INDU Réunion de comité

    Bon après-midi, tout le monde. Je déclare la séance ouverte.

    Bienvenue à la 94^e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.

    La réunion d'aujourd'hui se déroule dans un format hybride, conformément au Règlement.

    Conformément à l'ordre de renvoi du 24 avril 2023, le Comité reprend l'étude du projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois.

    J'aimerais souhaiter la bienvenue aux témoins d'aujourd'hui: Daniel Konikoff, directeur par intérim du programme de protection de la vie privée, de technologie et de surveillance à l'Association canadienne des libertés civiles; Tim McSorley, coordonnateur national de la Coalition pour la surveillance internationale des libertés civiles; Matthew Hatfield, directeur général d'OpenMedia; Sharon Polsky, présidente du Conseil du Canada de l'accès à la vie privée; John Lawford, directeur général et avocat général du Centre pour la défense de l'intérêt public, qui est accompagné de l'avocate-conseil salariée Yuka Sai; et Sam Andrey, directeur général de la plateforme The Dais à la Toronto Metropolitan University.

    Je vous remercie de vous joindre à nous aujourd'hui.

    Je suis très heureux que nous puissions commencer à temps.

    Sans plus tarder, je cède la parole pour cinq minutes à M. Konikoff, de l'Association canadienne des libertés civiles.

    Bonjour. Je tiens tout d'abord à vous remercier pour l'invitation.

    Je suis directeur par intérim du programme de protection de la vie privée, technologie et surveillance, à l'Association canadienne des libertés civiles, l'ACLC, un organisme dont la mission depuis 1964 est de défendre les droits, les libertés civiles et les libertés fondamentales des citoyens canadiens.

    Assurer la protection des renseignements personnels et des droits de la personne dans un monde de plus en plus axé sur les technologies n'est pas une mince affaire. Nous saluons les efforts du gouvernement visant à moderniser le cadre législatif du Canada dans le contexte de l'ère numérique, et nous tenons également à féliciter les membres du Comité pour leur travail à cet égard.

    Nous sommes conscients des obstacles procéduraux pouvant limiter nos interventions par rapport au projet de loi C‑27. Je tiens toutefois à vous présenter trois amendements contenus dans le mémoire de l'ACLC qui, selon nous, peuvent contribuer à améliorer la manière dont le projet de loi C‑27 défend les droits de la personne au Canada.

    Premièrement, je note que le projet de loi C‑27 n'accorde pas aux droits fondamentaux la place qui leur revient, et les relègue souvent au second plan, au profit d'intérêts strictement commerciaux. On l'a déjà dit, mais il convient de souligner que le projet de loi C‑27 doit être modifié pour que la vie privée soit reconnue comme un droit de la personn dans le cadre de la Loi sur la protection de la vie privée des consommateurs, la LPVPC, et dans le cadre de la Loi sur l’intelligence artificielle et les données, la LIAD.

    Par ailleurs, nous sommes d'avis que le projet de loi C‑27 devrait inclure une clause assurant la protection de tous les Canadiens par rapport aux distorsions attribuables aux algorithmes. Il s'agit en effet d'un risque qui augmente de manière exponentielle à mesure que de plus en plus de données sont recueillies et intégrées à divers systèmes d'IA capables de faire des prédictions et de prendre des décisions aux conséquences considérables.

    Je tiens à rappeler que partout dans le monde, et notamment au sein de l'Union européenne, des lois robustes en matière de protection des renseignements personnels et de l'IA ont été adoptées. Le Canada doit ainsi rattraper son retard à cet égard.

    Deuxièmement, le projet de loi C‑27 contient des lacunes préoccupantes en ce qui concerne l'enjeu des renseignements sensibles. La sensibilité est un concept qui apparaît souvent dans le libellé de la LPVPC; néanmoins, il n'est jamais clairement défini, ce qui permet à des groupes d'intérêts privés d'en interpréter le sens comme ils l'entendent. De nombreuses formes de renseignements personnels peuvent être qualifiées de sensibles. Bien que la nature délicate des renseignements dépende souvent du contexte, il existe différentes catégories spéciales de renseignements dont la collecte, l'utilisation et la divulgation comportent des risques inhérents et extraordinaires.

    J'aimerais attirer votre attention sur la catégorie spéciale des données biométriques, dont la collecte et l'utilisation peuvent avoir des répercussions tant sur la LPVPC que sur la LIAD.

    Les données biométriques représentent sans doute la catégorie de données les plus vulnérables dont nous disposons, et leur utilisation abusive peut s'avérer particulièrement dévastatrice pour les membres des groupes en quête d'équité. Qu'il suffise de penser à la prévalence des technologies de reconnaissance faciale. En effet, ces technologies sont devenues omniprésentes, et elles sont utilisées tant par les forces de l'ordre que par les centres commerciaux. Elles s'appuient sur des données biométriques qui sont souvent recueillies à l'insu des personnes, donc sans leur consentement. La coalition Right2YourFace, dont l'ACLC est membre, plaide en faveur de garanties législatives plus robustes en matière de reconnaissance faciale et de l'utilisation de données biomécaniques. Ainsi, le projet de loi C‑27 doit être amendé non seulement pour définir de manière explicite les nombreuses catégories de renseignements sensibles, mais également pour préciser que les données biométriques méritent une attention et une protection particulières.

    Troisièmement, et finalement, nous nous opposons aux nombreuses exemptions en matière de consentement prévues à l'article 18 de la LPVPC, et à la manière dont elles risquent de se répercuter sur la LIAD. Ces exemptions constituent, dans l'ensemble, un affront au principe du consentement valable, et donc au droit à la vie privée. Les citoyens canadiens devraient pouvoir être en mesure de consentir ou non à la manière dont les entreprises privées recueillent et traitent leurs renseignements personnels. Accorder le droit à une entreprise d'outrepasser le consentement d'un consommateur est tout simplement inapproprié, tout comme le fait d'ajouter ultérieurement d'autres types d'exemptions réglementaires en matière de consentement. Très franchement, nous sommes d'avis que le projet de loi C‑27 contient trop d'exemptions et d'exceptions qui se font au détriment de la vie privée du simple citoyen.

    Par ailleurs, je n'ai pas encore vraiment abordé les préoccupations de mon organisme par rapport à la conception étroite du préjudice contenue dans la LIAD. Je pourrais également parler du manque d'exigences en matière de transparence qui caractérise le projet de loi C‑27, et des risques liés aux exemptions accordées à des institutions de sécurité nationale, lesquelles utilisent souvent des technologies d'IA acquises dans le secteur privé dans le cadre de leur mandat officiel. Notre mémoire aborde ces enjeux de manière plus approfondie, mais je serai ravi d'en parler plus en détail lors de la série de questions.

    Je souhaite d'ailleurs attirer l'attention des membres du Comité sur notre mémoire, qui présente nos préoccupations et contient une pétition sur la réglementation de l'IA qui a recueilli plus de 8 000 signatures.

    En résumé, le projet de loi C‑27 doit être doté de dispositions plus strictes afin d'accorder la priorité aux droits fondamentaux des citoyens canadiens. Le gouvernement doit corriger les lacunes de la LPVPC en matière de consentement et de renseignements sensibles. Quant à la LIAD, nous pensons qu'elle doit être repensée en profondeur, ou alors purement et simplement retirée du projet de loi.

    Je vous remercie.

    Merci beaucoup.

    Je cède maintenant la parole à M. McSorley, coordonnateur national à la Coalition pour la surveillance internationale des libertés civiles.

    Je vous remercie, monsieur le président. Je tiens d'ailleurs à remercier le Comité de me donner l'occasion de vous présenter le point de vue de la CSILC au sujet du projet de loi C‑27.

    Nous formons une coalition canadienne dont l'objectif est de protéger les libertés civiles contre les répercussions des lois relatives à la sécurité nationale et à la lutte contre le terrorisme. Nos préoccupations par rapport au projet de loi C‑27 sont fondées sur ce mandat.

     Nous soutenons les efforts visant à moderniser la législation canadienne en matière de protection des renseignements personnels, et nous sommes favorables à la mise en place d'une réglementation par rapport à l'IA. Malheureusement, le projet de loi C‑27 comporte de multiples exemptions à des fins de sécurité nationale que nous jugeons inacceptable, car elles nuisent à son objectif déclaré de protéger les droits et les renseignements personnels des citoyens canadiens.

    Nous avons présenté un mémoire au Comité qui contient 10 recommandations et les amendements connexes. Je serais ravi de parler plus en détail de ces diverses recommandations au cours de la période de questions, mais pour l'instant, je souhaite attirer votre attention sur trois points précis.

    Premièrement, en ce qui concerne la LPVPC, nous nous opposons aux articles 47 et 48 du projet de loi, lesquels créent des exceptions à la règle du consentement en permettant à une organisation de recueillir, d'utiliser et de communiquer les renseignements personnels d'un individu lorsqu'elle « soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales ». Nous sommes d'avis qu'il s'agit là d'un moyen beaucoup trop facile de contourner la disposition relative au consentement.

    L'article 48 proposé est particulièrement aberrant. En effet, cet article permet à une organisation, de « sa propre initiative », de recueillir, d'utiliser et de communiquer les renseignements personnels d'un individu si elle soupçonne que les renseignements concernent la sécurité nationale, la défense du Canada ou la conduite des affaires internationales. Il n'est même pas nécessaire que la préoccupation soit liée à une menace présumée; il suffit qu'il existe un quelconque lien, qui n'est pas défini dans le projet de loi.

    Le contenu des articles que j'ai mentionné est non seulement très vague, mais il est également superflu. En effet, d'autres articles permettent à une organisation à transmettre des renseignements personnels de manière ciblée aux services gouvernementaux, aux institutions et aux instances chargés de l'application de la loi. Par exemple, l'article 45 autorise une organisation à divulguer des renseignements de manière proactive si elle a des « motifs raisonnables de croire qu’ils pourraient être utiles à une enquête sur une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être et si l’utilisation est faite en vue d’enquêter sur cette contravention ». Nous comparons donc ce critère au simple fait de soupçonner que les renseignements personnels d'un individu aient un « lien » avec la sécurité nationale.

    À cet égard, nous estimons que les articles 47 et 48 proposés sont à la fois trop vagues et superflus, et nous proposons donc qu'ils soient retirés de la LPVPC. À défaut de cela, notre mémoire présente une formulation spécifique qui contribuerait à fixer un seuil plus élevé en matière de divulgation de renseignements personnels.

    Deuxièmement, nous sommes profondément préoccupés par la Loi sur l’intelligence artificielle et les données dans son ensemble. Comme d'autres témoins, nous pensons qu'il s'agit d'une loi qui comporte de graves lacunes et qui devrait être retirée au profit d'un cadre législatif plus réfléchi et plus approprié. Nous avons détaillé nos préoccupations dans notre mémoire, ainsi que dans une lettre conjointe signée par quelque 45 organisations et experts dans le domaine de l'IA, des libertés civiles et des droits de la personne. Cette lettre conjointe a déjà été transmise au ministre Champagne et au Comité.

    La LIAD a été élaborée en ne tenant ni consultation ni débat préalable. Par ailleurs, elle est mal définie et n'apporte pas de protections adéquates en matière de droits de la personne. De manière scandaleuse, l'un des objectifs de la LIAD est de créer un poste de commissaire à l'IA et aux données qui relèverait du ministre de l’Innovation. Ce commissaire chargé de faire appliquer les dispositions de la LIAD ne serait donc nullement indépendant.

    Troisièmement, et pour finir, j'aimerais aborder une exception inacceptable de la LIAD en matière de sécurité nationale.

    Les agences de sécurité nationale du Canada ont fait preuve d'ouverture en ce qui concerne leur intérêt pour les outils d'IA à des fins très diverses, y compris la reconnaissance faciale, la surveillance, la sécurité des frontières et l'analyse de données. Néanmoins, aucun cadre clair n'a été établi pour réglementer le développement et l'usage de ces outils, ce qui risque de laisser place à des préjudices graves.

    La LIAD devrait nous permettre de combler cette lacune, mais fait l'inverse dans sa forme actuelle. En effet, l'article 3(2) exempte actuellement les

    Cela signifie que tout système d'IA développé par un acteur du secteur privé qui relève de cette liste non exhaustive d'agences de sécurité nationale ne ferait l'objet d'aucune réglementation ou vérification indépendante.

    Il nous paraît inconcevable de justifier une exemption aussi générale. En vertu d'une telle réglementation, les entreprises pourraient créer des outils destinés à nos agences de sécurité nationale sans avoir à se soumettre à de quelconques mesures d'évaluations et d'atténuations, ce qui risque de porter gravement atteinte aux droits de la personne et aux libertés civiles. Ces technologies pourraient également être divulguées, volées ou même vendues à des entités étatiques et à des intérêts privés ne relevant évidemment pas de l'autorité du Canada. En résumé, tous les systèmes d'IA développés par le secteur privé doivent être soumis à des mesures réglementaires, indépendamment de leur usage par nos agences de sécurité nationale.

    Notre mémoire contient des exemples précis des préjudices que cette absence de réglementation risque de causer. Je serais ravi d'en discuter davantage avec les membres du Comité. Dans l'ensemble, si la LIAD devait être adoptée, nous pensons que l'article 3(2) proposé devrait simplement être retiré.

     Je vous remercie.

    Merci beaucoup, monsieur McSorley.

     Nous passons maintenant à M. Hatfield, directeur exécutif chez OpenMedia.

    Bonjour à tous. Je m'appelle Matt Hatfield, et je suis le directeur exécutif d'OpenMedia, une organisation communautaire qui compte près de 300 000 membres partout au Canada. Nous travaillons ensemble pour qu'Internet demeure un espace ouvert, accessible et exempt de surveillance.

    Je m'adresse à vous aujourd'hui depuis le territoire non cédé des Premières Nations Tsawout, Saanich, Cowichan et Chemainus.

    Par où commencer avec le projet de loi C‑27? Un premier volet concerne la réforme de la protection de la vie privée, qui s'est fait longtemps attendre. Votre tâche consiste à combler les lacunes restantes et à assurer la protection de nos renseignements personnels. L'autre volet est en rapport avec une réglementation de l'IA qui, je vais le dire franchement, est pour l'instant bien mal ficelée. Je pense que cette réglementation aurait avantage à être révisée et améliorée avant d'être intégrée au projet de loi. Je ne peux pas aborder ces deux volets aussi longuement qu'ils le méritent, mais commençons par la protection de la vie privée.

    Le projet de loi C‑27 risque d'entraîner de profonds changements. Il s'agit notamment d'octroyer de réels pouvoirs de sanctions au Commissariat à la protection de la vie privée du Canada, le CPVP, et de faire du droit à la vie privée un droit de la personne, tel que promis par le ministre Champagne. OpenMedia espère que cette modification de la LPRPDE envoie un message sans équivoque aux tribunaux: les droits des citoyens canadiens liés à la protection de leurs renseignements personnels sont plus importants que les intérêts des entreprises privées. Toutefois, je rappelle que la robustesse de tout cadre réglementaire se mesure par son maillon le plus faible. Il ne sert à rien pour le gouvernement canadien de promettre de mettre en place les sanctions les plus sévères au monde si ces sanctions sont faciles à contourner dans la plupart des cas concrets. Je m'attends bien entendu à ce que les faiblesses du projet de loi C‑27 soient identifiées et attaquées par des entreprises pour qui les droits des Canadiens ne sont pas importants.

    Voilà pourquoi il est essentiel de supprimer les exceptions au consentement incluses dans le projet de loi C‑27, et d'accorder aux Canadiens le droit à un consentement continu, éclairé et révocable pour tout usage de nos renseignements personnels. Le gouvernement doit également élargir la portée des règlements en matière de renseignements personnels pour qu'ils s'appliquent à l'ensemble des organismes non gouvernementaux. Cela inclut les partis politiques, les organismes à but non lucratif comme OpenMedia, et les fournisseurs qui vendent des outils d'analyse de données à toute entité gouvernementale. Après tout, aucune autre démocratie avancée ne tolère qu'une exception spéciale soit accordée au respect de la protection des renseignements personnels pour le parti politique responsable de faire adopter les lois. Il s'agit là d'une situation embarrassante propre au Canada, qui ne devrait pas pouvoir résister à l'examen de ce projet de loi.

    Voilà qui conclut le volet sur la protection des renseignements personnels du projet de loi C‑27. À présent, je souhaite aborder un enjeu beaucoup plus complexe et épineux: l'intelligence artificielle, l'IA.

    Je peux vous assurer que notre organisation communautaire est consciente de l'urgence de mettre en place des balises en matière d'IA. Au début de l'année, OpenMedia a sondé les espoirs et les préoccupations de ses membres en matière d'IA générative. Des milliers de personnes nous ont dit qu'elles pensent que l'IA générative représente un tournant majeur pour la société. Près de 80 % de nos membres sondés pensent que l'IA générative est une avancée encore plus importante que l'arrivée du téléphone intelligent, et un membre sur trois pense qu'elle sera aussi significative, voire davantage, que la révolution numérique elle-même. Une avancée technologique ayant le potentiel d'éclipser Internet se doit d'être étudiée en profondeur. C'est une chose d'être le premier pays à réglementer l'IA générative, mais notre objectif fondamental devrait être d'élaborer une réglementation adéquate.

     Le ministre de l’Innovation, qui participe cette semaine à un sommet mondial sur les risques associés à l'intelligence artificielle, au Royaume-Uni, a déclaré aux médias que le risque est d'en faire trop peu plutôt, et non de voir trop grand. Lors de ce même sommet, Rishi Sunak a déclaré qu'il est essentiel de comprendre l'impact des systèmes d'IA afin d'être en mesure de les réglementer de manière efficace. Voilà pourquoi les participants à cette conférence se penchent sur les enjeux fondamentaux liés aux perspectives offertes par le développement de l'IA. Il s'agit d'un projet essentiel, et je souhaite beaucoup de succès à tous les pays.

    Alors que le Royaume-Uni organise un sommet sur les questions liées à l'IA, que fait le gouvernement canadien? Pourquoi le Comité a-t-il été chargé de faire adopter la LIAD dans le cadre d'un projet de loi qui, s'il est essentiel, n'a aucun rapport avec elle? Pourquoi le Canada semble-t-il persuadé d'en savoir plus que les autres pays sur la manière de réglementer l'IA, au point de négliger la tenue de consultations publiques? Je vous rappelle que même les projets de loi d'importance moyenne doivent suivre ce processus législatif.

     Par conséquent, je me dois de poser la question suivante: la LIAD vise-t-elle à protéger les citoyens canadiens, ou à créer un environnement permissif favorisant le développement d'une IA plutôt douteuse? Si le gouvernement canadien décide de légiférer à toute vitesse sur l'IA sans avoir pris le temps d'analyser ce qui se fait dans d'autres pays plus prudents, les Canadiens n'obtiendront pas les meilleures mesures de protection possible. Au lieu de cela, le gouvernement risque de faire du Canada une sorte de Far West de l'IA, un lieu permissif envers certaines pratiques commerciales interdites aux États-Unis et dans l'UE. Je crains que notre ministère de l'Innovation soit en train d'accélérer l'adoption de ce projet de loi précisément pour faire en sorte que le Canada abaisse ses standards en matière de normes de sécurité liés à l'IA.

     Si l'IA générative se révèle finalement n'être qu'un phénomène de mode débouchant sur des produits décevants, alors il n'est pas nécessaire de faire adopter ce projet de loi à toute vitesse. Cependant, si même une fraction de l'IA générative s'avère aussi puissante que le prétendent ses partisans, alors le Canada commettrait une grave erreur en refusant de collaborer avec des experts et d'autres pays pour élaborer la meilleure législation possible.

     Je vous encourage vivement à retirer la LIAD du projet de loi C‑27 et de mener des consultations publiques complètes. Si cela n'est pas en votre pouvoir, vous ne pouvez à tout le moins pas permettre que le Canada devienne un terrain de jeu permissif en matière d'IA. C'est pourquoi je vous demande instamment de veiller à ce que le commissaire à l'IA relève directement du Parlement, et non à ISDE. En effet, un ministère dont le mandat est de parrainer le développement de l'IA sera fortement tenté de fermer les yeux par rapport à certaines pratiques douteuses. Le commissaire devrait être chargé de vous présenter un rapport annuel sur les performances de la LIAD et sur ses éventuelles lacunes. Je vous demande également d'exiger un examen parlementaire de la LIAD dans les deux ans suivant l'entrée en vigueur du projet de loi C‑27, afin de décider s'il doit être modifié, voire remplacé.

    Depuis que la réforme de la LPRPDE a été proposée pour la première fois en 2021, les membres d'OpenMedia ont envoyé plus de 24 000 messages à leurs députés, exigeant la mise en place urgente de mesures complètes de protection de la vie privée. Au cours des derniers mois, nos membres ont fait parvenir 4 000 messages supplémentaires aux députés fédéraux pour leur demander de prendre le temps nécessaire pour mettre en place la LIAD. Nous espérons avoir été entendus par rapport à ces deux points.

     Je vous remercie, et je serai ravi de répondre à vos questions.

    Merci.

    Je passe maintenant la parole à Mme Polsky, du Conseil du Canada de l'accès à la vie privée.

     Je vous remercie.

    Je vous suis reconnaissante de m'avoir invitée à partager mon point de vue concernant le projet de loi C‑27 au nom du Conseil du Canada de l'accès et la vie privée, un organisme à but non lucratif apolitique et indépendant qui n'est financé ni par le gouvernement ni par l'industrie.

    Nos membres travaillent dans les secteurs public, privé et à but non lucratif. Ils utilisent et évaluent de nouvelles technologies au quotidien, comme c'est d'ailleurs mon propre cas depuis plus de 30 ans à titre de conseillère en matière de protection des renseignements personnels. Cela fait des décennies qu'on nous promet que la technologie va nous apporter d'incroyables avantages, et je pense que c'est le cas dans une certaine mesure.

    Par ailleurs, le passage au numérique a fait en sorte que de nombreuses entreprises se sont spécialisées dans la collecte, l'analyse et la monétisation des renseignements personnels, ce qui se fait souvent à l'insu des individus, et encore moins avec leur consentement éclairé.

     Le projet de loi C‑27 bénéficie d'un soutien considérable, mais je rappelle que bon nombre de personnes qui l'appuient ne l'apprécient pas pour autant. En effet, ces personnes estiment qu'il a fallu 20 ans pour en arriver là, mais comme on ne peut pas se permettre d'attendre une autre période de 20 ans pour moderniser la LPRPDE, le projet de loi C‑27 vaut mieux que rien.

    En tout respect, nous ne sommes pas de cet avis. Nous pensons qu'il est préférable d'adopter une loi qui vise à accorder aux Canadiens le droit fondamental à la vie privée. Nous saluons ainsi la concession faite par le ministre d'enchâsser ce droit dans le projet de loi lui-même, et pas seulement dans le préambule.

    Nous ne sommes pas d'accord pour dire qu'il vaut mieux se contenter d'un projet de loi défaillant que de ne rien faire. Le projet de loi C‑27 est problématique parce qu'il porterait atteinte à la vie privée de l'ensemble de la population canadienne, y compris des enfants. Par ailleurs, ce projet de loi ne contient aucune disposition pour lutter contre la réglementation du contenu qui sape les normes de cryptage, criminalise les enfants qui tentent de signaler des abus, et nuit à la confidentialité des communications privées, qu'il y est consentement ou non.

    Les définitions contenues dans un projet de loi ont un impact concret sur la réalité. Or, il est simplement question de « consommateurs » dans le projet de loi C‑27, et non de personnes qui devraient jouir d'un droit fondamental à la vie privée. Le projet de loi fait la promotion du partage des renseignements personnels pour favoriser le commerce, la création d'emplois et la fiscalité. Il permettra également la création d'une structure bureaucratique qui serait inédite pour les autorités de protection des données personnelles, et qui retarderait de plusieurs années les recours auxquels les individus ont droit. Ce projet de loi n'exige pas de transparence en matière d'IA, et ne limite pas l'usage de l'IA par les gouvernements, lesquels sont protégés par nos lois sur l'accès à l'information.

    Par ailleurs, ce projet de loi n'empêchera pas l'IA d'être utilisée encore davantage à des fins de reconnaissance faciale. Il ne freinera pas non plus la monétisation de nos renseignements personnels par une industrie mondiale de courtage de données qui se chiffre déjà à plus de 300 milliards de dollars américains. Le projet de loi ne vise pas à soumettre les partis politiques à des obligations en matière de protection de la vie privée, et ne permettra pas d'imposer des amendes aux dirigeants d'entreprises. En fait, le projet de loi prévoit seulement d'imposer des amendes aux entreprises, qui auront tout le loisir d'en faire un poste budgétaire qui leur servira à réduire leurs obligations fiscales.

     Le projet de loi C‑27 autorise l'usage de renseignements personnels à des fins de recherche. Les grandes sociétés pharmaceutiques pourront donc se servir de données génétiques dépersonnalisées dans le cadre de leur recherche médicale, sans pour autant avoir obtenu le consentement des patients. Le problème, c'est que ces données dépersonnalisées peuvent de plus en plus facilement être réidentifiées.

     Le projet de loi C‑27 exigerait que les politiques de protection de la vie privée soient rédigées en langage clair et simple, ce qui serait une bonne chose s'il précisait justement le degré de clarté requis. Il contient un langage vague et décrit des généralités, mais ne permet toujours pas aux individus de contrôler le partage de leurs renseignements personnels, de même que leur éventuelle suppression sur le Web.

    Le projet de loi permet aux organisations de recueillir tous les types de renseignements personnels sans le consentement des individus concernés, tant qu'elles affirment, motivées bien sûr par leurs propres intérêts, qu'elles agissent pour s'assurer que rien ne constitue une menace aux « activités nécessaires à la sécurité de l’information, des systèmes ou des réseaux de l’organisation », ou si « la collecte ou l’utilisation est faite en vue d’une activité dans laquelle elle a un intérêt légitime qui l’emporte sur tout effet négatif que la collecte ou l’utilisation peut avoir pour l’individu ». L'individu est alors laissé à lui-même s'il souhaite contester ce genre d'affirmations.

     Cela ne date pas d'hier qu'on entend des prophètes de malheur nous avertir que la réglementation nuit à l'innovation. Il s'agit en fait d'un leurre, car je rappelle que l'avènement de la radio n'a pas sonné le glas de la presse écrite, que l'arrivée de la télévision n'a pas rendu la radio obsolète, et que la révolution numérique n'a pas signalé la fin des inventions précédentes. Les entreprises technologiques ont toujours su s'adapter et innover, et elles continuent de le faire par rapport à chaque nouveau produit sur le marché.

    Les entreprises qui sont parvenues jusqu'à présent à contourner le droit à la vie privée devront s'adapter à la nouvelle réalité et continuer à innover tout en respectant la vie privée, les droits de la personne, l'éthique et la morale. Malheureusement, depuis l'arrivée des ordinateurs sur le marché il y a près d'un demi-siècle, rares sont les entreprises qui respectent le droit à la vie privée. Demander poliment aux organisations de tenir compte des intérêts particuliers des personnes mineures est charmant en théorie, mais peu convaincant dans la réalité. En effet, 20 ans après l'entrée en vigueur de la LPRPDE, à peine plus de la moitié des entreprises canadiennes interrogées par le CPVP disposent d'une politique de protection de la vie privée ou ont même désigné une personne responsable de la protection de la vie privée.

    Il s'agit là des composants fondamentaux pour créer un programme de protection des renseignements personnels qui ne nécessite pas 20 ans pour être mis au point. Nous n'avons pas le loisir d'attendre, mais nous ne pouvons pas non plus nous permettre d'adopter un projet de loi bâclée. La législation fédérale devra également s'harmoniser à la Loi 25 du Québec, au décret américain visant à réguler l'intelligence artificielle, ainsi qu'aux lois promulguées par d'autres juridictions qui sont bien en avance sur le Canada dans ce domaine. Nous ne pouvons pas non plus nous permettre de faire adopter une loi qui troque le droit des individus à la vie privée contre des gains commerciaux, car cela risque d'éroder encore plus la confiance des citoyens envers le gouvernement et l'industrie.

    Je me ferai un plaisir de répondre à vos questions. Nous comptons également présenter un mémoire au Comité pour décrire en détail notre point de vue sur ces enjeux. J'espère que nous serons écoutés.

    Merci beaucoup.

    Je cède maintenant la parole à M. Lawford et à Mme Sai, du Centre pour la défense de l'intérêt public.

     Je vous remercie, monsieur le président.

    Le Centre pour la défense de l'intérêt public, le PIAC, est un organisme de bienfaisance sans but lucratif qui offre des services juridiques et de recherche dans l'intérêt des consommateurs, et plus particulièrement des consommateurs les plus vulnérables. Nous intervenons activement dans le domaine du droit à la protection des renseignements personnels depuis plus de 25 ans.

    Je m’appelle John Lawford et je suis directeur général et avocat général du PIAC. Je suis accompagné aujourd'hui de Mme Yuka Sai, avocate-conseil à l'interne.

    Le projet de loi C‑27 met fin à 25 ans de législation canadienne en matière de protection de la vie privée. Les entreprises peuvent désormais présumer du consentement des consommateurs, qui se retrouvent pour leur part tenus de prouver qu'ils ont été victimes d'un préjudice. Cette nouvelle donne crée un malaise pleinement justifié par rapport aux droits de la personne.

    D'abord, en ce qui concerne la notion de consentement, la nouvelle exception au consentement prévue pour les activités commerciales, qui figure à l'article 18(1), autorise légalement une entreprise à faire un usage complet des renseignements personnels d'un individu sans son consentement, et même à son insu. Le concept d'activité commerciale est défini de manière si vague et tautologique dans l'article 18(2) que seules les entreprises seront elles-mêmes en mesure de définir ce qu'est une entreprise: c'est ridicule. En fait, l'article 18 renverse complètement le principe du consentement éclairé d'un individu en ce qui concerne la collecte et l'usage de renseignements personnels en vertu de la LPRPDE. Est-ce vraiment dans les intérêts de la population canadienne?

    L'article 18(3), qui permet à une entreprise de déroger à l'obligation d'informer l'individu et d'obtenir son consentement avant de divulguer ses renseignements personnels, s'inspire du droit européen, sans toutefois protéger le droit fondamental à la vie privée.

    Ensuite, l'article 20 prévoit que les consommateurs perdent la possibilité de contrôler l'usage de leurs renseignements personnels lorsque ceux-ci sont dépersonnalisés. La dépersonnalisation est définie comme suit:

     Cela revient à affirmer qu'un meurtre signifie ôter la vie à une personne, même s'il reste une chance que cette personne survive. On voit bien à quel point cette logique est contradictoire et dénuée de sens.

    La dépersonnalisation des renseignements constituait clairement un usage des renseignements personnels en vertu de la LPRPDE. Une telle approche empêche le remplissage indéterminé des bases de données avec des renseignements personnels, et supprime de manière très superficielle les renseignements de base des bases de données. La dépersonnalisation représente donc un risque bien réel, mais même les renseignements dépersonnalisés peuvent nuire aux personnes lorsqu'elles sont profilées dans des bases de données qui sont ensuite utilisées pour les commercialiser ou leur refuser des services. Le projet de loi C‑27 va encore plus loin dans ce sens.

    Allez-y, madame Sai.

     L'article 39 prévoit faciliter le transfert de renseignements personnels entre l'industrie et le secteur public. Le gouvernement pourrait alors décider de manière arbitraire qu'un objectif ou une entité publique est « socialement bénéfique », et les consommateurs n'auraient pas leur mot à dire jusqu'à ce que des problèmes apparaissent éventuellement. Nous tenons à rappeler qu'en 2021, Telus a fourni à l'ASPC des renseignements sur les données des téléphones cellulaires de ses clients.

    Par ailleurs, l'intelligence artificielle peut être utilisée à des fins de discrimination. La partie consacrée à la LIAD du projet de loi manque de substance en matière de biais et de préjudices systémiques, de systèmes à incidence élevée, d'applicabilité gouvernementale, et de surveillance indépendante.

     Le nouveau tribunal proposé par le projet de loi est en fait conçu pour empêcher l'application de la loi. Le projet de loi permettrait aux entreprises de prolonger le processus de résolution au moyen d'une commission d'examen qui s'apparente au Tribunal de la concurrence, ainsi que de retarder indéfiniment tout recours collectif. Nous sommes d'avis que le commissaire à la protection de la vie privée devrait plutôt avoir le pouvoir d'émettre des ordonnances et des sanctions, lesquelles pourraient éventuellement faire l'objet d'un appel devant la Cour suprême.

     En ce qui concerne la conformité avec le droit européen, nous sommes donc d'avis que ce projet de loi est totalement inadéquat.

    En conclusion, nous pensons que le projet de loi C‑27 doit être rejeté dans son intégralité. Les droits des consommateurs canadiens sont infiniment mieux protégés par l'actuelle LPRPDE. Par contraste, ce projet de loi représente une tentative délibérée de graisser la patte aux entreprises qui se servent de l'IA.

    Tel est notre avis sur ces enjeux. Je vous remercie de votre attention, et je serai ravi de répondre à vos questions.

    Je vous remercie.

    Je cède maintenant la parole à M. Andrey, directeur général à The Dais, Toronto Metropolitan University.

     Je tiens tout d'abord à vous remercier de m'avoir invité aujourd'hui.

    Je m'appelle Sam Andrey, et j'occupe le poste de directeur général de The Dais, un groupe de réflexion affilié à la Toronto Metropolitan University. Notre objectif est de promouvoir l'inclusion, l'innovation et la démocratie au sein de l'économie et du système d'éducation au Canada.

    Mon intervention aujourd'hui porte sur l'IA et la Loi sur l’intelligence artificielle et les données. Comme plusieurs de mes collègues l'ont rappelé, l'IA a le potentiel de transformer en profondeur l'économie canadienne et notre vie quotidienne. Néanmoins, elle présente également des risques importants, notamment en ce qui concerne des formes systémiques de discrimination, des préjudices psychologiques, et une utilisation malveillante en général.

    Les dernières données colligées par Statistique Canada indiquent que pour l'instant, seulement 4 % des entreprises canadiennes ont recours à l'IA. Par conséquent, pour accroître l'utilisation de l'IA et lui permettre d'atteindre son plein potentiel, nous devons mettre en place un cadre de gouvernance responsable.

    Malheureusement, nous sommes d'avis que le projet de loi actuel ne remplit pas cet objectif. En effet, la présentation surprise du projet de loi et l'absence de consultation publique depuis lors ont limité la capacité de la société civile, des experts, de l'industrie et des communautés en quête d'équité à se prononcer. Au cours de l'année dernière, notre équipe universitaire, dirigée par Christelle Tessono, s'est associée au Centre pour les médias, la technologie et la démocratie de l'Université McGill afin de mettre en place des partenariats avec ces divers intervenants. Nous avons formulé ensemble des recommandations visant à améliorer le projet de loi, et nous allons les faire parvenir au Comité.

    Je tiens pour le moment à présenter trois de nos recommandations qui portent sur la LIAD.

    Premièrement, nous sommes d'avis que la définition du terme « préjudice » donnée dans le projet de loi se rapporte étroitement à l'individu, alors que les préjudices causés par les systèmes d'IA se manifestent également à l'échelle des groupes et des communautés. En effet, selon le type et le contexte du stème d'IA en question, les préjudices subis par les individus peuvent s'avérer difficiles à prouver, et ne se manifester que lorsqu'ils font l'objet d'une évaluation à l'échelle de la population. Par ailleurs, il existe des types de préjudices collectifs liés à l'exploitation de l'IA qui ne seraient probablement pas pris en compte selon cette définition. Pensons notamment à l'ingérence électorale, aux atteintes importantes à l'environnement et aux préjudices collectifs subis par les enfants.

    Deuxièmement, comme l'ont expliqué mes collègues, le modèle réglementaire proposé par le gouvernement ne permet pas de s'affranchir suffisamment du ministre de l'ISDE, lequel serait appelé à jouer deux rôles concurrents: promouvoir les avantages économiques liés à l'IA, et réglementer son utilisation. Nous sommes plutôt d'avis que le poste de Commissaire à l'intelligence artificielle doit conserver une indépendance par rapport au ministre, idéalement au moyen d'une nomination parlementaire et des ressources nécessaires.

    Nous proposons également deux ajouts au projet de loi. Le premier ajout concerne la possibilité pour un particulier de déposer une plainte auprès du commissaire. À l'heure actuelle, le ministre doit avoir des motifs raisonnables pour être en mesure de lancer une enquête, et les critères sont particulièrement élevés. Le second ajout concerne la possibilité pour le commissaire d'avoir recours à des évaluations préventives.

    Troisièmement, comme l'ont également mentionné mes collègues, le projet de loi ne s'applique actuellement qu'au secteur privé. Le ministre Champagne a récemment fait parvenir au Comité une liste des systèmes à incidence élevée qui seront potentiellement assujettis à une réglementation du gouvernement. Cette liste comprend de nombreux systèmes d'IA couramment utilisés par les acteurs du secteur public. Je pense notamment à l'usage de la reconnaissance faciale par les forces de police et les professionnels de la santé. Le problème, c'est que le projet de loi risque de créer un double standard: les acteurs du secteur privé seront tenus de respecter la réglementation du gouvernement, alors que les fonctionnaires ne seront soumis à aucune restriction.

    Un tel double standard ne correspond en rien à la législation mise en place par l'UE. Le gouvernement canadien doit montrer l'exemple en mettant en place des garde-fous au développement et à l'usage de l'IA. Le projet de loi actuel est mal structuré pour assurer la réglementation de l'IA dans l'ensemble du secteur public. L'un des problèmes majeurs est le fait que le commissaire soit un représentant du ministère de l'ISED. Nous sommes conscients qu'amender ce projet de loi ne sera pas une tâche facile, mais je tiens simplement à noter que le Parlement doit prioriser l'élaboration d'une réglementation de l'IA pour le secteur public, et que la participation de la société civile à cet égard sera essentielle.

    Pour terminer, je tiens à saluer les investissements du Canada en matière de recherche et de développement des systèmes d'IA. Je rappelle néanmoins que ces investissements ne se sont pas encore traduits par la mise en place d'une réglementation adéquate de l'IA. Nous nous réjouissons que le ministre et le Comité se montrent ouverts à des amendements susceptibles d'améliorer le projet de loi. Nous tenons enfin à rappeler qu'il existe partout au pays une immense communauté qui désire s'impliquer dans le processus législatif.

    Je vous remercie de m'avoir invité.

    Merci beaucoup.

    Pour commencer la discussion, je passe la parole à M. Perkins pour six minutes.

    Merci, monsieur le président.

    Je remercie les témoins de leurs excellents exposés sur ce projet de loi phare.

    Au cours des premières réunions, mes collègues du parti ministériel étaient probablement tannés de m'entendre dire que c'est un projet de loi lacunaire, mais c'est la vérité...

    Je suis sur le canal anglais, mais j'entends la version française du discours.

    Attendez un instant. Nous allons nous assurer que tout fonctionne bien.

    Cela fonctionne maintenant. Merci.

    D'accord, c'est parfait.

    Monsieur Perkins, vous pouvez reprendre du début.

    Je vais reprendre du début.

    Je vous remercie de votre présence et de vos excellents exposés sur ce projet de loi phare.

    Au cours des premières réunions, nous avons dit que ce projet de loi ne fonctionnait pas pour bon nombre des raisons que vous avez tous soulignées. Vous avez probablement suivi le débat.

    De notre point de vue, le droit fondamental énoncé dans la disposition de déclaration d'objet est essentiel. Il est certainement essentiel que, dans l'article précisant l'objet de la loi, on accorde une importance supérieure à la protection des renseignements personnels qu'à la capacité des organisations de les utiliser.

    Je pourrais peut-être commencer par demander à M. Konikoff s'il croit qu'au lieu de parler de protection de la vie privée et du droit d'une organisation, on ne pourrait pas utiliser un autre libellé qui exprime cette supériorité.

    À l'heure actuelle, mon principal sujet de plainte, c'est que le projet de loi n'élargit pas la portée de la Loi sur l'intelligence artificielle et les données, ou LIAD, pour y inclure le droit fondamental à la vie privée. Je dirais que c'est vraiment son point faible. Nous félicitons le ministre d'avoir abordé ce problème dans l'amendement qu'il a proposé.

    Pour ce qui est du libellé, il faudrait que je prenne un moment pour l'examiner, mais je dirais que l'élément le plus préoccupant est peut-être le fait que ce qui est prévu dans la Loi sur la protection de la vie privée des consommateurs ne s'applique pas essentiellement à la LIAD.

    Je serais heureux de laisser les autres témoins prendre la parole s'ils...

    Je vais donc passer à M. Lawford.

    Une chose qui a été soulevée récemment au sujet des problèmes... J'ai beaucoup parlé des problèmes relatifs aux articles 12, 15 et 18, problèmes que vous avez vous aussi soulignés. L’article 15 précise que le consentement doit être exprimé clairement, un élément qu'on a souvent tendance à négliger.

    Je suis en train de lire les plus récentes conditions de service de Zoom, qui ont été publiées au cours de l'été. Les médias ont révélé que Zoom s'arroge le droit de transcrire et de posséder tout ce qui est dit.

    Ce qui me dérange vraiment, c'est l'article 15.2 de leurs conditions de service, qui s'applique à presque toutes les organisations. On y lit ceci: « Vous acceptez que Zoom puisse modifier, supprimer et compléter ses guides, déclarations, politiques et avis, avec ou sans préavis, ainsi que les guides, déclarations, politiques et avis similaires relatifs à votre utilisation des Services en publiant une version actualisée de ces éléments sur la page Web […] » L'entreprise ne dit pas que, si elle décide de modifier ces conditions, elle les publiera simplement sur une mystérieuse page Web et présumera que vous avez consenti au fait qu'elle va maintenant transcrire et posséder tout ce que vous dites sur Zoom.

    Je vais laisser de côté l'article 18 proposé parce que c'est une toute autre affaire. J'aimerais cependant vous demander ce qu'on peut faire pour corriger l'article 15 afin que les entreprises ne puissent pas modifier comme bon leur semble leurs conditions de service sans en informer leurs utilisateurs.

    En vertu de la loi actuelle, si vous changez l'objet pour lequel vous utilisez et recueillez des renseignements personnels, vous devez permettre aux utilisateurs de donner à nouveau leur consentement. Par le passé, le commissaire à la protection de la vie privée ne pouvait pas recevoir de plaintes à cet égard mais, pour l'instant du moins, il est possible de lui soumettre une plainte si on avait consenti initialement à des conditions de service différentes. Si l'entreprise modifie ses conditions et qu'elle se contente de publier les nouvelles sans vous informez, vous pourriez formuler une plainte à ce sujet, surtout si la simple utilisation de ses services est considérée comme un consentement.

    Ce qui me préoccupe, c'est l'article 18. Zoom peut dire que c'est la façon dont l'on procède maintenant avec les programmes en ligne, alors il faut se plaindre au commissaire à la protection de la vie privée. C'est pourquoi j'ai dit que cela constitue un revirement par rapport à la loi actuelle, où le consentement doit être demandé. Vous pourriez modifier le projet de loi pour exiger un nouveau consentement lorsqu'on modifie les fins. On pourrait certes inclure cette nouvelle exigence dans l'article 15...

    Autrement dit, rien n'est prévu. Il n'y a rien dans le projet de loi C‑27 qui empêche cette pratique de continuer. Une entreprise peut modifier ses conditions de consentement et prétendre qu'elle se conforme à la loi en les publiant. Si quelqu'un conteste cette décision, même s'il n'avait pas été informé au préalable de la modification, l'entreprise peut interjeter appel et, en vertu du paragraphe 18(3) de la Loi sur la protection de la vie privée des consommateurs, défendre son geste en prétendant que c'est dans son intérêt légitime.

    En effet, si vous déposiez une plainte, l'entreprise invoquerait probablement cela comme l'une de ses défenses. Je pense qu'elle invoquerait aussi le paragraphe 18(2) de la Loi sur la protection de la vie privée des consommateurs et dirait: « C'est ainsi que nous faisons les choses, et bonne chance avec votre plainte. » Nous recommandons donc de supprimer complètement l'article 18.

    Vous voulez dire tout l'article 18, pas seulement le paragraphe 18(3)?

    Oui, tout l'article.

    Quelqu'un d'autre aimerait-il se prononcer sur cet enjeu?

    Je vous écoute, madame Polsky.

    Merci.

    Oui, la question du consentement a toujours été un défi. Même aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques et d'autres lois sur la protection des renseignements personnels, les organisations ne sont pas censées pouvoir refuser de fournir un bien ou un service simplement parce que vous refusez de donner votre consentement. Pourtant, c'est ce qu'elles font toutes sans que cela soit contesté et que les lois à cet égard soient appliquées. Comme vous le dites, ces organisations — Zoom ainsi que toutes les autres — recueillent nos renseignements.

    Nous n'avons pas le choix en ce moment. C'est tout ou rien, un pacte faustien. Si vous voulez utiliser un site Web donné, si vous voulez obtenir un prêt automobile en ligne, si vous voulez faire quoi que ce soit en ligne, oui, vous êtes censés lire la politique de confidentialité que même Mark Zuckerberg, de son propre avenu au Congrès, n'a pas lue. Par conséquent, les organisations qui reconnaissent que personne ne lit leur politique de confidentialité et qui, pourtant, continuent de recueillir des renseignements personnels sans avoir — elles le reconnaissent elles‑mêmes — obtenu un consentement éclairé, recueillent des renseignements personnels en violation de la LPRPDE et des autres lois. Personne n'a jamais contesté cela.

    La seule façon de contourner le problème est de permettre à chacun d'entre nous de contrôler qui obtient nos renseignements et comment ils seront utilisés. Si je dis: « Oui, Zoom, vous pouvez recueillir ces renseignements à mon sujet, et vous me donnerez un reçu, un reçu automatique, afin que j'aie la preuve que c'est ce à quoi j'ai consenti », c'est quelque chose dont je pourrais me servir pour contester la décision. Si les entreprises étaient tenues responsables... C'est difficile parce que la plupart d'entre elles se trouvent à l'extérieur du Canada, mais d'autres lois ont une application extraterritoriale. Cela pourrait aussi être le cas de cette loi parce que le consentement est un enjeu fondamental. La situation n'est pas beaucoup mieux dans l'Union européenne. Nous devons absolument resserrer les règles à cet égard.

    La plupart des avocats spécialisés en protection de la vie privée à qui j'ai parlé dans le cadre de mes consultations à ce sujet — et j'ai mené beaucoup de consultations à ce sujet, contrairement au ministre— ont avoué qu'ils ne lisent même pas les exigences de consentement qu'on leur demande de respecter. Si les avocats spécialisés en protection de la vie privée ne le font pas, comment le reste d'entre nous va-t-il survivre?

    Merci, monsieur Perkins.

    Monsieur Van Bynen, vous avez la parole.

    Merci, monsieur le président.

    Je comprends vos préoccupations en ce qui concerne l'exigence du consentement. Comment allez-vous composer avec la lassitude à l'égard du consentement? Est-ce un risque que vous...?

    Je vais commencer par M. Konikoff.

    Personnellement, je ne pense pas que le consentement est un enjeu dont nous devrions ou pourrions nous lasser. Je pense que le consentement est un processus continu et que, peu importe le service, plus l'usager est informé avant de l'utiliser ... Je reconnais qu'il y a des défis ou des obstacles à surmonter pour amener les gens à s'intéresser sérieusement à des politiques de confidentialité très ennuyeuses et contraignantes. Je ne pense pas que ce soit vraiment quelque chose qui pourrait engendrer de la lassitude.

    Cependant, n'est-ce pas ce qui se passe actuellement? Les exigences de consentement sont si complexes que les gens ne les lisent pas, mais ils donnent quand même leur consentement. Cela permet aux organisations de traiter leurs données comme bon leur semble. C'est une conséquence de la lassitude à l'égard du consentement. Comment pouvons-nous éviter cela? Comment pouvons-nous nous assurer que les exigences en matière de consentement soient exprimées en langage clair?

    Madame Polsky, vous avez proposé de donner votre consentement avant... Pourriez-vous nous en dire un peu plus à ce sujet, s'il vous plaît?

    Je ne crois pas que la lassitude à l'égard du consentement pose problème. Comme vous le dites, les gens ne lisent pas ces choses — ou du moins pas souvent — principalement à cause de leur longueur. Je lis parfois les politiques de confidentialité. La dernière fois, j'ai calculé la longueur combinée des politiques de confidentialité de Google et de ses principaux sites Web, et elle était de 38 pages. C'est la taille d'un petit livre. On trouve plus de pages dans ces politiques que dans un livre de chevet, et elles vous endorment plus rapidement. Elles sont dénuées de sens.

    J'ai contesté la politique de confidentialité d'Apple auprès du commissaire à la protection de la vie privée du Canada. Il s'est saisi de l'affaire, ce qui est formidable. Apple a modifié quelque peu le libellé, et je m'en suis réjouie. Cependant, je ne me fais guère d'illusions. Lorsque ces entreprises apportent des changements pour une chose, elles en apportent d'autres ailleurs. Le problème, c'est que la loi permet des formulations vagues comme: « Nous allons recueillir des renseignements personnels sur vous, et vous demandez de nous en fournir, pour des motifs raisonnables. Nous sommes une entreprise à but lucratif. Nous considérons que tout ce qui améliore nos résultats financiers constitue un motif raisonnable. » Il faut resserrer le libellé utilisé.

    Merci.

    Monsieur Konikoff, dans le mémoire que vous avez soumis au Comité, vous recommandez de supprimer l’alinéa 18(2)d) de la Loi sur la protection de la vie privée des consommateurs, qui prévoit une exception au consentement pour « toute activité réglementaire ».

    Le commissaire à la protection de la vie privée recommande plutôt, dans le mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C‑27, de modifier cet alinéa afin d’exiger que toutes les activités d’affaires réglementées aux fins du paragraphe 18(2) soient des activités nécessaires à la réalisation d’un objectif précis. Que pensez-vous de la recommandation du commissaire à la protection de la vie privée?

    C'est une excellente question.

    Tout ce que je sais, c'est qu'en laissant ce libellé pour toute « activité réglementaire », je crains que cela crée un projet de loi fourre‑tout. Je pense que le libellé est désespérément vague, et je crains que, sans définition de ce qu'est une activité réglementaire, des abus puissent être commis. Je ne sais pas si la solution serait de supprimer cet alinéa ou d'imposer des restrictions plus claires aux activités, mais je suis d'avis qu'il ne devrait pas y avoir ces nombreuses exemptions qui permettent d'ajouter ultérieurement n'importe quelle activité réglementaire.

    Quelle valeur accordez-vous à l'exigence de mener des évaluations des facteurs relatifs à la vie privée?

    Je pense que, si vous utilisez un système qui permettra de recueillir un volume élevé de données, une évaluation des facteurs relatifs à la vie privée est une bonne première étape pour vous assurer de prendre les précautions voulues, de prendre les devants et d'évaluer les risques potentiels.

    La réalité, c'est que le mal est fait.

    Nous utilisons Interac. Nous utilisons l'intelligence artificielle, et vous dites: « Ralentissez et recommencez ». Combien de temps faudrait-il, selon vous, pour rattraper, voire devancer, l'industrie dans ce domaine?

    Il ne m'appartient pas de fixer un échéancier pour quoi que ce soit, et je ne comprends pas vraiment comment ces processus fonctionnent. Il me semble que cela prend pas mal de temps.

    Encore une fois, il ne s'agit pas de repartir à zéro avec la Loi sur la protection de la vie privée des consommateurs. Il s'agit de repartir à zéro avec la Loi sur l'intelligence artificielle et les données ou de séparer la Loi sur l'intelligence artificielle et les données — ou du moins de prendre une décision sur ce qu'il faut faire avec la Loi sur l'intelligence artificielle et les données —, ce qui, la plupart des gens semblent convenir, est difficile, et le mot « difficile » est un euphémisme. Je ne sais pas si je peux répondre précisément à la question sur l'échéancier.

    Je suppose que ce qui me préoccupe, c'est que nous sommes en train de faire du rattrapage. Comment allons-nous un jour rattraper le retard ou même aller au-devant de la situation? Le projet de loi semble nous obliger à regarder dans le rétroviseur alors que nous devrions regarder à travers le pare-brise. Je pense que cette question est importante. Comment se faire une idée des échéanciers à respecter afin de développer le sentiment d'urgence nécessaire pour aller de l'avant, à tout le moins en ce qui concerne la Loi sur l'intelligence artificielle et les données?

    En ce qui concerne la Loi sur l'intelligence artificielle et les données? Encore une fois, je suppose que cela dépendrait des manœuvres du gouvernement. Je suppose que cela dépendrait du renvoi ou non du projet de loi. Je crois que vous avez le pouvoir de renvoyer le projet de loi. Matt a dit que vous en aviez le pouvoir. C'est une possibilité.

    Je pense que c'est quelque chose qui aurait besoin de plus... Matt est à l’écran là-bas, ce serait peut-être quelque chose qui... Je ne sais pas si je peux parler d'échéanciers.

    Monsieur McSorley, il semble que vous ayez une réponse à donner, alors écoutons-la.

    Oui. L'une des choses que nous avons remarquées, c'est que le ministre, je crois, a dit qu'il faudrait, même pour l'élaboration de règlements, attendre jusqu'en 2025 pour que tous les règlements soient rédigés par rapport à la Loi sur l'intelligence artificielle et les données dans sa forme actuelle. Si c’est l’échéancier que nous envisageons avec cette loi dans sa forme actuelle, cela devrait nous donner le temps de prendre du recul, d’examiner cette loi dans son ensemble et de participer à cette réinitialisation dont mon collègue a parlé.

    Nous sommes d'accord pour dire que nous devons nous attaquer à ces problèmes maintenant, mais si c'est déjà prévu qu'il faudra ce temps en raison de la façon dont la Loi sur l'intelligence artificielle et les données est conçue, pourquoi ne pas prendre le temps de mener des consultations plus vastes, de mener les consultations publiques qui n'ont pas eu lieu avant l'adoption de la Loi sur l'intelligence artificielle et les données et de nous assurer de bien faire les choses d'ici là?

    Merci.

    Je crois que mon temps est écoulé, monsieur le président.

    Oui, mais je vois que M. Hatfield veut intervenir.

    Vous avez la parole, monsieur Hatfield.

    Merci.

    En ce qui concerne l'urgence, comme je l'ai dit, notre communauté ressent aussi une certaine urgence, mais pourquoi cette urgence est-elle beaucoup plus grande au Canada que dans d'autres pays qui s'intéressent à l'IA? Tout le monde va de l'avant, bien sûr, en définissant les risques, les répercussions et la façon de bien les gérer, mais l'idée que le Canada doit agir avant bon nombre de ses pairs ne me semble pas très logique. Je ne pense pas que cette approche débouchera sur les meilleures règles possible.

    Je pense que, si nous examinons l'échéancier, nous devrions à tout le moins prendre le temps de tenir une consultation publique complète. De telles consultations nous permettent vraiment de tester les mesures législatives et d'analyser les différents types de problèmes qui peuvent survenir. C'est une étape essentielle à l'amélioration du produit final. Cette démarche a fonctionné pour d'autres lois. On l'applique pour la plupart des lois. Je ne vois aucune bonne raison de ne pas l'appliquer ici.

    Merci beaucoup.

    Monsieur Savard‑Tremblay, vous avez la parole.

    Merci, monsieur le président.

    Je remercie le Comité de m'accueillir aujourd'hui, alors que ce n'est pas un comité auquel je siège habituellement. Cela me fait plaisir d'être ici.

    Je remercie les témoins de leurs présentations.

    Monsieur Konikoff, si vous le voulez bien, parlons des systèmes décisionnels automatisés. Comme on le sait, le projet de loi C‑27 accorde un nouveau droit, soit le droit pour un individu de recevoir une explication au sujet de l'utilisation de ces systèmes. Toutefois, contrairement à la loi 25 du Québec, le projet de loi C‑27 ne contient pas de dispositions qui permettraient à une personne de s'opposer à l'utilisation d'un système décisionnel automatisé ou de faire réviser les décisions prises par un tel système.

    Selon vous, si le projet de loi C‑27 n'inclut pas de telles dispositions, quelles sont les répercussions potentielles pour les consommateurs et les utilisateurs?

    C'est une excellente question.

    L'absence d'exigences en matière de transparence a d'énormes répercussions. Vous avez mentionné le Québec, mais je peux aussi parler du Règlement général sur la protection des données, qui ne porte pas explicitement sur l’IA, mais qui a des répercussions sur celle-ci, sur l’utilisation des données par l'IA. Le Règlement général sur la protection des données prévoit le droit de ne pas être assujetti à une décision fondée uniquement sur des systèmes automatisés. Je pense que c'est quelque chose qui pourrait servir de modèle à inclure dans la Loi sur l'intelligence artificielle et les données, de même que des exigences plus claires en matière de transparence, non seulement pour les systèmes qui génèrent des décisions ayant une grande incidence, mais pour les systèmes qui sont...

    Vous seriez donc favorable à l'ajout, dans le projet de loi C‑27, de dispositions semblables à celles qui ont été adoptées en Europe et au Québec.

    Oui.

    Selon le projet de loi C‑27 tel qu'il est libellé actuellement, à qui un consommateur doit-il s'adresser s'il veut contester une décision prise par un système automatisé ou obtenir des précisions sur cette décision?

    Je vous demande pardon. Pouvez-vous répéter?

    Selon le projet de loi C‑27 dans sa forme actuelle, à qui un consommateur doit-il s'adresser s'il veut contester une décision prise par un système automatisé? Est-ce qu'il existe une instance, une organisation, une autorité à laquelle il peut recourir?

    Non. Je ne crois pas. Cela présente un défi pour le consommateur.

    Est-ce que quelqu'un d'autre voudrait ajouter une réponse?

    Oui. Si la décision a une incidence importante, vous pouver demander des renseignements, mais il n'est pas possible d'interjeter appel, de contester la décision ou de la soumettre à un examen humain, comme c'est possible dans d'autres pays, comme vous le dites.

    C'est donc un problème, selon vous.

    Oui.

    Monsieur Konikoff, selon vous, qu'est-ce qui nous empêche d'assujettir à la fois le secteur public et le secteur privé aux dispositions prévues dans le projet de loi? Est-ce que nous devons aller plus loin pour assurer la protection des données des Québécois et des Canadiens?

    Nous devons aller plus loin pour protéger les renseignements. Effectivement, je suis tout à fait d'accord pour dire que le projet de loi ne va pas assez loin. Nous avons exposé certaines possibilités pour étayer cette idée.

    Monsieur McSorley, comme vous le savez, le ministre de l’Innovation, des Sciences et de l’Industrie a présenté, le mois dernier, un code de conduite volontaire visant un développement et une gestion responsables des systèmes d'intelligence artificielle générative avancés.

    À l'heure où les technologies évoluent rapidement, l'autoréglementation est-elle la meilleure des solutions? Croyez-vous qu'il soit réaliste de penser que les entreprises, guidées par la main invisible, vont tout simplement se réglementer par elles-mêmes?

    La réponse est tout simplement non. L'autoréglementation n'est ni appropriée ni adéquate.

    Je pense que c'est un exemple clair de ce que mon collègue, M. Hatfield, disait au sujet de l'idée de se précipiter pour réglementer, plutôt que de vraiment comprendre le système. Tout le processus de consultation sur la réglementation de l’IA générative a été mené à la hâte. Nous avons eu l'impression qu'il y avait eu une réponse aux préoccupations selon lesquelles il n'y avait pas eu de consultation publique au sujet de la Loi sur l'intelligence artificielle et les données en général. Nous avons des préoccupations.

    Nous n'avons pas de données en ce moment qui nous disent comment les entreprises réagissent à l'autoréglementation, mais leur réaction est nettement insuffisante.

    Madame Polsky, dans un document daté du 14 avril 2023, le Conseil du Canada de l'accès à la vie privée affirme que la loi sur l'intelligence artificielle proposée par l'Union européenne va sûrement devenir la norme mondiale en ce qui concerne les systèmes d'intelligence artificielle générative à usage général.

    Pourquoi croyez-vous que cette loi proposée par l'Union européenne pourrait devenir la norme mondiale?

    L'exhaustivité et l'applicabilité dans d'autres territoires du Règlement général sur la protection des données sont devenues très rapidement la norme mondiale. La barre a été mise haute. Oui, beaucoup d'entreprises et d'organismes se sont plaints et ont dit que la conformité à la loi allait leur coûter beaucoup d'argent, mais ont fini par se conformer.

    Nous pourrons constater la même chose si le Canada adopte une approche musclée en matière de réglementation de l'IA pour ce qui est de la protection de la vie privée.

    Je me souviens quand Jennifer Stoddart a refusé d'être reconduite dans ses fonctions. Elle a dit que la Loi sur la protection des renseignements personnels et les documents électroniques aurait besoin d'un peu plus de mordant. Ça, c'était parlé. C'est ce dont cette loi a besoin. Nous pouvons y arriver, mais il faut une volonté politique.

    Merci beaucoup.

    Je passe maintenant la parole à M. Masse.

    Merci, monsieur le président.

    Merci à nos témoins.

    Je vais commencer par M. Lawford. Si d'autres sont... Je vais vérifier.

    Plus particulièrement, je suis curieux de connaître votre point de vue sur le tribunal de la protection de la vie privée. Je comprends l'ensemble de votre message, mais en même temps, s'il y a eu des progrès sur certains de ces éléments... Le nouvel élément à prendre en considération est le nouveau tribunal de la protection de la vie privée. Il y a ceux qui sont pour et ceux qui sont contre ce tribunal. Nous aimerions avoir votre opinion pour commencer.

    Notre opposition à ce tribunal repose sur le fait que le commissaire à la protection de la vie privée mène déjà des enquêtes et que, même si elles sont parfois lentes, leurs résultats sont, à notre avis, justes.

    Nous avons examiné la débâcle du Tribunal de la concurrence cette année avec Rogers et Shaw, et l'utilisation de cette étape supplémentaire, comme on pourrait l'appeler, par une entreprise qui a eu envie d'étirer un processus ou de gagner... Nous sommes d'avis qu'il est impossible que les entreprises qui utilisent des renseignements personnels ne prennent pas cette mesure supplémentaire et ne se présentent pas devant le tribunal pour contester chaque décision du commissaire. Cette démarche ajoute fort probablement deux ans à toutes les décisions négatives au sujet des entreprises. On pourrait dire qu'à l'heure actuelle, il est possible de passer de la décision du commissaire à la protection de la vie privée à la Cour fédérale, mais qu'il faut refaire la preuve devant la Cour fédérale.

    Cette étape me semble inutile. Si on ajoute cela à nos préoccupations selon lesquelles on ne peut pas intenter un recours collectif avant que toutes les procédures soient terminées, y compris devant le tribunal, nous pensons que cela découragera les recours collectifs. Nous croyons que certains organismes d'application de la loi du secteur privé modifient le comportement des entreprises lorsqu'il y a des violations flagrantes de la vie privée.

    Ce qui nous préoccupe, c'est que cela ne fait que mettre en place une structure qui constitue une étape supplémentaire et qui pourrait bien être moins favorable aux plaignants, comme le Tribunal de la concurrence l'est par rapport au commissaire à la concurrence.

    Oui. À ce sujet, les fonctionnaires m'ont dit que cette situation ne pourrait pas se produire en vertu de cette loi. Cependant, d'autres témoins nous ont dit qu'elle pourrait se produire. Qu'en pensez-vous?

    Cette poursuite contre le Bureau de la concurrence est tout simplement scandaleuse. Elle va à l'encontre de l'objectif même du Bureau de la concurrence et fait en sorte que le public subventionne Rogers de bien des façons. Quoi qu'il en soit, que pensez-vous de cette possibilité?

    Nous avons beaucoup de préoccupations à ce sujet, surtout depuis la première ébauche de ce que serait le tribunal de la protection de la vie privée, qui ne prévoit qu'un seul expert en protection de la vie privée.

    Le commissaire à la protection de la vie privée a actuellement suffisamment d'expertise pour prendre une décision administrative appropriée. Il y a ensuite les tribunaux, si vous voulez aller plus loin parce que vous pensez qu'il y a un problème. C'est une façon beaucoup plus efficace et plus prévisible de procéder, plutôt que de créer un tribunal quasi judiciaire. Les tribunaux quasi judiciaires ont tendance à avoir des quasi-juges qui donnent des quasi-décisions comme celle donnée dans le cas de Rogers. Nous préférerions éviter cela.

    Je ne connais aucun autre pays qui a un tribunal de la protection de la vie privée.

    Avant de céder la parole à d'autres invités, j'aimerais vous demander ce que vous pensez du droit privé d'action aux États-Unis. Quelle est l'importance de ce droit par rapport à ce que nous n'avons pas ici?

    Aux États-Unis, bien sûr, il n'y a pas de loi exhaustive sur la protection des renseignements personnels. Ici, nous avons la chance d'avoir la Loi sur la protection des renseignements personnels et les documents électroniques, alors bon nombre de nos problèmes n'ont pas à être portés devant les tribunaux. Cependant, dans des situations très difficiles ou des cas de violations généralisées de la vie privée, la menace d'un recours collectif peut au moins ralentir l'ardeur des grandes sociétés. Nous pensons que c'est un bon outil à utiliser et à préserver dans cette loi.

    Je dirai simplement que la Loi sur la protection des renseignements personnels et les documents électroniques prévoyait initialement un droit privé d'action assorti d'un montant par violation de la vie privée, qui n'a jamais été proclamé en raison du lobbying de l'industrie. La situation aurait pu être meilleure ces dernières années, mais le maintien de cette possibilité est l'une de nos préoccupations, oui.

    Ironiquement, au Canada, nous bénéficions en fait de certains des recours collectifs intentés aux États-Unis, alors que nous ne pouvons pas les intenter ici. Les Canadiens sont protégés par la loi américaine et peuvent être admissibles à certains des remboursements aux États-Unis. Il arrive souvent que nous devions en informer les Canadiens. Les lois américaines protègent les Canadiens mieux que notre système actuel.

    Y a-t-il quelqu'un d'autre qui aimerait parler du tribunal de la protection de la vie privée? Même si vous avez une opinion différente, j'aimerais vous entendre. Si vous ne voulez pas intervenir tout de suite, je vais passer à une autre question.

    Je vais faire un bref commentaire. On se demande qui sera nommé et par qui. S'il n'y a qu'un seul expert de la protection de la vie privée au tribunal, qui est nommé par le ministère de l'Industrie et dont l'intérêt est de promouvoir le commerce, cela mine l'équité. Cependant, nous sommes également préoccupés par le fait que si une décision du commissaire finit par devoir être révisée et que l'organisation fautive a la possibilité d'épuiser tous ses recours juridiques — comme M. Lawford l'a dit —, cela crée des arriérés.

    Ensuite, il y a le droit privé d'action. J'ai maintenant l'honneur et le plaisir d'embaucher un avocat et de dépenser encore plus d'argent et plus d'années, alors que l'organisation fautive a beaucoup plus d'argent que la plupart des gens, j'oserais dire. Jusqu'où aller? Quand elle aura épuisé tous ses recours juridiques, est-ce que je serai encore en vie?

    Merci, monsieur le président.

    Merci aux témoins.

    Merci beaucoup.

    Monsieur Williams, vous avez la parole.

     J'aimerais parler de la Loi sur l’intelligence artificielle et les données, la loi sur l'IA, avec chacun d'entre vous. Je vais poser une question à chacun d'entre vous et vous donner un peu de temps pour répondre.

     Sur une échelle de un à dix, un étant terrible et dix étant bon, quel est le bilan de la loi sur l'IA dans cette partie du projet de loi à l'heure actuelle?

     J'aimerais d'abord entendre M. Konikoff.

    Oh, mon Dieu! Devons-nous choisir un nombre? Devrions-nous essayer de nous entendre sur les cibles à atteindre?

    Des voix: Oh, oh!

    M. Daniel Konikoff: Je l'évaluerais à moins de cinq, si je suis généreux, même si je ne sais pas où nous en sommes. Étant donné notre mandat d'examiner la question des droits fondamentaux et de la vie privée, c'est un échec dans les deux cas. Peut-être que la note de cinq est trop élevée.

    M. McSorley?

    Je donnerais la note de deux.

    Savez-vous quoi? Je vais lui accorder la note de deux.

    Des voix: Oh, oh!

    On l'a modifié.

    Je crois que vous êtes très généreux d'accorder une note de cinq.

    C'est un point de départ. Cela a attiré l'attention. Cela vous a fait réfléchir, et les discussions ont attiré votre attention sur certains des très nombreux problèmes qu'il faut régler. Comme point de départ… oui, c'est correct. En ce qui concerne la forme actuelle, je donnerais la note de un, peut-être un et demi.

    M. Lawford?

    Je pensons que nous lui donnons chacun une note de un, alors deux.

    Peut-être trois… Je suis peut-être plus généreuse, mais je pense que l'intention était bonne. Je ne lui prête pas d'intentions malveillantes, mais il y a beaucoup de points à améliorer.

    Je donne maintenant la parole à M. Hatfield, qui est en ligne.

     Je donnerais une note entre trois et un nombre indéfini. Nous ne savons tout simplement pas quelle sera la version finale de la Loi sur l’intelligence artificielle et les données. Nous n'avons pas toutes les pièces du casse-tête.

     Comme point de départ, comme livre blanc sur lequel nous pourrions ensuite mener une consultation, c'est, bien sûr, un excellent début. Toutefois, à la vitesse où vont les choses, je ne peux pas donner une note positive.

     Merci. Je pense que cela fait suite aux témoignages que nous avons entendus. Il semble qu'on ait simplement pensé à cela après coup, sans consultation publique.

     Je vais en rester là. Je pense que nous pouvons tous nous entendre là-dessus.

     Madame Polsky, je veux parler des évaluations des facteurs relatifs à la vie privée. Je sais que vous les connaissez très bien. J'aimerais savoir si nous devrions en faire une pratique plus courante dans notre régime de protection des renseignements personnels.

    Devrions-nous en faire une pratique plus courante? Oui, absolument. Le problème se pose lorsque de nombreuses organisations s'en remettent au personnel du service pour faire une première évaluation afin de savoir, par exemple, s'il pense qu'un nouveau produit ou système ou quoi que ce soit d'autre aura une incidence, alors que le personnel ne sait pas vraiment ce qui constitue un renseignement personnel, ne connaît pas les exigences des lois sur la protection des renseignements personnels, et ignore quels sont les droits et responsabilités de l'organisation.

     Les organisations sont pressées par le temps. Elles ont des budgets. Elles ont des échéances et elles disent: « Non, il n'y a aucun problème de protection des renseignements personnels. » Elles ne comprennent pas les conséquences involontaires. Elles ne comprennent ni la technologie, ni la loi, ni l'aspect professionnel. Elles examinent la question avec une perspective très étroite. C'est le premier point. Nous devons éduquer davantage les gens. Il faut que les gens de l'organisation aient un mandat à cet égard.

    L'autre point qui est vraiment important, c'est qu'un très grand nombre d'organisations exigent qu'on respecte les lignes directrices de leur commissaire à la protection de la vie privée de leur juridiction lorsqu'on effectue l'évaluation des facteurs relatifs à la vie privée. Il s'agit généralement de listes de vérification. Elles ne veulent pas d'une analyse juridique complète. Elles ne veulent pas avoir une vue d'ensemble. Elles veulent pouvoir dire: « Nous avons fait l'évaluation des facteurs relatifs à la vie privée. Cochez cette case. Passons à autre chose. Au suivant. Allons brasser des affaires. »

    Il s'agit du secteur public et du secteur privé.

    L'Union européenne a des évaluations des intérêts légitimes que ses organismes de surveillance de la protection des renseignements personnels doivent remplir. Devrions-nous utiliser les évaluations des facteurs relatifs à la vie privée pour mieux définir les intérêts légitimes?

     Nous devrions le faire, mais nous avons également besoin de personnel, comme l'exige le Règlement général sur la protection des données. Les responsables de la protection des renseignements personnels, ceux qui sont en mesure de faire les évaluations des facteurs relatifs à la vie privée, doivent être indépendants au sein de l'organisation et s'adresser directement au plus haut niveau de l'organisation.

     Pour l'instant, ce sont des sous-fifres. Même lorsqu'il s'agit d'avocats spécialisés en protection des renseignements personnels, une grande partie de nos membres qui sont responsables de la protection de la vie privée et de l’accès à l’information au sein de l'organisation se rapportent très souvent à une très longue chaîne de commandement, et ils n'ont pas voix au chapitre. Ils ont très peu de pouvoir. Cela doit changer.

    Merci, monsieur le Président.

    Merci beaucoup.

    Madame Lapointe, vous avez la parole.

    Merci, monsieur le président.

    Monsieur Andrey, j'aimerais savoir ce que vous pensez du projet de loi C‑27 et de ses objectifs pour lutter contre la désinformation et les préjudices en ligne.

     Bien sûr. J'en serais ravi. Nous réfléchissons énormément à la désinformation et aux préjudices en ligne. Le gouvernement envisage une loi sur la sécurité en ligne depuis un certain temps et mène des consultations à ce sujet. Nous vous prions d'aller de l'avant.

     Nous avons été surpris, mais agréablement surpris, je pense, que la Loi sur l’IA serait désormais un véhicule potentiel pour remédier à certains des préjudices causés par les systèmes de recommandation de contenu, ou, comme la plupart des gens les appellent, les « médias sociaux ». C'était dans la liste du ministre Champagne. Si une loi sur la sécurité en ligne ne va pas de l'avant, ou si elle est fortement axée sur du contenu comme l’exploitation sexuelle d’enfants ou du contenu terroriste, alors je pense qu'elle pourrait servir de véhicule pour tenter de réglementer les systèmes de recommandation de contenu et leur amplification algorithmique en matière de préjudices potentiels. C'est un bon exemple du genre de choses qui, selon moi, prendront du temps à faire correctement dans le cadre du processus réglementaire, mais je pense que nous pourrions procéder ainsi.

     En ce qui concerne l'aspect de l’IA générative, dans le code volontaire que l'on a mentionné, on propose une exigence pour ce qu'on appelle le tatouage numérique. C'est-à-dire que les gens doivent simplement être en mesure de distinguer s'il s'agit d'une image ou d'une vidéo modifiée ou d'un hypertrucage. À mesure que l'IA générative s'améliore et que notre capacité d'avoir confiance en tout ce que nous voyons s'effondre, ce type de réponse technique et réglementaire sera très important.

     Ce n'est que l'une des façons dont nous pouvons utiliser ce projet de loi. Je pense que c'est très important.

    L'un des défis que nous devons relever dans le cadre de ce projet de loi, c'est de tenter de préserver l'équilibre entre la liberté d'expression et la nécessité de lutter contre les préjudices en ligne. Que pensez-vous de la façon dont on a préservé cet équilibre?

    Il s'agit vraiment du principal défi, surtout lorsqu'il s'agit de désinformation, contrairement à d'autres contenus qui sont clairement illégaux, comme les discours haineux.

    En ce qui concerne la désinformation, oui, nous devons être très prudents. Cependant, j'ai tendance à privilégier une approche qui favorise davantage les discours plutôt que la censure, qui consiste à mettre en place des systèmes où des vérificateurs de faits ajoutent du contexte à ce que nous voyons en ligne et où on identifie, entre autres, l'hypertrucage pour avertir les gens. Bien sûr, cela ne veut pas dire qu'il n'y aura pas d'images modifiées en ligne, cela a toujours été le cas, mais les gens devraient savoir que ce qu'ils regardent a été modifié. Je pense que c'est une façon d'équilibrer la liberté d'expression et les préjudices réels liés à la désinformation.

    Nous pouvons aborder d'autres points liés à la diffusion par les algorithmes et aux motifs financiers, mais je pense que, à la base, il faut accorder la priorité aux mesures législatives ou aux réglementations qui découleront de la Loi sur l'IA pour tenter de réglementer la liberté d'expression. Les entreprises doivent se pencher sur la liberté d'expression en même temps que sur les autres objectifs.

    Vous avez dit que le projet de loi comprend des dispositions relatives à l'intelligence artificielle et à la modération automatisée du contenu. À votre avis, quel est le rôle de l'intelligence artificielle dans l'application de ces réglementations?

     C'est une bonne question.

     La plupart des grandes plateformes en ligne utilisent des systèmes automatisés pour modérer le contenu. Ils donnent parfois des résultats imparfaits. En ce moment, par exemple, des propos légitimes pros‑palestiniens sont coincés dans les filtres sur le Hamas. Ces systèmes sont imparfaits, mais, compte tenu de leur ampleur, ils sont souvent nécessaires.

    Toutefois, nous pensons que les utilisateurs qui contestent ces systèmes auraient peut-être des recours supplémentaires avec un éventuel projet de loi sur la sécurité en ligne ou, éventuellement, une loi sur l'IA. La Loi sur les services numériques, qui est l'équivalent en Union européenne, permet aux utilisateurs de demander qu'on leur explique pourquoi leur contenu a été retiré et d'interjeter appel. C'est quelque chose que nous n'avons pas au Canada, et ce n'est qu'un exemple.

     Au fil du temps, ce genre de systèmes de modération du contenu fonctionnent mieux. L'intelligence artificielle et les grands modèles de langage contribueront sans aucun doute à en améliorer l'efficacité, mais je pense que, au bout du compte, il faut absolument qu'un être humain soit impliqué dans ces choses.

    À votre avis, quels sont les principaux défis auxquels le Canada risque d'être confronté au moment de mettre en œuvre et d'appliquer efficacement cette loi?

    Relativement à l'IA ou seulement en général?

    Non, en général.

     Ce sera une tâche plutôt difficile. Je pense qu'une partie du défi, et c'est la principale raison pour laquelle le projet de loi existe, c'est que l'intelligence artificielle va toucher tous les secteurs de l'économie et qu'elle sera utilisée de toutes sortes de façons dans un grand nombre de secteurs différents. L'organisme de réglementation, quel qu'il soit, devra acquérir des connaissances approfondies dans de nombreuses fonctions de l'économie pour être en mesure d'en réglementer les risques et les préjudices potentiels. Je pense que c'est la priorité.

     Je pense également que c'est pour cette raison que le modèle réglementaire actuel est si troublant. Il est profondément ancré au sein du ministère. Nous vous demandons instamment d'assurer une plus grande indépendance. On pourrait y parvenir de bien des façons. Vous pourriez en faire une nomination parlementaire en soi. On a suggéré de confier cela au commissaire à la protection de la vie privée, qui dispose évidemment de certaines ressources en matière d'infrastructure et d'expertise. Je peux envisager les deux côtés de la question; les risques que pose l'intelligence artificielle vont au-delà de la protection des renseignements personnels. Il faut au moins en faire une nomination par le gouverneur en conseil, ce qui n'est pas parfait, mais cela favoriserait au moins une certaine reddition de comptes et des règles quant à la nomination. À l'heure actuelle, ce n'est même pas le cas.

    J'aurais plus de choses à dire à ce sujet, mais je vais m'arrêter ici.

    Merci.

    Merci.

    Je vais donner l'occasion à M. Hatfield de nous faire part de ses observations.

     Je me permets de faire une brève observation sur la position du Canada. Bon nombre des modèles de l'intelligence artificielle et de leurs répercussions verront le jour à l'étranger, mais ils auront tout de même des répercussions au Canada. Nous ne pouvons pas prévenir à nous seuls certains des pires préjudices qui pourraient découler de l'IA. Ils vont nous toucher, que nous ayons des lois incroyables ou non.

     Cependant, le Canada pourrait se distinguer en réglementant particulièrement mal l'intelligence artificielle. Nous pourrions faire cavalier seul, c'est-à-dire que nous pourrions être incapables de prévenir les préjudices et autoriser les gens à poser certains gestes au Canada, alors qu'ils sont interdits ailleurs. C'est pourquoi je suis très préoccupé par l'équilibre des coûts et des avantages si nous faisons cavalier seul et tentons d'être des pionniers. Je ne suis pas certain que nous ayons beaucoup à gagner. Je pense que nous avons beaucoup à perdre.

    Merci.

    Monsieur Savard‑Tremblay, vous avez la parole.

    Merci, monsieur le président. J'imagine que j'ai la parole pour deux minutes et demie.

    Monsieur Andrey, dans votre rapport du mois dernier, vous affirmez qu'au Canada, c'est le Québec qui a le taux d'utilisation de l'intelligence artificielle le plus élevé. Vous dites aussi que seulement 2 % des entreprises mentionnent des préoccupations relatives à la sécurité ou à la confidentialité et qu'un pourcentage encore plus faible d'entre elles mentionnent des obstacles juridiques. Par contre, vous faites également remarquer que les entreprises ne disposeraient pas de l'ensemble des informations nécessaires pour comprendre complètement la valeur et la rentabilité de ces technologies.

    Tout d'abord, pourquoi le taux d'utilisation de l'intelligence artificielle est-il plus élevé au Québec que dans les autres provinces?

    C'est une excellente question. Je pense que le Québec a fait du bon travail en créant un écosystème solide en matière d'intelligence artificielle, ce qui se reflète dans les chiffres et dans le nombre d'entreprises québécoises qui ont adopté des systèmes d'intelligence artificielle. Cependant, les chiffres ne sont pas beaucoup plus élevés que dans le reste du pays. On parle encore d'un pourcentage inférieur à 10 %, mais c'est mieux que dans le reste du pays. Nous avons des leçons à tirer dans ce domaine.

    En ce qui concerne l'adoption de l'intelligence artificielle — et je sais qu'il est question des risques et des préjudices du point de vue de la vie privée —, pour assurer la prospérité de notre pays, notre économie doit devenir plus innovante et plus productive. La technologie est la clé pour y parvenir. Je ne veux pas donner l'impression d'être contre l'intelligence artificielle. Celle‑ci est très importante, mais nous devons agir de manière responsable. Afin que les entreprises adoptent davantage les technologies de l'intelligence artificielle, elles doivent avoir la certitude que leur déploiement ne leur causera pas de problèmes, que ces technologies sont sûres et qu'elles seront encadrées par des garde-fous juridiques. Ces facteurs doivent être réunis, et il faut également travailler sur le développement de la main-d'œuvre et des talents, ainsi que sur toute une série d'autres aspects, afin de créer des conditions favorables. Cependant, je pense qu'une loi sur l'intelligence artificielle peut contribuer à garantir aux entreprises, notamment aux PME qui n'auront pas accès à des avocats pour se pencher sur la question, que la technologie d'intelligence artificielle dans laquelle elles souhaitent investir pourra être utilisée en toute sécurité.

    Justement, vous en avez parlé. Vous avez dit qu'il fallait utiliser l'intelligence artificielle de façon responsable et que c'était un bon outil pour la prospérité.

    Que faudrait-il prévoir dans le projet de loi C‑27 pour qu'il puisse favoriser la propagation de l'intelligence artificielle de manière responsable?

    Je pense avoir compris la question.

    Je suis désolé, mais pouvez-vous répéter votre question?

    Selon vos dires, l'intelligence artificielle doit continuer d'être propagée de façon responsable, parce qu'elle contribue à la prospérité de nos peuples et de nos économies.

    Que faudrait-il intégrer au projet de loi C‑27 pour ce faire?

    Merci.

    Je pense que la capacité pour cette loi de prévenir et d'interdire efficacement la partialité flagrante de ces systèmes, les préjudices psychologiques qu'ils peuvent causer, et leur utilisation abusive et malveillante dépend du contexte dans lequel ils sont utilisés. Cependant, dans le contexte des services financiers, des soins de santé, de la modération de contenu et de l'intelligence artificielle générative — comme il en a été question —, ces risques et ces préjudices peuvent prendre différentes formes.

    Le bon côté de ce projet de loi, c'est que son champ d'application est large, ce qui fait en sorte que l'organisme de réglementation, lorsqu'il sera créé, aura beaucoup de travail pour établir une liste de priorités sur lesquelles il devra se pencher. La liste du ministre Champagne en donne une petite idée, mais je pense que pour garantir une adoption responsable de ces technologies, nous devons nous intéresser en priorité aux systèmes qui seront utilisés par un grand nombre d'entreprises.

    L'intelligence artificielle générative en est un bon exemple, dans la mesure où les entreprises commencent de plus en plus à réfléchir à la manière dont elles pourraient l'intégrer à leurs processus afin de les rendre plus efficaces.

    Merci.

    Monsieur Masse, allez‑y.

    Merci, monsieur le président.

    Je m'adresserai d'abord à M. Hatfield, puis je passerai rapidement aux autres témoins.

    Quelle est votre opinion, si vous en avez une, sur la création d'un poste de commissaire à l'intelligence artificielle et aux données à titre d'agent indépendant du Parlement? Ce poste pourrait même être créé avant l'adoption de ce projet de loi, comme dans le cas du commissaire à la protection de la vie privée, du Bureau de la concurrence, et cetera. Sur la Colline, il semble qu'il y ait un consensus sur la nécessité de faire intervenir la quasi-totalité des fonctions parlementaires, des comités, etc.

    Cette question s'adresse à M. Hatfield. Ensuite, si un autre témoin souhaite intervenir, je les invite à être brefs, car je ne dispose que de quelques minutes.

    Oui, je pense que ce serait extrêmement utile, notamment pour qu'ils commencent à informer le Parlement de leur point de vue sur ce qui se passe. Il serait également utile d'évaluer la mesure législative avant ou après son adoption.

    Parfait. Merci.

    Un autre témoin souhaite‑t‑il intervenir?

    Oui, si vous me le permettez.

    Je pense qu'il serait formidable que la loi exige que l'organisme de réglementation et les autres intervenants soient bien financés pour leur permettre de s'acquitter pleinement de leur mandat, et que cela puisse être inscrit dans la Loi sur l’intelligence artificielle et les données lorsque celle‑ci sera séparée du projet de loi C‑27 et lorsqu'elle deviendra une loi à part entière, de sorte que les technologies d'intelligence artificielle — quel que soit le pays d'où elles proviennent — soient mises à l'essai avant d'être mises sur le marché. Ainsi, il ne s'agira pas de faire confiance à un fournisseur intéressé qui nous dira de ne pas nous inquiéter, car cette technologie n'est pas biaisée. Un agent indépendant du Parlement sera chargé d'identifier ces produits et d'en faire l'essai en toute confidentialité, sans que des secrets ne soient divulgués, et sans susciter d'inquiétudes de la part des sociétés en matière de propriété intellectuelle. Ainsi, on pourra déterminer que les produits d'intelligence artificielle sont bien adaptés avant leur mise en marché, tout comme les autres produits.

    Puis‑je ajouter rapidement quelque chose?

    Il ne faut pas faire la même erreur qu'avec le commissaire à la protection de la vie privée. S'il s'agit d'un agent indépendant, il doit avoir le pouvoir de partager des renseignements avec le gouvernement et d'autres commissaires. Un grand nombre de ces enquêtes porteront sur la concurrence, la protection de la vie privée et d'autres aspects.

    C'est effectivement un excellent point, monsieur Andrey. Cela dit, pensez-vous qu'il faille lui donner un caractère plus confidentiel? En effet, lorsqu'une décision est prise, il convient de rendre des comptes au public, et il faut trouver un juste équilibre entre l'investissement privé et l'obligation de rendre des comptes au public sur la façon dont la décision a été prise, le moment où elle a été prise, et les raisons pour lesquelles elle a été prise.

    Oui, absolument. Je pense que le pouvoir d'échanger des renseignements est essentiel afin de permettre les enquêtes... mais oui, bien sûr, lorsqu'il s'agit de faire appliquer la loi, d'imposer une amende ou de prendre une décision, il faut que l'on sache clairement qui fait quoi.

    Merci, monsieur le président.

    Je remercie nos témoins.

    Merci à tous.

    Avant de céder la parole à M. Vis, j'aimerais demander le consentement unanime des membres du Comité. Comme vous le savez, nous avons reçu une demande en vertu de l'article 106(4) du Règlement afin d'étudier Technologies de développement durable Canada ou TDDC. Notre calendrier indique que nous devrions le faire lundi. Je demande le consentement unanime des membres du Comité pour le faire mardi. Une séance du Comité était prévue mardi, mais jusqu'à présent, les témoins que nous avons invités ne sont pas en mesure de se présenter. Cela nous permettrait donc de faire bon usage tu temps de notre comité.

    Si nous sommes tous d'accord, nous pourrions faire cette étude mardi. Y a‑t‑il consentement unanime?

    Des députés: D'accord.

    Le président: Merci beaucoup.

    Monsieur Vis, vous avez la parole.

    Merci, monsieur le président.

    Monsieur Hatfield, l'année dernière, OpenMedia a attribué la note de D — ce qui est en dessous de la note de passage —, au projet de loi C‑27. Quelle note donneriez-vous au projet de loi C‑27 en ce qui concerne la protection des enfants?

    Je pense qu'il est bon de disposer de protections spécifiques et d'obliger les entreprises à les appliquer de manière quelque peu différente. Je pense qu'il convient de se demander s'il ne faudrait pas accorder à tous les Canadiens les mêmes protections que celles dont bénéficient les enfants. Il est parfois difficile de comprendre pourquoi seuls les enfants méritent certaines protections.

    En fait, il faudrait que tout le monde puisse donner son consentement éclairé et le retirer en tout temps.

    D'accord.

    Le projet de loi C‑27 ne définit pas la notion de renseignements de nature sensible, bien qu'il précise que les données relatives aux enfants sont considérées comme telles. Pensez-vous que le fait que le gouvernement ne définisse pas la notion de renseignements de nature sensible pose problème, à la fois d'un point de vue général et en ce qui concerne spécifiquement les enfants?

    Oui, absolument. Il faudrait au moins avoir une idée de la manière dont ce type de renseignements sera défini par la réglementation.

    Pensez-vous qu'il soit inacceptable, sur le plan éthique, que le gouvernement permette à des entreprises de rentabiliser les données biométriques et relatives à l'emplacement des enfants en les vendant?

    Oui, et je pense que c'est également le cas des données concernant les adultes.

    D'accord.

    OpenMedia serait-elle favorable à des amendements portant spécifiquement sur la protection des données biométriques des enfants et des renseignements relatifs à leur emplacement?

    Oui, tout dépendant de leur libellé. Il se peut que nous finissions par recommander d'étendre ces protections à l'ensemble de la population, en prévoyant des mesures supplémentaires pour protéger la vie privée des enfants.

    Merci.

    Madame Polsky, quelles sont, selon vous, les plus grandes lacunes du projet de loi C‑27 en matière de protection des enfants, au‑delà des renseignements de nature sensible que je viens d'évoquer?

    Les lois sur la protection des renseignements personnels prévoient un droit universel à la vie privée, sans limite d'âge. Cependant, on sait que des renseignements sur les enfants sont déjà recueillis à leur insu et à l'insu de leurs parents pour être transmis à l'industrie du courtage de données.

    Pensez-vous que c'est contraire à l'éthique?

    Bien sûr, c'est tout à fait contraire à l'éthique. C'est répréhensible. Les enfants, leurs parents et leurs tuteurs n'ont pas leur mot à dire. Ils sont ensuite bombardés de toutes sortes de publicités en ligne ainsi que de messages automatisés et négatifs. Nous savons maintenant que...

    Est‑ce immoral?

    Je suis père de trois enfants et je suis particulièrement bien placé pour faire quelque chose de concret pour protéger les enfants. Serait‑il immoral, en tant que législateur, de ne pas prendre de mesures rigoureuses ou de ne pas proposer d'amendements majeurs à ce projet de loi afin de faire en sorte que les entreprises ne puissent pas commercialiser les données relatives aux enfants?

    Je pense que cela reviendrait à ne pas assumer votre rôle de parent. J'ai également des enfants. Je pense qu'il nous incombe à tous, que nous soyons parents ou non, de protéger les enfants. Tout ce qu'ils publieront en ligne les suivra pour le reste de leur vie, et sera surveillé. Oui, cela reviendrait à renoncer à son rôle de parent.

    En ce qui concerne les renseignements de nature sensible — je m'excuse de vous interrompre —, pensez-vous qu'il soit nécessaire de définir de manière exhaustive la notion de renseignements de nature sensible et de donner des exemples précis afin de ne pas laisser aux organismes de réglementation et aux juges le soin de déterminer ce qui constitue un renseignement de nature sensible concernant un enfant?

    Oui, mais ce sera une tâche colossale. Je n'ai jamais vu de définition qui permet de dresser une liste parfaitement parfaitement exhaustive — sauf peut-être en employant des catégories conceptuelles. Cette liste doit pouvoir être complétée et mise à jour fréquemment.

    Que pensez-vous de l'approche suivante? Certains de mes collègues ont fait référence à l'article 18 de cette mesure législative. Je crois que le dernier alinéa de cet article fait mention de « toute autre activité réglementaire ». Pourquoi ne pas utiliser le même libellé dans le but d'empêcher les entreprises d'utiliser les renseignements qui concernent les enfants? Il pourrait s'agir d'un article général qui protégerait les enfants en interdisant la commercialisation injustifiée des données les concernant.

    C'est une idée, mais comment mettre cette disposition en application et la faire respecter? Comment s'assurer que les entreprises respecteront effectivement les dispositions de cette mesure législative?

    Elles ne se conforment déjà pas à des lois sur la protection de la vie privée qui datent d'il y a 20 ans. En quoi cette loi serait-elle différente ou plus efficace?

    Quelles mesures pouvons-nous prendre pour faire respecter ces règles afin de protéger nos enfants?

    Il serait peut-être plus facile de préciser ce qu'il ne faut pas faire. Il ne faut pas confier cette tâche à des personnes qui ne comprennent pas vraiment ce qu'est la protection de la vie privée et qui ne connaissent pas parfaitement cette technologie. Il faut tenir de vastes consultations auprès des experts qui ont une compréhension approfondie de cette technologie. En revanche, il ne faut pas se fier aux sociétés de technologies qui n'ont à coeur que leurs propres intérêts.

    Je n'ai aucun problème à ce que les entreprises fassent des profits pour leurs actionnaires et les investisseurs, et je suis entièrement favorable aux retombées économiques qu'elles génèrent pour notre pays. Cependant, la protection de la vie privée des citoyens n'est pas leur priorité, comme en témoigne leur bilan jusqu'à présent.

    J'essaie de me projeter dans 15 ou 20 ans, lorsque le Parlement sera saisi d'une autre mesure législative en matière de protection de la vie privée. Entretemps, sachant que la technologie évolue à une vitesse fulgurante, existe‑t‑il, outre ce que nous faisons déjà en élaborant un projet de loi fondamental et extrêmement détaillé, une autre solution pour garantir la protection des enfants dans tous les cas de figure...

    Oui, il faut corriger la situation.

    ... et pour éviter que leurs données puissent être utilisées en vertu de la loi canadienne?

    Il faut renverser la situation pour que la décision ne revienne plus aux entreprises. Faites en sorte que vous et moi ayons le pouvoir d'accorder la permission aux entreprises.

    Lorsque nous examinons cette question, je tiens à souligner que la loi ou les entreprises devront vérifier l'âge des utilisateurs. Nous avons déjà des entreprises qui disent que pour s'assurer que les enfants ne regardent pas ce contenu, on devra fournir une pièce d'identité avec photo, une pièce d'identité avec photo délivrée par le gouvernement de la mère, du père et des enfants.

    Tout ce qu'ils font, c'est recueillir ces renseignements. Pourquoi devrions-nous croire qu'ils vont les protéger mieux que les renseignements qu'ils ne protègent déjà pas bien? C'est tellement complexe. C'est pourquoi nous vous demandons de bien vouloir faire participer notre organisme, les organismes de mes collègues et les personnes qui comprennent réellement ce problème d'un point de vue opérationnel.

    Jim Balsillie a déclaré lors de notre réunion qu'avant, les enfants pouvaient retourner se consoler dans leur chambre à la fin d'une dure journée d'école.

    Pouvons-nous revenir, au Canada, à une situation où les enfants sont à nouveau vraiment libérés de la technologie? En tant que législateurs, pouvons-nous les aider à y parvenir?

    Je suis très heureuse de voir récemment des enfants de mon quartier, âgés de sept, huit ou dix ans, se promener sans un parent à leurs côtés, sans un adulte. Aux États-Unis, des experts en psychologie ont récemment publié un rapport selon lequel les enfants souffrent parce qu'ils n'ont pas l'occasion d'aller jouer dehors. Ils doivent pouvoir grimper à un arbre et tomber. Ils ne recommenceront pas. Ils apprennent à reconnaître leurs limites. Ils en ont besoin.

    Je pense qu'il s'agit d'une décision de politique publique qui incombe à tous les paliers de gouvernement du pays. Il ne suffit pas d'enseigner la citoyenneté numérique aux enfants à l'école, de les nourrir et de leur donner des appareils numériques. Enlevez-leur ces appareils et faites‑les réfléchir à nouveau. Dites-leur d'aller jouer. Dites-leur d'aller courir et jouer, et d'être des enfants. Ne mettez pas le numérique au centre de tout, comme si vous alliez être exclus si vous n'utilisez pas ces technologies. Laissez‑les être des enfants. Je dirais même, revenez au papier et au crayon. C'est beaucoup plus privé. La vieille méthode...

    Je vous remercie pour le temps que vous nous accordez.

    Merci beaucoup.

    Monsieur Hatfield, je vous laisse faire le dernier commentaire de ce tour.

    J'aimerais simplement dire que la meilleure façon de protéger les données des jeunes est d'offrir à chacun l'option d'un niveau très élevé de protection des données.

    Si une personne indique qu'elle est mineure lorsqu'elle s'inscrit, appliquez par défaut le niveau de protection le plus élevé et ne le modifiez pas jusqu'à ce que l'utilisateur ne soit plus un mineur.

    Merci.

    Monsieur Gaheer, la parole est à vous.

    Merci, monsieur le président.

    Je remercie tous les témoins d'avoir pris le temps de comparaître devant ce comité. Mes premières questions s'adressent à M. Lawford.

    J'ai écouté vos observations liminaires. J'ai été un peu déconcerté.

    Je ne poserai qu'une seule question, car j'en ai d'autres pour les autres témoins.

    Vous avez mentionné quelque chose à propos des activités d'affaires, à savoir qu'il existe une exception. Les renseignements peuvent être utilisés à l'insu ou sans le consentement de la personne s'ils sont utilisés en vue d’une activité d’affaires. Vous avez dit que ces renseignements pouvaient être utilisés contre des personnes. Est‑ce exact? C'est ce que vous avez dit dans vos observations liminaires?

    Oui. C'est là que l'on retrouve des litiges avec les entreprises concernant la nécessité de recueillir certains renseignements pour un achat. Si vous allez chez Tim Hortons et que vous voulez commander votre café pendant que vous faites la queue, pour qu'il soit prêt lorsque vous arrivez au guichet, ont‑ils besoin de me suivre ensuite dans toute la ville parce que c'est ce qui est prévu par défaut dans le logiciel?

    C'est ce genre de choses. L'opinion de Tim Hortons diffère de la mienne quant à la nécessité de ce suivi.

    Je suis désolé de vous interrompre.

    Je regarde la loi elle-même, le projet de loi. Il contient des garanties claires. Il stipule que les renseignements peuvent être recueillis à leur insu et sans leur consentement s'ils sont utilisés aux fins d'une activité d'affaires, mais l'alinéa 18(1)a) proposé stipule que des conditions s'appliquent. L'une d'entre elles est qu'une « personne raisonnable s’attendrait à la collecte ou à l’utilisation » — de ces renseignements — « en vue d’une telle activité ». Plus important encore, l'alinéa b) proposé stipule que « les renseignements personnels ne sont pas recueillis ou utilisés en vue d’influencer le comportement ou les décisions de l’individu ».

    Le projet de loi lui‑même prévoit clairement des garde-fous en vertu desquels les renseignements recueillis ne peuvent pas être utilisés contre la personne concernée.

    En effet.

    Je pense que la réponse des entreprises serait que nous ne nous servirons pas des renseignements personnels au détriment des gens. Nous allons leur offrir des avantages. Nous avons un nouveau latté à la citrouille épicée. Nous allons vous donner un coupon pendant que vous attendez en file. Certaines personnes pourraient l'accepter. D'autres pourraient se dire que c'est inquiétant. Le problème vient du fait que la première norme que vous mentionnez au paragraphe 18(1) est une norme objective. Si cela me dérange personnellement, je ne peux pas dire « non, cela me dérange personnellement, et je ne veux pas vos coupons ». À l'heure actuelle, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, la décision est plus subjective, et personnelle. Je ne vous donne tout simplement pas mon consentement.

    Ce que j'essayais de dire, c'est qu'on inverse les choses.

    Quelle est l'autre solution alors?

    Supprimeriez-vous simplement l'article?

    Oui, je supprimerais l'article 18.

    Qu'en est-il du fait qu'on nuit à l'innovation, qu'on nuit aux entreprises, et qu'il faut trouver ce difficile équilibre?

    Je ne suis pas d'accord avec cette idée, car les entreprises fonctionnent très bien à l'heure actuelle. Je ne vois pas en quoi la loi actuelle nuit à l'innovation. Il se peut que le Conseil canadien des chefs d'entreprises ait eu un point de vue différent l'autre jour.

    Si on supprime l'article 18 qui est proposé... Il faut mentionner que cet article 18 n'était pas dans le projet de loi C-11. Apparemment, le ministère n'avait pas besoin de toutes ces exceptions dans la première version. Cet article s'y trouve maintenant. Je dis simplement de le supprimer, car les entreprises se débrouillent bien à l'heure actuelle. Je pense qu'en supprimant le droit général de consentement subjectif à tous les Canadiens, cela va très loin. C'est pourquoi je veux voir beaucoup de limites à l'innovation avant qu'on supprime ce droit.

    Ce projet de loi a fait l'objet de beaucoup de consultations pendant quatre ans auprès des entreprises, de la société civile et aussi des chercheurs. Nous améliorons énormément les pouvoirs d'application de la loi, et nous augmentons les exigences pour les entreprises.

    Ma prochaine question s'adresse à M. Konikoff.

    Au sujet du tribunal, Michael Geist nous a dit qu'il pourrait accélérer et améliorer l'accès à la justice s'il était « validement constitué ». On prévoit qu'il devra être composé d'au moins trois spécialistes en protection des renseignements personnels. Il pourrait parvenir à des règlements plus rapides et plus spécialisés que nos tribunaux traditionnels. En tant qu'avocat, c'est très important pour moi.

    Dans votre déclaration liminaire, vous avez dit vouloir que les membres du tribunal ne soient plus nommés sur recommandation du ministre, qu'il n'ait plus ce pouvoir. Est-ce que cela veut dire que vous appuyez la création du tribunal?

    De quelle manière souhaiteriez-vous que le tribunal soit constitué?

    Je pense que la question de savoir si j'appuie la création du tribunal est contestée.

    Il semble y avoir un problème fondamental du côté de son indépendance. Comme le ministre aurait la capacité de nommer ce qui équivaudrait essentiellement à, comme je l'ai écrit ici, des bureaucrates, et non pas des juges indépendants ou des agents indépendants du Parlement, cela rendrait très difficile de pouvoir affirmer que le tribunal est indépendant, si jamais il voit le jour.

     Je regarde le temps.

    Comment procéderiez-vous alors?

    Mon rôle consiste à souligner les problèmes de ce genre, et non pas nécessairement à repenser entièrement un texte législatif.

    Je vous remercie.

    Je vous remercie.

    Merci beaucoup.

    Monsieur Généreux, vous avez la parole.

    Merci, monsieur le président.

    Excusez-moi, j’ai dû aller prononcer une allocution à la Chambre, alors j’ai peut-être manqué des choses entretemps. Je voudrais éviter qu’on répète des éléments qui ont déjà été dits en mon absence. Cela dit, monsieur Lawford et madame Sai, j’aimerais vous poser des questions pour faire suite à la question de M. Gaheer concernant le tribunal que le projet de loi vise à créer.

    J’ai beaucoup de respect pour M. Balsillie, que le Comité a reçu mardi, et pour M. Geist, qui a comparu la semaine dernière. Je fais une parenthèse pour dire que, jusqu'à maintenant, personne n’a parlé positivement de ce projet de loi. Je pense donc que nous avons un sérieux problème.

    Au-delà de cela, monsieur Lawford et madame Sai, vous dites qu'on devrait enlever du projet de loi les dispositions visant à créer un tribunal, parce que cela pourrait ralentir le processus si jamais des poursuites ou des actions devaient être intentées après l'entrée en vigueur du projet de loi.

    Pouvez-vous préciser votre pensée là-dessus?

    Je vais répondre en premier et Mme Sai pourra compléter ma réponse.

    Selon le présent régime, une décision est rendue directement par le commissaire à la protection de la vie privée du Canada. Le processus dure environ un an, dans le cas de grandes enquêtes.

    Seulement en me basant sur l'expérience du Tribunal de la concurrence, j'estime que cette étape ajoutée prolongera d'un an à un an et demi le processus. De plus, cela favorisera les compagnies qui interjettent appel à l'encontre d'une décision du commissaire. Je n'y vois pas d’avantages pour les consommateurs, qui sont normalement les bénéficiaires des décisions du commissaire.

    Tantôt, madame Sai, vous avez fait une comparaison avec du carburant pour fusée, mais j’ai oublié le reste de la phrase. Vous disiez qu'on jetait de l'huile sur le feu, d'une certaine manière. Je ne me souviens pas exactement à quoi vous faisiez allusion, mais je pense qu'il s'agissait de l'article 39 proposé dans le projet de loi.

    Faites-vous référence à l'article 39 proposé, qui porte sur les « Fins socialement bénéfiques »?

    Oui.

    Quand j'ai parlé de l'article 39 proposé, j'ai dit qu'il sert en fait à affaiblir la transparence et la confiance de la population à l'égard de nos institutions publiques pour deux raisons.

    Premièrement, il exige que les entreprises dépersonnalisent les renseignements personnels avant de les transférer à une institution publique. Cela signifie qu'elles n'ont pas à respecter les exigences en matière de connaissance ou de consentement tant qu'elles dépersonnalisent les renseignements. Deuxièmement, l'article 39 proposé permet au ministre de recommander que cette exception à l'obligation de connaissance et de consentement soit appliquée à d'autres entités publiques et à de nouvelles fins socialement bénéfiques. On entoure ainsi d'un mystère injustifié la manière dont les institutions publiques obtiennent des informations personnelles du secteur privé pour les utiliser dans les décisions politiques qui nous affectent tous.

    Merci beaucoup.

    J'aimerais maintenant m'adresser à M. Hatfield, d'OpenMedia.

    Au début de votre intervention, vous avez dit que l'intelligence artificielle allait avoir des répercussions encore plus importantes sur la vie des gens que n'en avait eu l'apparition d'Internet, il y a environ 30 ans. Que vouliez-vous dire par là, exactement?

    Nous sommes à un drôle de moment où personne ne sait trop comment l'intelligence artificielle générative va évoluer. Il y a d'énormes désaccords à ce sujet. Lorsque j'ai mentionné ce point de vue, c'était l'avis d'environ un tiers de notre communauté, qui disait que les répercussions seraient comparables ou supérieures à celles d'Internet.

     Environ 80 % de notre communauté pensait que les répercussions seraient plus importantes que celles des téléphones intelligents. Comme je représente OpenMedia, je me situe quelque part entre plus que les téléphones intelligents et comparables à l'Internet. Cela pourrait être faux, mais je pense que nous devons nous préparer à une série de possibilités, qui pourraient inclure, honnêtement, que l'intelligence artificielle remplace en grande partie l'Internet tel que nous le connaissons, et que la plupart des informations nous arrivent par l'entremise d'un outil d'intelligence artificielle qui nous parle dans notre langue.

    Merci beaucoup.

    Monsieur Sorbara, vous avez la parole.

    Je vous remercie, monsieur le président.

    Je souhaite la bienvenue à nos témoins.

    Je m'excuse d'avoir manqué le début de la réunion. J'ai néanmoins quelques questions.

    Je vais commencer par M. Andrey, de l'Université métropolitaine de Toronto. Vous avez une idée, je crois, des amendements que vous pourriez ou allez proposer au sujet de la loi sur l'intelligence artificielle et les données. De plus, j'aimerais que vous nous donniez votre opinion sur la loi en général.

    Bien sûr. Je pense que le projet de loi a besoin de beaucoup d'amendements et d'améliorations. Je pense que certains ont déjà été déposés par le ministre, et plusieurs présentent des améliorations notables par rapport à la version actuelle.

     J'aimerais me concentrer sur les points que je n'ai pas encore soulevés.

     Je pense que le modèle actuel est très axé sur les vérifications que les organisations effectueront probablement elles-mêmes pour déterminer les risques et les préjudices. La vérification à l'aide de l'intelligence artificielle n'est pas encore une pratique codifiée. On ne sait même pas encore très bien quel domaine d'expertise devrait effectuer ces vérifications. S'agit-il d'informaticiens, de comptables, d'avocats? Il faudra du temps pour développer cette pratique, et cela devra être accompagné de normes solides.

    Ensuite, le projet de loi actuel ne prévoit pas de mécanisme de plainte. Il ne dit pas comment le ministre établira les motifs de croire qu'une enquête est nécessaire. Il n'y a pas de mesures de protection des divulgateurs. Il n'y a pas de possibilité d'effectuer des vérifications préventives. Je pense que ma plus grande réserve au sujet de la loi se trouve dans son modèle de réglementation, et je pense que ces éléments peuvent être corrigés.

    Je vous remercie.

    Je vais passer au Conseil du Canada de l'accès et la vie privée. Le Comité tient cette réunion aujourd'hui, et une grande réunion sur l'intelligence artificielle a lieu aussi en Europe, à laquelle assistent tous les dirigeants, britannique, italien, etc.

     J'aimerais savoir ce que vous pensez de la loi sur l'intelligence artificielle. Je crois qu'il y avait un document daté du 14 avril 2023 dans lequel on disait que l'Union européenne deviendrait probablement la norme mondiale de facto pour les systèmes d'intelligence artificielle générative à usage général. Je suis peut-être très humble à ce sujet, mais vu la vitesse à laquelle l'intelligence artificielle et d'autres formes de nouvelles technologies se développent, je ne sais pas combien de personnes les comprennent réellement.

     Il y a plusieurs mois, nous étions en Europe en tant que présidents de l'Association parlementaire Canada-Europe. Des gens de Montréal y étaient aussi et nous ont présenté des exposés.

    C'est très compliqué, mais j'aimerais savoir ce que vous pensez de la loi sur l'intelligence artificielle proposée par l'Union européenne et où cela mènera non seulement l'Union européenne, mais le monde entier, parce qu'il semble y avoir des « précurseurs », si je peux utiliser ce terme.

     Je pense que chaque pays veut être le premier. Comme on l'a demandé plus tôt, est-ce le bon choix? Le Canada va de l'avant, mais quels seront les avantages, et ce qui est plus inquiétant, quels seront les préjudices?

    En ce qui concerne l'Union européenne et le Royaume-Uni, il est vrai qu'ils ont réfléchi et mené de nombreuses consultations, mais je pense qu'il est important de ne pas considérer ces textes législatifs de manière isolée, car nous avons des réglementations robustes en matière d'intelligence artificielle émanant du même pays qui vient d'adopter ce que l'on a nommé par euphémisme « Online Safety Act » ou loi sur la sécurité en ligne qui exige que tous les contenus soient surveillés, y compris les vôtres, parce qu'Internet est un réseau mondial.

     Comment protéger quoi que ce soit lorsque l'intelligence artificielle est derrière la scène? L'intelligence artificielle est utilisée dans ces bâtiments, dans les aéroports et dans les centres commerciaux. Elle est déjà partout.

     Oui, ils ont une longueur d'avance sur le Canada. Est-ce la bonne direction? C'est certainement mieux que le projet de loi C-27. Il n'y a pas de désaccord à ce sujet, que ce soit dans la réunion aujourd'hui ou dans nombre de témoignages précédents que vous avez entendus. Nous pouvons regarder du côté de nos homologues européens. Ils sont sur une meilleure lancée. C'est à peu près toute la générosité dont je peux faire preuve pour l'instant.

    Merci.

    C'est tout pour moi, monsieur le président.

    Merci beaucoup.

    Monsieur Savard‑Tremblay, vous avez la parole.

    Merci, monsieur le président.

    Ma prochaine question s'adresse à M. Lawford.

    Lors de certains témoignages et de certaines rencontres avec des gens du milieu, on nous a exprimé un grand malaise devant le manque de détails dans la partie 3 du projet de loi C‑27, celle qui édicte la Loi sur l'intelligence artificielle et les données, ainsi que devant la responsabilité pénale qu'elle impose aux entreprises qui utilisent des systèmes d'intelligence artificielle à incidence élevée.

    Dans quelle mesure croyez-vous qu'il faudra clarifier tout cela, si on veut promouvoir une plus grande confiance et une plus grande aisance parmi les entreprises, et plus particulièrement les PME, tout en maintenant des dispositions de protection rigoureuses? Où est l'équilibre, en fait?

    Le fait qu'on distingue les grandes entreprises des petites et moyennes entreprises me pose problème, parce que, dans le cas des systèmes les plus intrusifs, je doute que la taille de l'entreprise soit importante. Disons qu'on ouvre un nouveau gymnase muni de plusieurs capteurs, par exemple. Que ce soit une toute petite entreprise très innovante ou bien une grande entreprise comme GoodLife Fitness, quelle serait la différence pour la personne dont les données seraient recueillies un peu partout afin d'établir son profil et sa localisation?

    Je crois que le commissaire à la protection de la vie privée est la personne la mieux placée pour évaluer la nécessité d'établir une amende plus élevée pour certaines entreprises, et je suis convaincu qu'on va choisir le montant approprié à chaque cas particulier. De plus, le tribunal pourra déterminer si c'est un fardeau trop lourd pour les petites et moyennes entreprises.

    Je ne sais pas si cela répond à votre question.

    En 30 secondes, je n'aurai pas le temps d'en formuler une autre, alors je vous remercie.

    D'accord, merci.

    Merci beaucoup, monsieur Savard‑Tremblay.

    Ce serait normalement au tour de M. Masse, mais il a dû partir un peu plus tôt. Il a consenti à me donner son temps de parole. Je vais donc en profiter pour vous poser quelques questions, moi aussi.

    Je vais simplement me faire l'écho de certaines des préoccupations soulevées par mon collègue, M. Van Bynen, au sujet de la lassitude à l'égard du consentement et renchérir sur les propos de M. Perkins en ce qui concerne le contrat de Zoom, dont les modalités peuvent être modifiées à la discrétion de l'organisation.

    À mon avis, dans le contexte des activités en ligne, il est un peu exagéré de dire qu'il y a consentement puisqu'il existe un grand déséquilibre de pouvoir entre l'utilisateur et l'organisation. Nous ne pouvons pas dire qu'il y a une entente lorsque les avocats spécialisés en protection de la vie privée ne se donnent même pas la peine de lire les conditions. Je suis moi-même avocat. Je n'ai pas pratiqué le droit depuis un certain temps, mais je ne lis pas les conditions, et nous devons utiliser ces applications dans notre vie quotidienne.

    À mon sens, le rôle du législateur est de trouver un équilibre pour les consommateurs, un peu comme dans le cas d'un propriétaire et d'un locataire, où les conditions sont très clairement définies. Je retiens de vos interventions que cet équilibre n'a pas été atteint dans ce projet de loi. Qu'est‑ce qui serait absolument essentiel pour établir l'équilibre recherché?

    Allez‑y, monsieur Hatfield.

    Je suis heureux que vous reveniez à la notion de lassitude à l'égard du consentement, car c'est ce que bon nombre d'entre nous ressentent la plupart du temps, mais pas toujours. C'est là que le consentement continu est très important. Il s’agit d’avoir le pouvoir de déterminer essentiellement les paramètres de confidentialité au moyen d'un tableau de bord simple et facile à comprendre. Ainsi, je peux faire mon choix avant de commencer à utiliser le service ou — et c’est un point crucial — je peux revenir après avoir utilisé le service pendant un certain temps et dire: « J’ai changé d’avis. J'ai donné mon consentement par lassitude lorsque je me suis inscrit pour la première fois. J'ai fini par cliquer sur quelque chose que je n'aurais pas dû, mais maintenant que j'y ai réfléchi, j'ai la présence d'esprit de dire que je ne veux plus les paramètres les plus permissifs. »

    Il est donc très important également d'avoir la possibilité de révoquer mon consentement ou, du moins, de restreindre la façon dont mes données sont utilisées jusqu'à maintenant.

    Y a‑t‑il d'autres observations?

    Allez‑y, monsieur Konikoff.

    Merci. J'ai une brève observation à faire à ce sujet.

    Pour ce qui est de la lassitude à l'égard du consentement, c'est peut-être quelque chose que le secteur privé pourrait essayer de combattre en trouvant des façons novatrices de mettre au point du matériel plus attrayant ou plus facile à lire et à comprendre. Je crois que cela permettrait aux gens de donner un consentement plus éclairé et plus valable.

    Je pourrais citer le travail de certains universitaires de l'Université York, comme Jonathan Obar. Il travaille à un projet visant à rendre plus conviviales les politiques de consentement et de protection de la vie privée en employant des termes que les utilisateurs peuvent comprendre. S'il s'agit d'une application qui est principalement utilisée par des adolescents qui regardent des mèmes, il faut intégrer le langage des mèmes au contrat de consentement de l'utilisateur. Adapter le libellé du consentement en fonction de l'utilisateur est une façon de contourner le problème.

    Si vous me le permettez, j'aimerais ajouter quelque chose. À l'heure actuelle, nous avons déjà un problème parce que certaines personnes parlent de lassitude à l'égard du consentement, mais avant même de consulter un site Web, le fait de l'avoir recherché est communiqué à Facebook par l'entremise de Meta Pixel et d'outils cachés auxquels vous n'avez pas la possibilité de consentir ou de refuser votre consentement. Cela se passe en arrière-plan. Même si, comme M. Hatfield l’a proposé, vous avez la possibilité de retirer votre consentement, cela ne change pas grand-chose pour les dizaines et les centaines d’organisations de l’industrie du courtage de données qui soumissionnent et échangent vos renseignements. Vous n'avez pas de relation directe avec elles. Vous n'avez aucun contrôle.

    Je pense que la loi doit imposer des interdictions très claires à l'industrie en disant qu'elle a le droit de faire certaines choses et en énumérant les types de choses — sans trop les préciser — qu'elle ne doit pas faire, notamment l'utilisation d'interfaces truquées — c'est‑à‑dire la tendance à demander si on est vraiment certain de ne pas vouloir donner son consentement et si on veut y repenser — ou l'utilisation de couleurs. Il y a eu beaucoup d'études sur ce genre de tactiques. C'est manipulateur. Que ce soit pour des adultes ou des enfants, peu importe l'intelligence, l'éducation ou la compétence, c'est de la manipulation. Voilà donc une autre pratique qu'il faut interdire au Canada.

    Allez‑y, madame Sai.

    Tout d'abord, j'aimerais aborder la question de savoir si nous établissons un équilibre entre les intérêts commerciaux et la protection de la vie privée des gens. Je pense qu'il ne faut pas oublier que les entreprises, surtout les plateformes numériques, exercent déjà un pouvoir et une influence incroyables sur les consommateurs. Il n'y a déjà pas d'équilibre.

    Nous aimerions que le projet de loi accorde la priorité au consentement éclairé des consommateurs, au lieu de le traiter, semble‑t‑il, comme un inconvénient pour les entreprises.

    Pour ce qui est de la lassitude à l'égard du consentement, c'est un concept qui nous choque parce que l'industrie semble s'en servir pour réclamer une réduction progressive du consentement. La question qui semble se poser en ce moment, c'est de savoir pour quels types d'activités commerciales il n'est plus nécessaire d'obtenir le consentement parce que les consommateurs en ont assez des demandes de consentement longues et répétitives. La question que nous devrions nous poser plutôt est la suivante: comment pouvons-nous surmonter la lassitude à l'égard du consentement en trouvant des solutions novatrices qui permettent aux consommateurs de gérer leurs préférences de façon accessible et facile à comprendre? Essentiellement, il s'agit de maintenir le même niveau de contrôle sur le consentement qu'auparavant, mais de nouvelles façons.

    L'expression « fatigue à l'égard du consentement » ne devrait vraiment pas servir d'excuse pour éliminer le consentement fondé sur les attentes en constante évolution des consommateurs, attentes qui sont, en vérité, façonnées par l'industrie elle-même.

    Merci beaucoup.

    Allez‑y rapidement, monsieur Andrey, car j'ai une dernière question à poser.

    Bien sûr. Je serai bref.

    Pour ce qui est de la lassitude à l'égard du consentement, il y a des exceptions — nouvelles et existantes — qui font que les gens n'ont même pas besoin d'être informés de ce qui se passe. Dans le cas des travailleurs, par exemple, aucune connaissance ni aucun consentement ne sont requis.

    Un autre comité étudie actuellement le risque que TikTok envoie éventuellement nos renseignements personnels en Chine. Le projet de loi ne prévoit aucune limite pour les entreprises canadiennes qui envoient des données en Chine.

    Voilà le genre de mesures de protection que le projet de loi pourrait mettre en place pour assurer une protection comparable afin qu'il ne soit pas nécessaire de lire la longue politique de confidentialité de TikTok pour s'apercevoir qu'elle s'y trouve. À mon avis, ce n'est pas seulement une question de consentement. Il s'agit aussi d'instaurer des mesures de protection par défaut.

    Merci beaucoup.

    J'ai une dernière petite question à poser.

    Monsieur McSorley, vous avez mentionné les articles 47 et 48 proposés concernant la sécurité nationale — en particulier, l'article 47. Pouvez-vous répéter en quoi cela diffère de la Loi sur la protection des renseignements personnels et les documents électroniques? Aux termes de l'alinéa 7(3)d) de la Loi sur la protection des renseignements personnels et les documents électroniques, une organisation qui soupçonne qu'une activité constitue une menace pour la défense nationale peut quand même communiquer cette information.

    Pouvez-vous répéter en quoi consiste la différence?

    Je n'ai pas parlé de la différence parce qu'en fait, il s'agit de la même chose. Nous croyons simplement que cela ne devrait pas se poursuivre dans le cadre de ce nouveau projet de loi. Nous avons soulevé ces préoccupations lors de l'examen et lors des consultations précédentes sur la Loi sur la protection des renseignements personnels et les documents électroniques. Par conséquent, il s'agissait déjà d'une exception problématique. Nous ne croyons pas... C'est un problème que le Comité pourrait régler grâce au projet de loi C‑27.

    C'est très intéressant. Merci beaucoup.

    Merci, tout le monde. Voilà qui conclut la rencontre d'aujourd'hui.

    Je remercie les témoins. C'était très intéressant.

    Je remercie également les interprètes, le personnel de soutien et la greffière du Comité.

    Je souhaite une bonne soirée à tout le monde. La séance est levée.