INDU Réunion de comité

     Je déclare la réunion ouverte.

    Bonjour à tous et à toutes. Bienvenue à la 91^e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.

    La réunion d'aujourd'hui se déroule sous forme hybride, conformément au Règlement. Conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives connexes à d'autres lois.

    J'aimerais souhaiter la bienvenue à nos témoins d'aujourd'hui. Nous avons, à titre personnel, David Fraser, associé chez McInnes Cooper. Par vidéoconférence, nous accueillons Éloïse Gratton, associée et cheffe nationale, Respect de la vie privée et protection des renseignements personnels chez BLG. Elle a brièvement été ma professeure à l'Université de Montréal et c'est un plaisir de la revoir. Nous recevons également Daniel Therrien, avocat et ancien commissaire à la protection de la vie privée du Canada. De plus, du Canadian Anonymization Network, nous avons Adam Kardash, associé, et Khaled El Emam, professeur, qui se joignent à nous par vidéoconférence.

    Je vous remercie tous d'être des nôtres.

    Comme nous avons un bon panel pour continuer l'étude du projet de loi C‑27, sans plus tarder, je cède la parole à M. Fraser pour cinq minutes.

    Merci beaucoup, et merci de m'avoir gentiment invité à comparaître devant ce comité pour contribuer à son importante étude du projet de loi C‑27.

    Je suis un partenaire dans un cabinet d'avocats privé où je pratique le droit de la protection de la vie privée depuis 22 ans. La plupart de mes activités consistent à conseiller les entreprises internationales sur la façon de se conformer aux lois canadiennes en matière de protection de la vie privée. Le plus souvent, elles essaient de faire en sorte que leurs programmes de protection de la vie privée, qu'elles ont élaborés dans des pays en Europe ou en Californie, fonctionnent au Canada. Je conseille également les entreprises canadiennes, grandes et petites, sur le respect des lois. Je conseille régulièrement des organisations dans le cadre d'enquêtes et de rencontres avec le Commissariat à la protection de la vie privée du Canada et ses homologues provinciaux.

    Je suis ici à titre personnel, mais de toute évidence, mon travail et mes opinions s'appuient sur l'expérience que j'ai acquise en travaillant avec mes clients.

    Je risque de passer pour un réfractaire en disant cela, mais je pense que la LPRPDE fonctionne plutôt bien. Elle a été conçue pour être neutre sur le plan technologique, fondée sur les principes existants qui sont largement intégrés dans le projet de loi C‑27. Une chose que j'ai souvent dite est que le projet de loi C‑27 renforce la LPRPDE.

    Je ne pense pas que la loi est forcément défaillante. Je pense que le commissaire, au cours des 22 dernières années, n'a pas nécessairement épuisé tous ses pouvoirs d'application au cours de cette période.

    J'aimerais commencer par dire que je n'aime pas vraiment le titre de la nouvelle loi. Les Canadiens ne sont pas simplement des consommateurs. Cette mesure législative s'applique aux consommateurs. Elle s'applique également à certains employés du secteur réglementé par le gouvernement fédéral. C'est un peu négatif et méprisant. Si nous sommes attachés à l'acronyme LPVPC, nous pourrions l'appeler la Loi sur la protection de la vie privée des consommateurs, mais je ne pense pas que cela ait une incidence sur sa teneur.

    Maintenant, j'aime bien la LPRPDE, mais depuis quelque temps, il est clair qu'il y a un consensus émergent sur les pouvoirs d'ordonnance et les sanctions, et sur le fait qu'ils sont souhaitables. Dans ce contexte, je demanderais au Comité de considérer que cela nécessite une augmentation proportionnelle et appropriée et une transition vers une plus grande équité procédurale que ce qui est actuellement prévu dans le projet de loi.

    D'après mon expérience, j'estime que le commissaire à la protection de la vie privée est potentiellement en conflit avec le fait d'être un défenseur de la vie privée, un éducateur en matière de vie privée, la police de la vie privée, le juge de la vie privée et le responsable de l'application des lois en matière de vie privée. Il incombe à un tribunal indépendant, comme la Cour fédérale ou le nouveau tribunal, de déterminer s'il y a eu violation de la Loi sur la protection de la vie privée des consommateurs et quelles sanctions doivent être imposées. Le commissaire peut recommander une sanction et jouer le rôle de procureur, mais au final, la décision de déterminer s'il y a eu violation ou non et si une sanction doit être imposée ou non devrait être confiée à un organisme indépendant.

    Je pense que la récente affaire Facebook qui a été traitée devant la Cour fédérale est une sorte de mise en garde. Je serais heureux d'en parler davantage.

    La vie privée des enfants est évidemment un sujet très important dans cette mesure législative. J'approuve et je comprends les points de vue du gouvernement et du commissaire en ce qui concerne la protection de la vie privée des enfants.

    Ce qui me préoccupe un peu, c'est que le projet de loi actuel serait difficile à mettre en oeuvre pour les entreprises qui exercent leurs activités dans tout le Canada. La question de savoir si une personne est mineure ou non dépend actuellement de la loi provinciale, qui varie d'une province à l'autre. Cela varie d'une province à l'autre, et il serait difficile de mettre en oeuvre des programmes cohérents dans l'ensemble du pays. Je préconise d'inscrire dans la loi qu'un mineur est âgé de 18 ans ou moins.

    Je suggère également que l'on présume que les enfants de moins de 13 ans ne sont pas en mesure de prendre leurs propres décisions en matière de protection de la vie privée et que leurs parents devraient être, par défaut, leurs décideurs de substitution.

    Pour les organisations qui offrent un service général au public — comme un concessionnaire automobile, par exemple —, on doit présumer que tous leurs clients sont des adultes, sauf si l'on sait qu'il en est autrement. Si vous avez un site Web destiné aux enfants, vous savez qu'il y a des enfants dans le public et vous devez ajuster vos pratiques de manière appropriée. Toute autre solution pourrait mener à une vérification obligatoire de l'âge, ce qui peut s'avérer très difficile et soulever ses propres problèmes.

    Ayant participé à des enquêtes et à des litiges concernant des plaintes relatives à la protection de la vie privée, je suggérerais que le « droit privé d'action » soit modifié pour être limité à la Cour fédérale du Canada, si l'on est attaché à un droit privé d'action pour commencer. Le problème de la mesure législative actuelle est que n'importe qui peut s'adresser à la Cour fédérale du Canada ou à un tribunal provincial. Nous savons que des centaines de personnes seront touchées au cours de la prochaine décennie, en raison d'incidents particuliers. Nous allons nous retrouver avec des procédures en double en même temps dans tout le pays. Nous savons déjà que les ressources judiciaires sont fortement sollicitées.

    Je pense que les objectifs légitimes — qui sont largement fondés sur le modèle européen — doivent être plus étroitement alignés. Je me ferai un plaisir de vous donner plus de détails sur ce qui se passe en Europe.

    En ce qui concerne la Loi sur l'intelligence artificielle et les données, elle devrait faire l'objet d'un projet de loi à part entière et d'une étude précise. Je voudrais signaler qu'il serait dangereux d'exclure le gouvernement. Le gouvernement possède des armes. Le gouvernement décide des avantages sociaux, de l'immigration et d'autres choses de ce genre. Je pense que cela peut faire l'objet d'une contestation constitutionnelle. Ce n'est pas nécessairement harmonisé avec ce qui se passe avec nos partenaires commerciaux internationaux, et il devrait y avoir une reconnaissance réciproque.

    Si une entreprise se conforme à la réglementation européenne sur les données et que nous l'avons jugée essentiellement similaire, cela devrait fonctionner. Autrement, nous aurons des difficultés avec les entreprises canadiennes qui exercent leurs activités à l'international et les entreprises internationales qui viennent s'installer ici.

    Enfin, je pense que la recherche et le développement devraient être retirés du projet de loi, car ils ne présentent aucun risque réel de préjudice pour une personne tant qu'ils ne sont pas présentés au public.

    J'ai une liste plus longue. Je pourrais continuer pendant bien plus de cinq minutes, mais je pense que c'est le temps qui m'était imparti. J'attends avec impatience la discussion.

    Merci beaucoup, monsieur Fraser.

    Je vais maintenant céder la parole à Mme Gratton pour cinq minutes.

    Je vous remercie de l'invitation.

    Je suis heureuse d'être ici aujourd'hui et d'avoir ainsi l'occasion de vous faire part de mes réflexions sur le projet de loi C‑27.

    Je suis associée chez Borden Ladner Gervais et cheffe nationale du groupe de pratique en protection de la vie privée. Pratiquant dans ce domaine depuis plus de deux décennies, je prodigue mes conseils en particulier aux grandes entreprises privées de divers secteurs industriels à l'échelle nationale. Comme celles-ci mènent souvent des activités à l'échelle internationale, j'ai aussi eu au cours des dernières années l'occasion de voir l'évolution du Règlement général sur la protection des données de l'Union européenne, qui est l'équivalent de nos lois en matière de vie privée.

    Dans le cadre de la réforme actuelle, nous avons selon moi des leçons à tirer des réformes québécoise et européenne.

    C'est à titre personnel que je comparais aujourd'hui. Je témoignerai en anglais, mais je répondrai aux questions en français ou en anglais.

    Je suis devant vous aujourd'hui pour discuter d'un sujet d'une importance capitale, la réforme de la loi fédérale relative à la protection de la vie privée.

    Nous sommes à un moment critique. Nous avons l'occasion unique de trouver un équilibre qui garantit la protection de nos droits en matière de vie privée tout en favorisant un environnement propice à l'innovation. Dans une ère numérique qui évolue rapidement, où l'information circule plus vite que jamais, notre vie privée est de plus en plus menacée. Il est donc impératif de réformer nos lois sur la protection de la vie privée pour qu'elles reflètent les réalités d'aujourd'hui.

    Toutefois, les lois sur la protection des données ne doivent pas nuire à l'esprit d'innovation qui nous a propulsés dans le XXI^e siècle. Le Canada doit rester compétitif. L'innovation stimule la croissance économique, crée des emplois et améliore notre qualité de vie. C'est le moteur du progrès. Trouver le juste équilibre entre la protection de la vie privée et l'innovation est une tâche complexe, mais je ne pense pas que ce soit impossible.

    Je vais surtout parler dans mon exposé de la Loi sur la protection de la vie privée des consommateurs et des points à améliorer dans quatre enjeux précis qui pourraient avoir une incidence sur l'innovation.

    Premièrement, j'accueille favorablement l'introduction d'une exception au consentement pour des activités commerciales précises et pour certaines activités pour lesquelles l'organisation a un « intérêt légitime » en vertu du paragraphe 18(3). Cela dit, l'exception relative à l'intérêt légitime est en fait plus limitée que la même exception prévue par le Règlement général sur la protection des données, RGPD, de l'Union européenne.

    M. Fraser a soulevé cette question, si bien que je vais en discuter un peu plus longuement.

    Le projet de loi C‑27 ne prévoit aucune exception, ni aucune flexibilité significative, quant à l'application de la règle du consentement à la collecte de renseignements personnels provenant de sources accessibles au public sur Internet. Il empêche toutes les organisations d'exploiter les données disponibles sur le Web, y compris les organisations légitimes qui travaillent sur de nouveaux produits et services susceptibles d'être utiles à la société et qui ont besoin d'un grand volume de renseignements.

    En résumé, je vous signale que cette exception relative à l'intérêt légitime devrait être plus étroitement alignée sur le fondement juridique de l'intérêt légitime du RGPD afin d'accueillir des types de modèles commerciaux novateurs tout en protégeant les intérêts des Canadiens en matière de protection de la vie privée.

    L'article 39 crée une nouvelle exception au consentement pour les divulgations de renseignements personnels dépersonnalisés à des entités précises du secteur public, y compris le gouvernement, les services de soins de santé et les établissements d'enseignement postsecondaire. Le fait de limiter cette exception de consentement aux seules divulgations à des entités du secteur public plutôt qu'à des entités des secteurs public et privé en limite considérablement l'utilité. L'article 39 devrait autoriser et faciliter la communication responsable de données entre un plus grand nombre d'acteurs afin qu'ils aient accès aux talents et aux ressources qu'ils peuvent utiliser à des fins socialement bénéfiques.

    Le troisième point est que la Loi sur la protection de la vie privée des consommateurs, LPVPC, introduit de nouvelles définitions pour les termes « anonymiser » et « dépersonnaliser » et offre une plus grande souplesse en ce qui concerne le traitement de ces catégories de renseignements. Toutefois, la norme proposée pour l'anonymisation en vertu du paragraphe 2(1) est plus stricte que d'autres lois sur la protection de la vie privée récemment mises à jour, y compris le RGPD et la loi québécoise sur le secteur privé récemment modifiée.

    Ce que je veux dire, c'est que la LPVPC devrait inclure une norme de la décision raisonnable au lieu de tenir les organisations responsables d'une norme absolue qui pourrait être impossible à respecter dans la pratique. Comme vous le savez certainement, l'accès à des ensembles de données anonymes, avec une certitude juridique, est crucial pour la recherche et le développement effectués par les organisations canadiennes. J'ai l'impression qu'Adam Kardash et Khaled El Emam en reparleront un peu plus.

    Le dernier point que je ferai valoir, c'est que l'article 21 introduit une nouvelle exception au consentement pour l'utilisation de renseignements dépersonnalisés à des fins de recherche interne, d'analyse et de développement.

    Restreindre cette utilisation à des usages internes peut limiter la collaboration et la promotion de partenariats de recherche, en empêchant les intervenants de communiquer des ensembles de données afin de créer des bassins de données suffisamment vastes pour produire des renseignements utiles et exploitables. Cette section devrait autoriser l'utilisation et la communication de renseignements dépersonnalisés entre différentes organisations.

    J'ai soumis un bref mémoire en français et en anglais dans lequel je fournis des détails supplémentaires sur les quatre changements proposés. Je pense que l'innovation et la vie privée peuvent coexister et que l'utilisation responsable des renseignements personnels peut être la pierre angulaire de la conception de technologies nouvelles et passionnantes tout en respectant nos droits fondamentaux.

    Je vous remercie, et je me ferai un plaisir de répondre à vos questions.

     Merci beaucoup, madame Gratton.

    Je donne maintenant la parole à M. Therrien pour cinq minutes.

    Merci beaucoup, monsieur le président.

    Merci aux membres du Comité de cette invitation à participer à cette étude.

    Je suis ici à titre personnel, mais j'ai été commissaire fédéral à la protection de la vie privée de 2014 à 2022, ce qui influencera évidemment mes commentaires.

    D'entrée de jeu, je suis d'accord avec mon successeur, Philippe Dufresne, pour dire que le projet de loi devant vous est un pas dans la bonne direction, mais qu'il est nécessaire d'aller plus loin afin de bien protéger les Canadiens. Je suis également d'accord avec les 15 recommandations du Commissariat visant à modifier le projet de loi C‑27, avec quelques nuances portant sur les audits et les appels. Bon nombre de mes recommandations visant à modifier l'ancien projet de loi C‑11 ont été prises en compte dans le projet de loi C‑27. Parmi celles qui ne l'ont pas été, je noterais celle portant sur les partis politiques.

    Je me réjouis qu'il semble maintenant y avoir consensus entre les partis afin de reconnaître le droit à la vie privée comme un droit fondamental. Il faut saluer cette décision des parlementaires. Le principe étant établi, comment le traduire fidèlement et de manière efficace dans le texte de loi?

    Le ministre Champagne propose de modifier le préambule et la clause d'objet de la LPVPC. Ce sont des pas dans la bonne direction, mais ce n'est pas suffisant. Il faudrait aussi modifier deux clauses d'application directe, l'article 12 sur les « fins acceptables » et l'article 94, qui prévoit des sanctions pécuniaires en cas de violations de la loi. Sans ces modifications additionnelles, le texte de loi donnerait toujours plus de poids aux intérêts commerciaux qu'au droit à la vie privée, qui est un droit fondamental de la personne. Là n'est pas votre intention, il me semble.

    À la lumière de mes lectures des débats parlementaires, il me semble aussi qu'il y a un large consensus autour du fait que la protection de la vie privée et la poursuite de l'innovation et du progrès économique ne sont pas dans un jeu à somme nulle. Il ne s'agit pas de privilégier la vie privée au détriment de l'innovation, puisque nous pouvons et devrions offrir les deux à la fois. Dans de rares cas où le conflit est irrémédiable, le droit à vie privée devrait normalement l'emporter, sinon il ne s'agit plus d'un droit fondamental.

    L'article 12 proposé de la LPVPC est loin de traduire cette vision. En fait, il maintient l'approche traditionnelle selon laquelle la protection de la vie privée et les intérêts économiques doivent être équilibrés sans tenir compte du fait que le droit à la vie privée est un droit fondamental. Cette approche aurait été logique dans le cadre de la clause d'objet de la loi actuelle, mais ça ne le sera plus si la clause d'objet de la LPVPC reconnaît la vie privée comme un droit fondamental, comme c'est actuellement proposé.

    L'article 12 proposé est au coeur de l'exercice selon lequel les entreprises, le commissaire à la protection de la vie privée et ultimement les tribunaux doivent, dans chaque cas, déterminer le poids à accorder à la protection de la vie privée et aux intérêts économiques.

    Cet article donne plus de poids aux intérêts économiques de différentes façons.

    Premièrement, dans sa terminologie, il parle de « besoins commerciaux », mais ne parle pas de la vie privée comme d'un droit fondamental, ni même comme d'un droit tout court.

    L'article 12 proposé parle de la vie privée aux alinéas (2)d) et e), la traitant comme un élément à prendre en compte de façon relative, afin d'atténuer dans la mesure du possible les atteintes qu'elle subirait, eu égard aux besoins commerciaux, et pourvu que les mesures d'atténuation ne soient pas trop coûteuses et permettent à l'entreprise de réaliser les avantages souhaités de façon comparable.

    Nulle part n'est-il dit qu'il faut tenir compte de l'importance relative de l'atteinte à la vie privée comme un élément au moins aussi important que la poursuite d'intérêts commerciaux. Au contraire, l'accent est mis sur la réalisation des avantages commerciaux, et toute atteinte à la vie privée est considérée comme un facteur à prendre en compte et à atténuer, et encore, seulement dans la mesure du possible.

    Je vous ai fourni un libellé modifié de l'article 12 qui, selon moi, serait conséquent avec les modifications proposées à l'article 5.

    Quant aux sanctions, la violation de l'article 12 au complet, y compris le paragraphe (1), qui traite des fins inacceptables, devrait donner lieu à des sanctions administratives pécuniaires. Sans cela, la reconnaissance de la vie privée comme droit fondamental ne serait franchement qu'un vœu pieux, sans conséquence réelle.

    De plus, à mon avis, toutes les contraventions à la loi devraient être passibles de telles pénalités. C'est le cas dans la plupart des autres pays.

    J'ai quelques observations à faire sur la Loi sur l'intelligence artificielle et les données. Cette partie du projet de loi C‑27 est brève, même succincte, et donne beaucoup de place à la réglementation. Bien que je comprenne pourquoi certains sont préoccupés par ce projet de loi, je pense que cette approche peut se défendre, étant donné que la technologie de l'intelligence artificielle est relativement nouvelle et évolue certainement très rapidement. Toutefois, le manque de précision dans la Loi sur l'intelligence artificielle et les données, à mon avis, nécessite que certaines valeurs et certains principes fondamentaux soient reconnus dans la loi. D'abord et avant tout, la loi doit reconnaître l'importance de protéger les droits fondamentaux, y compris le droit à la vie privée, dans la création et l'application des systèmes d'intelligence artificielle.

    Enfin, certains d'entre vous ont soulevé des inquiétudes quant à la difficulté de déceler les violations de la loi. Vous avez demandé si des pouvoirs d'audit proactifs pourraient faciliter cette détection. En tant que commissaire, j'avais recommandé des audits proactifs, et je crois toujours qu'ils sont un outil essentiel d'un système d'application de la loi. C'est d'autant plus vrai dans le domaine de l'intelligence artificielle.

    Merci. Je me ferai un plaisir de répondre à vos questions plus tard.

    Merci beaucoup, monsieur Therrien.

    Enfin, du Canadian Anonymization Network, nous recevons M. Kardash.

    Merci. Bonjour à tous.

    Je suis Adam Kardash. Je suis le président du cabinet d'avocats Osler, Hoskin et Harcourt spécialisé en droit national de la vie privée et en pratiques de gestion des données. Je travaille exclusivement dans le secteur de la protection de la vie privée depuis plus de 20 ans.

    Je suis ravi de comparaître devant le comité de l'industrie au nom de CANON, le Canadian Anonymization Network, qui est une organisation à but non lucratif dont les membres sont d'importants dépositaires de données issus des secteurs public, privé et de la santé.

    Je suis accompagné cet après-midi par Khaled El Emam, un titulaire de chaire de recherche du Canada en intelligence artificielle médicale à l'Université d'Ottawa et le principal expert mondial en matière de technologies et de méthodes d'anonymisation et de dépersonnalisation.

    Comme vous le savez, le projet de loi C‑27 introduit les définitions de données anonymisées et dépersonnalisées dans le libellé de la Loi sur la protection de la vie privée des consommateurs proposée. Le concept des données anonymisées est un élément fondamental de la LPVPC puisqu'il clarifie le champ d'application du régime législatif de la loi.

    La LPVPC renferme plusieurs dispositions très importantes liées aux termes de dépersonnalisation et d'anonymisation. Il est donc essentiel que les dispositions de la loi relatives à ces termes — données anonymisées et dépersonnalisées — soient soigneusement examinées et correctement énoncées dans le régime législatif de la loi.

    En août 2022, CANON a mis sur pied un groupe de travail chargé de procéder à un examen juridique exhaustif du projet de loi C‑27, et nous avons reçu des commentaires de la part d'intervenants de tous les secteurs dans le cadre d'un processus de consultation, y compris un atelier auquel plus d'une centaine de participants ont participé.

    CANON propose des révisions chirurgicales qui apportent des clarifications essentielles à plusieurs dispositions de la LPVPC, y compris la disposition que ma collègue Éloïse Gratton a mentionnée pour l'article 39 proposé. Nous proposons des protections supplémentaires de la vie privée pour les divulgations sans consentement à des fins socialement bénéfiques. Les détails de nos propositions sont contenus dans le document écrit que nous avons soumis au comité de l'industrie.

    Notre recommandation la plus importante concerne la définition actuelle du terme « anonymiser » dans la LPVPC. La définition actuelle prévoit que les renseignements personnels ne devraient être anonymisés que s'ils sont modifiés « définitivement et irréversiblement », conformément aux « meilleures pratiques généralement reconnues, des renseignements personnels afin qu'ils ne permettent pas d'identifier un individu, directement ou indirectement [...] ».

    Nous proposons un amendement en tant qu'ajout chirurgical à cette définition de la LPVPC, car le libellé actuel de la définition du terme « anonymiser » fixe un seuil extrêmement élevé et pratiquement inapplicable pour les circonstances dans lesquelles les renseignements ne seraient plus considérés comme identifiables. Plus précisément, les données rendues anonymisées dans la LPVPC n'intègrent pas le concept de risque raisonnablement prévisible dans les circonstances et ne sont donc pas conformes à la norme d'anonymisation dans les systèmes législatifs du pays, y compris la loi 25 du Québec, la Loi sur la protection des renseignements personnels sur la santé de l'Ontario et de nombreuses autres lois citées dans notre mémoire. Nous avons tout le monde. Nous en avons cité au moins 12 dans les lois pour que vous puissiez en tenir compte lorsque vous examinerez notre mémoire.

    Pour être clair, et c'est d'une importance cruciale, la loi 25, la LPRPS et tous ces autres cadres législatifs prévoient une norme juridique très élevée pour l'anonymisation à l'heure actuelle. Elle est très élevée, mais contrairement à la Loi sur la protection de la vie privée des consommateurs, la norme d'anonymisation dans ces autres cadres législatifs est pratiquement réalisable. La raison est qu'elle prévoit expressément le risque contextuel.

    En raison de ces préoccupations, CANON a proposé une modification à la définition du terme « anonymiser » de la LPVPC qui incorpore simplement le concept de risque raisonnablement prévisible dans les circonstances à la définition. La modification chirurgicale que nous proposons alignerait le concept de données anonymisées de la loi et, surtout, assurerait l'interopérabilité de la loi avec les normes d'anonymisation en vigueur dans d'autres systèmes législatifs des instances canadiennes. Notre proposition est tout à fait conforme à la jurisprudence canadienne bien établie sur la portée du concept de renseignements personnels, dont nous fournissons les citations dans notre mémoire.

    Je vais maintenant céder la parole à Khaled El Emam pour conclure nos remarques liminaires.

    Merci, monsieur van Koeverden.

    Je veux utiliser mon temps de parole aujourd'hui pour souligner l'importance pratique des propositions du Canadian Anonymization Network, aussi appelé CANON, quant à la définition d'« anonymiser ».

    Mes observations d'aujourd'hui sont fondées sur mon expérience des deux dernières décennies en matière d'anonymisation, tant dans le contexte de la recherche et des applications que dans celui de la pratique. Mes travaux portent principalement sur l'anonymisation des données sur la santé afin qu'elles puissent être utilisées et divulguées à des fins de recherche, notamment pour l'élaboration de nouveaux traitements et de nouveaux appareils pour aider les patients.

    À mon avis, la définition actuelle d'« anonymiser » de la Loi sur la protection de la vie privée des consommateurs ne fonctionnera pas bien dans la pratique lorsqu'elle sera interprétée littéralement. Elle risque d'établir une norme inatteignable qui, en pratique, n'est pas nécessaire pour assurer une bonne protection de la vie privée. Le libellé doit tenir compte du fait que le résultat de l'anonymisation n'est pas absolu. Il est bien établi parmi les experts en anonymisation et en dépersonnalisation des données que l'anonymisation des données est un processus de gestion des risques. C'est un élément fondamental de la norme internationale de dépersonnalisation des données publiée récemment par l'International Organization for Standardization, ou ISO. Lorsqu'elles sont adéquatement mises en œuvre, les bonnes pratiques contemporaines peuvent faire en sorte que le risque de réidentification est minime. Des organismes comme Santé Canada peuvent définir et ont défini précisément en quoi consiste un risque minime.

    Une gestion efficace des risques liés à la réidentification consiste à utiliser des techniques et des technologies pour modifier les données et à mettre en œuvre des mesures de contrôle administratives et techniques appropriées. La combinaison de données modifiées et de mesures de contrôle administratives et techniques appropriées fait en sorte que le risque de réidentification peut être très faible.

    Ce concept de gestion du risque ne garantira pas que le risque de réidentification est nul ou que les données anonymisées sont absolument irréversibles. Ce n'est pas une norme pratique qui peut être respectée. C'est pourquoi il est important de modifier la définition actuelle du terme « anonymiser », qui sous-entend actuellement un risque nul.

    Notre proposition appuie l'exigence importante et nécessaire qui figure actuellement dans la définition de la Loi sur la protection de la vie privée des consommateurs, selon laquelle les pratiques exemplaires généralement acceptées sont suivies pendant le processus d'anonymisation, mais la proposition du CANON ajoute le concept de risque raisonnablement prévisible et les circonstances, de sorte que la définition peut fonctionner dans la pratique.

    Fort des années que j'ai passées à élaborer et à mettre en œuvre des méthodes et des technologies d'anonymisation, au nom du CANON, je pense que la mise en œuvre des propositions du CANON permettra une utilisation et une divulgation des données plus responsables que la définition actuelle.

    Nous vous remercions à l'avance de votre attention. Nous serons heureux de répondre à vos questions.

    Merci beaucoup, monsieur.

    Nous allons commencer la discussion.

    Chers collègues, comme nous disposons d'une heure et demie et recevons de nombreux témoins, je me montrerai plus strict au chapitre du temps. Veuillez me regarder vers la fin de votre temps de parole.

    Vous avez la parole, monsieur Perkins.

    Mais pour ma part, j'ai 10 minutes, n'est‑ce pas?

    Non, pas aujourd'hui.

    Sans plus attendre, vous avez la parole pour six minutes, monsieur Perkins.

    Merci, monsieur le président. Je remercie les témoins.

    Ma première série de questions s'adresse à M. Therrien.

    Vous étiez commissaire à la protection de la vie privée au moment de l'élaboration du projet de loi C‑11 destiné à remplacer la Loi sur la protection des renseignements personnels au cours de la dernière législature, et probablement pendant la période qui a précédé l'élaboration du projet de loi actuel. L'actuel commissaire à la protection de la vie privée a témoigné ici la semaine dernière et a essentiellement indiqué qu'il n'était pas personnellement le commissaire qui a été consulté à ce sujet.

    Ce projet de loi est essentiel parce qu'il remplace complètement la Loi sur la protection des renseignements personnels. Ce n'est pas un amendement.

    Je commencerai par vous demander si, lors de l'élaboration du projet de loi C‑11, le ministre de l'Industrie de l'époque — je crois que c'était M. Bains — vous a consulté avant que le projet de loi ne soit déposé au Parlement.

    Nous avons eu quelques discussions avec M. Bains et M. Champagne. Nous n'avons jamais vu le texte du projet de loi, mais il y a eu des discussions.

    Cependant, le projet de loi C‑11 a été déposé...

    Oui.

    ... et le projet de loi C‑27 a été déposé.

    Est‑ce que l'un ou l'autre de ces projets de loi tenaient compte des conseils que vous avec formulés?

    De toute évidence, non, puisque vous avez demandé que plusieurs erreurs soient... mais ces projets de loi témoignaient-ils de la volonté d'y inclure le droit fondamental?

    Je considère le projet de loi C‑11 comme un recul, et le projet de loi C‑27 comme une avancée. Certaines des recommandations que j'ai formulées à titre de commissaire ont été acceptées, mais pas toutes, et pas certaines de celles que je considère comme essentielles.

    Je suppose que vous avez fait une recommandation sur le droit fondamental les deux fois.

    Oui.

    On en a fait fi les deux fois.

    À ce moment‑là, oui.

    Maintenant, 18 mois après que le ministre a déposé ce projet de loi boiteux et défaillant, il a finalement admis, après tout ce processus, que c'est un projet de loi lacunaire et qu'il doit le modifier huit fois sur des points assez fondamentaux.

    En ce qui concerne la question de droit fondamental, je vous demanderai ce que vous pensez de l'idée de simplement l'intégrer en parallèle à l'article 5 proposé. Il s'agit de l'article le plus important du projet de loi, puisqu'il est censé indiquer, au moment du dépôt de l'amendement, que la protection de la vie privée est un droit fondamental et qu'une organisation a essentiellement le droit d'utiliser ces données.

    Il me semble que dans l'article 5 proposé, qui énonce l'objet de tout le reste du projet de loi, la protection de la vie privée est traitée comme étant d'une importance égale à son utilisation par une entité commerciale.

    Est‑ce vrai?

    Le premier point que je ferai valoir, c'est qu'il est important que l'article 5 proposé traite du droit à la vie privée et le qualifie de fondamental. Cela a une signification. Cependant, il faut examiner l'ensemble de la disposition de déclaration de l'objet, le préambule d'abord...

    Toutefois, une fois que le projet de loi aura été adopté, le préambule ne sera plus dans la loi.

    L'article 12 proposé, qui est en fait le jeu d'équilibre qui se fait au cas par cas, et l'article 94 proposé, qui porte sur les dispositions relatives aux sanctions, doivent, dans leur ensemble, rendre l'idée que la vie privée est un droit fondamental. À ce stade‑ci, avec les amendements déposés par le ministre, tout va bien avec les articles 2 et 5 proposés, mais pas avec les articles 12 et 94 proposés.

    Je dirais que les articles 12, 15 et 18 proposés sont essentiels sur le plan de la protection de la vie privée. Je conviens que la Loi sur l'intelligence artificielle et les données est une page blanche, et nous y reviendrons une autre fois, aujourd'hui j'espère.

    L’article 12 proposé énonce les fins acceptables. L’article 15 proposé traite du consentement exprès, mais indique ensuite, au paragraphe 15(5) proposé, qu’il est acceptable d’utiliser le « consentement implicite ». Plus loin, l'article 18 proposé dit qu'une entreprise a un « intérêt légitime » pour utiliser les données d'une personne essentiellement comme elle l'entend, même si cela cause du tort à cette personne.

    À mon avis, cela établit la priorité. Quand on examine l'article 5 proposé et qu'on y ajoute les articles 12, 15 et 18 proposés, il semble que les grandes entreprises et leur droit d'utiliser les données sont protégés, même si cela porte préjudice à quelqu'un.

    Ne faut‑il pas modifier tous ces articles proposés, et pas seulement les articles 5 et 12 proposés?

    Je pense que l'article 15 proposé sur le consentement doit être modifié, et j'en parle dans le document que je vous ai remis.

    En ce qui concerne le concept d'« intérêt légitime », je formulerais le conseil suivant. Il s'agit d'un concept qui existe dans le droit européen, qui est considéré comme l'étalon‑or à l'échelle internationale. Je pense qu'il est possible d'avoir une exception de type « intérêt légitime » au consentement, à condition que l'ensemble des articles proposés 2, 5, 12 et 94 protègent bel et bien la vie privée en tant que droit fondamental. Il n'y a pas d'incohérence entre l'« intérêt légitime » et le fait de considérer la vie privée comme un droit fondamental.

    Cependant, sans cela — parce que le ministre n'a pas proposé de...

    Oui, il y a un problème.

    ... il y a certes un problème.

    J'aimerais simplement poser une question à M. Fraser dans le peu de temps qu'il me reste.

    Je pense que la Loi sur l'intelligence artificielle et les données pose problème parce qu'elle n'établit pas de cadre de politique publique, ce que la loi est censée faire. Elle se contente de dire plus ou moins: « Faites-nous confiance, nous allons tout faire par règlement ». Cependant, vous avez indiqué que cela pourrait ouvrir la porte à une contestation en vertu de la Charte. Je me demande si vous pourriez nous expliquer pourquoi.

    Ce que je conclus, c'est qu'on dit simplement dans la loi, ou dans le projet de loi, qu'elle s'applique à l'intelligence artificielle dans le cadre des activités interprovinciales. Le Parlement fédéral a très peu de pouvoirs, par exemple, sur un chercheur en informatique de l'Université de Toronto. Il s'agit d'une compétence exclusivement provinciale.

    La compétence fédérale pourra entrer en jeu dans certaines situations, mais dans la majorité d'entre elles, comme lorsqu'une petite entreprise de la Nouvelle-Écosse ou de la Colombie-Britannique décide de mettre en œuvre un système d'intelligence artificielle, cela ne relève pas de la compétence du Parlement fédéral quand on agit à petite échelle. Par conséquent, il y aura des vides importants en ce qui concerne les domaines où la compétence fédérale peut s'appliquer et ceux où la compétence provinciale s'applique déjà.

    Votre temps est écoulé. Merci, monsieur Perkins.

    Je vais maintenant accorder la parole à Mme Lapointe pour six minutes.

     Merci, monsieur le président.

    Madame Gratton, selon vous, ce projet de loi aide-t-il le Canada à harmoniser sa législation avec les normes et réglementations internationales en matière de protection de la vie privée, en particulier avec le Règlement général sur la protection des données de l’Union européenne?

    Je pense que ce projet de loi est acceptable dans le sens où il tente vraiment d'apporter un équilibre entre les intérêts des organisations qui recueillent des renseignements personnels à des fins légitimes et la protection de ces renseignements personnels. Cela dit, ce n'est pas un projet de loi qui va aussi loin que le règlement européen. Ce dernier est, de toute évidence, plus rigoureux à plusieurs égards.

    Vous avez précédemment déclaré ceci à propos des premières lois canadiennes sur la protection de la vie privée:

    Le présent projet de loi permet en partie de se rendre compte que la protection de la vie privée en tant que responsabilité individuelle n'est plus possible. Les progrès technologiques font que l'individu moyen ne pourra jamais protéger totalement ses données et sa vie privée en ligne. À votre avis, le projet de loi est-il suffisant pour protéger les renseignements personnels et pour obliger les sociétés et les entreprises à assumer la responsabilité des violations?

     Dans un premier temps, il faudrait peut-être préciser cet énoncé.

    Un des concepts de la protection de la vie privée veut que l'individu maintienne le contrôle sur ses renseignements personnels. Ce concept date du début des années 1970, avant l'arrivée d'Internet. Depuis ce temps, les choses ont évidemment évolué. Aujourd'hui, on retrouve beaucoup d'information et les modèles d'affaires sont complexes. Il y a aussi des partenariats. De plus, les politiques en matière de vie privée sont extrêmement longues, complexes et détaillées, ce qui permet de s'assurer que l'individu a toute l'information. Par contre, l'individu ne prend pas le temps de lire ces informations; c'est trop complexe et cela représente un trop grand fardeau.

    Tenant compte de cela, il vaut la peine, à mon avis, de tenter de réduire le besoin du consentement, de mettre l'accent sur les situations qui requièrent le consentement de l'individu tout en introduisant d'autres bases légales pour protéger l'individu, un peu comme l'a fait l'Europe avec le Règlement général sur la protection des données. En ce sens, je pense que le projet de loi est assurément un pas dans la bonne direction avec les exceptions au consentement.

    Évidemment, il faut mettre d'autres garde-fous. Par exemple, lorsqu'on parle de l'exception d'intérêt légitime, l'entreprise doit documenter pourquoi elle pense que c'est acceptable et faire une évaluation des risques. Il y a quand même des protections. On donne un peu plus de travail aux entreprises pour s'assurer qu'elles protègent les droits, et il y a des pénalités. La motivation de l'entreprise est, bien sûr, de s'assurer d'être conforme et socialement responsable, mais aussi d'éviter les pénalités. Au vu de ces pénalités, qui s'alignent avec ce qu'on voit en Europe, l'incitatif est présent dans le projet de loi.

    Pouvez-vous nous donner votre avis sur les mesures que le projet de loi C‑27 prévoit en matière de protection des données?

    Voulez-vous parler de la sécurité?

    Oui, c'est cela.

    Il n'y a pas tant de changements que cela, dans le sens où l'article qui traite de la protection et des mesures de sécurité adéquates sera toujours neutre d'un point de vue technologique. On se réfère un peu aux normes de l'heure. Comme avocats pratiquant dans ce domaine, nous allons souvent nous fier aux décisions qui émaneront des commissaires à la vie privée et qui vont citer le type de mesures qu'on s'attendait à voir en place à l'époque, dans le contexte et selon la technologie donnée. Je pense qu'il est correct de garder cette flexibilité, pour s'assurer de se fier aux normes de sécurité de l'heure, qui sont en constante évolution.

    Merci.

    Merci beaucoup, madame Lapointe.

    Monsieur Lemire, vous avez maintenant la parole pour six minutes.

    Merci, monsieur le président.

    Je remercie les témoins de leurs interventions.

    Madame Gratton, même si le projet de loi comprend à l'article 75 une interdiction d'utiliser des renseignements dépersonnalisés afin d'identifier un individu, son article 39 permettra aux entreprises de communiquer les renseignements personnels d'un individu à son insu ou sans son consentement au nom de fins socialement bénéfiques à des organisations qui ne sont pas assujetties à la loi. Comment pouvons-nous trouver un équilibre entre la protection des renseignements personnels et la facilitation de cette divulgation, notamment lorsque des organisations non réglementées sont impliquées?

    En ce moment, l'article 39 introduit une exception, mais cela va dans un sens seulement. Les entreprises du secteur privé peuvent partager des renseignements sans restriction, mais avec des organismes du secteur public. Dans le mémoire que j'ai déposé, je le souligne et je me dis qu'il devrait y avoir des protections en place, même si ce sont des organismes du secteur public. Mon raisonnement est que si c'est bon pour le secteur public, peut-être que c'est aussi acceptable entre les entreprises du secteur privé.

     Évidemment, il faut qu'il y ait des mesures de sécurité. Par exemple, au Québec, il peut y avoir des échanges dans certains cas. Il faut d'abord faire une évaluation des risques en matière de protection de la vie privée, puis il faut déposer une entente qui doit inclure certaines clauses. À mon avis, il y a une façon d'arriver à un équilibre.

     Toutefois, je pense qu'exclure ici les entreprises du secteur privé de l'application de l'article 39 revient à se tirer dans le pied. Les entreprises du secteur privé ont beaucoup de ressources, d'idées et de données. Pourquoi s'en priver, tout en gardant en tête l'innovation?

     Il y a peut-être là une brèche, mais quelles garanties ou mesures additionnelles devraient être mises en place pour assurer un échange de données plus responsable dans un tel cas?

    Comme je vous l'ai dit, il pourrait y avoir une évaluation des facteurs relatifs à la vie privée. On déterminerait les risques et la façon de les réduire. On pourrait exiger des organisations désireuses d'échanger des données qu'elles fournissent cette évaluation au commissariat à la protection de la vie privée du Canada, permettant ainsi une surveillance des projets dans le cadre desquels des données sont échangées. On pourrait aussi imposer à ces organisations des contrats qui prévoient des exigences minimales en ce qui a trait à la mise en place de mesures de sécurité.

    Si l'on avise le commissaire, qu'on évalue les risques, qu'on prévoit des clauses contractuelles et qu'on s'assure que les données sont bien sécurisées et dépersonnalisées dans certaines situations, je crois qu'on pourrait arriver à un équilibre acceptable.

    Dans un autre ordre d'idées, le projet de loi C‑27 soulève évidemment la question de la préséance de la législation québécoise en matière de protection de la vie privée dans le secteur privé, qui a été mise à jour récemment. Comme vous le savez, le ministre Champagne a rendu publique une lettre qu'il a envoyée aux membres de notre comité pour clarifier la position du fédéral à cet égard. Il reconnaît que les dispositions de la loi québécoise sont essentiellement similaires à celles du projet de loi fédéral et qu'elles peuvent avoir préséance. Êtes-vous d'accord sur cette analyse?

    Il est certain que les dispositions québécoises et fédérales sont semblables. Celles du Québec sont probablement un peu plus rigoureuses à certains égards et comportent des exigences supplémentaires, notamment en matière de profilage à l'article 8.1 de la loi québécoise, ainsi que la nécessité de réaliser des évaluations des facteurs de risque avant de transférer des données à l'extérieur du Québec.

    L'analyse que vous mentionnez est donc assurément acceptable: si l'on compare les nouvelles exigences québécoises aux dispositions du projet de loi C‑27, il n'y a aucun doute dans mon esprit que le Québec passerait le test.

    Merci beaucoup.

    Monsieur Therrien, le projet de loi C‑27 met l'accent sur la nécessité du consentement éclairé en lui consacrant une section entière. Cependant, nous avons constaté la montée en puissance des plateformes privilégiant l'utilisation de formules d'exclusion. Ce sont les fameuses options de retrait plutôt que d'inclusion. À votre avis, ce projet de loi en fait-il assez pour protéger les utilisateurs des plateformes numériques des pièges de ces formules d'exclusion?

    Je disais à M. Perkins que l'article 15 du projet de loi C‑27 devra probablement être modifié. L'article 6.1 de la loi actuelle prévoit certaines exigences pour que le consentement soit considéré comme valable, notamment la notion voulant que la personne qui donne ce consentement doit être en mesure de comprendre les fins et les conséquences de la communication des renseignements. Cette terminologie n'existe pas dans le projet de loi C‑27 et je crois qu'il serait nettement préférable de conserver la formulation actuelle.

    Dans une conférence où je vous ai entendu récemment, vous avez notamment parlé des renseignements personnels comme étant une matière première, qu'ils soient publics ou personnels. Je trouve qu'il vaut la peine de réfléchir à cette question en comité. Est-ce que des renseignements qui sont publiés sur Facebook, par exemple une photo, deviennent vraiment publics?

    Dans le langage courant, quand les gens publient des renseignements personnels sur la plateforme d'un média social et qu'ils permettent à certaines autres personnes de les voir, on pourrait penser que ces renseignements deviennent publics. De façon importante dans le contexte qui nous occupe, on pourrait aussi penser que les compagnies et les organisations commerciales pourraient utiliser ces renseignements à titre de renseignements publics plutôt que personnels. Or, la loi actuelle prévoit que ces renseignements demeurent personnels et ne peuvent pas être utilisés par les compagnies, sauf conformément à la loi.

    Je pense que c'est un bon aspect de la loi actuelle, et le fait que rien dans le texte actuel du projet de loi C‑27 ne change cette situation est une bonne chose.

    Je vous remercie.

    Merci, monsieur Lemire.

    Monsieur Masse, vous avez la parole.

    Je vous remercie, monsieur le président.

    Je commencerai peut-être par les témoins qui sont en ligne.

    J'aimerais connaître la position de tout le monde au sujet du tribunal — que vous soyez pour ou contre — et recueillir quelques réflexions à ce sujet. Je vais partager mon temps avec tout le monde, mais je commencerai avec nos témoins en ligne, car on les oublie souvent.

    Qui veut commencer? Choisissez.

    Je vais commencer, si vous n'y voyez pas d'inconvénient.

    Le Commissariat à la protection de la vie privée fonctionne jusqu'à maintenant comme un modèle d'ombudsman et comprend aussi un service de consultation. C'est très utile.

    Cela signifie que lorsqu'il y a une enquête, il y a une conversation. Il y a un dialogue. Dans certains cas, les entreprises peuvent s'adresser au Commissariat et demander: « Que pensez-vous de ce modèle d'affaires? Nous voulons votre avis. » Je me demande simplement si la création d'un tribunal pourrait avoir une incidence sur cette relation. Je suppose que c'est le premier point qui me préoccupe.

    Mon autre préoccupation, c'est le fait que bon nombre des principes de protection de la vie privée sont assez souples, et nous en avons besoin dans notre loi sur la protection de la vie privée. Pour ce qui est du concept de consentement, le consentement est parfois exprimé et parfois implicite. Cela dépend de l'attente raisonnable de la personne. Les mesures de sécurité doivent être adéquates, selon le contenu. Il y a beaucoup de zones grises et d'incertitudes. Maintenant, c'est dans la loi. Ce ne sont plus des principes. L'ajout du tribunal n'est peut-être qu'une couche de risque pour les entreprises qui doivent compter avec de nombreuses zones grises dans la loi.

    Il ne me reste que quatre minutes environ. Si nous pouvions les partager, ce serait formidable.

    J'aimerais ajouter brièvement que la réduction de l'incertitude est toujours bénéfique. Dans la mesure où les exigences supplémentaires augmentent l'incertitude ou ajoutent des démarches pour que les organisations sachent ce qu'elles doivent faire, cela se traduit généralement, à certains endroits, par une paralysie ou par le fait que des décisions importantes ne sont pas prises.

    C'est au tour de M. Fraser. Je m'adresse à tout le monde.

    Pour commencer par l’hypothèse qu'il faut avoir des pouvoirs de rendre des ordonnances et d’imposer des sanctions, nous avons, selon moi, besoin d’un décideur indépendant. Ce pourrait être le tribunal ou la Cour fédérale.

    Je ne vois pas pourquoi ce ne serait pas la Cour fédérale. Je crains que la création d'un tribunal ne retarde la mise en œuvre de cette loi, car il faudra un certain nombre d'années simplement pour embaucher le personnel, louer les photocopieurs et faire tout le reste.

    Merci, monsieur Fraser.

    La parole est maintenant à M. Therrien.

    J'essaierai d'être bref.

    Le but de ces dispositions devrait être d'offrir des recours rapides et efficaces aux citoyens. Dans aucun autre pays que je connais, il n'existe de tribunal semblable à celui qui est proposé dans le projet de loi. Dans tous les autres pays qui protègent la vie privée, le décideur initial, y compris l'entité qui a le pouvoir de rendre des ordonnances et d'imposer des amendes, est l'autorité de protection des données qui est l'équivalent du Commissariat à la protection de la vie privée.

    J'entends des préoccupations au sujet de la difficulté pour le Commissariat d'assumer divers rôles. Ce n'est pas un problème dans d'autres pays. Il est bien connu en droit qu'un tribunal administratif peut avoir des fonctions d'enquête, de consultation et d'arbitrage. Cette question doit être gérée et elle peut l'être. Il n'y a pas de problème.

    Je pense que le tribunal provoquera des retards et fera simplement double emploi au travail d'expert du Commissariat à la protection de la vie privée. Je le répète: il n'existe aucun précédent à l'échelle internationale à cet égard.

    Monsieur Kardash, je ne sais pas si j'ai le temps.

    Monsieur le président, vous pourrez réduire mon temps de parole au prochain tour, mais j'aimerais entendre sa réponse.

    Merci.

    Personnellement, je suis tout à fait pour la création d'un tribunal.

    Je pense qu'il est important d'entamer la réflexion en examinant le montant des sanctions potentielles en cas de violation de la loi, qui, comparativement à tout autre cadre législatif, est un véritable gâchis. Pour les grandes entreprises, il s'agit de centaines de millions de dollars.

    Comme M. Fraser l'a mentionné dans sa déclaration liminaire, il est absolument impératif, lorsqu'on instaure un régime assorti de sanctions de cette ampleur, qui pourraient avoir une incidence sur les entreprises de toutes les circonscriptions, de veiller à avoir une procédure équitable et l'accord de tout le monde sur ce point. Ce qui est proposé ici renforcera l'équité de la procédure et permettra, à mon avis, de formuler de manière appropriée la sanction, quelle qu'elle soit ou qu'elle doive être, dans une circonstance particulière.

    Merci.

    Merci, monsieur le président.

    Merci aux témoins.

    Merci beaucoup.

    La parole est maintenant à M. Williams, qui dispose de cinq minutes.

    Merci, monsieur le président.

    Monsieur Kardash, je vais commencer par vous.

    Je sais que tout se trouve dans le projet de loi, mais pouvez-vous expliquer « dépersonnaliser » et « anonymiser » en une phrase pour chaque terme?

    C'est une bonne question. Ce sont des termes techniques qui prêtent souvent à confusion.

    La création du Canadian Anonymization Network visait à démythifier cette terminologie, car l'ambiguïté crée de l'incertitude, et l'incertitude engendre un risque de réticence. C'est un problème.

    En termes simples, la dépersonnalisation des données consiste à supprimer les identifiants directs. La formulation est assez élégante dans le libellé actuel de la Loi sur la protection de la vie privée des consommateurs. Quand on supprime des identifiants directs, il reste des identifiants indirects. Autrement dit, les données sont toujours potentiellement identifiables. Les données dépersonnalisées sont toujours régies par le cadre légal.

    Les données anonymisées, sur lesquelles j'ai fait porter ma déclaration liminaire, font l'objet d'une définition plus précise qui fixe la norme pour l'application de la loi. Je pense qu'il est vraiment important de l'examiner, compte tenu de la technicité de ces termes. Dans la définition actuelle, on parle de modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement.

    Selon nous, et selon l'opinion soutenue par nos consultations approfondies et nos analyses axées sur les territoires de compétence, entre autres. Il faut l'élément contextuel du risque raisonnablement prévisible dans les circonstances, qui est inscrit dans la Loi 25 du Québec et dans la Loi sur la protection des renseignements personnels sur la santé de l'Ontario. Vous verrez dans les mémoires que nous vous fournissons ces autres régimes.

    Lorsque les données sont anonymisées, il n'y a pas de risque prévisible d'identifier la personne dans les circonstances.

    Si je vous comprends bien, vous avez dit pouvoir utiliser des renseignements dépersonnalisés à condition qu'ils soient conformes à l'article 74 du projet de loi, comme vous l'avez noté ici. Est‑ce exact?

    Oui, essentiellement... C'est même plus étendu que cela. Je pense qu'il est important de noter que les renseignements dépersonnalisés sont soumis à toutes les protections prévues par la loi.

    Oui, il faut reconnaître la façon dont on procède à la dépersonnalisation. Je pense que vous faites référence à l'article 74 sur la proportionnalité, qui doit être prise en compte. C'est exact.

    La raison pour laquelle je dis cela est qu'il existe un cas que nous pouvons utiliser. M. Therrien est bien au courant.

    Pendant la période des fêtes de 2021, Telus vendait des données à l'Agence de santé publique du Canada. Les Canadiens qui sortaient pendant un confinement pour se rendre à la pharmacie ou à l'épicerie étaient suivis, et ces données étaient vendues au gouvernement canadien.

    Nous en avons parlé au Comité sur l'éthique.

    Monsieur Therrien, vous avez été très concis dans vos commentaires. Il y avait deux aspects à cette affaire. Il n'y a pas eu de consentement implicite. Vous avez fait remarquer que, même si on fait référence aux programmes Les données au service du bien commun qui se trouvent dans les politiques de Telus en matière de protection de la vie privée, même si le gouvernement s'efforce d'informer les citoyens... Je ne pense pas que quiconque puisse sérieusement soutenir que la plupart des utilisateurs savaient comment leurs données allaient être utilisées.

    J'essaie d'étayer cela. Ma vraie question est la suivante. Est‑ce que cette loi, avec vos amendements, corrige cette situation?

    Je vais d'abord demander à M. Kardash de répondre à cette question.

    Monsieur Therrien, je vais ensuite vouloir entendre votre réponse à la question suivante. Est‑ce que cette loi en fait assez pour régler le problème du modèle de consentement que nous recherchons si cela devait se reproduire?

    Monsieur Kardash, je veux vous entendre en premier.

    Les exigences du régime en matière de consentement s'appliquent aux renseignements personnels. Il peut s'agir de données dépersonnalisées, dont on a simplement supprimé les identifiants directs. Elles ne s'appliquent pas aux renseignements personnels pour lesquels, selon le libellé actuel de la loi, les conséquences seraient « raisonnablement prévisibles ».

    Le Commissariat à la protection de la vie privée du Canada a fait un excellent travail dans cette enquête. J'en suis très au courant, car j'ai participé à cette enquête. L'analyse minutieuse effectuée a permis de déterminer que les données reçues par l'Agence de la santé publique du Canada ne permettaient pas d'identifier les personnes concernées dans le contexte des divulgations qui ont eu lieu. Par conséquent, si les données ne permettaient pas l'identification, il ne s'agissait pas de renseignements personnels. S'il ne s'agit pas de renseignements personnels, ils ne sont pas soumis aux exigences en matière de consentement ou au régime légal.

    Les amendements chirurgicaux que nous proposons ne changent rien à cela. En fait, ils reflètent la loi actuelle, entre autres.

    Encore une fois, je ne saurais trop insister sur les critères exceptionnellement élevés qui définissent actuellement ce qu'est un renseignement personnel. Il faut examiner les circonstances dans leur contexte et les méthodes techniques de dépersonnalisation, qui s'inscrivent dans le cadre de contrôles administratifs, de contrôles de sécurité et de contrôles physiques. Cet ensemble de contrôles a été mis en œuvre en plus de méthodes très sophistiquées pour garantir que l'Agence de la santé publique du Canada, comme l'a déterminé le Commissariat à la protection de la vie privée du Canada, n'a pas reçu de données qui peuvent révéler l'identité d'une personne.

    Merci.

    Je veux laisser du temps à M. Therrien.

    Il ne me reste que quelques secondes, malheureusement.

    Je suis en grande partie d'accord avec M. Kardash.

    Lorsque j'étais commissaire et que nous avons été saisis de ce dossier, nous n'avions pas vu les mesures prises par les entreprises pour anonymiser l'information. En bref, les renseignements dépersonnalisés demeurent des renseignements personnels et nécessitent un consentement.

    Est‑ce qu'il faut améliorer les dispositions relatives au consentement dans la Loi sur la protection de la vie privée des consommateurs? Oui, mais cela concerne les renseignements dépersonnalisés. Si les renseignements sont vraiment anonymisés, ils ne sont plus personnels. Ils ne sont plus à risque et peuvent être transmis plus librement.

    Merci.

     Merci beaucoup.

    Monsieur Turnbull, vous avez la parole.

    Merci, monsieur le président.

    Quelle formidable discussion. Je tiens vraiment à vous remercier tous de vos témoignages d'experts.

    Monsieur Kardash, je vais vous adresser quelques questions dans la même veine que celles de M. Williams.

    Je veux m'assurer de bien comprendre. Vous avez dit que la définition actuelle des données anonymisées constitue une norme trop stricte. Elle ne correspond pas à d'autres lois. Vous dites que la norme est déjà suffisamment élevée dans ces autres lois et que nous devrions simplement harmoniser la Loi sur la protection de la vie privée des consommateurs à ces dispositions.

    C'est bien cela?

    Oui. C'est une question d'interopérabilité. Je vais vous donner rapidement trois éléments. Je reconnais que le temps est restreint.

    Premièrement, il s'agit d'une norme très rigoureuse telle que l'a définie la jurisprudence. Deuxièmement, nous citons au moins 12 lois que vous pouvez consulter hors ligne, y compris la Loi 25 et un régime très rigoureux, la Loi sur la protection des renseignements personnels sur la santé, qui intègrent fondamentalement l'exigence contextuelle, le « risque raisonnablement prévisible dans les circonstances », ou une formulation très similaire.

    C'est pour l'interopérabilité, ce qui est absolument essentiel; c'est exact.

    Je comprends. C'est bon.

    Vous avez dit que la norme d'anonymisation « prévoit expressément le risque contextuel », ce que je ne suis pas sûr de bien comprendre. Pourriez-vous l'expliquer un peu plus en détail?

    Oui. Je vais demander à mon collègue, M. El Emam, de bien vouloir ajouter ses commentaires à ceux que je viens de faire.

    Bien sûr.

    Lorsque vous examinez un ensemble de données particulier, vous devez le replacer dans son contexte afin de prendre une décision. Il s'agit en fait d'une mesure de protection de la vie privée. L'expression « raisonnablement prévisible dans les circonstances » est ce facteur contextuel qui doit être articulé. C'est conforme aux meilleures pratiques. C'est ainsi que la gestion des risques est mise en œuvre aux fins de cette analyse.

    Monsieur El Emam, je vous demanderais de bien vouloir ajouter vos commentaires à ce sujet. Votre approche est tellement pratique. Ce serait très utile.

    Je pense que le point essentiel est que les données anonymisées intègrent les modifications apportées aux données ainsi que les contrôles supplémentaires que l'utilisateur ou le destinataire des données doit mettre en place — des contrôles de sécurité supplémentaires, des contrôles de confidentialité et des contrôles contractuels. Il ne s'agit pas seulement des données, mais aussi des contrôles supplémentaires.

    Les contrôles sont contextuels dans le sens où, en fonction de la fragilité des données, vous pouvez mettre en œuvre davantage de contrôles, par exemple. Il ne s'agit pas que des données, mais il y a les données et le contexte qui les entoure, ou les contrôles administratifs et techniques supplémentaires qui les entourent.

    Je vous remercie.

    Madame Gratton, M. Therrien a dit que le droit européen était la norme d'excellence. Il a expliqué qu'il n'y avait pas d'incohérence réelle en ce qui concerne la protection de la vie privée et les intérêts légitimes que vous avez soulignés à juste titre. Je pense que vous avez fait des suggestions très précises concernant les différents types d'intérêts légitimes qui sont actuellement inclus dans la Loi sur la protection de la vie privée des consommateurs.

    Est‑ce que vos suggestions nous permettraient de nous rapprocher davantage du droit européen ou de la norme d'excellence que M. Therrien a mentionnée?

    Je le pense, oui. En fait, vous remarquerez que, dans mon mémoire, je propose que l'exception relative au consentement pour « intérêt légitime » soit davantage harmonisée avec le Règlement général sur la protection des données, ou RGPD.

    D'accord. Bien.

    Est‑ce que vous pensez que nous pourrions ou devrions pousser notre exploration plus loin que la loi européenne?

    Je ne trouve pas nécessaire d'aller plus loin que la loi européenne. Je pense bien que mes autres commentaires ont trait à la nécessité de veiller à ce que nous ne fassions pas obstacle à l'innovation.

    Oui, je comprends qu'il s'agit d'une question d'équilibre. Je pense que tout le monde en a parlé. Il s'agit de trouver le juste équilibre.

    Nous avons démarré notre dernière réunion par une discussion sur ce sujet avec l'actuel commissaire à la protection de la vie privée. Nous en sommes arrivés à la conclusion qu'il s'agit effectivement d'un exercice d'équilibre délicat. Je sais que certains membres ont exprimé des points de vue qui vont peut-être dans le sens d'une plus grande pondération des droits et de la protection de la vie privée. Je pense que nous avons également entendu des témoignages selon lesquels l'innovation et le droit à la vie privée sont en grande mesure harmonisés dans de nombreux cas.

    Madame Gratton, d'après vous, est‑ce que nous risquons d'aller trop loin? Je suppose qu'une grande partie de votre témoignage porte sur la question de savoir où nous traçons la ligne et comment nous pouvons faciliter un processus par lequel les innovateurs peuvent continuer à innover et à offrir la valeur de tous les outils numériques qui améliorent nos vies et dont je pense que nous bénéficions tous au quotidien.

    Pouvez-vous nous parler de cela?

    Quand vous parlez d'aller trop loin, je suppose que vous parlez de la protection de la vie privée...

    Je parle d'étouffer l'innovation, parce que je suis préoccupé par la nécessité de trouver un juste équilibre entre les deux aspects de la question. Je tiens évidemment à mon droit fondamental à la vie privée, comme tous les Canadiens. En même temps, je ne veux pas étouffer l'innovation et les avantages que les Canadiens tirent de ces outils numériques.

    Ce que je peux dire, c'est que trois des quatre recommandations que je reçois proposent en fait que notre loi soit davantage harmonisée avec les lois de l'Europe ou du Québec, qui sont en fait plus strictes.

    Il faut également veiller à l'interopérabilité et s'assurer que nos exigences sont harmonisées, surtout lorsqu'elles sont logiques. Nous n'avons pas besoin de réinventer la roue. Si le Québec a réussi, et si l'Europe a réussi avec le RGPD, pourquoi réinventer la roue?

    J'aimerais peut-être soulever une question: en Europe, on avait interprété cette exigence comme signifiant que les sites Web devaient avoir des bandeaux de consentement aux témoins de navigation, et cinq ans plus tard, on est en train de réévaluer la situation. Il y a un mouvement en Europe, dont le but est de permettre à l'utilisateur de saisir dans son navigateur ses préférences relatives aux témoins de navigation, et ils réexaminent la question de savoir s'ils protègent mieux les utilisateurs des sites Web avec les bandeaux de consentement aux témoins de navigation, qui sont extrêmement complexes. Les gens se contentent de tout accepter.

    Je pense que si nous devons retenir une leçon de l'expérience européenne, c'est bien qu'il ne faut pas insister sur la mise en place de bandeaux de consentement aux témoins de navigation sur les sites Web.

    Je vous remercie beaucoup, madame Gratton et monsieur Turnbull.

    La parole est maintenant à M. Lemieux.

     Merci, monsieur le président.

    Monsieur Kardash, le Canadian Anonymization Network a une cause particulièrement intéressante. Selon un document que vous avez publié en mai 2023, la définition actuelle du terme « anonymiser » établit un seuil extrêmement élevé et pratiquement inatteignable pour ce qui est des circonstances permettant de conclure qu'un renseignement ne peut plus servir à identifier quelqu'un.

     Le document se reporte à la loi 25, adoptée par l'Assemblée nationale du Québec en 2021. Cette dernière utilise un langage plus modéré, afin de s'assurer que l'anonymisation est réalisable, et préconise l'adoption d'un langage similaire dans le but d'assurer l'interopérabilité des deux régimes.

    Selon vous, si on laisse le langage tel quel dans le projet de loi actuel, quelles seront les implications pour les entreprises québécoises, particulièrement pour les petites et moyennes entreprises qui seront assujetties à la loi 25, puisqu'elle aurait préséance, mais aussi à ce projet de loi, si leur exploitation traverse la frontière?

    Puis‑je demander des éclaircissements? Voulez-vous savoir quel serait l'impact si nous apportions ou non la modification que nous recommandons à la définition du mot « anonymiser »?

    Je suis désolé, mais j'aimerais obtenir ces précisions pour répondre correctement à votre question.

    Je trouve votre angle intéressant, mais j'aimerais que vous me parliez de ce qui se passera si on l'applique et si, au contraire, on ne l'applique pas.

    D'accord. Il est très important pour les entreprises que les régimes législatifs soient interopérables dans le domaine de la protection de la vie privée. Sans interopérabilité, il y aura beaucoup de confusion et d'incertitude. Il y aura un risque lié à la réticence, c'est‑à‑dire le risque que rien ne soit fait, et des problèmes en général.

    Nous ne faisons qu'intégrer une notion bien comprise pour garantir que le mot est utilisé de manière harmonisée et que ses applications sont similaires. C'est très important pour éviter des conséquences négatives. Si cette notion n'était pas intégrée, on pourrait se demander pourquoi. Il s'agit manifestement d'une norme différente, et nous pensons que ce n'est pas nécessaire. La vie privée pourrait être protégée autrement. Il s'agit actuellement d'une norme très élevée, mais nous n'en avons absolument pas besoin et ce ne sera pas du tout avantageux. En particulier, pour trouver l'équilibre dont nous venons d'entendre parler plus tôt… C'est la raison pour laquelle nous appuyons fermement cela.

    J'aimerais ajouter que nous avons mené des consultations approfondies. Un groupe de travail y a consacré d'innombrables heures. Nous avons rencontré des gens. Ce point a été universellement reconnu dans toutes nos discussions. Oui, il faut préciser les choses. Il faut s'en occuper. C'est l'approche appropriée et prudente à adopter.

    Merci beaucoup.

    Merci.

    Monsieur Masse, la parole est à vous.

    Je vous remercie, monsieur le président.

    Je m'excuse d'avoir dû m'absenter par intermittence pendant la réunion. Certains événements mondiaux compliquent particulièrement la situation dans ma circonscription de Windsor et dans la région de Détroit. Je m'excuse si je répète ou si j'oublie quelque chose, mais je vais écouter plus tard les témoignages que j'ai manqués.

    Monsieur Therrien, j'aimerais poser une question au sujet d'une certaine situation. À la suite d'une décision du tribunal, le Bureau de la concurrence a récemment dû payer une amende pour avoir enquêté sur la prise de contrôle de Shaw par Rogers et s'y être opposé. Grâce à d'autres témoignages, nous avons appris que le même processus pourrait s'appliquer au Commissariat à la protection de la vie privée dans le cadre de ce projet de loi. Nous devons donc régler ce point, car certaines personnes nous disent une chose, et d'autres nous disent autre chose dans les témoignages que nous entendons.

    Encore une fois, je sais que le tribunal a un peu plus à offrir. Pensez-vous vraiment que la création de ce type d'organisme pourrait miner les pouvoirs du Commissariat à la protection de la vie privée en général? Cela m'inquiète, car je sais que les États-Unis ne suivent pas ce modèle. Toutefois, en ce qui nous concerne, il a très bien servi les Canadiens.

    J'aimerais donc que vous nous parliez des risques liés à la vulnérabilité si nous modifions notre processus actuel.

    Je vous remercie de votre question.

    Je pense qu'il y a un risque d'affaiblir le Commissariat à la protection de la vie privée. Permettez-moi d'offrir une explication. Le bureau fédéral travaille — et il le faut, car les données circulent entre les pays et les différentes provinces canadiennes — avec des collègues au Canada et à l'étranger.

    Comme je l'ai expliqué dans ma réponse précédente, aucun autre pays ne dispose d'un tribunal comme celui proposé au niveau fédéral dans le cadre de la Loi sur la protection de la vie privée des consommateurs. Cela mettrait le Commissariat dans une situation telle que, lors d'enquêtes conjointes avec des collègues au Canada ou à l'étranger, sa décision entrerait en vigueur plus tard que celle de ses collègues. Le Commissariat devrait alors attendre l'autorisation du tribunal pour qu'une ordonnance soit rendue ou qu'une sanction soit imposée.

    Mais plus important encore, les citoyens canadiens devraient attendre plus longtemps que ceux d'autres endroits, y compris au Québec. En effet, au Québec, la Commission d'accès à l'information a le pouvoir de rendre des ordonnances et d'imposer des amendes. Les mesures de protection ne s'appliqueraient donc pas aussi rapidement pour les citoyens canadiens que pour ceux d'autres endroits.

    Je vous remercie.

    Je vous remercie, monsieur le président.

     Merci beaucoup.

    Monsieur Vis, vous avez la parole pour cinq minutes.

    Je tiens à remercier tous mes collègues de leur expertise au sujet de ce projet de loi très important.

    Je suis très inquiet au sujet des enfants. Si vous avez écouté mon témoignage lors de la dernière réunion, vous savez que je suis très préoccupé par la façon dont un enfant peut donner son consentement pour fournir toutes sortes de renseignements qui pourraient être utilisés à des fins commerciales.

    Il s'agit d'une question ouverte à tous ceux qui souhaitent y répondre. Dans l'article 39 proposé, on trouve la rubrique « Fins socialement bénéfiques ». Quelle est la définition d'une fin socialement bénéfique?

    Je pense que vous parlez du contexte des enfants.

    Oui, c'est exact.

    Si nous examinons l'article 39 proposé et la définition de la notion de fins socialement bénéfiques, l'une de ces fins viserait la communication des renseignements « à un établissement de soins de santé, à un établissement d’enseignement postsecondaire ou à une bibliothèque publique situés au Canada ».

    Il est certain que les établissements de santé…

    Je vous remercie.

    Ce qui me préoccupe le plus, c'est le sous-alinéa 39(1)b)(iv) proposé, qui ajoute « à toute autre entité réglementaire ». Qu'est‑ce qu'une entité réglementaire dans le contexte d'une fin socialement bénéfique en ce qui concerne les données non anonymisées d'un enfant?

    Il faudrait poser cette question au gouvernement, car aucun règlement n'a été pris à cet égard.

    D'accord. Cela répond à ma question. Nous l'ignorons.

    Ce que j'entends de votre part aujourd'hui, c'est… Nous parlons également du consentement. Ce qui me préoccupe, c'est le consentement d'un enfant, car le projet de loi ne précise pas d'âge pour définir un mineur.

    L'un d'entre vous souhaite‑t‑il faire un commentaire sur la question de savoir s'il faut ou non définir l'âge d'un enfant et s'il faut prévoir différents niveaux de consentement pour les mineurs dans le projet de loi?

    Encore une fois, cela revient à toutes les occasions où mon enfant utilise un iPad, lorsque je suis dans un avion ou lorsque je conduis. Il est assis à l'arrière et il clique sur certaines choses. Je ne sais pas où vont ces renseignements et cela m'effraie. À titre de parent, je suis très inquiet. Je sais que tous les membres du Comité ont les mêmes inquiétudes.

    Comment pouvons-nous aborder ce point dans le projet de loi de manière à garantir la protection des enfants?

    Je suis heureux de formuler quelques réflexions sur la question, car c'est un sujet sur lequel je me suis penché.

    Dans le projet de loi, il est question de mineurs, et les mineurs sont définis par les lois provinciales. Par exemple, les mineurs ont 18 ans en Alberta et au Québec et 19 ans partout ailleurs. Cela varie selon l'endroit.

    L'un des défis que posent les enfants lorsqu'il s'agit de la protection de la vie privée, c'est qu'il n'y a pas de limites précises et faciles à établir selon lesquelles en dessous d'un certain âge magique, un enfant est complètement sous le contrôle de ses parents et il n'a pas la capacité de donner son consentement valide et véritable...

    C'est exactement cela.

    … ou après cet âge, l'enfant est magiquement doté de cette capacité.

    À titre de parent de trois jeunes hommes, je sais que chaque âge présente un niveau de maturité différent, et ce n'est pas toujours clair. Il est difficile de mettre cela en pratique. Il faut tenir compte des caractéristiques individuelles de chaque jeune personne, et savoir si elle est capable de…

    Monsieur Therrien a parlé des exigences en matière de consentement éclairé et donné en toute connaissance de cause. Un enfant est‑il capable de comprendre ce à quoi il consent et les conséquences possibles? Cette question est en fait assez similaire à celle du consentement à un traitement médical, de sorte qu'elle n'est pas complètement isolée dans son propre petit monde.

    Je vais maintenant céder la parole à M. Kardash. Vous avez soulevé un excellent point.

    La Loi stipule expressément que les renseignements relatifs aux mineurs sont considérés comme étant de nature sensible. C'est expressément prévu dans la Loi.

    Oui.

    Pour cette raison, de nombreuses autres dispositions de la Loi doivent maintenant se pencher sur le traitement des renseignements de nature sensible. Par exemple, les mesures de protection doivent être mises en œuvre en fonction de la nature sensible des renseignements.

    Lorsque l'on considère les différentes exigences…

    Je vous remercie.

    Les dispositions relatives aux renseignements de nature sensible énoncés dans l'article 12 proposé l'emporteraient-elles, par exemple, sur l'article 38 proposé de la Loi sur la protection de la vie privée des consommateurs en ce qui concerne l'utilisation de renseignements à des fins littéraires, par exemple, dans le contexte des enfants?

    Dès que des données de nature plus sensible sont collectées, un ensemble holistique de dispositions prévues dans la Loi seront appliquées. Même à l'heure actuelle, le paragraphe 5(3) de la Loi sur la protection des renseignements personnels et les documents électroniques — qui a été modifié et qui est maintenant encore plus complexe — stipule que les organismes ne peuvent recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables. La portée de cette disposition peut sembler vaste, mais c'est une mesure de protection de la vie privée par nature, car la nature sensible des données aura une incidence sur l'analyse législative de ce qu'une personne raisonnable estimerait acceptable dans les circonstances.

    Est‑il nécessaire de définir le mot « enfant » dans le projet de loi?

    Je ne le crois pas. Les mineurs de moins de 13 ans n'ont pas la capacité de donner leur consentement. Cela représente donc une mesure de protection et les renseignements seraient protégés de cette façon.

    On parle de préciser qu'il s'agit de personnes de « moins de 18 ans ». Mais cela s'applique actuellement et je ne pense donc pas qu'il soit nécessaire de le faire.

    L'élément le plus important dans la Loi, celui qui vous préoccupe le plus… Je pense que la plus grande préoccupation de toutes les personnes présentes dans la salle, et certainement la mienne, c'est la protection des mineurs. Cependant, le cadre législatif prévoit déjà expressément qu'il s'agit de renseignements de nature sensible, ce qui a un impact tout au long du processus. Cette question serait donc abordée de manière adéquate, certainement dans le cadre de l'interprétation législative.

    Monsieur Therrien, à votre avis, est‑il nécessaire de modifier davantage l'article 12 proposé afin de garantir que les droits des enfants, lorsque nous définissons le droit fondamental au respect de la vie privée, reçoivent l'attention qu'ils méritent?

    Le ministre Champagne a déposé des amendements au préambule et à l'article 12 proposé qui permettraient de mieux protéger les enfants. Encore une fois, c'est un pas dans la bonne direction, mais je crains que la terminologie utilisée ne soit trop restrictive, et c'est la raison pour laquelle j'ai recommandé dans le texte que je vous ai fourni que l'article 12 proposé soit modifié pour faire référence à la notion de « l'intérêt supérieur de l'enfant ». Cette notion doit être interprétée dans son contexte. Elle ne se limite pas à… Encore une fois, la formulation proposée représente un pas dans la bonne direction, mais elle est peut-être trop restrictive, et je pense donc que la notion de « l'intérêt supérieur de l'enfant » offrirait une protection plus complète.

    Je vous remercie. Ce sont des renseignements très utiles.

     Merci beaucoup.

    Monsieur Gaheer, vous avez la parole.

    Je vous remercie, monsieur le président.

    Je tiens à remercier les témoins de comparaître devant le Comité et d'apporter des contributions utiles.

     Mes questions reprennent la teneur des propos de M. Vis. Je voulais également parler des fins socialement bénéfiques. Mes questions s'adressent à M. Kardash.

    Nous savons que, selon l'article 39 proposé de la Loi sur la protection de la vie privée des consommateurs, un organisme a le droit de communiquer à certaines entités des renseignements personnels dépersonnalisés à l'insu de l'individu et sans son consentement, si la communication est faite à des fins socialement bénéfiques. Cette notion est définie dans le projet de loi de la façon suivante: « ...toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire. »

    Selon vous, cette définition de « fin socialement bénéfique » suffira‑t‑elle à protéger les intérêts des Canadiens en matière de vie privée, en plus du fait qu'il s'agit déjà de renseignements dépersonnalisés, ce qui, comme vous l'avez dit dans votre déclaration préliminaire, est déjà un seuil plutôt élevé? C'est une norme rigoureuse.

    Cette disposition a fait l'objet de discussions approfondies lors des consultations de CANON. Dans notre mémoire, que nous avons envoyé à votre comité, vous trouverez certaines dispositions précises que nous suggérons pour améliorer la protection de la vie privée en ce qui concerne les renseignements personnels qui feraient l'objet de ces communications. Mme Gratton a mentionné des éléments de ces dispositions.

    En plus de la dépersonnalisation des renseignements personnels, nous indiquons qu'il faut d'aviser le Commissariat à la protection de la vie privée du Canada et conclure une entente particulière qui engage le bénéficiaire. Nous avons ensuite ajouté — pour nous assurer de rester à jour — que l'organisme doit se conformer à toute autre exigence réglementaire. Cela donne au gouvernement l'occasion de réévaluer la situation et de prendre de nouveaux règlements pour ajouter des exigences, peut-être pour les bénéficiaires des données ou pour l'entité qui les communique.

    Selon nous, la communication des renseignements à des fins socialement bénéfiques est une excellente chose, car les renseignements sont utilisés pour le bien commun. Cependant, nous croyons fermement — et nous avons formulé des recommandations précises à cette fin — qu'il faudrait mettre en œuvre des mesures supplémentaires pour la protection de la vie privée en ce qui concerne cette disposition, afin faciliter l'atteinte d'un équilibre.

    Lorsque j'entends ce témoignage… Vous avez dit que vous aviez déjà établi qu'il s'agit d'une norme assez élevée ou d'une exigence rigoureuse. Vous voulez en fait abaisser ce seuil pour les renseignements qui sont dépersonnalisés et qui peuvent également servir à des fins socialement bénéfiques.

    Pensez-vous qu'un équilibre est déjà atteint ou iriez-vous encore plus loin?

     Nous avons l'impression — encore une fois, notre opinion se fonde sur des consultations approfondies — que dans le libellé actuel du projet de loi, et compte tenu du fait qu'on ne peut pas examiner une exception au consentement dans le vide, toutes ces communications de renseignements sont assujetties à de nombreuses dispositions de la Loi, si la communication s'appuie sur une exception au consentement. Toutefois, en ce qui concerne cette disposition, nous pensons qu'il serait possible d'atteindre l'équilibre nécessaire en renforçant les mesures de protection de la vie privée grâce aux amendements que nous suggérons, en combinaison avec — comme l'ont mentionné d'autres témoins aujourd'hui — une condition imposée par règlement qui prévoit la mise en œuvre, par le gouvernement, de mesures de protection supplémentaires au fil du temps, s'il estime que c'est nécessaire.

    L'idée d'utiliser les renseignements pour le bien commun pourrait être extrêmement utile. Cela pourrait signifier une multitude d'avantages inconnus pour tous les Canadiens. Au départ, cette disposition a reçu un soutien à grande échelle. Toutefois, nous sommes pleinement conscients des préoccupations qui ont été soulevées et nous proposons certains changements pour les régler. Nous pensons que les modifications que nous avons proposées pourraient permettre d'atteindre l'équilibre souhaité.

    Je vous remercie. J'appuie vos propositions. Je voulais seulement qu'elles soient présentées dans le cadre des témoignages.

    Mon autre question concerne la communication de renseignements personnels à l'insu de l'individu ou sans son consentement, si elle est faite dans le cadre d'une activité commerciale.

    Cette définition se trouve également dans le projet de loi: « a) une personne raisonnable s’attendrait à la collecte ou à l’utilisation en vue d’une telle activité » et « b) les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu. »

    Que pensez-vous de cette définition et de la façon dont on a restreint sa portée?

    J'inviterais les autres témoins à répondre aussi.

    Je dirais que le gouvernement a fait un excellent travail pour détailler les circonstances où il s'attend à ce que les organisations utilisent ces données. Ce genre d'utilisation n'est pas particulièrement controversé. Je répète qu'il ne s'agit que d'une exception au consentement. Cela ne signifie pas que les organisations ne sont pas assujetties à toutes les autres exigences qui s'appliquent dans les circonstances. Je pense que c'est un aspect souvent oublié dans les discussions.

    Selon notre examen attentif... Ces précisions sont les bienvenues, et le gouvernement les a très bien articulées.

    Je vous remercie.

     Merci beaucoup.

    Monsieur Généreux, vous avez la parole.

    Merci, monsieur le président.

    Je remercie également les témoins.

    Monsieur Therrien, vous étiez le commissaire à la protection de la vie privée quand l'ancien projet de loi C-11 a été déposé. Vous aviez proposé des amendements et déclaré que le projet de loi constituait un recul par rapport à ce qui existait à ce moment-là.

    Votre successeur a proposé 15 amendements, sur lesquels vous vous dites d'accord. Or, le gouvernement n'en a retenu que cinq. Sur les dix autres qu'il n'a pas retenus, lesquels, selon vous, devraient fondamentalement être inclus dans le projet de loi actuel?

     Les recommandations sont toutes importantes, et j'en ai présenté d'autres dans mon mémoire, notamment sur la question des vérifications proactives. Si j'avais à en choisir une seule, je choisirais l'obligation de procéder à une évaluation des risques, qui devrait devenir une exigence légale, selon moi.

    Il y a aussi un autre point, qui est moins souvent discuté. Dans le projet de loi actuel, les organisations auraient une très grande latitude pour définir les fins pour lesquelles elles peuvent utiliser des renseignements personnels. Tout comme je l'ai fait lorsque j'étais commissaire, le commissaire Dufresne a recommandé que les fins pour lesquelles les renseignements peuvent être utilisés soient explicites et précises. Ces mots sont importants. Actuellement, les entreprises peuvent définir ces fins à peu près à leur guise. Les obliger à définir ces fins de façon un peu plus étroite serait une façon d'assurer un meilleur équilibre. Une telle disposition s'alignerait d'ailleurs sur la législation européenne.

    Tantôt, M. Fraser a dit que, selon lui, le tribunal devrait être un organisme indépendant du commissariat, et non un organe interne géré ou promu par le commissaire en vertu de la loi. Quelle est la différence fondamentale? Je comprends qu'il y a deux visions par rapport à cela: M. Fraser veut que le tribunal soit complètement séparé du commissariat, mais je pense que vous suggérez que le tribunal en soit un organe interne.

    Si on donne des pouvoirs larges au commissaire de façon à ce qu'il soit à la fois juge et partie, à promouvoir le droit à la vie privée, et aussi à trancher les litiges en vertu du projet de loi, n'y a-t-il pas un risque qu'il soit mis dans une situation de conflit d'intérêts?

    C'est une possibilité, mais je n'appellerais pas cela un risque. C'est une possibilité que la loi prévoit de façon routinière, par ailleurs. Il y a un grand nombre de tribunaux administratifs qui sont capables de mener des enquêtes et de fournir des conseils tout en ayant des pouvoirs d'adjudication. Évidemment, ces pouvoirs doivent être distincts au sein de l'organisme. Il en irait de même si le Commissariat à la protection de la vie privée du Canada avait ces pouvoirs sans qu'il y ait de tribunal. La décision, par exemple une ordonnance prise par le commissariat, doit faire l'objet d'un contrôle judiciaire pour assurer qu'elle a été juste envers les entreprises. Souvent, ce genre de conflit potentiel est géré sans problème par des tribunaux administratifs.

    Monsieur Fraser, avez-vous quelque chose à ajouter?

    Je suis d'accord qu'il s'agit de deux modèles différents. Nous avons aussi la Commission des droits de la personne, le Tribunal des droits de la personne, le commissaire de la concurrence et le Tribunal de la concurrence. Il y a d'autres exemples au Canada où ce modèle s'applique. Il peut toujours y avoir des conflits, cependant, et il faut que le Commissariat à la protection de la vie privée du Canada ait des mesures de contrôle et des garanties procédurales pour prévenir les conflits.

    Étant donné l'enjeu que le projet de loi présente et les amendes de millions et même de milliards de dollars qu'il prévoit, selon le pourcentage des revenus mondiaux d'une entreprise, ce projet de loi exige des protections procédurales supplémentaires. Imaginez qu'un policier vous remette une contravention. Vous pouvez la payer en plaidant coupable ou vous pouvez la contester. Le policier a le fardeau de prouver devant un tribunal impartial que les faits allégués justifiaient la contravention. C'est le modèle que je préconiserais.

    Sinon, nous pourrions couper la poire en deux, de sorte que lorsqu'une pénalité allant au‑delà d'un certain seuil s'impose, des protections additionnelles s'appliquent; celles‑ci seront importantes.

    Je vous ferais remarquer également qu'il y a de plus en plus d'enquêtes menées par diverses administrations en même temps. Les organisations s'exposent donc à de multiples pénalités à divers endroits à l'issue de la même enquête. Les amendes prévues au Québec ressemblent à celles prévues ici. Deux pénalités pourraient donc être imposées simultanément, ce qui rend l'enjeu d'autant plus grand, selon moi, à tout le moins.

    Monsieur Therrien, je ne veux pas que vous vous battiez, mais que pensez-vous de sa réponse?

    Il est évident que les pénalités prévues dans la loi sont extrêmement importantes. C'est aussi le cas en Europe et dans d'autres pays, ainsi qu'au Québec avec la loi 25. Dans tous ces modèles, sans exception, le tribunal de première instance, l'équivalent du commissariat à la protection de la vie privée, est capable de rendre ces décisions.

    Comme je le disais à M. Masse, si le commissariat fédéral n'a pas les mêmes outils que ses homologues, cela risque de créer des complexités importantes dans les enquêtes conjointes avec d'autres instances.

    Merci beaucoup.

    Je cède maintenant la parole à M. Van Bynen.

    Je me demande si ce projet de loi reflète bien la situation actuelle. Par exemple, la situation serait‑elle différente si nous avions présenté ce projet de loi il y a 10 ans? Je pense à Facebook, à ChatGPT et aux médias sociaux.

    Les gens qui doutent du fait que leur vie privée est déjà bafouée n'ont pas de cellulaire ni de compte de média social. Comment pouvons‑nous changer la donne? Avons‑nous l'intention de contrôler ce phénomène? Comment pouvons‑nous au mieux le gérer?

    Je commencerais par M. Fraser.

    Je me demande tout d'abord si vous croyez que nous devrions favoriser un monde sans Facebook, ChatGPT et ce genre de choses.

    Je répète qu'à mon avis, ce projet de loi amplifie ce qui existe déjà dans la Loi sur la protection des renseignements personnels et les documents électroniques. Il oblige les organisations à faire preuve d'une diligence supérieure, notamment pour justifier leurs décisions, évaluer le risque associé à leurs documents et ce genre de choses. Il prévoit également des pénalités considérables.

    Si ce projet de loi était entré en vigueur il y a 10 ans, je ne sais pas si la situation serait bien différente, parce qu'il se fonde sur les 10 principes du code de l'Association canadienne de normalisation pour la protection des renseignements personnels, qui sont des principes bien canadiens en matière de protection de la vie privée.

    J'aimerais savoir si M. Therrien pense que les choses seraient bien différentes s'il avait eu la Loi sur la protection de la vie privée des consommateurs à sa disposition dès son entrée en poste.

    Allez‑y, monsieur Therrien.

    Je pense que la Loi sur la protection de la vie privée des consommateurs nous rapproche beaucoup du cadre qui devrait s'appliquer en 2023. Compte tenu des nouvelles utilisations de l'intelligence artificielle, la partie n^o 2 du projet de loi C‑27 vise à adapter la législation canadienne à cette nouvelle technologie.

    Il n'y a pas de solution parfaite dans ce type de situation. Certains pensent que la Loi sur l'intelligence artificielle et les données est si squelettique qu'elle n'a aucun poids, et c'est un point de vue qui se défend. Je pense que cette loi est acceptable compte tenu d'où nous sommes rendus de nos jours.

    L'un des avantages du projet de loi qui vous est soumis, c'est qu'il reprend le modèle du consentement dans bien des circonstances où il peut être donné, mais on reconnaît aussi qu'il y a des limites importantes au modèle du consentement. Par exemple, il y a l'intérêt légitime et les fins socialement bénéfiques, mais je pense qu'il faudrait intégrer ces nuances adaptées à l'utilisation actuelle de la technologie au cadre de protection des droits.

    Même si les dernières modifications qu'a présentées le ministre nous en rapprochent un peu, nous sommes toujours assez loin d'une situation idéale. C'est pourquoi j'estime si importants les articles proposés 12 et 94 relatifs aux pénalités, parce qu'il ne sert à rien de reconnaître le droit fondamental à la vie privée s'il n'y a pas de pénalité qui s'applique en cas de contravention à ce principe.

    Pensez‑vous que ce projet de loi va changer les comportements des organisations et l'utilisation qu'elles font des données actuellement?

    J'espère qu'avec le temps et grâce à ces pénalités, mais pas seulement grâce à elles, les entreprises vont commencer à se comporter de manière plus responsable et que les organismes de réglementation travaillant avec elles vont s'assurer de bien faire appliquer la loi. Le rôle consultatif de notre commissariat est important, mais les pénalités doivent aussi servir d'incitatifs pour que les comportements changent.

    Vous avez d'ailleurs dit que le commissaire à la protection de la vie privée devrait mener des audits pour s'assurer que les responsabilités supplémentaires que prévoit ce projet de loi sont respectées.

    En bref, je dirais qu'il est extrêmement difficile, voire impossible, pour les consommateurs à eux seuls de comprendre comment leurs données sont utilisées. C'est difficile même pour les organismes de réglementation de comprendre ce qu'en font les entreprises.

    Comment allons‑nous repérer les violations si nous comptons avant tout sur les consommateurs pour porter plainte? Je sais qu'il y a des dispositions qui permettent au commissaire de prendre l'initiative de déposer des plaintes, mais le modèle est conçu de façon à ce que ce soient surtout les consommateurs qui se plaignent sur le plan individuel.

    Dans bien des situations, les consommateurs ne savent pas qu'il y a violation. D'autres administrations que j'ai mentionnées dans mon mémoire mènent proactivement des audits. L'organisme de réglementation peut ainsi auditer les façons de faire d'une entreprise, non pas parce qu'il croit qu'il y a violation, mais simplement pour rassurer les consommateurs, pour attester du fait que telle nouvelle pratique est conforme à la loi et leur confirmer que leur vie privée est bien protégée. Sinon, l'entreprise devra modifier ses pratiques.

    Je pense qu'il est extrêmement important d'être proactif.

    Je vous remercie.

     Merci beaucoup, monsieur Van Bynen.

    Monsieur Lemire, la parole est à vous.

    Merci, monsieur le président.

    Monsieur Therrien, j'aimerais parler de l'alinéa 4a) et du droit des enfants d'exercer eux-mêmes des recours, sans l'intermédiaire d'un parent ou tuteur. Devrait-on envisager d'aller plus loin sur le droit des enfants en reconnaissant la Convention relative aux droits de l'enfant de l'ONU? Devrait-on reconnaître aux enfants le droit d'exercer des recours et d'être entendus, que ce soit directement ou par l'intermédiaire de représentants, dans toute procédure qui les intéresse?

    Si je recommande que l'article 12 soit modifié pour prendre en compte l'intérêt supérieur de l'enfant, c'est en partie en raison de la Convention relative aux droits de l'enfant.

    Cependant, je ne suis pas un expert en droit constitutionnel canadien pour ce qui est du partage des pouvoirs. Quels droits faudrait-il donner à un enfant dans le cadre des différentes procédures? Est-ce quelque chose qui peut être fait dans une loi fédérale ou est-ce plutôt du ressort d'une loi provinciale? Je ne me prononcerais pas là-dessus.

    Est-ce que quelqu'un voudrait se prononcer?

    Madame Gratton, souhaitez-vous intervenir?

    La discussion a évolué. Quelle était votre question?

    Dans le contexte de la Convention relative aux droits de l'enfant, doit-on donner le droit à un enfant d'avoir accès aux recours et aux procédures de plainte et le droit d'être entendu, particulièrement s'il a vécu des abus ou des situations préjudiciables?

    M. Therrien hésite à se prononcer parce que cela met en cause le partage des pouvoirs. En effet, beaucoup de ces questions sont de compétence provinciale. Ainsi, au Québec, c'est le Code civil qui encadre le droit de l'enfant.

    Je ne pense pas que ces lois doivent aller plus loin que traiter du consentement et protéger les données des enfants détenues par les organisations du secteur privé. C'est vraiment ce que visent à protéger ces lois.

    Un peu plus tôt, on a parlé de l'âge du consentement. Le projet de loi pourrait être plus précis à certains égards sur le type de consentement de l'enfant, selon son âge. Au Québec, on fait cette distinction, mais, là encore, dans le reste du monde, souvent, cela varie. Il y a l'âge de la majorité et les jeunes enfants. Entre les deux, il y a des jeunes âgés entre 13 et 18 ou 19 ans, l'âge de la majorité.

    Au Québec, on a fixé l'âge du consentement à 14 ans. Cela crée beaucoup de problèmes opérationnels pour les organisations qui veulent mettre en place des garde-fous et des mesures pour protéger les enfants. Il faudrait juste garder cela en tête.

    Merci beaucoup.

    Je vous remercie.

    Monsieur Masse, vous avez la parole.

    Merci, monsieur le président.

    Je veux parler d'une chose sur laquelle on ne pose pas beaucoup de questions de ce côté‑ci, mais je pense que c'est important pour vous de le souligner, monsieur Therrien.

    Pour un parti politique, il y a des lois sur la protection de la vie privée qui s'appliquent dans plusieurs administrations, comme en Europe, en Colombie‑Britannique et maintenant au Québec. Cela devrait être vrai à l'échelle fédérale.

    J'aimerais vous entendre davantage là‑dessus. Nous ne semblons pas entendre beaucoup de questions à ce sujet de ce côté‑ci de la table, mais je pense qu'il importe de réfléchir à cette possibilité.

    Nous avons parlé d'interopérabilité. Il y a des lois sur la protection de la vie privée dans bien d'autres administrations en Europe et au Canada, comme la Colombie‑Britannique et maintenant le Québec, qui s'appliquent aux partis politiques. On reconnaît ainsi que les renseignements que possèdent les partis politiques sont presque toujours sensibles. Ces renseignements orientent le point de vue des partis politiques. Or, en vertu des lois sur la protection de la vie privée, l'information sensible a normalement droit à une meilleure protection.

    À l'heure actuelle, nous n'avons aucune protection à l'échelle fédérale, sauf celles que les partis politiques choisissent d'intégrer à leurs propres politiques sur la vie privée, mais il n'existe pas d'exigences juridiques. Je pense donc que ce serait une très bonne chose si les partis politiques étaient visés par des lois sur la protection de la vie privée.

    Par exemple, vous pourriez ajouter une disposition à la Loi sur la protection de la vie privée des consommateurs pour y inclure les partis politiques, afin de reconnaître la nature sensible des renseignements dont ils disposent.

    Très bien.

    Monsieur Kardash, vous pouvez prendre le temps qu'il reste.

    Je serai bref.

    Selon moi — et nous y avons mûrement réfléchi —, il n'y a pas de justification du domaine de la politique publique pour que les partis politiques puissent utiliser des renseignements personnels sans être assujettis à un régime législatif de protection de la vie privée. La seule question qu'il faut se poser consiste à savoir quel instrument on devrait privilégier pour cela et si ce devrait être la Loi sur la protection de la vie privée des consommateurs. Je pense que la proposition de prévoir un instrument législatif distinct pour cela a du bon. Personnellement, je pense que c'est une lacune du projet de loi C‑27. On aurait pu y inclure des dispositions en ce sens.

    Si l'on compare les protections de la vie privée qu'on trouve dans le projet de loi C‑27 et la Loi sur la protection de la vie privée des consommateurs à celles qu'on accorde déjà aux gens lorsque les partis politiques utilisent leurs renseignements personnels, on constate que c'est deux mondes. Les partis politiques n'ont qu'à publier un énoncé sur le respect de la vie privée et ne sont pas tenus d'aviser la personne en cas d'atteinte à la vie privée. Aucun droit d'accès n'est prévu ni aucune règle sur le consentement. La liste se poursuit encore et encore. Aucun droit de réparation explicite n'est prévu. Il n'y a pas d'ombudsman pour superviser les partis politiques, accueillir les plaintes, mener des enquêtes, etc.

    Je pense que c'est un sujet extrêmement important. Je vous suis très reconnaissant de l'avoir soulevé, monsieur Masse.

    Je vous remercie.

    Merci, monsieur le président.

    Merci, monsieur Masse.

    La parole va maintenant à M. Perkins.

    Je vous remercie, monsieur le président.

    Vos témoignages sont très intéressants.

    Monsieur Therrien, j'aimerais revenir aux premières questions de M. Vis concernant les mineurs. Le seul endroit dans ce projet de loi où on les mentionne est dans la section « Définitions et interprétation », au début.

    On n'y donne pas la définition de « mineur ». Nous sommes nombreux à penser qu'il faudrait préciser quel est l'âge d'un mineur, mais il est écrit aussi que « les renseignements personnels d'un mineur sont considérés comme étant de nature sensible ». Bon sang, je ne trouve même pas la définition de « renseignements de nature sensible » dans ce projet de loi.

    En effet, le concept de renseignements de nature sensible n'est pas défini dans la loi actuelle et ne le serait pas dans le projet de loi. Cela conduit normalement à ce que l'on appelle « l'application contextuelle » de ce qui est de nature sensible. Il s'agit de savoir quel type d'information est en jeu. S'agit‑il de renseignements financiers? Les renseignements concernent-ils des enfants ou la santé? Il s'agirait de renseignements sensibles de façon générale selon la partie « Interprétation », mais la loi ne contient pas de définition.

    Le fait qu'il n'y ait pas de définition est‑il une lacune? Au bout du compte, la définition reposera toujours sur le contexte. Cependant, je pense qu'il est possible d'élaborer une définition qui ne soit pas exhaustive et qui fasse référence à certains facteurs — finances, santé, enfants, etc. — qui seraient définis comme des renseignements sensibles de façon générale, tout en laissant une disposition résiduelle pour ce qui n'est pas défini. Je pense que ce serait une amélioration.

     J'ai passé la plus grande partie de ma carrière dans le domaine du marketing. J'aime donc les données et j'allais jusqu'au bout des limites avec ce que je savais et ce que je pouvais faire des données, mais je peux vous dire que le projet de loi et ces éléments me rendraient nerveux. En tant que spécialiste du marketing, je ne vois tout simplement pas de lignes directrices qui m'aideraient à comprendre et j'imagine que la plupart des spécialistes du marketing repousseraient les limites, comme ils le font, et pourraient causer des ennuis à leur entreprise. Je comprends qu'il devrait y avoir plus de définitions.

     J'aimerais revenir à ma question précédente.

    Monsieur Therrien, le paragraphe 15(5) proposé indique que le « consentement implicite » peut être acceptable. Personnellement, je pense que ce n'est jamais acceptable. Pensez-vous que permettre l'utilisation du consentement implicite dans le cadre du projet de loi pose problème?

     Le consentement implicite laisse certainement une large place à l'interprétation et il est parfois utilisé de façon abusive, mais c'est un concept qui existe dans la plupart, sinon la totalité, des lois sur la protection de la vie privée que je connais. On tient compte du fait que dans l'environnement technologique actuel, il n'est pas réaliste que l'on puisse demander aux gens de donner leur consentement de façon explicite chaque fois que des renseignements seront utilisés.

    En ce qui concerne les modifications à apporter au régime de consentement, je maintiens la recommandation que j'ai faite, soit d'harmoniser le libellé de l'article 15 proposé — pas le paragraphe (5), mais une autre disposition — avec l'article 6.1 actuel de la LPRPDE.

    Le problème que pose le paragraphe 15(5) proposé, qui est également lié au paragraphe 15(6) proposé, qui est également lié aux paragraphes 18(1) et 18(2) proposés, c'est que l'utilisation du consentement implicite est permise pour une grande variété de choses, y compris pour « toute autre activité réglementaire » — peu importe ce que c'est. Cela laisse une grande marge de manœuvre.

    Dans une partie précédente du projet de loi, la partie relative au consentement, il est indiqué que si le consentement exprès est requis et qu'il y a une nouvelle disposition ou que l'on veut utiliser les données de la personne d'une autre façon, le consentement exprès doit être donné à nouveau.

     Il me semble qu'il est contradictoire de dire: « eh bien, je peux l'appliquer de toute façon, je n'ai pas à tenir compte de la partie précédente du projet de loi qui dit que je dois obtenir le consentement exprès pour une fin nouvelle, sauf lorsque je regarde les paragraphes 15(5), 15(6), 18(1) et 18(2) proposés. »

    Je répondrai qu'il faut porter attention aux dispositions qui définissent les fins pour lesquelles les entreprises peuvent utiliser des renseignements. Pour l'instant, je pense que c'est assez ouvert. Il n'y a pas beaucoup de limites, voire aucune, sauf dans le cadre de l'article 12 proposé.

     Si les dispositions qui définissent les fins initiales ou les fins nouvelles disaient que seules des fins spécifiques et explicites sont légitimes, je pense que ce serait un pas dans la bonne direction.

    J'ai une dernière question.

     Qui devrait posséder les données d'une personne, moi ou l'organisation?

    C'est certainement la question à six millions de dollars à l'heure actuelle. Cela renvoie à l'histoire de la technologie et des mesures législatives, au fait qu'il y a plusieurs décennies, le modèle de consentement était considéré comme le meilleur modèle — ce qui suppose un contrôle important.

    Je pense que nous n'avons pas quitté ce monde. Il est toujours important que les gens exercent un contrôle sur leurs renseignements le plus possible, mais en réalité, nous savons que nous ne sommes plus dans ce monde. Il n'est tout simplement pas réaliste de penser que les citoyens peuvent donner leur consentement dans tous les cas où des renseignements sont utilisés. Nous devons nous adapter à un monde dans lequel le consentement n'est pas requis, mais, je le dis, dans le cadre d'un modèle qui protège la vie privée en tant que droit fondamental, ce qui inclut les quatre dispositions que j'ai mentionnées plus tôt.

    Merci, monsieur Therrien.

    C'est maintenant au tour de M. Sorbara.

    Merci. Bonjour, messieurs.

    Je m'excuse d'avoir manqué vos témoignages un peu plus tôt en raison d'un rendez-vous.

    Monsieur Kardash, un peu plus tôt, vous avez fait une observation sur le seuil pour les données personnelles — j'ai peut-être oublié les mots exacts — en ce qui concerne la manière dont nous déterminons que les données personnelles sont la propriété de l'individu ou non. Pouvez-vous en dire plus à ce sujet?

    Si ce n'était pas vous, je m'en excuse, mais quelqu'un en a parlé.

     Je pense qu'il était peut-être question du seuil actuel pour les circonstances dans lesquelles les données sont identifiables ou ne le sont plus.

    Oui.

    Tout d'abord, le concept de renseignements personnels, ou plus précisément d'identifiabilité, est bien établi dans la jurisprudence canadienne. S'il existe un risque sérieux que l'on puisse identifier une personne directement ou indirectement ou simplement dans le contexte, les renseignements seront considérés comme étant identifiables. C'est un seuil très élevé, compte tenu de l'environnement, en particulier la partie contextuelle, car il y a de plus en plus de données dynamiques et de plus en plus de données, etc. C'est à cela que je faisais allusion.

     L'objectif de l'amendement que nous proposons était d'adapter la définition actuelle du terme « anonymiser » dans la Loi sur la protection de la vie privée des consommateurs afin de nous assurer qu'elle est conforme à la jurisprudence et compatible avec les régimes législatifs partout au pays.

     Je ne suis pas juriste et je me demande si le seuil est trop élevé, trop bas ou...?

    Pour dire les choses très simplement, le seuil fixé dans le texte actuel de la Loi sur la protection de la vie privée des consommateurs est trop élevé. Il est pratiquement inapplicable. Un simple amendement chirurgical, comme le recommande CANON et d'autres intervenants, permettrait d'y remédier, et ce, d'une manière qui est entièrement compatible avec d'autres régimes législatifs.

    À mon humble avis, le projet de loi C‑27 est révolutionnaire. Je me permets d'utiliser ce terme. Je pense qu'il est révolutionnaire en raison de la mise à jour qu'il fait en ce qui a trait à la loi et à la protection de la vie privée.

    Monsieur Therrien, vous connaissez parfaitement les questions relatives à la protection de la vie privée qui concernent les Canadiens. Lorsque je pense au projet de loi et à mes concitoyens de la ville de Vaughan, dans ma circonscription de Vaughan—Woodbridge, je leur dirais dans quelle mesure leur vie privée est protégée et n'est pas protégée avec une très grande précision. J'utiliserais des termes simples. Que me diriez-vous de leur dire au sujet du point de vue que vous avez sur le projet de loi C‑27?

    Vous parlez peut-être de la question de savoir si la loi devrait être fondée sur des principes ou sur des règles, par exemple...

    Si je peux me permettre d'intervenir, en tant que financier et en tant que personne qui a une vaste expérience en comptabilité et en finance, je connais les questions fondées sur des principes et sur des règles, alors oui, s'il vous plaît...

     Je pense qu'en ce qui concerne le risque, il s'agit un peu des deux. À l'heure actuelle, la LPRPDE est fondée sur des principes — il y a quelques règles, mais elles sont peu nombreuses. Dans le cadre de la Loi sur la protection de la vie privée des consommateurs, on conserverait certainement les principes, mais on adopterait beaucoup plus de règles. Je pense qu'un système efficace comporte à la fois des règles et des principes qui sont suffisamment généraux pour demeurer pertinents même si la technologie ou le contexte d'affaires change au fil du temps.

    Là où je ne suis pas d'accord avec mon collègue, M. Fraser, c'est que la LPRPDE n'a pas les règles nécessaires pour assurer la protection. Je ne parle pas d'une loi prescriptive, mais d'une loi qui comporte à la fois des règles et des principes énoncés de manière suffisamment générale.

    J'ai une dernière question.

     Lorsque nous élaborons ou nous adoptons un projet de loi, nous voulons évidemment qu'il soit solide dans la mesure où il tient compte de l'évolution des technologies — dans le cas présent, de l'évolution des situations. Je crois que la situation actuelle est bien différente de celle d'il y a 10 ans en ce qui concerne la protection de la vie privée, l'intelligence artificielle et les technologies en général. À mon avis, le projet de loi dont nous sommes saisis est solide à cet égard, mais il est évident que vous vous y connaissez beaucoup mieux que moi en la matière. Selon vous, dans quelle mesure le projet de loi suffit‑il à faire face à l'évolution de l'environnement dans lequel nous sommes?

    M. Kardash peut commencer. Puis, d'autres témoins pourront intervenir s'il nous reste du temps.

     Le projet de loi est rédigé de façon neutre sur les plans technologique et sectoriel, ce qui servira bien les Canadiens et les organisations qui essaieront de s'y conformer, car il fera en sorte que les pratiques pourront évoluer au fil du temps, et je pense donc que c'est très utile.

    Je pense également que bien que l'on dise souvent qu'il s'agit d'un régime fondé sur le consentement, fondamentalement, il s'agit d'un régime fondé sur la responsabilité. Je ne peux pas parler au nom de mes autres collègues, mais je pense qu'il y a un large consensus sur le fait que le Canada a fait figure de chef de file à l'échelle internationale avec ce modèle de responsabilité. Il a été adopté et il a maintenant été renforcé.

    Ensemble, le modèle de responsabilité, une rédaction minutieuse et des améliorations aux mesures de protection de la vie privée seront, je pense, bénéfiques pour les organisations et, en particulier, pour les Canadiens.

    Je ne suis pas sûr que nous ayons le temps, monsieur le président, mais peut-être que M. Fraser ou M. Therrien aimerait intervenir à ce sujet.

    Je pense qu'il s'agira en fin de compte d'un texte législatif solide. Je ne vois pas de brèches ou d'autres choses du genre, ni d'embûches qui feraient que nous devrions nécessairement y revenir dans 5 ou 10 ans.

    Merci.

    Merci, monsieur le président.

    Merci, monsieur Sorbara.

    Il nous reste cinq minutes, je suis donc prêt à donner la parole à quelqu'un. Je cède la parole à moi d'abord...

    Des voix: Ha, ha!

    Le président: ..., avec le consentement du Comité.

     Vous n'aimerez peut-être pas la question que je vais poser, mais si nous devions inclure les partis politiques dans la loi, quelle serait la solution facilement réalisable que l'on pourrait inclure, et la plus importante?

    Ma question s'adresse à M. Therrien et à M. Kardash.

     Je pense qu'on pourrait inclure des règles sur la divulgation par les partis politiques et d'autres sur l'utilisation. Le pire cas envisageable était celui de Cambridge Analytica, entreprise auteure de certaines pratiques visant à influencer le vote des électeurs. Si les partis politiques étaient assujettis aux lois sur la protection des renseignements personnels et que ces pratiques continuaient à être utilisées, des sanctions pourraient au moins être appliquées contre ceux qui obtiennent ce type d'information. Il existe toute une gamme de conséquences.

    On pourrait aussi inclure des règles sur la protection des renseignements, c'est-à-dire des mécanismes de sécurité. Présentement, ces questions font l'objet de mesures volontaires de la part de partis politiques. Si ceux-ci étaient assujettis aux lois, il y aurait des conséquences juridiques au fait de ne pas protéger les renseignements correctement.

     Monsieur Kardash, voulez-vous intervenir?

    Je dirais: des droits de recours concernant le Commissariat à la protection de la vie privée du Canada; des exigences en matière de signalement en cas d'atteinte, des droits d'accès afin que les individus puissent être au courant des renseignements personnels que les partis ont sous leur garde. Je dirais — et j'ai manqué le début des remarques de M. Therrien — que je pense qu'il y a la vague d'autres pratiques justes en matière d'information qui sont incluses dans le régime législatif.

    Encore une fois, je ne pense pas que l'on exagère en disant que c'est quelque chose qui fait vraiment défaut et, d'un point de vue plus large, nous nous concentrons tous sur... La charte du numérique est axée à juste titre sur la confiance, et pour établir la confiance, il faut que les règles s'appliquent à tous les participants, entre autres, et, à mon avis, cela devrait également valoir pour les partis politiques.

    Merci beaucoup. Je n'ai pas d'autres questions.

    Il nous reste quatre minutes. Je cède la parole à M. Lemire, qui sera suivi de M. Perkins.

    Merci, monsieur le président.

    Monsieur Therrien, dans le contexte du projet de loi C‑27 et, davantage, dans le contexte de l'intelligence artificielle, j'aimerais entendre votre opinion sur les normes d'autoréglementation de l'industrie. C'est, je dirais, la nouvelle voie qui est mise en avant, tant en Europe que par M. Champagne comme mesure temporaire ou transitoire. Est-ce qu'on peut faire confiance à l'industrie pour s'autoréglementer?

    Depuis au moins 20 ans, on constate nettement qu'il y a des limites importantes à l'autoréglementation. C'est pourquoi il est actuellement nécessaire de modifier la loi et de prévoir des sanctions, entre autres.

    Pour ce qui est de l'intelligence artificielle, répétons-le, ce n'est pas une technologie naissante, mais son application devient maintenant beaucoup plus importante. Je pense que ce serait une erreur que de chercher à la réglementer de façon trop précise, trop rapidement.

    Ainsi, je ne me fierais pas uniquement à l'autoréglementation. Je ne pense pas que M. Champagne le fasse non plus, puisqu'il parle d'autoréglementation de façon temporaire en attendant la loi et la réglementation à venir. À mon avis, cela prend cette architecture juridique d'une loi, de règlements et de codes de pratique des entreprises pour se donner la meilleure protection possible. L'autoréglementation n'est pas suffisante à elle seule.

    Merci, monsieur le président.

    Merci.

    Monsieur Perkins, vous avez brièvement la parole.

    J'avais deux questions, mais je vais commencer par l'une d'entre elles.

     Selon l'article 35 proposé, une organisation peut communiquer les renseignements personnels d'un individu, à son insu ou sans son consentement, lorsqu'ils sont recueillis à des fins de statistique ou de recherche.

    On ne précise pas par qui, mais il me semble qu'il s'agit d'une violation assez ouverte du consentement, étant donné que les renseignements peuvent être communiqués au gouvernement à des fins de statistique, ou à une université à des fins de statistique ou de recherche, sans consultation, et il s'agit de renseignements personnels.

     Pourriez-vous nous dire ce que vous en pensez, messieurs Therrien et Fraser?

    Des dispositions semblables existent déjà dans la LPRPDE et d'autres textes législatifs, mais elles prévoient davantage de mesures de protection qui exigent qu'une évaluation des facteurs relatifs à la vie privée soit réalisée, qu'une approbation éthique de la recherche soit obtenue ou qu'une déclaration au commissaire à la protection de la vie privée soit faite. La Loi sur la statistique contient également des dispositions qui permettent à Statistique Canada d'exiger ce type de renseignements.

     J'ai la même préoccupation que vous lorsqu'il s'agit de quelque chose d'aussi ouvert. L'une des caractéristiques d'une bonne reddition de comptes en matière de respect de la vie privée est l'analyse et la détermination des risques inhérents d'atteinte à la vie privée et des mesures d'atténuation que nous pouvons prendre. Je voudrais également souligner qu'un grand nombre de ces dispositions sont discrétionnaires. Elles n'obligent pas l'organisation à divulguer l'information; elles l'autorisent à le faire.

     D'accord.

    Monsieur Therrien...?

    J'irai plus loin en faisant un lien entre votre question et une discussion qui a eu lieu il y a quelques minutes. Je pense que nous parlons ici de l'utilisation des données pour le bien de la société. C'est un exemple de l'utilisation des données à cette fin. Comme l'a dit M. Fraser, des dispositions semblables existent dans la loi actuelle. Je pense que ce sont de bonnes dispositions, à condition qu'il s'agisse réellement du bien de la société.

    L'article 39 proposé définit par ailleurs le terme « fins socialement bénéfiques ». Certains de mes collègues ont fait remarquer que les fins socialement bénéfiques ne concernent que la communication de renseignements à des entités publiques. Ils soulignent que les entités du secteur privé devraient pouvoir en bénéficier. Ce n'est pas inconcevable, mais nous devons être prudents concernant la communication de renseignements aux entreprises à des fins socialement bénéfiques. Il y a...

    Mais ce n'est pas ce que dit l'article 35.

    Non. L'article 39 proposé le dit. C'est pourquoi j'ai dépassé la portée de votre question pour parler du bien de la société et j'ai inclus l'article 35 proposé, qui traite des fins de statistique, et l'article 39 proposé, qui porte sur les fins socialement bénéfiques. Je dirais que les intérêts légitimes sont le véritable domaine des entreprises. Je pense que la latitude accordée aux entreprises peut se défendre. Les fins socialement bénéfiques ne concernent que les entités publiques, avec la possibilité de prévoir, par voie réglementaire, d'autres entités, ce qui, je suppose, pourrait signifier...

    Mais ce n'est pas ce que dit l'article 35 proposé, dans lequel on indique que c'est ouvert à tout le monde.

    Oui.

    Il s'agit de toute organisation. Ce n'est pas seulement lorsque c'est pour le bien de la société. Il n'y a aucune restriction. On dit simplement qu'une organisation, si elle le décide, peut communiquer les renseignements personnels d'un individu, sans son consentement, à d'autres personnes à des « fins de statistique » ou à des « fins de recherche ». Il s'agit de n'importe qui. On ne dit pas qu'il s'agit d'entreprises, d'universités, du gouvernement. Tout le monde peut y avoir accès conformément à cet article.

    Cela a été interprété, jusqu'à présent, comme quelque chose qui concerne essentiellement des fins statistiques d'intérêt public, par opposition à des fins purement commerciales.

    Mais les entreprises font de la recherche. Les entreprises de biotechnologie font de la recherche.

    Je comprends.

    Merci beaucoup.

     C'est tout le temps que nous avions pour cette réunion.

    Je remercie tous les témoins d'avoir pris le temps de venir nous rencontrer aujourd'hui. Ce fut une discussion vraiment intéressante.

    Merci au personnel de soutien, aux interprètes et aux analystes.

    La séance est levée.