INDU Réunion de comité

     Je déclare la séance ouverte.

    Bonjour à toutes et à tous.

    Soyez les bienvenus à la 93^e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.

    La réunion d'aujourd'hui se déroule en format hybride, conformément au Règlement.

    Conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois.

    J'aimerais souhaiter la bienvenue à nos nombreux témoins d'aujourd'hui et en profiter aussi pour m'excuser du léger retard que nous avons en raison des votes à la Chambre.

    Nous accueillons, de l'Association des banquiers canadiens, Mme Lorraine Krugel, qui est vice-présidente, Confidentialité et données.

     Du Congrès du travail du Canada, nous avons Mme Siobhán Vipond, qui est en la vice-présidente exécutive, et M. Chris Roberts, directeur, Politiques sociales et économiques. Du Centre pour les droits numériques, nous avons son fondateur, M. Jim Balsillie. De la Financial Data and Technology Association of North America, M. Steve Boms est avec nous par vidéoconférence.

    De l'Association canadienne du marketing, nous avons Mme Sara Clodman, vice-présidente, Affaires publiques et leadership éclairé, et M. David Elder, responsable, Protection des renseignements personnels et des données, chez Stikeman Elliott LLP. Enfin, nous accueillons, de la Chambre de commerce du Canada, Mme Catherine Fortin LeFaivre, qui est vice-présidente, Politique stratégique et partenariats mondiaux, et Mme Ulrike Bahr‑Gedalia, directrice principale, Économie numérique, technologie et innovation.

    Cela fait beaucoup de témoins parmi nous aujourd'hui. Encore une fois, je vous remercie de votre présence.

    J'informe aussi mes collègues les députés que la séance se terminera à 18 heures, aujourd'hui. Soyez-en conscients.

    Sans plus tarder, je donne la parole à Mme Krugel, pour cinq minutes.

     Je tiens, avant tout, à remercier le Comité pour cette occasion de commenter le projet de loi C‑27, la Loi sur la protection de la vie privée des consommateurs, ou LPVPC.

     Je m'appelle Lorraine Krugel. Je suis la vice-présidente, Protection des données et de la vie privée, à l'Association des banquiers canadiens, l'ABC. L'ABC est la voix de plus de 60 banques actives au Canada et de leur plus de 280 000 employés, des banques qui contribuent à l'essor et à la prospérité économique du pays.

    Depuis toujours au Canada, des quantités considérables de renseignements personnels ont été confiées aux banques. Pour nos banques, la confidentialité et la confiance sont cruciales dans leurs relations avec les clients. Dans un contexte où le flux de données mondiales et les progrès technologiques poursuivent leur progression, les banques au Canada ont réussi une innovation responsable en réponse aux besoins des consommateurs qui demandaient encore plus de commodité, de valeur et de simplicité. La Loi sur la protection de la vie privée des consommateurs reflète une approche canadienne unique, qui vise à combler les besoins des particuliers et des organisations dans ce monde numérique en évolution.

     Nous devons agir sciemment. Certaines dispositions proposées dans la LPVPC doivent être mieux adaptées au contexte canadien. Nous avons des préoccupations quant à la présence d'un risque réel de répercussions défavorables si la portée de certaines dispositions n'est pas plus clairement définie et que des exceptions nécessaires ne sont pas prévues.

     Plus particulièrement, nous désirons éviter des situations où les organisations seraient obligées de fournir beaucoup trop d'informations afin d'être considérées comme transparentes. Par exemple, certaines dispositions relatives à la transparence pourraient finir par causer une lassitude comparable à celle du consentement ou des avis sur les témoins de navigation, qui n'apportent aucune valeur au consommateur. Les obligations de transparence nécessitent également l'imposition de limites adéquates pour que, d'un côté, elles ne soient pas utilisées abusivement et, de l'autre, elles ne servent pas aux criminels qui voudraient contourner le processus mis en place aux fins de la protection contre la fraude, le blanchiment d'argent et les cybermenaces. Par ailleurs, nous devons veiller à ce que les exigences qui sont hautement complexes ou dont l'application est onéreuse ciblent les vrais objectifs politiques et risques sous-jacents, sans pour autant bousculer la livraison de produits et services, la protection des renseignements et autres activités légitimes.

    L'ABC appuie un bon nombre des principaux fondements de la LPVPC. La LPVPC est basée sur des principes, elle est évolutive et elle est technologiquement neutre. Elle exige d'une organisation la conformité à un ensemble de dispositions interconnectées qui fournissent à la protection de la vie privée une solide fondation basée sur la responsabilité, la proportionnalité et le caractère raisonnable. Cela dit, nous constatons le besoin d'amendements ciblés dans les domaines clés suivants: désidentification et anonymisation, demandes de retrait et conservation, et systèmes décisionnels automatisés.

     En ce qui a trait au consentement, nous recommandons un amendement technique de fond qui garantira un alignement soutenu sur les démarches provinciales tout en préservant les objectifs et en évitant les conséquences indésirables des obligations de consentement. En outre, nous recommandons des changements à la LPVPC afin que certaines organisations puissent légalement échanger des renseignements personnels aux fins de lutte contre le blanchiment d'argent et le financement du terrorisme dans le contexte du cadre législatif qui sera défini ultérieurement par la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. Effectué adéquatement, un tel partage améliorera la protection de la vie privée des Canadiennes et des Canadiens en réduisant les déclarations superflues faites au gouvernement sur des transactions à faible risque, d'un côté, et en améliorant l'efficacité du régime de lutte contre le blanchiment d'argent du Canada au moyen de déclarations ciblées, plus efficaces.

     Finalement, nous sommes d'avis qu'une période de mise en œuvre minimale de deux ans est nécessaire pour tenir compte de la portée des changements et du temps nécessaire au développement du règlement et des lignes directrices connexes.

    En ce qui a trait à la Loi sur l'intelligence artificielle et les données, la LIAD, nous sommes dans le processus d'évaluation des plus récentes propositions faites par le ministre et soumettrons au Comité nos commentaires et nos recommandations lorsque la section propre à l'IA sera à l'étude.

     Nous avons soumis des commentaires et des recommandations écrites au sujet de la LPVPC, et je serai heureuse maintenant de répondre à vos questions.

    Merci.

    Merci beaucoup, madame Krugel.

     Je donne maintenant la parole au Congrès du travail du Canada.

     La parole est à vous.

    Bonjour, mesdames et messieurs les membres du Comité. C'est un honneur pour moi d'être ici aujourd'hui.

     Les 55 syndicats nationaux et internationaux affiliés au Congrès du travail du Canada regroupent trois millions de travailleuses et travailleurs dans pratiquement tous les secteurs et toutes les industries, professions et régions du pays. Nous vous remercions de nous donner l'occasion d'examiner le projet de loi C‑27, la Loi sur l'intelligence artificielle et les données.

     Dans tous les secteurs, toutes les industries et toutes les professions, les travailleurs canadiens sont de plus en plus appelés à voir des applications d'intelligence artificielle dans le cadre de leur travail. Nombre d'entre eux estiment que l'IA pourrait améliorer et enrichir leur travail. Dans certains cas, pour les tâches routinières, l'IA pourrait offrir une économie de temps et d'énergie. Les travailleurs pourraient ainsi se concentrer sur des aspects de leur travail nécessitant davantage de compétences, ou sur le service au public.

     Toutefois, les travailleurs sont également préoccupés par les éventuelles conséquences négatives sur l'emploi, le droit à la vie privée, la discrimination et la surveillance du lieu de travail. Ils sont préoccupés par le risque de déplacement et de perte d'emploi que l'IA pourrait représenter. Les travailleurs des industries créatives et des arts du spectacle s'inquiètent de la façon dont leurs images et leur travail sont contrôlés, ainsi que de leur rémunération. Les travailleurs sont préoccupés par la collecte, l'utilisation et le partage de leurs renseignements personnels. Les travailleurs et les syndicats s'inquiètent de l'utilisation de l'IA dans le recrutement, la discipline et la gestion des ressources humaines. Toutes les semaines, ou presque, des travailleurs qui ont une expérience concrète de l'impact que cela a déjà sur leur travail nous en parlent. Les systèmes d'IA présentent de graves risques de discrimination raciale, de discrimination sexuelle et de violation du droit du travail et des droits de la personne.

    Les syndicats canadiens demandent en priorité une plus grande transparence, la consultation et le partage des renseignements concernant l'introduction de systèmes d'IA sur les lieux de travail et dans la société canadienne. Malheureusement, la LIAD ne répond pas à ces attentes.

    Voici ce que sont nos préoccupations concernant la LIAD .

     Tout d'abord, les syndicats s'inquiètent de l'absence de débat public et de consultation étendue sur la réglementation de l'IA au Canada. Nous pensons qu'il aurait dû y avoir un débat public approprié avant le dépôt de la LIAD.

     Deuxièmement, la principale lacune de la LIAD est le fait qu'elle exempte le gouvernement et les sociétés d'État. Le gouvernement du Canada est l'un des principaux adopteurs et promoteurs de l'IA. Malgré cela, la LIAD n'offre aucune protection aux fonctionnaires, dont le travail et l'emploi sont touchés par les systèmes d'IA. Le gouvernement exploite de nombreux systèmes d'IA à incidence élevée pour la prise de décisions, qu'il s'agisse d'immigration, de demandes de prestations, de maintien de l'ordre ou d'opérations militaires. La LIAD devrait être expressément élargie pour englober tous les ministères et organismes fédéraux et les sociétés d'État, y compris les institutions de sécurité nationale.

     Troisièmement, le projet de loi n'exige des mesures de prévention que pour les préjudices causés par les systèmes à incidence élevée, laissant à la réglementation le soin de définir ce que sont les « systèmes à incidence élevée ». En outre, il n'est rien dit des systèmes d'IA qui peuvent causer de véritables préjudices et de la discrimination, même s'ils n'entrent pas dans la catégorie des systèmes « à incidence élevée ».

     Quatrièmement, selon la LIAD, un haut fonctionnaire d'Innovation, Sciences et Développement économique Canada occuperait le poste de commissaire à l'IA et aux données. Or, le poste de commissaire devrait être un poste indépendant. Un bureau chargé de la supervision et de la surveillance réglementaire ne devrait pas relever du ministère chargé de promouvoir l'industrie de l'IA.

     Cinquièmement, même si la LIAD autorise le ministre à créer un comité consultatif, nous croyons fermement que le gouvernement doit faire beaucoup plus que l'actuel conseil consultatif sur l'intelligence artificielle, créé en 2019. Le conseil consultatif est dominé par les voix de l'industrie et des universitaires, sans aucune participation de la société civile, des organisations de défense des droits de la personne, des syndicats ou du public. Le CTC exhorte le gouvernement à créer un conseil consultatif permanent véritablement représentatif qui formule des recommandations sur les besoins en matière de recherche, les questions réglementaires, ainsi que l'administration et l'application de la LIAD.

     Enfin, la disposition de déclaration d'objet de la loi devrait être renforcée. Actuellement, la LIAD vise en partie à « interdire certaines conduites relativement aux systèmes d'intelligence artificielle qui peuvent causer un préjudice sérieux aux individus ou un préjudice à leurs intérêts ». Cette disposition devrait être révisée afin d'interdire les comportements susceptibles de porter préjudice à des individus et à des groupes, et pas seulement des « préjudices graves ». Actuellement, la LIAD se concentre sur les préjudices aux individus, et non sur les risques pour la société, tels que l'environnement ou la démocratie canadienne.

     En résumé, le CTC estime qu'il devrait y avoir beaucoup plus de transparence institutionnalisée, de partage de renseignements et d'engagement en ce qui concerne l'IA sur le lieu de travail et dans la société canadienne.

     Je vous remercie de votre attention. Je répondrai avec plaisir aux questions du Comité.

    Merci beaucoup, madame Vipond.

     Je donne maintenant la parole à M. Balsillie, du Centre pour les droits numériques.

     La parole est à vous.

    Monsieur le président et membres du Comité, je vous remercie de me donner l'occasion de présenter mon point de vue sur le projet de loi C‑27, une loi qui aura des conséquences profondes sur la prospérité économique, la liberté, la démocratie, la protection des consommateurs et le bien-être des enfants au Canada.

     La loi de mise en oeuvre de la charte du numérique donne la priorité aux intérêts des grands monopoles de données et à leur écosystème de trafiquants. Elle crée un dangereux précédent en permettant aux entreprises d'imposer aux individus, aux enfants et aux groupes vulnérables les conséquences économiques, politiques et sociales néfastes de l'économie axée sur les données. Elle normalise et étend la surveillance en traitant les droits de la personne comme un obstacle aux profits des entreprises.

     Le projet de loi C‑27 doit être entièrement réécrit, et je propose dans mon mémoire des amendements détaillés.

    Dans une perspective très générale, voici certaines des failles fondamentales du projet de loi tel qu'il a été déposé. Premièrement, l'adoption d'un modèle d'avis et de consentement, qui crée un système de pseudo-conformité permettant la collecte de données personnelles et le profilage intrusif tout en bombardant les utilisateurs de barrières de consentement trompeuses. Deuxièmement, une exemption au titre de l'intérêt commercial légitime, qui permet aux entreprises de faire passer la poursuite des profits avant l'intérêt des consommateurs, les entreprises étant autorisées à déterminer en privé ce qui constitue une surveillance légitime et une modification du comportement pour piétiner les droits fondamentaux, sans aucune obligation d'informer les consommateurs de la manière dont elles les suivent et les profilent. Troisièmement, une diminution de la protection des enfants et des personnes vulnérables et l'omission de mesures concrètes pour limiter les pratiques insidieuses de surveillance et de manipulation du comportement qui sont à l'origine de la crise actuelle de la santé mentale des jeunes. Et quatrièmement, il y a lieu de supprimer entièrement toute loi sur l'intelligence artificielle et les données qui ne prévoit pas d'organisme de réglementation expert indépendant pour les systèmes décisionnels automatisés et qui exclut le droit de contester les décisions prises à l'aide de l'IA, notamment en matière d'assurance, d'admission dans les écoles et d'évaluation de la solvabilité. La Loi sur l'intelligence artificielle et les données doit être mise à la poubelle.

     Cette loi comporte de nombreuses autres lacunes, qui sont toutes détaillées dans mon mémoire.

    La récente lettre du ministre Champagne indiquant qu'il est disposé à apporter certains amendements indéterminés constitue une démarche tout à fait inadéquate pour remédier aux graves lacunes de ce projet de loi. Elle s'ajoute à la longue liste des piètres pratiques de gouvernance qui sont à l'origine de ce projet de loi inacceptable.

     Les lobbyistes de l'industrie et les parties intéressées dont les profits dépendent de la surveillance de masse ont beaucoup insisté sur le fait que des réglementations concrètes pour la protection de la vie privée dans le domaine de l'IA limitent l'innovation. La réglementation de la protection de la vie privée et de l'IA ne fait pas obstacle à l'innovation. Comme l'ont montré les économistes de l'innovation et les experts de la politique numérique, les caractéristiques uniques de l'économie axée sur les données — plus précisément les effets de réseau des données aux côtés des économies de portée, d'échelle et d'asymétrie des renseignements — signifient que plus une entreprise recueille de données, plus elle en tire de la valeur. Chaque nouvel ensemble de données augmente la valeur de tous les ensembles préexistants détenus par les mêmes quelques entreprises, ce qui renforce de manière disproportionnée le pouvoir des géants de l'information établis et de leurs actifs acquis. C'est pourquoi, en moins d'une décennie d'économie axée sur les données, il s'est dégagé les plus grandes concentrations de marchés et de richesses de l'histoire économique, une réduction du taux d'entrepreneuriat, d'innovation et de dynamisme des entreprises, ainsi qu'une baisse des salaires.

     Réglementer correctement la collecte et le trafic insidieux de données, comme le font d'autres pays, permettrait non seulement de lutter contre la concentration du pouvoir économique, mais aussi de forcer les entreprises à une concurrence sur le plan de la qualité et de l'innovation, et non de la surveillance et de la manipulation, comme c'est le cas actuellement.

     Je suis un entrepreneur, un investisseur, un cofondateur du Conseil des innovateurs canadiens et un ardent défenseur de la réussite du Canada sur le plan de la technologie et de l'innovation sur les marchés mondiaux. Je suis profondément troublé d'entendre le gouvernement parler de faire progresser l'innovation canadienne, car plus tôt cette année, il a admis qu'il n'avait pas de stratégie en matière d'IA. Nous ne faisons que financer la recherche fondamentale qui soutient principalement la croissance des monopoles de données étrangers.

     Cette incapacité de comprendre et de réglementer l'économie numérique a des conséquences réelles, dont la principale est une baisse constante du niveau de vie et de la prospérité du Canadien moyen, en particulier en Ontario et au Québec, qui étaient autrefois les moteurs de notre prospérité nationale. Le Canada étant incapable de créer des politiques pour exploiter le potentiel de la propriété intellectuelle, des données et de l'IA, l'OCDE a récemment prévu que l'économie canadienne sera l'économie avancée la moins performante de 2020 à 2030 et des trois décennies suivantes.

    Vous pouvez, soit adopter le projet de loi C‑27, une tentative très imparfaite de réglementer la protection de la vie privée, soit créer une nouvelle loi qui renforce la confiance dans l'économie numérique, soutient la prospérité et l'innovation au Canada et protège les Canadiens non seulement en tant que consommateurs, mais en leur qualité de citoyens également. Il s'agit de choisir entre poursuivre l'érosion de la prospérité canadienne, encourager la surveillance et la manipulation et aggraver la crise de la santé mentale de nos jeunes, d'une part, ou assurer une démocratie saine, la prospérité à long terme, une liberté solide et la protection de nos enfants d'autre part.

    Je vous remercie.

    Merci beaucoup, monsieur Balsillie.

     Nous passons maintenant à la Financial Data and Technology Association of North America, avec M. Boms qui se joint à nous en ligne.

    À vous la parole, monsieur.

    Merci beaucoup, monsieur le président, et bonjour.

     Je suis le directeur exécutif de la Financial Data and Technology Association of North America, ou FDATA. Nous sommes la principale association professionnelle qui défend l'accès aux données financières autorisé par les consommateurs, tant au Canada qu'aux États-Unis.

     Nous comptons parmi nos membres des entreprises de toutes sortes de modèles d'affaires, qui, collectivement, fournissent à plus de six millions de consommateurs et de PME canadiens un accès à des produits et services financiers essentiels. Grâce à ces produits, services et outils, les consommateurs canadiens peuvent, par exemple, accéder à des services bancaires plus compétitifs, notamment des modalités de crédit plus abordables. Ils peuvent utiliser des options de paiement plus efficaces et utiliser la technologie pour mieux gérer leurs finances et accroître leur patrimoine. Les PME canadiennes dépendent des entreprises membres de la FDATA pour gérer leurs besoins en matière de comptabilité et de crédit et pour envoyer et recevoir des paiements plus facilement.

     Nous sommes de fervents défenseurs de la mise en œuvre par le Canada des services financiers ouverts, ce que le gouvernement a présenté pour la première fois comme une priorité dans le budget de 2018. Essentiellement, dans le cadre des services financiers ouverts, un consommateur ou une PME canadienne pourrait faire transférer en toute sécurité ses données d'un fournisseur à un autre fournisseur qui offre un meilleur produit, service ou outil financier. Qu'il s'agisse d'un compte de chèques, d'épargne, d'entreprise, de courtage, de pension, d'hypothèque ou de prêt automobile, ou encore de données détenues par un fournisseur de services de paie ou d'avantages sociaux, la notion de services financiers ouverts repose sur l'idée simple que le client doit avoir le droit d'utiliser ces données dans son propre intérêt.

     Une fois mis en place au Canada, les services financiers ouverts permettront aux consommateurs et aux PME de contrôler pleinement leurs données financières, facilitant ainsi un marché canadien des services financiers plus transparent et plus compétitif qui offre la portabilité des données sûre et sécurisée. Le droit à la portabilité des données et la protection des données prévus dans le projet de loi C‑27 sont les pierres angulaires de cette approche modernisée de services financiers.

    Selon un sondage auprès des Canadiens commandé l'an dernier par la FDATA et Fintechs Canada, la moitié des Canadiens ressentent du stress lorsqu'ils interagissent avec le secteur actuel des services financiers du Canada, et plus des deux tiers des Canadiens estiment qu'une plus grande concurrence sur le marché des services financiers entraînerait un plus grand choix de produits et une réduction des frais de service. Quatre-vingt-dix pour cent des Canadiens ont indiqué qu'ils trouvaient les produits des entreprises de technologie financière faciles à utiliser, plus de 80 % ayant déclaré avoir versé à ces entreprises des frais moins élevés qu'à leur banque pour des services ou des produits similaires. Les Canadiens ont le droit d'avoir accès à ces autres possibilités de services.

     Le Canada est loin derrière pratiquement tous les autres pays du G20 en ce qui concerne les services financiers ouverts, la portabilité des données et la confidentialité des données. Le Royaume-Uni, l'Australie, la Nouvelle-Zélande, Singapour, le Brésil, l'Union européenne et d'autres pays ont tous adopté une version des services financiers ouverts menée par le gouvernement, qui confère aux consommateurs et aux PME un droit exécutoire d'accès aux données et une protection de la vie privée.

     En revanche, les consommateurs et les PME du Canada n'ont aujourd'hui aucun droit légal d'accès ou de partage de leurs données financières. Contrairement à la grande majorité des autres pays, au Canada, la banque d'un consommateur ou d'une PME est habilitée à déterminer si son client peut partager des éléments de ses données avec un tiers pour obtenir une meilleure offre, accéder à un nouveau produit ou outil ou éviter de payer des frais exorbitants. Et si une banque autorise ses clients à le faire, des conditions onéreuses et, dans certains cas, restrictives dictent les limites dans lesquelles ses clients peuvent agir.

     Bien que le Canada ait pris d'importantes mesures pour mettre en place un tel régime depuis le budget de 2018, il reste encore bien du chemin à faire avant la mise en œuvre.

     Pendant ce temps, le reste du monde avance. Au début du mois, les États-Unis ont officiellement lancé leur propre régime de services financiers ouverts en adoptant une règle du Consumer Financial Protection Bureau, le CFPB. Reconnaissant que les acteurs établis dans le marché des services financiers ne parviendront pas, à eux seuls, à créer un écosystème plus compétitif et axé sur le client, le directeur du CFPB a indiqué dans son annonce que la règle stimulera la concurrence, améliorera les produits et services financiers et découragera les frais exorbitants. Comme le projet de loi C‑27, la règle du CFPB offrira aux consommateurs le droit de portabilité des données et exigera des entreprises qui accèdent aux données des utilisateurs — avec leur consentement explicite — qu'elles respectent des dispositions strictes en matière de confidentialité et de sécurité des données.

     Pour faire progresser leur réglementation sur les services financiers ouverts, les États-Unis disposaient d'un avantage que le ministère des Finances et le ministère de l'Innovation, des Sciences et du Développement économique n'ont pas à l'heure actuelle, soit une solide autorité statutaire pour le faire. Le ministère des Finances du Canada étudie depuis près de cinq ans la façon de mettre en œuvre un régime de services financiers ouverts au Canada. La FDATA considère la promulgation du projet de loi C‑27 comme un élément essentiel de la transition entre l'idée d'un régime de services financiers ouverts et sa mise en œuvre. Une fois la portabilité des données des consommateurs et des PME inscrite dans la loi, ISED et le ministère des Finances disposeront des outils statutaires nécessaires pour mettre enfin en œuvre le cadre de services financiers ouverts.

     Les consommateurs et les PME du Canada sont laissés pour compte tandis que les autres pays du G20 construisent et déploient des cadres de services financiers ouverts qui facilitent la concurrence, permettent un meilleur accès et une plus grande inclusion sur le marché des services financiers et offrent à leurs citoyens la protection appropriée des données. Les dispositions relatives à la portabilité des données et à la protection de la vie privée que contient le projet de loi C‑27 représentent des outils législatifs d'une importance cruciale pour ISED et le ministère des Finances, qui aideront le Canada à rattraper son retard.

     Je vous remercie de votre attention. Je me ferai un plaisir de répondre à vos questions.

    Merci beaucoup.

     Je donne maintenant la parole à l'Association canadienne du marketing.

     Nous avons Mme Clodman et M. Elder.

    Bonjour, monsieur le président et mesdames et messieurs les membres du Comité.

     Je vous remercie de nous avoir invités à comparaître et d'avoir accordé la priorité à la réforme des lois sur la protection de la vie privée. Votre travail est d'une importance cruciale pour les Canadiens et pour l'avenir de notre économie.

     Je ne saurais trop insister sur la mesure dans laquelle les Canadiens dépendent des données et de l'économie numérique ni sur l'importance de la loi proposée pour la croissance économique future du Canada et la protection des consommateurs.

     La LPVPC permettra aux petites et moyennes entreprises canadiennes d'être compétitives sur le marché mondial. Elle protégera les consommateurs grâce à de nouveaux droits, à des exigences accrues en matière de transparence et de responsabilité pour les organisations, et aux sanctions financières les plus sévères du G7. Elle contribuera à la protection des enfants. Elle apportera un certain soutien aux plus de 80 % de Canadiens qui s'inquiètent de la hausse des coûts. Elle favorisera l'innovation et permettra aux Canadiens de profiter des énormes avantages sociaux et économiques des données.

     L'Association canadienne du marketing est la voix de la profession. Nos 450 membres sont des petites et moyennes entreprises, des grandes marques, des organisations à but non lucratif, des établissements publics et postsecondaires et des organisations qui représentent pratiquement tous les secteurs de l'économie.

     Nous demandons instamment l'adoption rapide de la LPVPC. Les consommateurs méritent des protections modernisées et les entreprises qui alimentent notre économie ont besoin d'une plus grande certitude réglementaire.

     La réussite d'une entreprise repose sur la confiance des consommateurs. La plupart des entreprises oeuvrant au Canada sont responsables et se sont engagées à établir et à maintenir une relation de confiance avec leurs clients. Elles consacrent une attention et des ressources importantes à la protection des renseignements personnels, y compris de gros investissements dans la cybersécurité.

     Le droit canadien sur la protection de la vie privée doit protéger les consommateurs sans créer un fardeau administratif inutile pour les entreprises, y compris les PME qui représentent plus de 90 % des entreprises canadiennes. Les consommateurs canadiens attendent des organisations qu'elles leur fournissent intuitivement les produits et services dont ils ont besoin et qu'ils souhaitent. Ils exigent des entreprises des renseignements plus rapides, de meilleure qualité et plus pertinents pour les aider à prendre des décisions d'achat éclairées.

     Nous vivons une période économique difficile. Quatre-vingt-dix pour cent des consommateurs déclarent que l'une des raisons les plus importantes pour lesquelles ils partagent leurs données avec les entreprises est pour recevoir des réductions sur les produits et les services. Plus de 80 % des Canadiens sont préoccupés par l'augmentation du coût de la vie, et la personnalisation qui découle de l'utilisation des données leur apporte un certain soulagement grâce à des offres et des ventes pertinentes qui leur permettent d'économiser du temps et de l'argent.

     Nous proposons quelques légers amendements pour que la LPVPC atteigne ses objectifs et évite les conséquences inattendues. Notre premier amendement porte sur une approche plus ciblée et plus efficace de la protection des renseignements personnels des mineurs. L'Association canadienne du marketing appuie sans réserve la protection des mineurs. Depuis des décennies, nous sommes les premiers à établir des normes pour le marketing auprès des enfants et des jeunes, publiées dans le Code canadien de déontologie et normes de pratique du marketing.

     Nous craignons que la disposition de la LPVPC portant sur les mineurs ne donne lieu à la collecte excessive de données. Les organisations qui n'ont pas besoin de savoir si leurs clients sont mineurs ne devraient pas être tenues de recueillir et de conserver la date d'anniversaire des gens, qui constitue un renseignement très confidentiel, simplement dans le but de se conformer à la loi. Nous proposons que la disposition de la LPVPC portant sur les enfants vise les organisations dont les activités s'adressent aux mineurs, ainsi que les organisations qui savent ou devraient savoir qu'elles traitent des renseignements personnels de mineurs.

     Nous recommandons également que la loi prévoie un traitement distinct pour les mineurs matures, qui assument de nombreuses responsabilités et jouissent de nombreux privilèges de l'âge adulte. Ces recommandations s'alignent sur les lois en vigueur aux États-Unis et en Europe.

     Nous avons quelques amendements à d'autres aspects, y compris les dispositions relatives au consentement et la définition de système décisionnel automatisé. Nous soutenons les amendements du Canadian Anonymization Network concernant les données dépersonnalisées et anonymisées, et nous recommandons une période de mise en oeuvre progressive semblable à celle du Québec. Nous avons annexé nos amendements précis à notre déclaration, et nous soumettons un mémoire écrit exposant notre point de vue en détail.

     J'aimerais terminer mes remarques en soulignant ce que cette loi concerne et ce qu'elle ne concerne pas. La LPVPC est destinée à régir les activités commerciales. Elle s'appliquerait non seulement aux grandes entreprises et aux acteurs du numérique, mais aussi aux très petites organisations et aux activités commerciales non numériques. Elle régirait la façon dont les organisations à but non lucratif et les organismes de bienfaisance pourraient trouver et conserver des donateurs. La LPVPC n'a pas pour objectif de régir tous les aspects de l'économie numérique, comme les questions de concurrence concernant les monopoles de données, l'utilisation de l'IA, qui relève de la LIAD, et la protection des enfants contre les préjudices en ligne. Ce sont toutes des questions d'une importance cruciale, mais qui ne s'inscrivent pas dans le champ d'application de la LPVPC.

    Monsieur le président, notre loi actuelle, la Loi sur la protection des renseignements personnels et les documents électroniques, a été le modèle d'excellence international en matière de protection des renseignements personnels pendant plus d'une décennie. La LPVPC prend appui sur un héritage solide dont le Parlement peut être fier. En adoptant rapidement cette loi, vous pourrez une fois de plus faire en sorte que le Canada soit le chef de file mondial en matière de protection de la vie privée et de promotion de l'innovation.

     Je tiens à remercier les membres du Comité pour leur leadership et leur service aux Canadiens.

     Merci.

     Merci beaucoup, madame Clodman.

    Je cède maintenant la parole à Mme Fortin LeFaivre, qui représente la Chambre de commerce du Canada.

    Bonjour.

     Je suis heureuse de m'adresser à vous au nom de la Chambre de commerce du Canada, aux côtés de ma collègue Ulrike Bahr‑Gedalia.

    La Chambre de commerce du Canada représente plus de 400 chambres de commerce et plus de 200 000 entreprises de toutes tailles et de secteurs économiques variés, d'un bout à l'autre du pays.

    D'emblée, nous tenons à affirmer notre soutien à la modernisation des lois sur la protection de la vie privée et à l'introduction de garde-fous en matière d'IA. Nous saluons les efforts que déploie le gouvernement pour renforcer la protection des données pour tous les Canadiens, en particulier les enfants. Il faut adopter la LPVPC afin d'offrir le plus rapidement possible une certitude aux entreprises, quoiqu'avec certains amendements. L'aspect concordance entre le Canada et l'Union européenne et la mosaïque de lois provinciales sur la protection de la vie privée qui émergent dans l'intervalle suscitent des inquiétudes.

     En ce qui concerne la LIAD, nous pensons qu'il faut un processus de consultation plus solide si l'on veut répondre correctement aux besoins de réglementation de l'IA au Canada. Il est essentiel que nos règles en matière d'IA soient suffisamment précises pour fournir de solides garde-fous en matière de sécurité, tout en permettant à nos entreprises d'exploiter le plein potentiel de l'IA de manière responsable. Ceci est particulièrement pertinent face aux pénuries de compétences intersectorielles et à la multitude de défis que les PME ont eu à relever.

    En recevant la lettre du ministre Champagne datée du 20 octobre, nous avons été heureux d'apprendre que le gouvernement répondrait à certaines préoccupations majeures liées à la Loi sur l'intelligence artificielle et les données au moyen de certains amendements. Par contre, nous ne pouvons pas faire de commentaire substantiel à ce sujet avant que les amendements ne soient rendus publics et que nous ayons consulté nos membres.

    Étant donné la décision de la présidence en 2022 de faire voter les parties 1 et 2 séparément de la partie 3, de la Loi sur l'intelligence artificielle et les données, ou LIAD, nous demandons au Comité de réfléchir à la manière dont cette solution pourrait permettre l'entrée en vigueur sans tarder de la LPVPC, tout en permettant plus de consultations approfondies et de commentaires sur la LIAD.

    La politique en matière d'IA est en effet complexe. Le fait que le Comité cherche à étudier en même temps des éléments relatifs à la protection de la vie privée et des éléments relatifs à une IA en constante évolution n'est pas propice à la matérialisation d'une bonne politique. Il est impossible de nier que la réglementation de l'IA est devenue un enjeu mondial qui ne cesse d'évoluer. Il est impératif que le Canada ne réglemente pas en vase clos. Avec chaque semaine de nouveaux développements majeurs en ce qui concerne la politique en matière d'IA, y compris le décret présidentiel sur l'IA annoncé pas plus tard qu'hier à la Maison-Blanche, le Canada doit veiller à prendre des mesures pour harmoniser sa réglementation en conséquence. Sinon, les organisations devront se conformer à des lois très particulières, ce qui fera de notre pays une destination moins attrayante pour les entreprises.

    Je cède la parole à Mme Bahr-Gedalia.

    Bonjour, mesdames et messieurs.

     Nous avons, c'est vrai, reçu de nos membres quantité de recommandations relatives au projet de loi C‑27. Pour votre information, un mémoire détaillé a été soumis en septembre au Comité permanent de l'industrie et de la technologie, qui l'a versé sur sa page. Veuillez noter que nous continuons d'analyser le projet de loi à mesure que de nouveaux éléments apparaissent, comme les huit amendements du gouvernement. Par conséquent, nous travaillons avec les membres pour produire d'autres commentaires en complément de ce mémoire déjà présenté.

    Je voudrais profiter de l'occasion pour souligner quelques recommandations clés. Tout d'abord, la Chambre de commerce du Canada insiste notamment sur la nécessité d'amendements visant à mieux définir les principes et les concepts du projet de loi C‑27 et à harmoniser le projet de loi avec les normes énoncées dans le droit provincial et international existant. L'interopérabilité est primordiale.

    Entre autres recommandations relatives à la Loi sur la protection de la vie privée des consommateurs, ou LPVPC, nous proposons que les éléments suivants soient harmonisés avec la Loi 25 du Québec, autrement dit, que le terme « mineur » soit défini de manière à inclure un âge, que la définition de « anonymiser » corresponde aux normes de l'industrie, et que le champ d'application du droit privé d'action soit réduit. Nous souhaitons également souligner l'importance des exceptions au titre de l'intérêt légitime dans le projet de loi actuel.

    En ce qui concerne la LIAD, nous nous réjouissons que le gouvernement propose des amendements au sujet de la définition des systèmes à incidence élevée, ce qui créera des obligations plus claires le long de la chaîne de valeur de l'IA et assurera une harmonisation avec la réglementation de l'IA par l'Union européenne et les lois sur le sujet dans d'autres économies avancées. Nous sommes impatients de voir le texte de ces amendements afin de présenter des commentaires plus précis.

    Cependant, d'autres questions ne sont pas traitées pour l'instant, comme celle d'une meilleure définition de l'utilisation du terme « préjudice ». Nos membres ont également exprimé de graves préoccupations au sujet de l'élément de responsabilité pénale de la LIAD et fait remarquer que le Canada est le seul pays à prévoir de telles sanctions. Certains pensent que cette disposition risque de décourager les entreprises qui développent ou déploient l'IA d'avoir des activités au Canada ou même d'en forcer certaines à partir, en fonction de l'évaluation des risques.

    Enfin, pour ce qui est de l'entrée en vigueur, il est important que nos entreprises, surtout les PME — étant donné la place importance qu'elles occupent dans l'économie canadienne — aient suffisamment de temps pour s'adapter à de nouveaux environnements et à de nouvelles exigences. Nous recommandons donc une mise en œuvre de la LPVPC et de la LIAD sur 36 mois.

    Je vous remercie.

     Merci beaucoup.

    Nous allons tout de suite commencer la discussion.

    Monsieur Perkins, vous avez la parole pour six minutes.

    Je vous remercie, monsieur le président.

    Je remercie les témoins. Je sais l'immense travail que vous avez tous accompli pour vous préparer à cette réunion, et je tiens à vous remercier du temps que vous avez passé avec moi au cours des derniers mois afin d'avoir et d'élargir une conversation bilatérale sur la façon dont nous pouvons améliorer ce projet de loi. Il s'agit, en fait, de trois projets de loi et du remplacement complet de la Loi sur la protection des renseignements personnels, raison pour laquelle il est tellement détaillé et volumineux. Si nous adoptons le projet de loi sur l'intelligence artificielle, nous serons probablement le premier pays à adopter une telle loi parce qu'il n'en existe encore nulle part ailleurs, à ma connaissance.

    Je vais commencer, car mon temps de parole est limité.

    Monsieur Balsillie, en tant que cofondateur d'une des entreprises les plus emblématiques du Canada, BlackBerry, à laquelle nous étions tous accros à une époque — j'aimerais l'être encore —, vous possédez des compétences en matière d'innovation et vous savez ce qu'il faut pour innover tout en protégeant la vie privée des citoyens. Ce nouveau projet de loi des libéraux, qui porte sur la protection de la vie privée, est un peu une version remaniée d'un projet de loi présenté à la précédente législature, où il n'a pas été adopté. Selon moi, il fait passer les intérêts des entreprises avant ceux des citoyens et avant la protection de leur vie privée, étant donné que l'article précisant l'objet de la loi, qui est l'article 5 proposé, dit que la protection de la vie privée et le droit fondamental des entreprises d'accéder à des renseignements sont d'égale importance. Ensuite, une série de dispositions donnent plus de poids aux entreprises, notamment l'article 18 sur l'intérêt légitime et les exceptions au consentement implicite.

    Êtes-vous d'accord que cela revient à faire passer les intérêts des grandes sociétés et des entreprises en général avant les droits individuels en matière de protection de la vie privée?

    Je vous remercie de cette question.

    Un droit fondamental ne devrait pas être équilibré, mais inaliénable. En Europe, où il est possible... Ce sont les circonstances particulières les plus limitées, mais l'idée qu'il s'agit d'une proportionnalité équilibrée ne rend ce droit ni fondamental ni inaliénable. C'est une faille fondamentale dans l'approche adoptée. Soit c'est un droit important, soit ce n'en est pas un.

    Donc, selon vous, si un droit fondamental est mentionné à l'article 5 du projet de loi sur la LPVPC, comme nous l'avons proposé — il me semble que le NPD l'avait fait, et à présent, le ministre reconnaît que cela doit être fait —, il faudrait dans cet article un libellé qui donne à ce droit la primauté sur le droit des entreprises,

    C'est exact. Tout à fait.

    En écoutant les témoins jusqu'ici... Nous avons encore beaucoup à entendre et nous aurions aimé avoir plus de temps que nous n'en avons. Cependant, plusieurs ont déclaré que nous devions faire bien attention à trouver un équilibre délicat entre la protection de la vie privée des citoyens et le risque de tuer l'innovation et de faire fuir des entreprises du Canada, si nous allons trop loin dans la protection des renseignements personnels. Êtes-vous d'accord qu'il s'agit d'une préoccupation en matière de protection des renseignements personnels?

    Pas du tout.

     J'ai un léger avantage sur toutes les personnes ici présentes en ceci que je me trouvais à la petite réunion où le ministre¦Bains et le sous-ministre¦Knubley ont présenté la version originale du projet de loi C‑11. Ils ont expliqué avoir recherché un équilibre et je leur ai demandé qui avait concocté cette notion de compromis entre les deux. En fait, ils se renforcent mutuellement. C'est une fausse dichotomie.

    Voilà comment ils s'y prennent notamment — et je ne pense pas que ce soit équilibré, mais plutôt que la balance penche en faveur des entreprises — au paragraphe 15(5) de la LPVPC, qui porte sur le consentement. Le projet de loi permet un consentement implicite et autorise une entreprise à dire qu'elle pensait que le particulier était d'accord et qu'elle a donc décidé d'utiliser les données le concernant.

    Le paragraphe 18(3) dit que si « l'intérêt légitime » d'une entreprise est plus important que celui d'un individu, l'entreprise peut utiliser les données comme bon lui semble — en fait, même si cela porte préjudice à des personnes.

    L'article 35 supprime l'ancien libellé sur les études érudites qui dit que la recherche ne peut être faite que pour des études érudites. L'article 35 proposé donne aux organisations le droit de recueillir et d'utiliser des données à leur guise.

    La porte me paraît grande ouverte. Pensez-vous que ces dispositions particulières devraient être supprimées du projet de loi?

    Tout à fait.

    D'accord.

    La question des droits collectifs fait partie des questions souvent soulevées. Je savais, en tant que spécialiste du marketing, que je pouvais acheter des bases données dans le monde entier, essayer d'anonymiser des renseignements et chercher à cibler certaines personnes en raison de certains comportements. Pensez-vous que ce projet de loi règle quoi que ce soit au problème des entreprises qui essaient d'utiliser des données sur des groupes pour induire certains comportements?

    Non, il ne le règle pas, alors qu'il le devrait parce que, lorsque l'on prend une décision, cette décision a une incidence sur les personnes autour de soi qui subissent les répercussions de l'empreinte numérique que nous laissons collectivement. Par ailleurs, si l'on exerce son droit de retrait, mais que l'on fait partie d'un groupe qui a accepté ces choses, on fait aussi partie du profil établi, même si l'on s'en est retiré.

    Il est essentiel, dans ce projet de loi, de bien comprendre les effets individuels et collectifs.

    Dans son exposé devant le Comité, le Centre pour les droits numériques a parlé des flux transfrontaliers de données. Vous savez que c'est ce que les entreprises de toute taille font à présent et que d'autres pays se sont penchés sur la question des flux transfrontaliers de données. Or, ils ne sont mentionnés nulle part dans le projet de loi.

    Pouvez-vous décrire les dangers inhérents d'une absence d'encadrement des flux transfrontaliers de données pour la protection de la vie privée?

    Certainement.

    C'est ce qui est à l'origine de la discorde entre l'Union européenne et les États-Unis — les données doivent satisfaire au seuil européen, sans quoi leur transfert n'est pas autorisé. Les Européens restent très fermes sur ce point dans la défense des citoyens européens.

    Si vous avez ces règles ici, mais que les données peuvent partir dans un pays où les normes sont inférieures, toutes ces protections disparaissent. Si les données circulent d'un bout à l'autre du Canada, mais qu'elles passent par un noeud aux États-Unis, toutes les protections disparaissent.

    Je vous remercie.

    Je vous remercie.

    Monsieur Sorbora, vous avez la parole.

    Je vous remercie, monsieur le président.

    Bienvenue à toutes et à tous.

     Le projet de loi C‑27 est très important pour les consommateurs, pour les particuliers et pour les entreprises, au Canada et à l'étranger. Ce que j'ai retenu notamment des témoignages d'aujourd'hui, c'est qu'une harmonisation est nécessaire entre le Canada et les autres pays et aussi que les Canadiens bénéficient, parfois, de ce que l'on appelle une fédération fiscale. Il arrive que les provinces agissent en premier et que d'autres fois, ce soit nous, mais étant donné l'importance du sujet traité ici, nous devons être sur la même longueur d'onde.

    Cette question est pour l'Association des banquiers canadiens.

    En 2018, je siégeais au comité des finances quand nous avons procédé à l'examen législatif de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. Le rapport que nous avons publié en novembre 2018 s'intitulait « Faire progresser le Canada ». Vous avez souligné, entre autres, quelques points intéressants et proposé de possibles amendements au sujet de la LPVPC en ce qui concerne le blanchiment d'argent et le financement du terrorisme. Pouvez-vous parler de cet aspect et ajouter toute autre précision que vous souhaitez à cet égard?

    Je vous remercie de la question.

    À propos du blanchiment d'argent, si nous regardons ce qui se fait dans d'autres pays, le Canada accuse certainement un retard dans la lutte contre le recyclage des produits de la criminalité et le financement du terrorisme. D'autres études de cas ont déjà été réalisées en Europe, en Estonie, aux Pays-Bas et au Royaume-Uni. Il y a aussi des échanges d'information aux États-Unis. Cela permet aux établissements de découvrir des réseaux d'organisations criminelles qui profitent du fait qu'au Canada, chaque établissement doit signaler les transactions au gouvernement, mais sans pouvoir faire de suivi pour savoir si elles sont à destination d'un autre établissement. Il se peut que cet établissement ne fasse pas de signalements au gouvernement, qui ne peut donc pas voir l'ensemble du tableau en ce qui concerne ces réseaux criminels.

    Ces échanges d'information permettront des signalements plus ciblés et plus efficaces. Selon nous, cela accroîtra, en fait, la protection des renseignements personnels des Canadiens. À l'heure actuelle, si nous regardons la quantité de signalements des établissements au gouvernement par habitant, il y en a douze fois et demie plus qu'aux États-Unis et 96¦fois plus qu'au Royaume-Uni.

    L'approche que nous proposons est plus restreinte que celles des permis délivrés en application du Règlement général sur la protection des données, ou RGPD. En Europe, beaucoup d'organisations peuvent utiliser la disposition relative à l'intérêt légitime pour pouvoir échanger ainsi de l'information. Comme la disposition de la LPVPC relative à l'intérêt légitime n'autorise pas de divulgation, nous proposons de la relier à la Loi sur le recyclage des produits de la criminalité afin de véritablement limiter cet échange d'information.

    D'accord.

    J'aimerais poursuivre sur cette question. Il me semble que l'Association canadienne du marketing a déclaré que le projet de loi C‑27 en l'état permet aux petites et moyennes entreprises d'être concurrentielles dans l'économie mondiale. Pouvez-vous en dire plus à ce sujet? Le projet de loi C‑27 est très détaillé. Je souhaiterais presque avoir fait des études de droit pour presque tout comprendre, mais nous essayons d'en venir à bout. Que pouvez-vous dire sur cet aspect, en quelques mots?

    J'ai ensuite une question de suivi pour M. Balsillie, s'il me reste du temps.

    Je vous remercie de la question.

    Le projet de loi est conçu pour être fondé sur des principes. Il tient compte de la taille et du type d'entreprise et des activités auxquelles se livre une organisation. Il est très différent de la loi européenne, qui est très normative, qui exige de remplir des pages de formulaires et oblige à consulter des avocats spécialisés en protection de la vie privée pour même la comprendre. Même les avocats européens spécialisés en protection de la vie privée ont du mal à comprendre les exigences. Pour les petites entreprises canadiennes, ce serait impossible.

    Ce projet de loi est beaucoup plus équilibré.

    Monsieur Balsillie, j'ai eu le plaisir d'être assis avec vous quand M. Breton, le commissaire européen, se trouvait ici. Je crois que c'était l'an dernier ou quelque chose comme ça. Il me semble que nous parlions plus ou moins des questions dont nous parlons aujourd'hui.

    Les Européens ont été les premiers à agir au sujet de beaucoup d'aspects de la nouvelle économie ou de la révolution industrielle 4.0 ou 5.0 — quel que soit le cliché que nous voulons utiliser. Vous avez expliqué ce qui vous semble mauvais et pourquoi. Je le respecte, évidemment. Nous le respectons tous.

     Pour ce qui est de ce que le projet de loi C‑27 entend accomplir s'agissant de la modernisation de la protection de la vie privée et de la façon dont nous concilions la protection de la vie privée et l'IA, y a‑t‑il des aspects du projet de loi où nous allons dans le bon sens? Ou bien, est‑ce que nous faisons entièrement fausse route?

    C'est comme de dire qu'il y a 25 trous à mon seau et que c'est mieux que 30 trous, ou qu'en rebouchant 20 des trous, il n'y en aura plus que 10. Je pense que la nature de l'économie numérique et de l'économie du savoir est qu'elle n'est pas linéaire dans les préjudices causés en raison de son imperfection. Il suffit de quelques lacunes pour se retrouver avec une passoire. Il faut donc un texte relativement complet, sinon quelqu'un trouvera une échappatoire.

    Je dirai que si nous rebouchons 20 des 25 trous, nous aurons progressé.

    Mais il restera cinq trous dans votre seau, qui ne sera donc pas étanche. C'est à cela que je veux en venir.

    L'idée, c'est qu'un texte incomplet est très préjudiciable, étant donné la nature de l'économie du savoir et de l'économie des données. C'est pourquoi la prospérité du Canada s'essouffle et, avec elle, les effets sur le bien-être des citoyens. Nous devons veiller aux détails.

     Merci, monsieur Sorbara.

    Monsieur Villemure, la parole est à vous.

     Merci beaucoup, monsieur le président.

    Madame Vipond, si ma mémoire est exacte, je crois que vous avez témoigné devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique il y a peu de temps.

    Le ministre a parlé d'un code de conduite volontaire, c'est-à-dire de l'autoréglementation en matière d'intelligence artificielle. Que pensez-vous de l'aspect réaliste de cette proposition?

    Pouvez-vous répéter la question?

    Oui, je suis désolée. Pouvez-vous la répéter?

    D'accord.

    Le ministre Champagne a proposé un code de conduite volontaire pour les entreprises. Il s'agit donc d'autoréglementation. J'aimerais savoir ce que vous pensez de l'aspect réaliste de cette proposition.

    Je vous remercie de la question. Veuillez m'excuser de vous avoir fait répéter.

    Je pense que chaque fois que nous optons pour le volontariat, comme approche fondamentale du travail, nous allons au‑devant de problèmes. Nous sommes donc très préoccupés à ce sujet.

    J'aimerais céder la parole à mon collègue, M. Roberts, pour qu'il étoffe notre réponse à cette question.

    Je pense simplement que l'autoréglementation de l'industrie dans un domaine aussi important n'est pas vraiment ce dont nous avons besoin en ce moment. Il nous faut des règles législatives et réglementaires claires pour l'industrie, de même que des attentes claires à son égard.

    Merci beaucoup.

    Monsieur Balsillie, j'aimerais savoir ce que vous pensez des effets prévisibles du projet de loi C‑27 en fonction des champs de compétence et, en particulier, quand on le compare à la loi 25 du Québec.

    Si l'on compare avec la Loi 25 au Québec et ses effets sur la province, je pense que l'approche stratégique du projet de loi C‑27 nuira de façon disproportionnée au Québec, plus qu'à toute autre région du Canada, pour plusieurs raisons.

    Premièrement, quand on se livre à la marchandisation des relations sociales et des biens culturels, et qu'on peut les exfiltrer et les exploiter, on diminue le contrôle de la société distincte dans la province.

    Deuxièmement, quand on crée des ambiguïtés ou différents seuils entre le fédéral et le provincial, on va naturellement demander à des avocats de tout faire pour exploiter le seuil inférieur. C'est ce qui se passe avec les données des partis fédérales et provinciales où l'on dit que le fédéral contrôle les données politiques fédérales, quand bien même la Loi¦25 dit que cela relève de la province, mais la position des avocats, dans la révision judiciaire qui a lieu actuellement en Colombie-Britannique, est que ce n'est pas vrai.

    Troisièmement, les entreprises opteront naturellement pour l'endroit où la règle est la moins contraignante. Imaginez une rivière entre le Québec et une autre province. S'il y a une règle environnementale stricte du côté du Québec et une règle moins stricte de l'autre côté de la rivière, l'entreprise ira de ce côté, même si c'est la même rivière.

    La meilleure façon de protéger le Québec, la société québécoise et l'économie québécoise, c'est de faire en sorte que tous les aspects de ce projet de loi soient supérieurs ou égaux aux principes contenus dans la Loi 25, et ce n'est pas le cas actuellement.

    Dans un rapport de l'année dernière, vous avez parlé d'un souci de surveillance à propos du projet de loi C‑27.

    Pourriez-vous préciser ce concept de surveillance? Quelles étaient vos craintes?

    La nature de l'économie contemporaine, de l'économie des données, fait que l'on absorbe des données sur les citoyens afin de les manipuler, et que l'on utilise ces données pour toutes sortes de choses à l'avantage du gardien, du contrôleur, de ces données qui les met dans des algorithmes.

    À mon avis, il faut régler cela ex ante. Qui dit que l'on peut collecter ces données? Qui dit que vous êtes autorisé à me manipuler? Je viens ici en représentant de la société civile, en citoyen. Les conséquences d'une mauvaise gestion sont profondes et grandes, et elles ne sont pas à l'avantage du Canada ou des Canadiens dans ce modèle.

    Quand j'étais jeune, les enseignants fumaient des cigarettes en classe. Dans 10 ans, nous nous dirons que ce que nous avons fait était remarquablement absurde et que nous l'avons fait à nos enfants et à notre société. C'est notre chance d'être du bon côté de l'histoire, de choisir ce qui est bon pour la société, les personnes vulnérables et le pays, et ce qui ne l'est pas.

    Croyez-vous que le projet de loi permettra aux utilisateurs ultimes de comprendre la finalité de l'utilisation de leurs données ou la finalité de leur consentement? Croyez-vous que les utilisateurs seront en mesure de comprendre ce à quoi ils consentent?

    La réponse est non parce que tellement de gens qui donnent leur consentement sont contraints d'accepter un modèle de consentement ou qu'il y a un consentement implicite et qu'il n'est pas nécessaire de faire savoir qu'il y a un consentement. Il y a des aspects des algorithmes dont on ne sait pas si on peut les contester si on ne sait pas ce qui se passe.

    Prenez la crise de la santé mentale chez nos jeunes. Quelle en est la cause? Qu'est‑ce que cela révèle de notre société? C'est un produit de la manipulation de personnes vulnérables, qu'il s'agisse de personnes âgées, de jeunes ou de personnes marginalisées.

    Dans tous les cas, c'est de la manipulation.

    Oui.

    Vous disiez que le gouvernement n'avait pas de stratégie en la matière. Pourriez-vous nous en parler davantage?

    Oui. Je suis allé trouver le gouvernement quand il a dit qu'il avait la première stratégie nationale en matière d'IA, et il a dit qu'il n'y avait aucun document. La presse — le Globe and Mail — en a parlé en février.

     Merci beaucoup, monsieur Villemure.

    Je donne maintenant la parole à Mme McPherson.

    Je vous remercie, monsieur le président, et je vous remercie de me permettre de siéger au Comité aujourd'hui.

    J'ai quelques questions pour nos invités du Congrès du travail du Canada, si je puis me permettre.

    Tout d'abord, des craintes ont été exprimées quant aux risques et aux limites que présenterait le rattachement du commissaire à l'intelligence artificielle et aux données à Innovation, Sciences et Développement économique Canada. Pouvez-vous en dire plus sur les problèmes que pose ce modèle et les préoccupations qu'il soulève? De plus, selon vous, serait-il plus efficace, transparent et responsable de faire en sorte que le commissaire à l'intelligence artificielle et aux données soit totalement indépendant et ait qualité de haut fonctionnaire du Parlement, comme le directeur parlementaire du budget?

    Je vous remercie.

    Comme nous l'avons déclaré, à l'heure actuelle, s'il est rattaché à ISDE, nous demandons la promotion de l'IA, mais aussi des mécanismes de contrôle au même endroit. Nous savons que l'indépendance permettrait de faire en sorte d'atteindre ce qui devrait être les objectifs: quelle est l'incidence sur les Canadiens? Quelle est l'incidence sur la démocratie?

    Il n'est pas raisonnable de s'attendre à ce que ceux qui ont pour tâche de promouvoir l'IA soient également capables de mettre en place ces mécanismes de contrôle. Nous croyons fermement que les deux devraient être séparés.

    Je vous remercie, madame Vipond.

    Au fait, c'est un plaisir de vous voir. J'aurais aimé pouvoir vous voir en personne.

    Voici ma question suivante. Depuis que ce projet de loi a été présenté et tandis qu'il progressait au cours de l'année qu'il a passée à la Chambre, les consultations qui ont eu lieu ont suscité de nombreuses questions. Plus particulièrement, des inquiétudes ont été exprimées quant aux limites du Conseil consultatif en matière d'intelligence artificielle existant comme moyen de consulter la société civile au sujet de l'IA.

    Pouvez-vous en dire plus sur ces limites et quel serait, selon vous, un meilleur modèle?

    Certainement. Nous sommes fermement convaincus que le dialogue social est notre meilleure solution pour prendre toute décision. À ce stade, il n'y a pas eu suffisamment de dialogue social — surtout, pour nous, de participation des syndicats dans le cadre de ce... Nous sommes très préoccupés. Qu'essayons-nous de protéger?

    Les travailleurs sont enthousiasmés par certains aspects de l'IA, mais ils sont aussi très inquiets. Le mauvais type de conception nous entraînera sur un chemin qui pourrait être lourd de conséquences pour l'emploi. À l'heure actuelle, nous ne participons pas à ce dialogue d'une manière qui nous permettrait de veiller à ce que ce soit conçu de façon à en faire une chance et à atténuer le risque pour l'emploi et pour les travailleurs.

    Je vous remercie.

    Au fil de l'évaluation et de l'analyse de ce projet de loi , des questions sur les raisons pour lesquelles nous pensons que le gouvernement et les sociétés d'État devraient faire partie du champ d'application de la loi ont été posées. Pouvez-vous nous faire part de vos réflexions à ce sujet et nous dire pourquoi vous pensez, ou peut-être croyez, que le gouvernement et les sociétés d'État devraient être inclus?

    Tout à fait. Du point de vue des travailleurs, en excluant les sociétés d'État et le gouvernement, nous excluons un nombre important de travailleurs qui sont concernés par l'IA. De bien des façons positives, les sociétés d'État et le gouvernement investissent dans l'IA et la développent, mais ils ne seront pas visés par la réglementation ou ne feront pas partie des discussions que nous avons, et devrions avoir, sur le projet de loi.

    Nous soutenons fermement tous les travailleurs qui doivent être inclus afin d'avoir des mécanismes de contrôle et une réglementation obligatoire à propos de ce qui se fait en milieu de travail au sein des sociétés d'État et du gouvernement.

    Je vous remercie.

    J'aimerais avoir, de votre point de vue, un petit aperçu de la façon dont la réglementation de l'IA est abordée au Canada par rapport aux États-Unis, et savoir quels mécanismes et quels aspects vous préférez.

    Je pense que nous sommes tous au courant du décret présidentiel publié hier. Il me semble que ce décret du président Biden commence par la nécessité de comprendre l'incidence sur les Américains. Je crois que c'est ce que nous devrions faire ici, au Canada. Quelle est l'incidence sur les Canadiens? C'est le point de départ. Quelle est l'incidence sur les travailleurs?

    Ensuite, si l'on regarde la suite du décret présidentiel américain, il reconnaît aussi les conséquences pour les travailleurs, les conséquences pour les syndicats et le rôle que les syndicats devraient jouer dans cette discussion sur la conception de la loi. Le décret explique aussi qu'une évaluation constante est nécessaire, que ce soit des répercussions sur l'emploi ou sur des conséquences pour l'équité, ce sur quoi nous sommes d'accord.

    Comme je l'ai dit au début, nous pouvons concevoir cette loi de manière à avoir des discussions et à nous ouvrir des perspectives d'avenir, ou nous pouvons la concevoir d'une façon qui sape le travail que nous devons, selon moi, approfondir. Pour nous, le texte n'est pas suffisamment équilibré. Il faut qu'il soit axé sur les personnes, sur les travailleurs. Nous devons faire en sorte d'inclure les travailleurs dans cette discussion et de respecter l'engagement que nous avons au Canada envers le dialogue social.

    Je vous remercie.

    Monsieur le président, combien de temps me reste‑t‑il?

    Vous avez dépassé de cinq secondes, madame McPherson, mais votre tour reviendra.

    Je cède maintenant la parole à M. Vis pour cinq minutes.

    Je vous remercie, monsieur le président, et je remercie tous les témoins de leur présence aujourd'hui.

    Je commencerai par l'Association canadienne du marketing.

    Madame Clodman, verriez-vous un inconvénient à collecter des renseignements confidentiels sur des mineurs et à les utiliser à des fins socialement bénéfiques telles qu'elles sont définies par la loi, sans que le projet de loi définisse ce qu'est un mineur?

    L'Association canadienne du marketing est un chef de file dans la définition de règles et de directives pour les spécialistes du marketing en ce qui concerne l'utilisation de renseignements relatifs à des enfants. Nous avons fixé un âge minimum de 13 ans, et toute utilisation de leurs données nécessite le consentement explicite des parents.

    Comment un parent peut‑il donner un consentement explicite au sujet de renseignements concernant un enfant si cet enfant accepte simplement de donner un consentement sur une demande informatique à l'insu du parent? Comment une entreprise fait-elle la différence entre des données recueillies de façon inappropriée et, dans certains cas, comme vous le mentionniez, des données recueillies avec le consentement des parents?

    Dans le cas des enfants, nous sommes d'avis qu'une entreprise qui travaille dans un secteur où elle sait qu'elle touche tout particulièrement des enfants devrait mettre en place un système qui lui permette de s'assurer d'obtenir un consentement parental.

    Je vous remercie. C'est très utile.

    Êtes-vous d'accord que nous devrions envisager d'examiner le modèle britannique où l'âge de consentement est échelonné? Il comprend cinq niveaux pour les mineurs, selon la façon dont les renseignements sont collectés dans chacune des situations.

    Vous avez mentionné un âge minimum de 13 ans. Est‑ce que nous pouvons mieux faire au Canada en incluant dans ce projet de loi un protocole particulier détaillé pour garantir que les enfants ne soient pas exploités en ligne à des fins commerciales?

    Si vous parlez des méfaits en ligne, ce serait une autre loi.

    Ce projet de loi concerne la protection de la vie privée.

    Non, je parle des intérêts commerciaux ou des entreprises.

    En ce qui concerne la protection de la vie privée, notre code prévoit trois étapes, pas cinq.

    À propos de ce projet de loi, cependant, et pas de votre code, pensez-vous que nous devrions inscrire dans la loi un libellé très prescriptif pour protéger les enfants?

    Il faudrait que je consulte les membres de l'Association sur les détails que devrait comporter la loi.

    Je vous remercie.

    Monsieur Balsillie, tout d'abord, merci de vos observations. J'ai vraiment le sentiment... Ce projet de loi m'inquiète beaucoup. Je pense qu'il est défaillant, principalement parce que le ministre, lorsqu'il a comparu devant le Comité, a déclaré qu'il voulait protéger les enfants, mais qu'il n'a pas défini dans le projet de loi ce que serait pour un enfant un droit fondamental au respect de sa vie privée, alors qu'il s'agit de la deuxième version de ce projet de loi. Je trouve cela très problématique.

    À la page 3 de votre rapport intitulé Not Fit For Purpose—Canada Deserves Much Better, on lit, à propos du projet de loi: « Surtout, il ne tient pas compte du fait que les entreprises dominantes axées sur les données sont passées d'un modèle d'affaires axé sur les services à un modèle qui repose sur la monétisation de renseignements personnels. »

    Je suis très préoccupé par la crise de la santé mentale chez les jeunes dont vous avez parlé et par la vulnérabilité des enfants chaque fois quand ils vont en ligne, même en classe, comme l'expliquait un article du Globe and Mail l'an dernier.

    Existe‑t‑il des cas...? En arrivons-nous au point où nous devons mettre le holà en tant que législateurs et aller très loin dans la protection des enfants dans ce projet de loi, parce que nous n'avons aucune idée des préjudices auxquels ils seront exposés dans les 10 à 15 prochaines années?

    Je vous remercie de votre question.

    Je ne voudrais pas citer de noms, mais je reste en très étroite relation avec de bons amis sur cette question, comme Beeban Kidron, fondatrice et présidente de la 5Rights Foundation au Royaume-Uni, et Shoshana Zuboff, dont je suis très proche et nous serons ensemble ici, à Ottawa, en février, avec de nombreux autres psychologues du développement.

    Essentiellement, quand nous grandissions et que quelque chose nous arrivait, nous allions nous consoler dans notre chambre pendant deux ou trois heures ou une journée, et nous ressortions. Dans le monde actuel, on ne peut plus en faire autant, car il y a une trace permanente de ce qui s'est passé, ce qui nuit au processus de développement sain.

    Je pourrais continuer longtemps.

    M. Brad Vis: [Inaudible]

    Monsieur Vis, je suis désolé. Votre temps de parole est écoulé, et il y a un problème avec votre microphone. Par courtoisie envers les interprètes, nous en resterons là.

    La parole est maintenant à Mme Lapointe.

     Merci, monsieur le président.

    Ma première question est pour Mme Krugel.

    Certains intervenants ont exprimé des craintes au sujet de l'équilibre délicat que nous devons trouver pour garantir par cette loi la pleine protection de la vie privée des Canadiens, tout en permettant de bénéficier des aspects positifs des outils en ligne qui utilisent des données pour innover. Selon vous, comment trouver ce bon équilibre?

    Nous pensons que la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, comprend de nombreux éléments à cet égard. Elle oblige déjà les organisations à réfléchir à ce qui est raisonnable et à ce que seraient des utilisations raisonnables de renseignements personnels. Il en était beaucoup question dans les conseils du commissaire à la protection de la vie privée. Nous voyons à présent la LPVPC reprendre ces bons éléments de la LPRPDE et les conseils du commissaire à la protection de la vie privée sur les utilisations appropriées et le caractère raisonnable.

    En ce qui concerne l'innovation, nous pensons que les organisations doivent être en mesure d'utiliser l'information de façon responsable afin d'innover. Nous le voyons dans certains des domaines où il est davantage permis d'utiliser des données anonymisées aux fins de recherche-développement interne et d'analyses — encore une fois, de façon responsable.

    Nous voulons nous assurer qu'il y ait des limites appropriées à cet égard aussi. Nous avons une crainte au sujet de l'interdiction de la repersonnalisation des données parce que nous croyons que beaucoup d'organisations, quand elles font leur analyse et qu'elles cherchent des moyens d'innover, anonymisent souvent les données par sécurité. Quand il devient interdit de les repersonnaliser, les organisations ne les anonymiseront pas seulement pour les sauvegarder. Nous pensons qu'il s'agit d'un aspect à améliorer, mais que l'utilisation de données anonymisées à des fins internes est une très bonne chose.

    Je vous remercie.

    Ma question suivante est pour Mme Clodman.

    Vous avez mentionné dans vos observations préliminaires que votre organisation sert de nombreuses petites et moyennes entreprises. Pouvez-vous dire au Comité quelles sont les principales considérations pour les PME en ce qui concerne la loi sur la protection de la vie privée? Selon vous, la LPVPC en tient-elle compte?

    Je pense que le plus important est de prendre en compte les capacités variables des PME lorsqu'elles collectent des données, et il me semble que le projet de loi le fait. Quelques ajustements sont toutefois nécessaires pour vraiment aider les PME.

    Un des plus importants concerne les données sur les enfants. Il faut réfléchir soigneusement aux règles à mettre en place. La simple disposition que contient le projet de loi actuel est un instrument très imprécis pour traiter ce sujet très important.

    Par exemple, si un enfant va chez Canadian Tire acheter une tasse, ou si une personne va chez Canadian Tire acheter une tasse, avec cette disposition, dans son libellé actuel, Canadian Tire devra déterminer si cette personne est mineure. Si tel est le cas, les données devront être conservées séparément. Ce sont des transactions quotidiennes comme celle‑ci, pas seulement pour les grandes organisations, mais aussi pour les petites organisations. Elles devront être en mesure de garder trace de quels clients sont mineurs. Quand elles ne vendent pas de produits à des mineurs, ou en l'absence de situations qui posent des problèmes, c'est beaucoup de travail administratif en plus qui est très coûteux pour de petites entreprises.

    En quoi les exceptions au consentement dans la LPVPC diffèrent-elles de ce que prévoient les lois sur la protection de la vie privée dans l'Union européenne?

    Permettez-moi de commencer par dire que le consentement et le consentement éclairé sont extrêmement importants dans toute loi sur la protection de la vie privée. Ces règles existent aussi. La LPVPC appelle à une divulgation plus claire qui s'appuie sur les règles existantes, mais le talon d'Achille de la divulgation, c'est la lassitude à l'égard du consentement. En Europe, les citoyens doivent tellement donner tout le temps leur consentement qu'ils ne lisent pas attentivement les notices expliquant ce à quoi ils consentent. Leur consentement est donc moins éclairé.

    C'est un problème majeur que nous aimerions éviter au Canada.

     Merci, madame Lapointe.

    Monsieur Villemure, vous avez la parole.

    Merci beaucoup, monsieur le président.

    Madame Vipond, dans ma circonscription, Trois‑Rivières, il y a beaucoup de créateurs. Au moyen de différents médias, ils vivent de leurs créations.

     Selon vous, la partie du projet de loi qui porte sur l'intelligence artificielle protège-t-elle ces créateurs?

    Je vous remercie de la question.

    C'est un grand sujet de préoccupation pour les personnes qui travaillent dans les industries créatives parce que, encore une fois, cela concerne la discussion. À quoi ressemble un modèle de rémunération? On parle beaucoup en ce moment dans les médias des artistes, de la façon dont on peut regarder leur image et dont elle peut être utilisée au‑delà de... Sont-ils correctement rémunérés?

    Nous entendons parler de la création, qu'il s'agisse de l'écriture ou de la création artistique, et de ce qu'elles deviennent ensuite. Je ne pense pas que ce sujet soit traité de manière appropriée, mais nous n'organisons pas non plus les choses de manière que ces travailleurs participent à ces discussions afin de parvenir à la bonne solution.

    Merci beaucoup.

    Monsieur Balsillie, croyez-vous que le projet de loi actuel protège les créateurs?

    Non, je ne crois pas. Je pense que l'erreur avec les créateurs, notamment par rapport au commentaire de Mme Vipond sur l'IA, est que le gouvernement met la charrue avant les boeufs et que nous devons reprendre du début.

    On commence par consulter les intervenants et dialoguer avec eux. Puis on rédige un livre blanc et, ensuite, on passe à une loi. Nous essayons à présent d'avancer sans remettre les boeufs devant la charrue. Nous devons faire les choses dans l'ordre.

    Les créateurs de ma circonscription sont effectivement très inquiets et se sentent très impuissants.

    Que pourrions-nous faire pour améliorer le projet de loi afin de rassurer les créateurs?

    Nous devons comprendre que nous vivons dans un monde de médiation numérique qui a des effets économiques et non économiques, mais que c'est par des structures sociales que nous les régissons.

    Quand la voiture a été inventée, nous avons décidé qu'il devrait y avoir des limites de vitesse devant les écoles et des limites d'alcoolémie. C'est la même chose dans ce cas. En économie, on commence par des normes. On définit ce à quoi l'on accorde de la valeur et, ensuite, on travaille à partir de là avec des outils appropriés. Nous avons les outils nécessaires pour atteindre nos normes, mais nous devons fixer nos normes d'entrée de jeu, puis nous devons savoir quels sont les outils efficaces pour les respecter.

    Je pense que vous avez tout le pouvoir du monde pour créer une loi historique. Je veux juste que vous concrétisiez les normes auxquelles vous tenez.

    En tant qu'éthicien, je suis très heureux que vous ayez fait référence aux normes et aux valeurs qui doivent être en harmonie afin de créer cette loi, qui serait exemplaire.

    Vous vous êtes déjà exprimé sur le fait que les partis politiques n'étaient pas assujettis au projet de loi C‑27. Pouvez-vous apporter quelques précisions à ce sujet?

     Oui. En Europe, pour établir le caractère adéquat — et il n'y a aucune certitude que le projet de loi sera jugé adéquat en Europe —, les deux types de renseignements jugés les plus sensibles sont ceux qui concernent les enfants et les partis politiques, qui ne sont pas visés par le projet de loi C‑27.

    Une norme minimale a été établie en Colombie-Britannique, et les partis politiques, visés par la loi d'exécution du budget, plaident qu'ils n'y sont pas soumis. Une demande d'examen judiciaire a été déposée, alors que cela n'a rien à voir avec un mécanisme de surveillance. C'est clair que vous êtes en train de jouer avec nos structures démocratiques, la reconnaissance internationale du caractère adéquat de nos lois et les compétences des provinces et du fédéral. Je ne comprends vraiment pas pourquoi. Je ne vois rien de mal dans l'établissement d'une norme adéquate et la mise en place des outils nécessaires pour protéger le pays qui nous est cher à tous.

    Un peu plus tôt, vous avez fait mention de Mme Shoshana Zuboff. Selon vous, le projet de loi C‑27 va-t-il encourager le capitalisme de surveillance ou va-t-il plutôt l'atténuer?

     Le projet de loi C‑27 va surstimuler le capitalisme de surveillance. Nous avons étudié la question avec Mme Zuboff la semaine dernière. Elle va venir ici en février. Cette surstimulation est tout simplement insensée.

    C'est très intéressant, merci.

    Madame Fortin LeFaivre, croyez-vous que le projet de loi C‑27 devrait être aligné sur la loi du Québec et que celle-ci devrait prévaloir?

    Selon ce que nos membres nous ont dit, certains éléments particuliers devraient être alignés sur la loi 25 du Québec. Je pense, par exemple, au mot « mineur ». Au Québec, l'âge est fixé à 14 ans. Selon nous, on devrait se fier à cela. Je pense aussi à la définition d'« anonymiser » et à la portée du droit de recours individuel. Plusieurs éléments se basent sur le principe d'interopérabilité.

    Beaucoup de commerces s'alignent déjà sur la loi 25, qui a été adoptée l'an dernier, et nous disent qu'il faudrait adopter certains éléments de cette loi.

     Merci beaucoup, monsieur Villemure.

    Madame McPherson, vous avez la parole.

    Merci beaucoup, monsieur le président.

    Monsieur Balsillie, j'aurais une question à vous poser à propos du Tribunal de la protection des renseignements personnels. Ce tribunal s'apparente au Tribunal de la concurrence et il serait saisi des contestations par les organismes et les entreprises des décisions, des jugements et des éventuelles ordonnances du commissaire à la protection de la vie privée. Nous en avons eu un exemple lorsque le Bureau de la concurrence a rejeté et annulé les décisions du commissaire à la concurrence concernant l'acquisition de Shaw par Rogers.

    Les autres pays n'ont pas ce type d'instance quasi judiciaire supplémentaire qui obstrue le processus décisionnel des organismes indépendants. Comme dans les autres pays, les parties visées par les décisions du commissaire à la protection de la vie privée peuvent s'adresser à la Cour fédérale si elles ne sont pas d'accord. D'ailleurs, elles peuvent même porter une décision du Tribunal de la protection des renseignements personnels en appel devant la Cour fédérale.

    Quel est votre avis à propos du Tribunal de la protection des renseignements personnels? Est‑ce que c'est un palier de plus qui va retarder les procédures et entraver l'exercice des fonctions essentielles et l'exécution des décisions du commissaire à la protection de la vie privée?

    Je ne sais pas qui a eu l'idée de ce genre de tribunal. À mon avis, c'est une erreur. Ce tribunal ne doit pas être mis en place. Il va saper le travail des tribunaux. Il va saper le travail du commissaire. C'est seulement un palier de plus, comme vous l'avait dit. Une société qui essaie de négocier avec le commissaire va simplement hausser les épaules et lui donner rendez-vous au tribunal, qui est une instance quasi judiciaire.

    Quel sera le rôle de ce tribunal exactement? Nous avons des tribunaux parfaitement légitimes qui sont liés par la jurisprudence. Aucun autre pays n'a ce genre de tribunal, et personne ne l'a demandé. Qui a ajouté ce palier? Qui a été consulté? Quand j'en ai eu vent, je me suis tout de suite demandé qui avait eu cette idée.

    C'est très clair. Merci, monsieur Balsillie.

    Madame Vipond, pouvez-vous nous dire ce que vous en pensez?

    Volontiers. Pour nous, l'important est qu'il y ait un mécanisme de contrôle. Comme nous l'avons mentionné, il doit être indépendant de ce processus.

    Globalement, si nous nous concentrons sur les intervenants dans le processus décisionnel, c'est toujours à cela que nous revenons. Nous n'en sommes pas encore là. Un dialogue social plus large sera nécessaire avant que nous puissions regarder plus loin.

    Merci.

    J'aurais une dernière question rapide pour vous.

    Pourquoi les administrateurs et les dirigeants doivent-ils être tenus personnellement responsables des violations de leurs entreprises?

    Parce que ce sont des personnes qui prennent les décisions et que ces décisions ont des conséquences. Si tout à coup une personne n'est plus tenue responsable des conséquences, la chaîne de responsabilité essentielle est rompue. La presque totalité des lois du travail en est un exemple. Si une décision est prise dans un milieu de travail, il y aura des conséquences. Et si une personne prend des décisions qui ont des conséquences, elle devrait en assumer la responsabilité. C'est pourquoi nous préconisons cela.

    Merci beaucoup.

    Merci beaucoup.

    Monsieur Généreux, la parole est à vous.

    Merci, monsieur le président.

    Je remercie tous les témoins. Je leur souhaite la bienvenue dans le club de la grande noirceur libérale. Cela me fait l'effet d'un chien qui court après sa queue. J'utilise cette métaphore parce que je viens d'apercevoir le chien de Mme McPherson à l'écran.

    Nous sommes tous ici pour parler d'un projet de loi qui, comme le ministre Champagne nous l'a annoncé il y a trois semaines, ferait l'objet de huit amendements, dont des certains seront majeurs.

    Monsieur Balsillie, vous avez dit tantôt que vous avez été consulté, à l'époque, par le ministre Bains à propos du projet de loi C‑11 et que vous aviez fait des recommandations. Le ministre actuel, M. Champagne, nous dit qu'il a consulté 300 organisations ou spécialistes.

    Madame Vipond, de toute évidence, vous n'étiez pas dans le groupe. En tout cas, plusieurs témoins ici présents n'étaient probablement pas dans le groupe consulté, puisqu'ils nous demandent aujourd'hui qu'il y ait plus de consultations et qu'il y en ait de façon permanente et continue, selon l'évolution du projet de loi.

    Monsieur Balsillie, les commentaires que vous avez faits jusqu'à maintenant sur ce projet de loi sont pratiquement tous négatifs. Voyez-vous, quelque part, quelque chose qui pourrait être positif à l'intérieur du projet de loi ou croyez-vous qu'on devrait carrément le mettre aux ordures et recommencer?

     D'après ce que nous avons devant nous aujourd'hui, je crois qu'on a confondu « vie privée » et « intelligence artificielle ». Ce sont deux choses totalement différentes, mais on met tout dans le même panier.

    Nous aurions bien voulu vous entendre parler de l'intelligence artificielle. Je suis convaincu que vous auriez bien aimé nous en parler plus longuement aussi. Je vous laisse donc la parole.

    Oui, j'aimerais beaucoup parler de l'IA.

    Premièrement, j'ai dit dans mon exposé qu'il faut tout recommencer pour ce qui concerne l'IA. Je suis d'accord.

    Deuxièmement, je crois qu'il faut oublier l'idée du tribunal. Il ne servira à rien sinon à saper le processus. Des correctifs peuvent être apportés à la Loi sur la protection des renseignements personnels, mais ces correctifs devront être exhaustifs. C'est pourquoi j'ai parlé d'un seau. Si le seau a un ou deux trous, ce n'est plus un seau, mais il est possible de les boucher. On fait une mauvaise affaire si quelqu'un nous dit qu'il va nous permettre de boucher 10 trous, mais qu'il va en laisser 10 autres. Il est possible de corriger tout ce qui ne va pas dans la Loi sur la protection des renseignements personnels, mais il faut le faire. Je ne vois vraiment aucune légitimité à ce tribunal. À mon avis, l'intelligence artificielle est tellement importante et sa portée est si large que nous n'avons pas le choix de faire les choses correctement maintenant. Autrement, les dégâts seront permanents.

     J'aimerais m'adresser aux représentantes de la Chambre de commerce du Canada.

    Je suis un homme d'affaires. J'ai 40 employés au sein de mes différentes entreprises, et nous sommes pris dans les dédales de la bureaucratie et de l'administration. Croyez-vous que les entreprises de 100 employés et moins, par exemple, un chiffre qu'on retrouve dans d'autres projets de loi, ne devraient pas être assujetties à la loi, ou qu'elles devraient l'être différemment?

    On sait que les petites entreprises sont la colonne vertébrale du pays, économiquement parlant. Devraient-elles être traitées différemment?

    C'est une bonne question. Nous n'avons pas abordé ce sujet dans notre présentation.

    Parlez-vous du projet de loi dans son ensemble ou de la partie qui concerne la Loi sur l’intelligence artificielle et les données, ou LIAD?

    Je pense particulièrement à une certaine disposition qui pourrait forcer les entreprises à remplir beaucoup de paperasse pour se conformer à la loi.

    Nous sommes toujours soucieux d'améliorer les processus et d'aider les petites entreprises à survivre.

    J'aimerais bien poser cette question à nos membres, mais je peux vous dire qu'en général, si nous pensons qu'une mesure peut aider les petites entreprises, nous l'appuyons.

    Madame Vipond, avez-vous été consultée?

    J'imagine que cela fait partie du processus, mais il existe sûrement un moyen plus efficace de faire les choses à la table... Comme nous l'avons dit, nous craignons que ce qui est proposé soit un recul et aille à l'encontre des droits de la personne si l'IA est...

    Je vous ai demandé si vous avez été consultés sur ce projet de loi.

    Nous sommes ici, c'est déjà une chose, mais nous croyons quand même qu'il pourrait y avoir plus de consultations.

    Le ministre dit avoir rencontré 300 personnes ou organisations. Vous avez dit que vous aviez 3 millions de membres dans différents secteurs d'un bout à l'autre du Canada, n'est-ce pas?

    Oui.

    Pourtant, vous n'avez jamais été consultés.

    Non.

    Merci, monsieur Généreux.

    Monsieur Turnbull, vous avez la parole.

    Merci, monsieur le président.

    Merci à nos témoins d'être avec nous. Nous avons des échanges fort intéressants.

    Madame Krugel, de l'Association des banquiers canadiens, je vais m'adresser à vous en premier. Je crois que, de façon générale, les banques saisissent assez bien ce comment la LPVPC s'appliquera à l'échelon du fédéral. À votre avis, la loi va‑t‑elle resserrer les normes pour les entreprises du pays?

    Nous pensons que la LPVPC reprend les meilleurs éléments de la LPRPDE et les renforce.

    À nos yeux, il sera très important que la loi fédérale établisse les principes directeurs qui guideront les provinces pour la réforme de leur régime de protection des renseignements personnels. Le Québec l'a déjà fait, comme nous le savons, mais d'autres provinces projettent aussi une réforme. Il serait très utile de viser l'uniformité et l'interopérabilité. Les organismes, peu importe leur taille, mais aussi les consommateurs ont tout avantage à ce que les processus soient uniformes d'une province à l'autre et entre les provinces et le fédéral.

    Pensez-vous que c'est un objectif atteignable avec la version actuelle du projet de loi?

    Oui, moyennant certains amendements précis que nous avons énoncés dans notre mémoire.

    Merci.

    Madame Clodman, je comprends ce que vous voulez dire quand vous parlez de la lassitude à l'égard du consentement. C'est une remarque très pertinente. C'est quelque chose que j'ai moi-même vécu, même si je comprends tout à fait que le consentement éclairé est essentiel.

    Il a été question des normes plus tôt. Dans votre déclaration liminaire, vous avez indiqué que les consommateurs veulent être protégés. Ils veulent que les services soient fournis de manière intuitive. Ils veulent aussi communiquer leurs données, et ils s'attendent à recevoir des rabais, ou du moins à ce que ces données leur permettent de bénéficier de rabais, ce qui est souvent implicite. Les gens apprécient la personnalisation. Je pense que beaucoup ici seront d'accord que cela fait partie des normes actuelles pour ce qui concerne le comportement des consommateurs et leurs liens avec différents types d'entreprises.

    Si je me fie à vos remarques, il semble y avoir une contradiction avec ce que M. Balsillie a dit concernant l'équilibre. Pouvez-vous nous parler de cet équilibre et de ce qu'il faudrait faire pour qu'il soit un peu meilleur?

    Avec grand plaisir. Merci de cette question.

    Il est très important de nous rappeler que ce projet de loi a deux objectifs. À notre avis, ces deux objectifs peuvent être remplis de manière harmonieuse. Le premier objectif est la protection des renseignements personnels des consommateurs, ce qui est d'une extrême importance. L'autre objectif est de favoriser la réussite et l'innovation des entreprises.

    L'essentiel est de nous assurer que si le consommateur ne s'attend pas à ce que ses données soient utilisées à une certaine fin, il a la possibilité de donner son consentement exprès et d'accepter que ses données soient utilisées. Cependant, si le consommateur s'attend à ce que ses données soient utilisées à une certaine fin dans le cadre des activités d'affaires régulières, son consentement ne devrait pas être exigé. C'est dans ces situations que la lassitude s'installe.

    Je comprends la logique.

    Cela dit, je vois aussi l'envers de la médaille et les possibles inconvénients. Comment deviner à quoi le consommateur s'attend? Il faudrait réunir une somme d'informations assez considérable pour le savoir.

    Pensez-vous vraiment que le projet de loi donne une définition juste de l'« intérêt légitime » dans diverses dispositions? Je crois qu'elles donnent une idée de certaines de ces limites.

    Le projet de loi exige que les organisations établissent si une activité est régulière, y compris les organisations sans but lucratif qui cherchent des bailleurs de fonds et qui communiquent avec eux. Si elles prennent une mauvaise décision, le projet de loi prévoit des amendes importantes et la possibilité pour le commissaire de prendre une ordonnance leur interdisant de recueillir et d'utiliser ces données. Elles s'exposent aussi à des dommages à leur réputation et à l'exercice du droit privé d'action. Ce sont toutes de très bonnes raisons pour les entreprises de bien faire les choses.

    Merci de ces explications.

    Monsieur Boms, je crois que nous vous avons un peu négligé. J'ai l'impression que nous avons jeté notre dévolu sur les témoins dans la salle. J'ai une question pour vous.

    Dans votre déclaration liminaire, vous avez exposé certains avantages à l'inclusion du droit à la mobilité et à la transférabilité des données dans la LPVPC. Pouvez-vous nous donner de plus amples explications à ce sujet? Et si vous avez manqué de temps pour votre exposé, voulez-vous ajouter des éléments d'information au compte rendu?

    Merci de cette question.

    Effectivement, dans le domaine des services financiers, la transférabilité des données offre aux consommateurs et aux PME la possibilité de choisir l'outil, le produit ou le service qui leur convient le mieux. Au Canada, la concurrence est beaucoup moins forte dans le secteur des services financiers que dans beaucoup d'autres pays. Comme il n'existe pas de droit à la transférabilité des données au Canada, les consommateurs et les PME sont en quelque sorte les otages d'un fournisseur de services, ce qui ne favorise pas une baisse des frais ou une amélioration des services, des produits et des outils. C'est aussi un obstacle important pour les PME et les consommateurs qui veulent améliorer leur situation financière et qui ne peuvent pas trouver l'outil ou le produit qui leur convient le mieux.

    À notre avis, le droit à la transférabilité des données est essentiel pour placer le Canada sur un pied d'égalité avec beaucoup d'autres pays qui sont beaucoup plus avancés que nous.

    Merci.

     Merci beaucoup, monsieur Turnbull.

    Monsieur Falk, vous avez maintenant la parole.

    Allez‑y.

    Merci à l'ensemble des témoins de participer à notre réunion.

    Monsieur Balsillie, je commence avec vous.

    Dans votre exposé et dans vos réponses aux questions, il a beaucoup été question de protection des renseignements personnels, de surveillance et de promotion de la prospérité. C'est ce que vous avez fait quand vous étiez codirecteur général de BlackBerry. Je ne crois pas que quelqu'un ici a déjà eu sous sa responsabilité autant de données personnelles. C'est clair que vous êtes compétent en la matière, et que vous parlez d'expérience et en toute connaissance de cause. Vous avez accordé la priorité à la sécurité personnelle et la protection de la vie privée. Il y a 10 ans, quand je suis devenu député, nous n'avions pas le choix d'utiliser les téléphones BlackBerry parce qu'ils nous offraient la meilleure sécurité.

    Durant la pandémie de COVID, ce gouvernement, de concert avec ses partenaires de la coalition qu'il a formée avec le NPD et par l'intermédiaire de l'Agence de la santé publique du Canada, a agi de connivence avec Telus pour piétiner le droit à la vie privée des Canadiens en les surveillant. Est‑ce que c'est le genre de choses qui vous inquiète dans ce projet de loi, qu'il ne protège pas les Canadiens contre ce genre de comportement? Ils ont agi sans avoir obtenu une autorisation judiciaire.

    Si vous me le permettez, je vais répondre de manière un peu indirecte. Je parle beaucoup avec des premiers ministres de l'échelon infranational qui sont aux prises avec des problèmes liés aux données, aux systèmes d'identité et ce genre de choses. Les gens aiment parler d'efficience. Je leur explique que le plus important est d'investir dans la confiance dans la gouvernance. Quelqu'un ne peut pas construire un gratte-ciel de 20 étages dans votre cour à votre insu. Vous êtes tous des politiciens et vous êtes tous des habitués des discours sur les politiques, mais pour tout ce qui concerne le monde du numérique, vous avez tendance à occulter l'étape de la confiance dans la gouvernance, qui a pourtant une puissance et une influence profondes.

    Ce qui compte vraiment, c'est le dialogue, la transparence, la gouvernance. Ces aspects sont essentiels si vous voulez que les gens aient confiance dans vos actions. Ils seront rassurés s'ils ont accès à un recours démocratique si vous allez trop loin. Même si ce n'est pas grave, si vous imposez les choses d'en haut, si vous manquez de transparence ou si vous introduisez sournoisement certaines exceptions, le lien de confiance est trahi et cela ferme la porte à beaucoup de choses.

    Outre les dommages causés, vous perdez l'acceptabilité sociale qui est essentielle en cette ère où on ne peut pas ignorer les possibilités des technologies numériques, pour passer à travers une pandémie par exemple. L'important est de savoir qu'il existe une bonne manière de faire les choses, et une autre qui sapera les résultats.

    Monsieur Fortin LeFaivre, de la Chambre de commerce du Canada, vous avez affirmé que vous n'avez pas vraiment consulté vos membres relativement aux exigences supplémentaires en matière de rapports que le projet de loi imposera aux petites entreprises. Selon vous, comment vos membres recevront-ils ces exigences?

    Récemment, des représentants de la Fédération canadienne de l'entreprise indépendante se sont présentés à mon bureau et m'ont transmis les réponses de leurs membres qui se trouvent dans ma circonscription. Selon ces réponses, les petites entreprises sont particulièrement préoccupées par les exigences de rapports et la lourdeur administrative. Avez-vous les mêmes échos de la part de vos membres?

    Si vous me permettez, je serai heureuse de répondre à cette question. Merci de la poser, monsieur Falk.

    La Chambre de commerce du Canada ne compte pas beaucoup de petites entreprises parmi ses membres. Nos membres proviennent d'une grande diversité de secteurs, de régions et d'industries. Cependant, les rares petites entreprises à qui nous avons parlé ne se sont pas vraiment prononcées sur le sujet, si je puis dire.

    Nous menons des consultations auprès de l'ensemble de nos membres. Je suis responsable de la plupart des dossiers et des comités liés à l'innovation et à l'économie numérique. Je n'ai pas entendu grand-chose à ce sujet de la part des petites et moyennes entreprises que nous représentons. Cela dit, il faudrait peut-être préciser ce qu'on entend par petites et moyennes entreprises. Quelqu'un a parlé de 100 employés ou moins tout à l'heure. La définition peut changer selon l'administration. J'ai longtemps habité en Nouvelle-Écosse, et je crois que c'était moins.

    Même si ces membres n'ont pas participé au dialogue de manière proactive, je pense qu'ils considèrent que tout ce qui concerne les rapports et ce genre d'obligations est très lourd. Je vais toutefois me garder de parler à leur place puisqu'ils n'ont pas vraiment exprimé leur avis.

     Merci beaucoup.

    Monsieur Villemure, vous avez la parole.

    Merci, monsieur le président.

    Monsieur Balsillie, vous avez parlé de la difficile interopérabilité avec l'Europe dans le cadre du projet de loi C‑27. Pourriez-vous être plus précis à ce sujet?

    Volontiers.

    Tout d'abord, j'ai parlé du caractère adéquat. Il faut maintenir un certain seuil pour permettre les interactions avec les Européens dans la sphère canadienne. Par exemple, je ne crois pas que le traitement des données concernant les enfants ou les données des partis politiques survivrait à une contestation.

    Les politiciens peuvent dire tout ce qu'ils veulent, mais si un tribunal étudie la question et si le juge conclut… C'est ce qui est arrivé avec la décision Schrems II. Il y a des fermetures et, après, il faut réparer les pots cassés de toute urgence. Je le répète, pourquoi ne pas bien faire les choses la première fois pour nous assurer que les entreprises et les citoyens canadiens seront protégés?

    Il faut simplement bien faire les choses.

    Dans son état actuel, croyez-vous que le projet de loi C‑27 ferait une bonne loi lorsque l'on considère l'intelligence artificielle générative, mieux connue sous le nom de ChatGPT?

    Non. Je crois que ce qui est arrivé, c'est que les technologies génératives sont passées au premier plan après la présentation de la première version de ce projet de loi. Avant, les données étaient considérées […] des algorithmes sont utilisés pour obtenir des résultats. Aujourd'hui, les algorithmes apprennent à partir des données et c'est fini…

    Je dirais, bien que je sache que ce n'est pas du ressort du Comité, qu'il faut réfléchir à ce qu'est l'infrastructure d'un pays souverain, parce que l'Europe a maintenant Gaia‑X, un nuage souverain. Des modèles de langage souverain sont créés parce que, pour assurer la protection des données sans contrôler le reste… C'est un peu comme si nous avions un système de traitement des eaux sans avoir le contrôle sur le traitement des eaux usées. Qu'est‑ce qu'un pays souverain à l'ère des données et de l'IA générative? Nous devons commencer à réfléchir à la définition d'une infrastructure nationale et d'une infrastructure souveraine. J'ai présidé une table ronde infranationale sur cette question. Je pense qu'il serait indiqué d'étendre les travaux à l'infrastructure, considérant les avancées de la dernière année, mais notre mandat a pris fin il y a un an. Oui, il faut aller de l'avant.

    L'Europe a mis sur pied une infrastructure souveraine, Gaia‑X, grâce à un financement de 2 milliards d'euros sur 4 ans. Un grand sommet aura lieu la semaine prochaine en Espagne. Des centaines d'entreprises y participent. Un cadre d'interopérabilité a été établi, de même qu'un cadre d'autorisation et un index de partage. Nous devrions nous en inspirer pour faire une ébauche. Nous pourrions le faire à l'échelon du fédéral et des provinces. C'est un modèle ouvert. Il faut discuter de l'infrastructure dans le monde numérique des données. C'est là.

     Vous parlez de confiance. Comme on le sait tous, la confiance est un capital social.

    À moins d'agir, ou peut-être de recommencer complètement le projet de loi C‑27, croyez-vous que ce capital social serait mis en danger?

    Oui. J'ai présidé une table ronde sur l'office ontarien des données et je leur ai parlé. Pour ces volets de la nouvelle législation sur la protection des renseignements personnels et les protocoles de partage de contenu numérique, une structure permanente de consultation auprès des travailleurs, des parents et de toutes sortes de groupes est en place pour bâtir et maintenir l'acceptabilité parce que c'est un processus latéral.

    Je crois en effet qu'il faut toujours placer l'acceptabilité au centre pour tout ce qui concerne le domaine des données et leur exploitation, tant dans le secteur public que dans le secteur privé.

    Merci beaucoup.

    Monsieur Elder, vous êtes un spécialiste du droit de la vie privée. Selon vous, lorsqu'il clique sur « J'accepte », un utilisateur moyen comprend-il actuellement quelle est la finalité de son consentement?

    Je suis désolé. Une partie de la question m'a échappé. Je n'arrivais pas à monter le volume.

    Je suis désolé.

    Je vais recommencer.

    Croyez-vous qu'un utilisateur moyen comprend, lorsqu'il clique sur « J'accepte », quelle est la finalité de son consentement?

    Je crois que cela dépend beaucoup du processus visé. Les données peuvent être utilisées de manière assez simple. Il ne faut pas oublier que le projet de loi s'applique à un large éventail d'industries et d'entreprises. Pour la plupart des processus simples, je répondrais par l'affirmative. Pour les processus plus complexes et le recours à des algorithmes, je ne suis pas certain que l'utilisateur moyen comprend toujours…

    Par exemple, quand on clique sur « J'accepte » sur le site Web du journal Le Figaro, le citoyen ou l'utilisateur est-il en mesure de comprendre la finalité de l'usage qui sera fait de ses données?

    J'imagine que la question est de savoir s'il a lu le document sur lequel il donne son consentement et s'il comprend les politiques de protection des renseignements personnels.

    D'accord.

    Merci, monsieur le président.

    Merci, monsieur Villemure.

    Je vais donner la parole à M. Van Bynen.

    Je suis désolé. Je vous ai oublié la dernière fois, mais je vous donne la parole maintenant, monsieur Van Bynen.

    Après M. Falk, j'ai donné la parole à M. Villemure, mais j'aurais dû la donner à M. Van Bynen.

    Merci beaucoup.

    Ma question s'adresse à Mme Krugel.

    Aux yeux de l'Association des banquiers canadiens, quels sont les obstacles que pourrait avoir à surmonter une organisation afin de s'adapter aux nouvelles obligations contenues dans la Loi sur la protection de la vie privée des consommateurs?

    Est-ce que vous me demandez quelles sont les nouvelles obligations par rapport à celles qui existent actuellement?

    Oui. Dans quelle mesure l'application de ces obligations sera‑t‑elle lourde pour les organisations, et qu'est‑ce que cela impliquera au juste?

    Plusieurs sont assez lourdes. La LPRPDE est essentiellement fondée sur des principes. Les organisations ont réussi à s'adapter en fonction des circonstances.

    La LPVPC est inspirée du RGPD et de la loi québécoise, dont certains concepts clés sont très normatifs. Certains sont très… La mise en application peut être très lourde. Par exemple, dans le cas du système décisionnel automatisé, les exigences sont astreignantes que celles du RGPD et de la loi québécoise. Les deux se limitent aux processus entièrement automatisés et exigent que l'organisation en informe la personne concernée.

    Sous le régime de la LPVPC, les organisations devront l'appliquer à tous les systèmes automatisés, ce qui comprend les systèmes d'IA ou même une feuille de calcul Excel automatisée, et déterminer s'il y a une assistance à la prise de décision ou à la formulation d'une prévision ou d'une recommandation. Il y a beaucoup… Les organisations devront examiner pratiquement toutes leurs activités et se préparer à fournir des explications aux gens. Elles devront consacrer beaucoup de temps et d'énergie à la formation et à la compréhension de ces processus.

    C'est un aspect…

    On parle actuellement d'un cycle de mise en œuvre de deux ans. Est‑ce exact?

    Oui. La mise en œuvre de certaines exigences — toutes les modifications qui touchent le consentement ou qui requièrent de changer un système — peut prendre beaucoup de temps, surtout dans les organisations de grande taille et plus complexes. Même imprimer de nouveaux formulaires de consentement et commander du papier peuvent prendre du temps. L'accès à des juristes, pour s'assurer que les exigences ont été bien comprises, particulièrement si elles ne sont pas les mêmes au fédéral et dans les provinces, et à des ressources technologiques peuvent prendre beaucoup de temps. Les ressources sont rares et doivent être partagées entre toutes les organisations pour qu'elles puissent comprendre les exigences et s'y conformer.

    La Loi sur la protection de la vie privée des consommateurs prévoit aux articles 76 à 81 un régime permettant aux organisations qui sont assujetties à la loi de créer des codes de pratique et des programmes de certification, qui peuvent être approuvés par le commissaire à la protection de la vie privée.

    Votre organisation a‑t‑elle l’intention de soumettre un code de pratique au Commissariat qui s’appliquerait à tous vos membres?

    Tout dépendra. C'est clair qu'un code de pratique serait utile dans les cas où l'interprétation des exigences risque de prêter à confusion. Le code établirait les règles à suivre par les organisations.

    En fait, l'approbation du commissaire à la protection de la vie privée contribuerait à renforcer la confiance et permettrait aux organisations de garantir que c'est l'approche approuvée au titre de la LPVPC. Cette vérification serait un moyen de rassurer les consommateurs, de donner confiance aux organisations et de renforcer la prévisibilité. Cela dit, l'Association des banquiers canadiens n'a pas encore réfléchi à l'adoption ou non d'un code de pratique en particulier.

    D'accord.

    Je comprends que votre organisation a déjà des codes de pratique relativement à la certification des conseillers en placements, entre autres.

    Non. L'Association n'a pas ce genre de code de pratique. En revanche, le secteur bancaire a des codes de pratique, y compris pour les pratiques en matière de crédit, je crois.

    Je vais poser la même question à Mme¦Clodman.

    Est‑ce que votre organisation va se doter de codes de pratique qui seront soumis à l'approbation du commissaire à la protection de la vie privée?

    Nous n'avons pas encore pris de décision à ce sujet.

    Nous avons eu des discussions au sujet d'un code de pratique dans le domaine du marketing. Nous avons déjà le Code canadien de déontologie et normes de pratique du marketing, et peut-être aussi un code sur les données concernant les enfants. C'est en place depuis des années.

    C'est pour cette raison que je voulais vous poser cette question. Vous avez votre propre code, et je voulais savoir si vous aviez l'intention d'établir les mêmes normes…

    L'établissement de programmes de certification relève des principes fondés sur les valeurs que nous voulons voir adopter par toutes les organisations. J'essayais de mieux comprendre si les deux organisations que vous représentez adopteraient les principes fondés sur les valeurs dans l'application […] votre réflexion concernant ce que vous comptez faire.

    Allez‑y.

    Pour ce qui est du code de pratique, nous avons aussi compris que pour certains processus très simples, un code de pratique pourrait être très utile. Par exemple, il pourrait y avoir quelque chose de très précis pour la communication de renseignements.

    De façon générale, pour le secteur bancaire, chaque établissement a mis en place des programmes très rigoureux de gestion de la protection des renseignements personnels sous le régime de la LPRPDE. Il ne sera peut-être pas nécessaire de créer des codes qui établiront les pratiques de conformité pour tous les volets de la LPVPC, mais c'est évident que ce pourrait être très bénéfique pour les petites et moyennes entreprises, notamment.

    Combien me reste‑t‑il de temps, monsieur le président?

    Votre temps de parole s'est terminé il y a 1 minute et 20 secondes, monsieur Van Bynen. Merci beaucoup.

    Pour terminer cette série de questions, je cède la parole à Mme McPherson.

    Merci beaucoup, monsieur le président.

    Je remercie de nouveau les témoins pour leurs éclairages.

    Monsieur Balsillie, dans votre mémoire, vous recommandez la mise en place d'un mécanisme de financement du règlement des plaintes pour aider à financer les procédures judiciaires engagées par des plaignants individuels ou collectifs, ou par des organisations d'intérêt public cherchant à obtenir réparation pour des manquements allégués à la LPVPC. Pouvez-vous nous expliquer pourquoi ce mécanisme est important et pourquoi il joue un rôle essentiel dans ce processus réglementaire?

    La structure est asymétrique par nature. On nous demande de cliquer dans une case d'un document complexe pour signifier un consentement et, une fois que la case est cochée, l'individu ne peut rien faire avec ses données. Il a donné le plein contrôle à une grande société. Il existe également une importante lacune concernant le suivi des plaintes. Il faut absolument rééquilibrer les mécanismes pour que l'intérêt public soit servi.

    Je veux être certaine de bien comprendre. Pouvez-vous nous expliquer l'importance du droit d'action privé, qui existe dans d'autres pays, notamment aux États-Unis?

    Une personne qui estime avoir subi un préjudice peut déposer une plainte et tirer parti de l'appareil judiciaire pour expliquer qu'elle a subi ce préjudice. C'est plus efficace que d'interjeter appel devant un organisme de réglementation débordé, sous-financé et qui a de multiples priorités et probablement différents points de vue selon les circonstances.

    Merci.

    Est‑ce que les porte-parole du Congrès du travail du Canada souhaitent ajouter quelque chose?

    Je suis désolée. Pouvez-vous répéter la question?

    Elle portait sur l'idée d'un mécanisme de financement du règlement des plaintes pour soutenir les procédures judiciaires. J'aimerais savoir si vous êtes d'accord ou non avec cette proposition.

    Je suis tout à fait d'accord. Il faut donner aux gens les moyens nécessaires pour mener à bien leurs démarches et déposer une plainte. Cela dit, il faut que ces plaintes soient examinées par des personnes compétentes pour que la réponse puisse être raisonnable.

    Merci.

    Madame Vipond, pour répondre à vos préoccupations, le Congrès du travail du Canada a‑t‑il des amendements précis à proposer au projet de loi pour y inclure les lois du travail ou des dispositions? Pouvez-vous nous donner des précisions? Savez-vous si cela a été fait dans d'autres pays ou administrations dont les mesures pourraient servir de modèle?

    Je commencerai par souligner qu'une de nos recommandations porte sur la révision de la Loi sur l'intelligence artificielle et les données afin d'y intégrer une perspective axée sur les droits de la personne, des travailleurs et à la protection de la vie privée. C'est essentiel pour mettre la transparence, la responsabilité et la consultation au centre de l'approche en matière d'IA. Ce n'est pas ce que nous voyons dans ce qui nous est proposé, et nous pensons que c'est fondamental. C'est une de nos principales demandes.

    Le texte du décret présidentiel adopté aux États-Unis nous semble plus adéquat que ce que nous avons sous les yeux. D'autres administrations ont également adopté une approche ancrée sur le dialogue social. Nous avons plusieurs demandes, mais celle‑ci est très importante pour nous.

    Je tiens à le répéter, le champ d'application doit être étendu. Du point de vue des droits des travailleurs, le gouvernement et les sociétés d'État ne peuvent pas être exclus.

    Merci.

    J'ai une dernière question pour vous. Selon vous, est‑ce que des mécanismes de recours concernant les algorithmes, la collecte de données, l'utilisation et les autorisations susceptibles d'avoir une incidence sur les relations entre les employeurs et les employés font encore défaut dans le projet de loi?

    Beaucoup de travailleurs se plaignent de l'utilisation de l'IA pour faire de la surveillance dans les milieux de travail et des risques qu'elle présente du point de vue des droits de la personne si un processus aboutit à l'exclusion d'une personne. Il n'y a aucune intervention humaine dans ce processus, et cela nous inquiète énormément. C'est un des principaux problèmes qui doivent être corrigés selon nous.

    Les mécanismes prévus dans la version actuelle de la LIAD ne donnent pas la possibilité d'avoir les discussions nécessaires et d'établir une réglementation. Or, ce qui n'est pas réglementé n'est pas vérifié, et il y a un risque que les droits de la personne, y compris les droits des travailleurs, ne soient pas respectés.

    Merci beaucoup.

    Je n'ai pas d'autre question, monsieur le président.

    Merci beaucoup, madame McPherson.

    Nous avons presque terminé, mais M. Perkins a une dernière question. J'imagine qu'elle sera brève. Nous vous écoutons.

    C'est tout un défi que vous me lancez.

    J'aurais une question que j'aimerais beaucoup poser à l'Association des banquiers canadiens, mais je crois que je vais la réserver pour après.

    Monsieur Balsillie, à qui appartiennent les données? Appartiennent-elles aux individus ou aux sociétés?

    En fait, les données n'appartiennent pas vraiment à une personne ou à une organisation. Ce qui compte, c'est la responsabilité à l'égard de ces données. La question de savoir qui est autorisé à les recueillir en premier lieu… c'est l'anarchie. L'anarchie règne en ce moment, et tout un chacun peut recueillir des données sans être inquiété parce qu'aucune loi ne précise ce qui est permis ou non au départ.

    L'espace personnel est colonisé. C'est ce qui se passe actuellement, dans une complète anarchie.

    Je m'adresse maintenant à l'Association des banquiers canadiens. Vous avez fait allusion à l'article 35 du projet de loi, et moi également. Actuellement, la Loi sur la protection de la vie privée restreint le pouvoir d'utiliser des renseignements à l'insu d'un individu à des fins de recherche et de statistique dans un contexte scolaire. Le texte a été complètement changé et laisse une grande latitude puisque le terme utilisé est « l'organisation ». Elle ne limite plus l'utilisation aux organisations scolaires ou universitaires.

    Qu'en pensez-vous?

    Nous n'avons pas soumis de recommandation à ce sujet.

    Quel est le problème exactement?

    L'article 35 du projet de loi prévoit qu'une « organisation peut communiquer les renseignements personnels d’un individu, à son insu ou sans son consentement, lorsque, à la fois: la communication est faite à des fins de statistique ou d’étude ou de recherche¦», ce qui est assez large. La LPRPDE autorisait cette communication uniquement pour des travaux savants. À mon avis, la nouvelle version autorise n'importe qui, ou n'importe quelle organisation à communiquer ces renseignements sans consentement.

    Je ne suis pas certaine que nos membres voudraient se prévaloir de cette disposition pour les travaux de recherche et d'analyse réalisés en interne.

    Je peux vous affirmer que du temps où je travaillais comme spécialiste en marketing dans le milieu bancaire, j'aurais exploité cette disposition au maximum.

    Nous allons en rester là, monsieur Perkins.

     J'invoque le Règlement, monsieur le président.

    Si vous me le permettez, j'aimerais remercier les témoins qui sont ici aujourd'hui. Depuis que nous avons entamé notre étude, nous recevons des témoins de qualité. Si j'invoque le Règlement, c'est parce que j'aimerais que nous puissions avoir plus de temps avec eux. Pour ce faire, il faudrait, si c'est possible, recevoir moins de témoins lors des prochaines réunions.

    C'est entendu, monsieur Généreux.

    Nous avons reçu six groupes de témoins, ce qui est exceptionnel. En effet, nous en recevons normalement cinq. On en a invité plus afin d'être sûrs d'avoir des groupes de témoins diversifiés, comme c'était le cas aujourd'hui.

    Je remercie tous les témoins du temps qu'ils nous ont accordé; nous leur en sommes reconnaissants. Je les remercie d'éclairer notre lanterne.

    Sur ce, je tiens à remercier les interprètes, le personnel de soutien, les analystes et la greffière.

    La séance est levée.