les Canadiens contre cela? Quelles sanctions les entreprises peuvent-elles encourir si elles ne se conforment pas à ces nouvelles lois?
:
Cela soulève toute la question du consentement à être suivi et de la protection de la vie privée par défaut. Que font les organisations, et que vous disent-elles à propos de ces dispositions par défaut? À mon avis, les dispositions par défaut devraient viser la protection de la vie privée, surtout lorsqu'il s'agit de mineurs. Il faut s'assurer que ces protections sont en place, que vous les comprenez et que vous pouvez demander... Encore une fois, c'est une question de transparence. Votre exemple est parfait. Vous voyez cette annonce et vous voulez savoir pourquoi vous la recevez. Il s'agit de pouvoir obtenir cette explication et de comprendre si vous avez consenti à cela et comment votre consentement est interprété.
C'est ce que nous avons constaté dans certaines enquêtes menées par mon bureau, qu'il s'agisse de Tim Hortons, de Home Depot ou, plus récemment, de Postes Canada. C'est le sentiment que les Canadiens ne connaissent pas l'utilisation qui est faite de l'enseignement, et il y a parfois un décalage entre ce que les organisations croient que les Canadiens acceptent et comprennent, et la réalité.
Cette transparence que l'explication... Je le répète, ce sont les évaluations des facteurs relatifs à la vie privée et la consultation de mon bureau qui vous permettent d'acquérir ces réflexes. La protection de la vie privée est une priorité. Ce n'est pas quelque chose que l'on fait après coup. Vous êtes en train de concevoir et de réfléchir. Vous devez penser à l'innovation, c'est vrai, mais les deux ne s'excluent pas mutuellement.
Lorsque j'ai été nommé, j'ai dit que la vie privée est un droit fondamental, sans être un obstacle à l'innovation. Elle n'est pas un obstacle à l'intérêt public. Nous pouvons avoir les deux. Les Canadiens méritent d'avoir les deux et des outils comme celui‑ci aideront les organisations à bien faire les choses, surtout les petites et les moyennes entreprises.
:
Merci, monsieur le président, et merci aux témoins.
La dernière fois que je me suis adressé à vous, j'ai présenté une motion visant à obtenir certaines réponses sur les raisons pour lesquelles le gouvernement a présenté un projet de loi défectueux. Je pense que nous avons obtenu des résultats et que nous constatons aujourd'hui une certaine productivité: une partie de cette information a été fournie, et je peux constater qu'elle vous a été très utile à vous aussi, monsieur Dufresne, ce qui est positif.
Certains de mes collègues ont déjà évoqué les changements dont le a parlé concernant l'article 12 du projet de loi. J'aimerais m'y attarder très brièvement.
Cependant, tout d'abord, si je comprends bien, lorsque la version actuelle du projet de loi, qui est défectueuse, sera amendée, nous verrons une définition du droit des enfants à la protection de la vie privée. Est‑ce exact?
:
Il est indispensable de faire en sorte que les petites et moyennes entreprises puissent respecter le régime, absolument. Le projet de loi prévoit un rôle d'orientation pour mon bureau. Il prévoit la possibilité de participer à des programmes de certification et à des codes de pratique. C'est un aspect qui doit être pris en compte. C'est en tout cas une chose à laquelle je porte grande attention.
En ce qui concerne la concurrence et la protection de la vie privée, il y a là un exemple de recoupement entre la concurrence et la protection de la vie privée. Il faut veiller à ce que la protection de la vie privée ne nuise pas à la concurrence, et vice versa. Nous avons fait des recommandations au Parlement et au ministère sur l'examen du droit de la concurrence, afin de nous assurer que vous traitez ce que nous appelons les « modèles sombres », qui sont une utilisation manipulatrice du langage et des outils psychologiques pour inciter les individus à faire de mauvais choix, que ce soit du point de vue de la protection de la vie privée ou de celui de la concurrence.
C'est pourquoi, au cours des derniers mois, mes collègues — le commissaire à la concurrence et le président du CRTC — et moi-même avons créé un forum des autorités de réglementation du numérique. Nous travaillons ensemble pour cerner les points de connexion et d'interopérabilité. Il existe des groupes similaires à l'échelle internationale. Pour l'instant, au cours de notre première année d'existence, nous nous concentrons sur l'IA et nous nous efforçons d'être à la pointe de ces nouvelles choses.
C'est pourquoi ma 15e recommandation est d'étendre la capacité de mon bureau de collaborer avec des régulateurs comme ceux‑ci, en particulier dans le contexte des plaintes. Actuellement, je ne peux pas le faire avec mes collègues canadiens, mais je peux le faire avec mes collègues internationaux.
:
Il faut s'assurer que la loi tiendra la route malgré l'évolution rapide de la technologie, voire avec celle-ci. On parle beaucoup de l'intelligence artificielle générative, en ce moment. Dans un an, ce sera encore plus puissant. Ce sera peut-être autre chose, qui sait? Il faudra donc que la loi soit en mesure de s'y adapter. C'est pourquoi le projet de loi contient des principes et ne parle pas de l'intelligence artificielle générative de façon précise, par exemple, mais plutôt de décisions automatisées. Il faut que les définitions englobent tout cela et qu'il y ait une flexibilité qui permette au gouvernement d'établir des règlements et à mon bureau d'établir des lignes directrices pour qu'on puisse s'adapter aux nouvelles technologies.
La recommandation que nous faisons sur les évaluations des facteurs relatifs à la vie privée est très importante à cet égard. Chaque fois qu'on développe quelque chose, il faut documenter cela, évaluer les risques et faire des consultations, justement pour devancer ces technologies. C'est une de mes priorités, avec la protection de la vie privée des enfants. Il faut suivre l'évolution de la technologie. C'est une mesure qui permet de le faire.
Une autre de nos recommandations porte sur l'information dépersonnalisée. On définit l'information dépersonnalisée de façon un peu trop large, selon moi, notamment en français. Cette définition doit être très stricte, parce qu'elle limite les obligations juridiques. Dans ces définitions, nous devons aussi tenir compte du risque de « repersonnalisation ». Le projet de loi dit qu'on peut en faire davantage avec une information dépersonnalisée et que, si elle est anonymisée, la loi ne s'applique pas du tout. Il y a donc une grande responsabilité qui vient avec cela. Il faut que ces définitions soient strictes.
Sur la question des informations dépersonnalisées, j'ai recommandé qu'on tienne compte du risque de « repersonnalisation », parce que la technologie évolue. Si une information est dépersonnalisée aujourd'hui, mais que, dans deux ou trois ans, avec la technologie, on est capable de savoir de nouveau à qui elle est liée, on revient au point de départ. Il faut que cela puisse évoluer avec le temps.
:
Ce serait en fait le modèle qui existe au Québec et qui existe à l'échelle internationale. En fait, le RGPD — qui, comme vous le savez, est le règlement qui s'applique à l'Union européenne — stipule que les autorités responsables de la protection des données, qui seraient les commissaires à la protection de la vie privée, ont le pouvoir d'imposer des amendes. Dans le considérant, dans la description, il est question du pouvoir des autorités responsables de la protection des données d'imposer des amendes, et celles‑ci sont généralement contrôlées par les tribunaux. Ils citent l'Estonie et le Danemark comme exceptions, où ils doivent demander aux tribunaux d'imposer des amendes en raison de la spécificité de leurs structures juridiques.
La CAI, qui est mon homologue au Québec, a la capacité d'imposer des amendes. Celles‑ci peuvent faire l'objet d'un examen par le système judiciaire normal. S'il n'y avait pas de tribunal, cela pourrait fonctionner de la même manière. Le projet de loi , tel qu'il est rédigé, crée déjà un processus plus formel pour mes décisions. Il prévoit que les enquêtes se déroulent en amont. Vous essayez de résoudre les problèmes. Si vous n'y parvenez pas, l'affaire fait l'objet de ce que l'on appelle une enquête, et j'aurai l'obligation, en vertu de la loi, d'adapter les codes de pratique et de consulter l'industrie. L'équité procédurale doit être un élément de ce processus et, en fin de compte, ces décisions, si vous choisissez en tant que Parlement de conférer à mon bureau le pouvoir d'imposer des amendes directement, pourront faire l'objet d'un examen par la Cour fédérale suivant la procédure normale de révision judiciaire. C'est certainement une option.
Par ailleurs, si la décision est de créer un nouveau tribunal, je recommande que si nous ajoutons un palier de contrôle, nous en supprimions un, de sorte que l'affaire soit renvoyée directement à la Cour d'appel, faute de quoi il y aura des coûts.
:
Merci, monsieur le président, et merci, monsieur le commissaire.
Nous avons discuté plus tôt du fait que le préambule n'a pas de valeur juridique, qu'il s'agit d'une déclaration d'intention qui, une fois adoptée, ne figure pas dans la loi au Canada. La section relative à l'objectif est donc très importante. Vous venez de dire, en réponse à d'autres questions, que si vous mettez « droit fondamental » et le mot « et », « et » est là pour faire contrepoids, mais ce n'est pas grave. Le « droit fondamental » reste proéminent.
J'irai dans une autre direction à ce sujet. Supposons que ce soit correct. Les libéraux introduisent dans ce projet de loi un concept de protection de la vie privée, le concept d'intérêt légitime, l'intérêt légitime pour l'entreprise — la grande entreprise et son intérêt légitime à utiliser les données d'une personne sans la permission de le faire —, avec l'autorisation de les utiliser même si cela cause un préjudice à l'individu.
Je dirais que l'article 18 proposé, qui introduit ce concept, n'accorde pas à la vie privée de l'individu une importance primordiale. L'article 18 proposé rend en fait les intérêts commerciaux plus importants, parce qu'une grande entreprise peut ignorer si vous lui avez donné la permission ou non. Elle peut ignorer si les renseignements utilisés vont vous nuire ou non pour ses propres intérêts légitimes, qui ne correspondent pas toujours à ceux d'un individu.
Ne convenez-vous pas que le « et » donne beaucoup plus de poids à ce pouvoir dans l'article 18 proposé, lui permettant d'ignorer s'il s'agit ou non d'un droit fondamental?
:
Cela enlève le pouvoir au Parlement et laisse aux bureaucrates le soin de décider quelle est la liste, car c'est là que les règlements sont élaborés.
Je dirais également que les libéraux édulcorent encore plus cette question. Si l'on examine la façon dont le consentement exprès est décrit à l'article 15 proposé... Pour ceux qui nous regardent, le consentement exprès signifie que je dois vous donner la permission d'utiliser mes données. Les libéraux ont conçu un certain nombre de dispositions échappatoires au consentement exprès qui permettent aux entreprises de le contourner. Ces dispositions échappatoires à l'article 18 proposé leur permettent de le contourner.
Aussi, le paragraphe 12(4) proposé, dans l'objet du projet de loi, stipule que lorsqu'une entreprise a besoin d'utiliser les renseignements d'une personne pour un nouvel usage, elle n'a pas besoin d'obtenir la permission de la personne. Il lui suffit de les enregistrer quelque part. Il n'est pas nécessaire d'obtenir le consentement de la personne si l'entreprise les utilise à d'autres fins.
Comme nous le savons, ce domaine évolue rapidement. J'ai obtenu le consentement d'une personne il y a cinq ans. Je décide d'utiliser ses données d'une autre manière. Il me suffit de les enregistrer quelque part. Je n'ai même pas besoin de dire à la personne que je les utilise. Il s'agit d'une nouvelle dilution de la protection de la personne en tant que droit fondamental, qui donne beaucoup plus de pouvoir à l'utilisateur... Si l'on ajoute à cela les articles 18 et 15 proposés, les exceptions, et le paragraphe 12(4) proposé, cela donne un pouvoir énorme à une entreprise qui peut faire ce qu'elle veut avec les données d'une personne sans sa permission.
:
Merci, monsieur le commissaire.
La conversation d'aujourd'hui est très intéressante. J'aime vraiment toutes les questions et l'engagement positif ici. Je pense que c'est une très bonne chose pour ce travail et cette loi.
Je voudrais revenir sur une question que j'ai commencée et que je n'ai pas tout à fait terminée.
Je déduis que le projet de loi et la lettre d'information au qui fournit des détails, introduisent de nouvelles obligations pour les organisations et les entreprises. Ils confèrent également à votre bureau et à vous-même de nouveaux pouvoirs, ce qui me semble positif.
L'une des questions que je me pose constamment lorsque je réfléchis au travail qui vous attend, une fois que nous aurons, je l'espère, adopté ce projet de loi et qu'il aura été renforcé à bien des égards, est de savoir si la détection des cas de non-conformité est suffisante. Il me semble qu'il doit être difficile de détecter les personnes qui ne respectent pas les obligations supplémentaires ajoutées dans le projet de loi .
Pouvez-vous nous dire comment vous allez procéder? Je sais que vous l'avez mentionné dans votre réponse à la dernière question à propos des ressources supplémentaires nécessaires. Je suis certain que cela en fait partie, mais pourriez-vous nous dire comment vous allez détecter les cas de non-conformité?
Il est certain que les ressources sont un aspect du tout, parce qu'il faut un certain nombre de choses, que ce soient des audits, des programmes de certification, des conseils ou des communications, pour s'assurer que les Canadiens peuvent nous signaler des choses. Il y a aussi l'aspect technologique. Nous avons au CPVP un laboratoire technique où nous essayons de rester à la pointe des progrès technologiques, et il sera important d'obtenir ces ressources, cette expertise et cette compréhension. Tous ces outils, combinés aux aspects conformité et demande de renseignements, comportent suffisamment d'obligations qui me permettent de demander à voir certains renseignements sur les organisations ou leurs programmes de gestion de la protection de la vie privée.
Il est certain que nous devrons mettre en place quelque chose pour ne pas être en mode réactif et être au courant de ce qui se passe. Je dois dire que nous avons de bons engagements avec les représentants de l'industrie et du monde universitaire. Je pense que cela se poursuivra, tant au Canada qu'à l'étranger, nous permettant de déceler les tendances et les préoccupations et d'agir en conséquence.
:
Je n'essaie pas de vous donner des munitions pour demander encore plus de fonds, mais je soupçonne qu'il y a beaucoup d'activités en ligne et beaucoup de données recueillies, et je soupçonne qu'il serait très difficile d'essayer de surveiller et de détecter toute violation des obligations prévues par le projet de loi . Avec tout le respect que je vous dois, je pense que vous aurez du pain sur la planche à l'avenir. Je ne vous envie pas cela, mais je reconnais l'ampleur du travail qui sera entrepris.
Je vais peut-être m'arrêter là pour le moment.
J'ai encore une ou deux questions à poser. À l'inverse — et je pense que mon collègue M. Van Bynen a posé quelques questions à ce sujet —, y a‑t‑il un risque d'aller trop loin? Par « aller trop loin », je veux dire qu'avec cette loi, et le débat que nous avons, nous pourrions aller un ou deux pas trop loin et entraver tous les avantages positifs que les Canadiens retirent de l'utilisation des outils en ligne?
Les données recueillies ont amélioré nos vies de bien des façons. Il y a un certain équilibre à trouver entre l'innovation et la protection de la vie privée, dont vous avez déjà parlé. Je suppose que je voudrais savoir précisément si vous voyez un risque à aller trop loin. Nous avons vraiment parlé de l'aspect diamétralement opposé, celui de ne pas aller assez loin en ce qui concerne les droits à la vie privée. Si nous allons trop loin, nous pourrions également étouffer l'innovation. Êtes-vous d'accord avec cela et y a‑t‑il un risque?
:
Nous devons trouver un équilibre, mais nous devons nous rappeler que ce qui est en cause est un droit fondamental, et nous devons donc partir de ce principe. Nous devons nous assurer que nous protégeons le droit fondamental à la vie privée, parce qu'il est au cœur de notre identité en tant que société et en tant qu'individus.
Mais nous devons absolument le faire d'une manière qui soutient l'innovation. Nous devons le faire d'une manière qui rend le Canada concurrentiel et lui permet d'oeuvrer sur la scène mondiale et d'y faire des échanges commerciaux.
La bonne nouvelle, en ce qui concerne la protection de la vie privée, c'est qu'elle nous donne en fait des avantages économiques à bien des égards, certainement en ce qui concerne l'Europe et le fait d'être reconnus par ce système comme offrant des degrés adéquats de protection de la vie privée. Ce n'est pas seulement bon pour la vie privée, c'est bon pour le commerce, car cela offre à nos entreprises de meilleures possibilités d'échanges commerciaux avec l'Europe.
Il y a des avantages à cela, mais nous devons absolument nous en assurer, et vous devez entendre l'industrie. J'ai entendu l'industrie. J'ai de bons dialogues avec ses représentants. Ils n'adoptent pas toujours la même position que moi, et ce n'est pas grave. Cependant, je peux vous dire que nous avons des débats et des échanges réguliers. Ils viendront devant vous et ils ont un point de vue valable à apporter.
J'étais en quelque sorte en train d'en arriver là, ce qui est intéressant. Avec tout le respect que je vous dois, je dirais... En tant que commissaire à la protection de la vie privée, défendant le droit fondamental à la vie privée, il me semble que vous pourriez naturellement être enclin à soutenir un seul côté de ce débat. Je perçois que vous reconnaissez certainement le côté de l'innovation et de l'industrie, qui, dans un certain sens, est la responsabilité du .
Il peut aussi y avoir un revers à la médaille. Ces parties prenantes de l'industrie exprimeraient leur position quant aux limites à ne pas dépasser et aux avantages qui sont également très importants dans le cadre de ce travail. Je tenais à le préciser.
Avec tout le respect que je vous dois, j'espère que nous pourrons continuer à collaborer activement au fur et à mesure que nous avançons. Je n'en attendais pas moins, car c'est ce qui s'est passé jusqu'à présent dans nos relations de travail.
Je vous remercie de votre présence aujourd'hui. Je reconnais, avec respect et reconnaissance, la grande valeur de votre témoignage.