Délibérations du sous-comité des
Communications
Fascicule 3 - Témoignages
OTTAWA, le lundi 12 juin 2000
Le sous-comité des communications du Comité sénatorial permanent des transports et des communications se réunit aujourd'hui à 11 h 07 pour examiner les politique pour le XXIe siècle concernant les technologies des communications, ses conséquences, la concurrence et l'impact pour les consommateurs.
Le sénateur Marie-P. Poulin (présidente) occupe le fauteuil.
[Traduction]
La présidente: Je précise, à l'intention de nos témoins, que ce sous-comité du Comité des transports et des communications poursuit son étude spéciale sur la révolution dans les secteurs des communications et des télécommunications. Cette étude, intitulée «Convergence, concurrence et consommateur» est l'examen, en trois volets, de cette étude spéciale. Cette première partie s'attache à déterminer où nous en sommes au point de vue de la mise en oeuvre des nouvelles technologies et de l'application des connaissances nécessaires pour pouvoir prendre part à cette révolution. Dans cette première partie nous examinerons également les questions liées à la protection des renseignements personnels et aux préoccupations que les Canadiens éprouvent à cet égard malgré les nouvelles dispositions législatives qui viennent d'être adoptées.
Nous savons déjà que vous allez, dans votre intervention, évoquer une des principales activités en ce domaine, à savoir les transactions financières des particuliers et des entreprises canadiennes. Vous allez également nous parler du commerce électronique et du fait que d'ici l'année 2003 le Canada entend se lancer pleinement dans cette nouvelle forme de commerce.
Je tiens à accueillir tout spécialement M. Shaughnessy, M. Howey et M. Braidwood. Monsieur Shaughnessy, puis-je vous demander de nous présenter vos collègues.
[Français]
J'aimerais aussi vous remercier de prendre le temps de venir nous adresser la parole. Nous somme très conscients du fait que les Canadaiens et les Canadiennes sont très concernés par cette question de la confidentialité des informations qui sont partagées suite aux nouveaux moyens de communication qui existent aujourd'hui. Nous aimerions savoir où les banques canadiennes ont l'intention de se diriger et aussi en ce qui a trait aux questions de commerce dans lesquelles tous les Canadiens sont impliqués.
[Traduction]
M. Kelly Shaughnessy, vice-président, Opérations bancaires, Association des banquiers canadiens: Je vous remercie de nous donner aujourd'hui l'occasion de vous exposer le point de vue du secteur bancaire sur des enjeux reliés aux communications, notamment en matière de protection des renseignements personnels et de sécurité dans la nouvelle économie. Même si nous n'appartenons pas au secteur des communications, nos banques membres sont d'importants utilisateurs de réseaux de télécommunications. En 1999, les grandes banques comptaient plus de 2,5 millions de clients usagers des services bancaires par ordinateur et ce nombre continue d'augmenter rapidement. Il est primordial que les banques disposent de renseignements complets sur leurs clients pour les aider à atteindre leurs objectifs financiers.
L'ABC procure à ses membres, les banques du Canada, des services d'information, de recherche, de conseil et de soutien éducatif et opérationnel. Fondée en 1991, l'ABC représente 49 banques -- huit banques de l'annexe I ayant leur siège social au Canada et 41 banques de l'annexe II, dont la plupart sont des filiales de banques étrangères.
Le secteur bancaire évolue rapidement, surtout à cause du rythme rapide des changements technologiques et, plus particulièrement, des nouvelles exigences des clients que suscite la technologie. La nouvelle technologie permet aux banques et à leurs filiales de répondre à la demande accrue de services financiers dont l'accès soit plus pratique. En 1999, l'investissement des banques dans la technologie a atteint 2,8 milliards de dollars. Une dépense aussi importante est nécessaire, puisque les banques exploitent de multiples canaux de distribution à la fois, les clients n'étant en général pas disposés à renoncer complètement à un canal en faveur d'un autre.
Les services bancaires électroniques ont connu une croissance rapide, stimulée par la demande des consommateurs désirant des services financiers d'une commodité et d'une souplesse accrues. Plus de 85 p. 100 des transactions bancaires courantes s'effectuent actuellement par voie électronique, plutôt qu'en personne.
Selon un rapport sur la technologie préparé en 1998 par la firme Ernst & Young, les transactions bancaires par Internet et par ordinateur personnel connaîtront une croissance de 292 p. 100 entre 1998 et 2001. Internet fournit aux banques une occasion d'améliorer leurs services et d'y ajouter de la valeur, par exemple, en offrant un large éventail de produits d'investissement à leurs clients. La banque peut maintenir sa relation avec ses clients et faire de la vente croisée en agissant à titre d'intermédiaire à l'égard de divers produits.
La confiance du client envers les transactions effectuées par Internet est un moteur clé de la croissance du commerce électronique. Cette confiance dépend des solutions apportées aux préoccupations en matière de protection des renseignements personnels et de sécurité des affaires en direct. M. Howey vous entretiendra maintenant de la façon dont le service bancaire s'occupe des questions de protection des renseignements personnels dans le nouveau monde électronique.
M. Norman Howey, directeur, Politiques du secteur financier, Réglementation et affaires de l'entreprise, Banque Canadienne Impériale de Commerce: La protection des renseignements personnels est un élément fondamental de la conduite des activités bancaires et l'a toujours été. Faisant figure de chef de file en matière de protection des renseignements personnels des clients, le secteur bancaire a lancé son premier code en 1986 -- seul code sectoriel à l'époque qui allait au-delà de l'énoncé de principes et stipulait des mesures de protection des renseignements des clients.
En 1996, l'ABC a pris de nouveau les devants, lorsque le Modèle de code de confidentialité de l'ABC est devenu le premier code sectoriel jugé conforme au Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation.
Le Code de l'ABC est axé sur la divulgation complète des renseignements personnels au client et sur le plein contrôle du client sur ses renseignements personnels. Le Code de l'ABC prévoit notamment que le client a le droit de refuser de consentir, au moment d'une demande de service ou de produit bancaire, à ce que l'on utilise ses renseignements personnels à d'autres fins et peut retirer son consentement à n'importe quel moment par la suite. Il prévoit en outre que la banque doit obtenir le consentement du client avant de partager avec ses filiales des renseignements personnels le concernant, que la banque reconnaît la nature délicate des renseignements personnels d'un dossier médical, surtout dans le cas des filiales d'assurance et que ce type d'information ne circule pas entre la banque et ses filiales d'assurance, ni toute autre filiale ou société affiliée. Le code fournit en outre au client un mécanisme de règlement des plaintes; le dernier recours est l'Ombudsman bancaire canadien (OBC).
Le code prévoit également que la banque exerce une surveillance par le biais de sa fonction de surveillance de la conformité ou de son processus de vérification interne. Des rapports sur les résultats d'examens réguliers sont présentés à un comité du conseil d'administration de la banque. Le code prévoit également que la banque recueille des renseignements afin de mieux servir ses clients mais qu'elle ne vend pas ces renseignements à des tiers.
Reconnu comme un modèle solide et complet, tant à l'échelle nationale qu'internationale, le Code de la CSA a été intégré sous forme d'annexe au projet de loi C-6 afin d'énoncer les principes de protection des renseignements personnels. Le secteur bancaire appuie entièrement ce projet de loi qui confère également une reconnaissance juridique aux documents électroniques, et d'autres initiatives de réglementation qui favoriseront la croissance soutenue du commerce électronique.
L'ABC souscrit aussi aux Principes régissant la protection des consommateurs dans le commerce électronique, rendus publics l'an dernier par Industrie Canada. Ces principes énoncent des mesures qu'un vendeur responsable devrait mettre en place pour bien informer et protéger ses clients qui utilisent son site sur la Toile. Ces principes stipulent que le consentement du client à un contrat doit être parfaitement éclairé et intentionnel, que le commerçant doit veiller à la protection et à la sécurité des renseignements personnels et que tout problème relatif à une transaction doit pouvoir se résoudre aisément. La participation active du secteur bancaire, ainsi que d'autres intervenants, dans le développement de ces principes témoigne de notre engagement soutenu envers la protection des renseignements personnels dans tous les canaux de distribution, le Modèle de code de confidentialité de l'ABC est en accord avec ces principes.
L'ABC publie des brochures qui peuvent être utiles aux consommateurs qui utilisent Internet. Vous en trouverez des exemplaires dans votre documentation.
La brochure «Protéger ses intérêts» est un guide de protection des consommateurs, qui énonce les obligations de la banque envers son client, comment le client peut se protéger et comment il peut résoudre ses problèmes par nos mécanismes de recours. Elle comprend des conseils de sécurité sur la conduite des transactions en direct. Ces conseils sont fondés sur les Principes régissant la protection des consommateurs dans le commerce électronique, compilés par Industrie Canada.
L'ABC a aussi produit une brochure intitulée: «Le commerce électronique -- Une réalité» qui sert de guide aux entreprises et aux consommateurs intéressés à effectuer des transactions commerciales dans Intenet. Par exemple, la brochure aborde un certain nombre de préoccupations de consommation telles que la protection de la confidentialité ainsi que la protection et la sécurité des consommateurs. On peut aussi se procurer ces publications à notre site Web: www.cba.ca.
J'ajoute que l'Ombudsman bancaire canadien a également publié une brochure expliquant son rôle en matière de règlement des plaintes. Cette information se trouve sur le site sur la Toile de l'Ombudsman: www.bankingombudsman.com.
L'ABC parraine actuellement, de concert avec Industrie Canada, la Chambre de commerce du Canada et l'Institut canadien des comptables agréés, une série de séminaires sur le commerce électronique, qui fournit de l'information aux propriétaires de petites et moyennes entreprises désirant commercialiser leurs biens et services via Internet. Vous trouverez plus d'information sur ces séminaires dans votre documentation.
Dans le nouveau monde électronique, la protection des renseignements personnels des clients des banques sera assurée. Les banques continueront de respecter le droit de chaque client à la protection de ses renseignements personnels, tout en répondant aux besoins de leurs activités bancaires légitimes.
M. Braidwood va maintenant vous dire quelques mots sur les mesures que le secteur bancaire prend pour renforcer la sécurité des transactions bancaires électroniques.
M. David Braidwood, premier directeur, Sécurité et normes, Banque Royale du Canada: La sécurité est également essentielle pour assurer la croissance du commerce électronique. Sans elle, il est impossible d'assurer la protection des renseignements personnels et de la vie privée. Les banques, de même que les autres institutions financières, ont toujours fait figure de chefs de file dans l'utilisation de la technologie et des techniques de sécurité connexes. Depuis de nombreuses années, nous avons recours à des techniques de sécurité de pointe, qui reposent sur ce que j'appelle la cryptographie traditionnelle, pour protéger les données circulant sur les réseaux informatiques.
La cryptographie est en effet le principal outil employé par les banques pour protéger les transactions électroniques. En termes très simples, la cryptographie traditionnelle permet d'atteindre les objectifs de sécurité au moyen de la technique du chiffrement et les objectifs d'intégrité, au moyen de la technique de l'authentification de message. Ces méthodes sont utilisées dans le cadre du réseau Interac, le premier du monde.
La technique de sécurité appropriée dans le cas d'Internet est un nouveau type de cryptographie, appelée cryptographie à clé publique. Chaque participant possède une paire de clés interreliées: une clé publique et une clé privée. Ce type de cryptographie comporte aussi un nouveau concept: les signatures numériques. Celles-ci permettent d'identifier les parties intéressées et c'est, en matière de sécurité, le rôle double d'identification et d'authentification. Elles permettent d'assurer que la transaction a bien eu lieu. Il s'agit là de l'aspect non-répudiation. Et, enfin, elles permettent de confirmer que le message n'a pas été modifié. C'est l'aspect intégrité.
Pour assurer l'implantation intégrale de la cryptographie à clé publique, nous devons mettre sur pied une infrastructure à clé publique. Il s'agit d'un système officiel de politiques, d'outils et de techniques qui sert à implanter la cryptographie à clé publique de manière à assurer certains niveaux de sécurité et d'interopérabilité. L'infrastructure à clé publique fait intervenir les concepts de certificat numérique et d'autorité de certification. Avant de continuer, j'aimerais définir certains de ces termes.
Un certificat numérique est l'équivalent électronique d'une pièce d'identité, comme un passeport ou un permis de conduire, qui lie son propriétaire à une clé publique et, par la suite, à la clé privée correspondante.
Une autorité de certification est une entité digne de confiance qui possède les connaissances nécessaires pour émettre et vérifier les certificats numériques sur lesquels les partenaires commerciaux peuvent se fier. Une signature numérique est une signature électronique associée à un message qui, combinée à un certificat logiciel, authentifie l'expéditeur du message, garantit l'intégrité du message et assure que le destinataire a bien reçu le message.
Le rôle de l'autorité de certification est d'agir à titre d'émetteur du certificat numérique et de dépositaire en direct de renseignements à jour sur la validité du certificat. Avant d'émettre un certificat, l'autorité de certification authentifie avec diligence raisonnable l'identité de l'entité ou de la personne à laquelle le certificat est émis. En outre, l'autorité de certification valide continuellement les certificats et les révoque ou les renouvelle au besoin.
Les banques du Canada sont à implanter leurs propres infrastructures à clé publique et leurs propres autorités de certification. De plus, les banques participent actuellement, par le biais de l'Association canadienne des paiements, au développement d'une infrastructure à clé publique financière canadienne qui s'appliquerait aux paiements. Cette infrastructure à clé publique favorisera l'interopérabilité entre les infrastructures à clé publique de chaque banque, de même qu'entre les infrastructures à clé publique des banques et les autres infrastructures à clé publique, telles que celles que le gouvernement du Canada et les infrastructures à clé publique des autres pays. En vertu du cadre de l'ACP, les membres adhérents émettront des certificats numériques à l'intention de leurs clients. Ces certificats serviront à garantir l'authenticité et l'intégrité des données transmises par Internet et à éviter qu'un client nie avoir reçu le message initial. L'Association canadienne des paiements agira à titre d'autorité de certification d'origine ou servira de pont entre les infrastructures à clé publique de chaque banque.
On aura de plus recours aux services d'infrastructure à clé publique pour protéger les transactions financières électroniques, qu'il s'agisse d'un petit achat par carte de crédit ou d'un crédit ou placement de plusieurs millions de dollars. Comme extension à ce service, il serait logique que les banques puissent certifier l'échange des contrats irrévocables qui accompagnent la transaction financière et fournir des services supplémentaires, tels que la garde des valeurs électronique. Les banques pourraient donc décider d'émettre des certificats à leurs clients, non seulement pour faciliter une transaction financière, mais aussi pour faciliter d'autres types de transactions. Une fois qu'un Canadien détient un certificat, le projet de loi C-6 énonce les fondements juridiques de la reconnaissance des signatures électroniques reposant sur le fait que ce certificat est largement accepté.
Je vous ai parlé brièvement de la technologie employée par le secteur bancaire pour améliorer la sécurité des transactions électroniques afin de protéger les renseignements du client. Cependant, je souhaite également mentionner que la meilleure défense d'un client contre la fraude dans le commerce électronique est d'agir aussi prudemment qu'il le ferait pour tout autre achat. Lorsque vous achetez un bien ou un service en direct, choisissez des commerçants dignes de confiance et vérifiez la politique de l'entreprise en matière de protection des renseignements personnels ainsi que sa capacité d'assurer la sécurité des transactions, avant de lui fournir en direct le numéro de votre carte de paiement.
Industrie Canada publie deux brochures reposant sur les Principes régissant la protection des consommateurs dans le commerce électronique -- l'une destinée aux consommateurs et l'autre, aux entreprises. Ces brochures fournissent des conseils sur les éléments à rechercher chez un commerçant dans Internet ou sur les mesures qu'un commerçant doit prendre pour se conformer aux principes. Lorsqu'un vendeur ne respecte pas ces principes, il faut se montrer prudent.
Je cède maintenant la parole à M. Shaughnessy qui conclura cet exposé.
M. Shaughnessy: Je tiens d'abord à réitérer que les banques canadiennes ont toujours fait figure de chefs de file en matière de protection des consommateurs et des renseignements personnels ainsi que dans le domaine de la sécurité. Elles ont effectué d'importants investissements dans la technologie afin d'assurer la mise en place de mesures de protection optimales pour préserver la confidentialité des renseignements de leurs clients et la sécurité des transactions électroniques.
Nous appuyons fermement les efforts du gouvernement pour faire du Canada le pays le plus branché du monde et un chef de file dans le développement et l'utilisation du commerce électronique. Le gouvernement doit opter pour une approche souple en matière de législation et de réglementation, comme en témoigne le projet de loi C-6, afin de s'assurer de la croissance soutenue de ce segment vital de l'économie.
Toutefois, certains enjeux subsistent à l'échelle mondiale. Je parle là notamment des questions de compétence, de fiscalité et de signatures électroniques.
Sur la question de compétence: les lois de quels pays s'appliquent à une transaction électronique? Les tribunaux de quels pays ont juridiction dans Internet sur les différends touchant les questions telles que la responsabilité, l'application de la loi et la répudiation? Par exemple, lorsqu'elle fournit un service financier par Internet, une banque offre-t-elle des services financiers à partir de son pays en permettant à des non-résidents d'utiliser ces services ou fournit-elle un service dans un pays étranger où elle doit obtenir un permis commercial? Les questions de compétence doivent être résolues au plus tôt.
En ce qui concerne la fiscalité, maintenant. Comment devrait-on imposer le commerce électronique? Les impôts ne devraient pas être en fonction de la technologie.
Que peut-on accepter à titre de signature électronique? Est-ce assez souple pour soutenir le commerce électronique mondial? Les signatures électroniques devraient être reconnues au-delà des frontières. Nous sommes en faveur d'un appui soutenu du Canada envers l'initiative sur les signatures électroniques de la Commission des Nations Unies pour le droit commercial international.
Le sénateur Finestone: De quel organisme s'agit-il?
M. Braidwood: Il s'agit d'un organisme des Nations Unies qui travaille actuellement sur un projet de directives internationales en matière de signature électronique.
La présidente: Vous aurez l'occasion de nous en reparler.
Puis-je vous demander de bien vouloir conclure votre exposé afin que nous puissions passer aux questions. Cela vous donnera l'occasion d'expliquer certaines des recommandations que vous avez formulées.
M. Shaughnessy: Nous vous remercions de nouveau de nous avoir donné l'occasion d'exposer le point de vue du secteur bancaire sur les questions de protection des renseignements personnels et de sécurité qui sous-tendent le commerce électronique. Nous répondrons volontiers à vos questions.
La présidente: Je vous remercie. Vous aviez parfaitement raison de dire, au début de votre intervention, qu'il faut que les Canadiens fassent confiance à ce nouveau monde branché afin de profiter de toutes les occasions que nous offrent les banques.
Le sénateur Johnson: Des pirates informatiques se sont récemment introduits par effraction sur des sites sur la Toile et y ont propagé des virus informatiques. Comment les banques font-elles pour se protéger contre ce type de terrorisme par ordinateur?
M. Shaughnessy: M. Braidwood est un spécialiste de la sécurité du commerce électronique et c'est à lui que je vais demander de vous répondre sur ce point.
M. Braidwood: Les banques canadiennes, comme je l'ai rappelé lors de mon exposé, sont, au monde, parmi les plus en pointe sur le plan de la sécurité. Il est clair qu'il y a là pour les banques un nouveau défi qui va nous pousser à aller plus loin encore dans la protection de nos systèmes. Cela dit, les moyens techniques existent et nous avons recours aux plus perfectionnés. Souvent, les attaques dont il est fait état, visent des systèmes qui ne sont pas aussi bien protégés que les banques.
Le sénateur Johnson: D'après vous, cet accroissement de la piraterie informatique que l'on semble constater est-il de nature à nuire au développement du commerce électronique? Je sais que ce genre d'incident peut viser toute personne ayant une présence sur la Toile, mais tout le monde a recours aux banques et la cible est donc très vaste.
M. Braidwood: Il y a deux niveaux de protection. Je crois pouvoir affirmer que les banques qui opèrent au Canada sont bien protégées. On a recours à la technique des cloisonnements étanches. Ces cloisonnements qui sont à la base des nouvelles techniques de sécurité ont été longuement étudiés et nous adoptons, à plusieurs niveaux, les techniques les plus poussées.
D'autres que les banques, cependant, pourraient éprouver des difficultés en matière de commerce électronique. Prenons, par exemple, les détaillants qui font affaires sur la Toile. Leur niveau de protection n'est généralement pas aussi élevé que celui des banques. Cela dit, les banques essayent, dans ce domaine, de former les marchands avec qui elles font affaires.
Le sénateur Johnson: Je vais maintenant changer de sujet et vous demander si vous êtes satisfaits de la manière dont fonctionne votre ombudsman? Je serais très curieuse de savoir comment les choses se passent sur ce plan-là.
M. Shaughnessy: Avant d'occuper mon présent poste, j'ai passé plus de 30 ans dans une des banques membres de notre association. J'ai eu l'honneur d'être présent lorsque nous avons convenu avec le Comité de l'industrie de la Chambre des communes de nommer un ombudsman bancaire dans chacune des banques, puis un Ombudsman bancaire canadien, qui est actuellement M. Michael Lauber.
Je pense que le mécanisme ainsi instauré fonctionne très bien. Je m'en suis d'ailleurs assuré il y a quelques semaines auprès de M. Lauber. Dans tous les différends dont il a été saisi depuis l'instauration de cette fonction, aucune banque n'a jamais refusé de donner suite à ses recommandations. Voilà donc un mécanisme qui fonctionne non seulement bien mais qui, je le précise, fonctionne aussi en temps utile.
Le sénateur Johnson: Les gens y ont recours?
M. Shaughnessy: Oui. Selon la procédure normale de règlement des litiges, on essaye de régler la chose au niveau de la succursale ou du service en cause. Si cela ne donne pas les résultats voulus, le client se voit encourager à saisir le palier suivant de la chaîne hiérarchique, disons le directeur régional ou quelque chose comme ça. Ce n'est qu'après cela que l'affaire sera portée devant l'ombudsman de la banque en question. Si le différend n'est toujours pas réglé, l'affaire est alors portée devant les services de l'Ombudsman bancaire canadien, c'est-à-dire M. Lauber. Les mécanismes instaurés me semblent très bien fonctionner. Je crois que tout cela répond de manière satisfaisante aux objectifs que nous nous étions fixés lors de l'instauration de cette procédure.
Le sénateur Johnson: Arrive-t-il que les NIP soient déchiffrés? Les NIP sont-ils vraiment sûrs? Je vous pose la question car, bien sûr, j'utilise couramment un NIP. Cela dit, je vérifie toujours mon solde. Je me préoccupe davantage de cela qu'auparavant.
M. Braidwood: Les NIP sont, techniquement, très sûrs. Je ne connais pas de cas où, au Canada, quelqu'un soit parvenu à déchiffrer un NIP. Il y a eu, bien sûr, des cas où, par des caméras installées, par exemple, quelqu'un avait réussi à soutirer un NIP alors que son propriétaire s'en servait. Dans pareil cas, c'est généralement comme cela que les gens s'y prennent.
M. Shaughnessy: Certaines personnes choisissent un NIP trop personnel, fondé par exemple sur l'adresse ou la date de naissance.
Le sénateur Finestone: Pour donner suite à ce que le sénateur Johnson disait au sujet des NIP, j'ai moi-même réfléchi au risque de violation. Je crois que, comme le sénateur Johnson, la plupart des consommateurs se sont interrogés sur ce point.
J'ai une question sur ce qui se passe quand j'effectue une opération bancaire à un guichet automatique plutôt qu'auprès d'un employé de banque. Un des grands reproches que j'adresserai aux banques c'est que les files d'attente sont trop longues et que les opérations au comptoir prennent trop longtemps. Lorsque j'effectue une opération auprès d'un guichet automatique, j'obtiens un bordereau qui contient les détails de l'opération. Que se passe-t-il si, sans faire attention, je jette ce bout de papier à la poubelle? Si quelqu'un le récupère, peut-il y déceler mon NIP ou mon numéro de compte? Ce bordereau leur permet-il de le faire?
M. Shaughnessy: Je vais vous donner une réponse générale, puis je demanderai à M. Braidwood d'expliquer comment cela se passe à la Banque Royale. En général, non, les numéros figurant sur le bordereau n'ont rien à voir avec votre NIP.
M. Braidwood: La Banque Royale ne procède pas ainsi à l'égard de sa propre clientèle lors d'opérations dans ses propres guichets automatiques, mais c'est généralement ce qui se passe pour les clients des autres banques. À la Banque Royale, le numéro de compte est inutile sans le NIP. Il faut les deux. Cela dit, et pour répondre à votre question initiale, le bordereau ne contient pas la moindre indication du NIP.
Le sénateur Finestone: Disons que je me trouve au centre-ville de Montréal et que je décide de recourir au guichet Interac à l'université Concordia. Ce guichet automatique n'a pas été installé par ma propre banque mais appartient à une autre institution bancaire. Comment cette machine, qui prélève 50 cents ou 1 $ sur chaque opération Interac, sait-elle que je suis celle que je prétends être?
M. Braidwood: L'opération se déroule sous l'égide d'Interac. C'est Interac qui a fixé les normes applicables au parcours que va emprunter cette opération. En fait, l'opération ira directement à votre banque et votre NIP sera protégé pendant tout son trajet et vérifié par votre institution bancaire qui va alors soit l'accepter, soit émettre un refus.
Le sénateur Finestone: Donc, sur ce plan-là, il n'est guère possible de tricher?
M. Braidwood: Non.
Le sénateur Finestone: J'ai également remarqué que dans certaines banques le guichet automatique fait l'objet d'une surveillance vidéo. À quoi servent ces caméras?
M. Braidwood: Elles servent essentiellement en cas de litige.
Le sénateur Johnson: En cas de cambriolage?
M. Braidwood: Oui, également en cas de cambriolage. Cela dépend. Parfois, il y a des caméras installées derrière les guichets automatiques, parfois dans le hall d'entrée. Elles sont particulièrement utiles en cas de cambriolage, mais elles servent également en cas de litige.
Le sénateur Finestone: La protection des renseignements personnels est un droit fondamental mais non pas absolu. Les caméras sont installées pour des raisons de sécurité, mais quelle utilisation est faite des images? Qui en est responsable? Qui en est propriétaire et qui les contrôle?
M. Shaughnessy: En général, ces machines sont uniquement installées pour des raisons de sécurité. Ainsi, les bandes vidéo ne seront visionnées qu'en cas d'incident, disons un cambriolage, ou un client molesté. Les bandes sont alors remises aux autorités concernées.
Le sénateur Finestone: Combien de temps ces bandes sont-elles conservées et qui y a accès?
M. Shaughnessy: Les bandes sont réutilisées. Il s'agit de bandes continues. Elles ne sont pas vraiment conservées. On n'en a pas, par exemple, une collection que l'on garde dans un coffre.
Le sénateur Finestone: Lorsqu'un client ouvre un nouveau compte auprès d'une de vos banques, exige-t-on qu'il produise son numéro d'assurance sociale?
M. Howey: Revenu Canada exige que nous demandions au client son numéro d'assurance sociale s'il demande un service qui va lui procurer soit un revenu soit des intérêts. Si le client refuse de fournir son NAS, nous pouvons tout de même lui fournir le service ou le produit. Revenu Canada va alors s'adresser directement au client. Nous avons fait notre devoir en lui demandant son numéro.
Le sénateur Finestone: Est-ce à dire qu'en général Revenu Canada demande au secteur bancaire d'obtenir le NAS du client afin de pouvoir suivre sa piste et constituer un dossier?
M. Howey: Non, Revenu Canada exige le NAS afin de pouvoir calculer les revenus et les intérêts touchés par le client. C'est à des fins fiscales que ce numéro est utilisé.
Le sénateur Finestone: C'est donc qu'on ne lui fait pas confiance pour déclarer les revenus que lui verse la banque? La banque envoie par courrier les bilans et les formulaires à remplir. Le client est tenu de les remplir, mais cette obligation change quelque peu de nature si Revenu Canada le surveille pour voir s'il a effectivement rempli toutes les formalités. Est-ce exact?
Je comprends fort bien, monsieur Howey, que vous ne vouliez pas vous prononcer au nom de Revenu Canada. Je vous comprends fort bien.
M. Howey: Je ne peux que répéter que nous sommes tenus de demander le NAS. Si un client décide de ne pas le divulguer, en raison des craintes qu'il a quant à son utilisation éventuelle, du moins nous avons fait ce que nous étions tenus de faire; c'est Revenu Canada qui pourra alors poursuivre le client.
M. Braidwood: Nous sommes tout de même tenus de remplir les formulaires tels que les T5.
Le sénateur Finestone: Les T5 indiquent-ils le NAS?
M. Howey: Oui, si le client nous l'a donné.
Le sénateur Finestone: Le numéro d'assurance sociale est problématique. Lorsque M. Diefenbaker a instauré le numéro d'assurance sociale, il a promis que ce numéro ne serait utilisé que dans le domaine de la santé. Or, on voit avec quelle vigueur son utilisation s'est développée.
M. Shaughnessy: Nous ne l'utilisons nous-mêmes que pour les déclarations de revenu, comme nous impose de le faire Revenu Canada. Comme M. Braidwood le disait tout à l'heure, le T5 en est un bon exemple. Si nous ne connaissons pas le NAS, nous remplissons un T5 qui ne le comporte pas. J'imagine que Revenu Canada essaye alors de retrouver l'intéressé au moyen de son nom et de son adresse.
Le sénateur Finestone: Lorsque vous émettez un T5, vous en envoyez une copie au gouvernement?
M. Shaughnessy: Oui, certainement.
Le sénateur Finestone: Vous nous disiez que vos services sont clairement définis. Je suis d'accord. Le code bancaire me semble très solide et je considère que c'est quelque chose d'important.
J'aimerais vous poser une autre question. Si un client se présente à un guichet pour obtenir une hypothèque ou un autre service précis, après avoir décidé, par contre, de refuser tous les autres services, comment ce client peut-il savoir que vous offrez des groupements de services? Demandez-vous au client l'autorisation d'inscrire sous son numéro de compte tous ces services et lui fournissez-vous de nouveaux services auxquels il n'a pas donné son accord? C'est bien, n'est-ce pas, ce qu'on entend par les groupements des services?
M. Howey: Vous voulez dire les campagnes de commercialisation que nous lançons de temps à autre où un client a auprès de nous un certain type de compte ou a souscrit à tel ou tel produit et, en fonction de son profil, nous estimons qu'il pourrait être intéressé par un autre produit? Il nous arrive, en effet, de lui envoyer une documentation concernant ces autres produits.
Le sénateur Finestone: Oui, ça c'est un aspect de la question. Examinons cela en premier.
M. Howey: À la banque CIBC, nous utilisons un avis de divulgation qui est remis au client à chaque fois que celui-ci obtient un nouveau produit ou service. Il lui fait savoir que la banque CIBC pourra, dans le cadre de ses activités de marketing, diffuser à l'interne des renseignements le concernant, non seulement à l'intérieur même de la banque mais au sein des compagnies relevant du groupe CIBC. Le client est averti que s'il ne veut pas que ces renseignements soient diffusés, il doit faire savoir à la banque, par téléphone ou en personne, qu'il ne veut pas de vente croisée. Cela sera noté dans le dossier du client.
Le sénateur Finestone: Comme le savent nos témoins, la commercialisation par option négative de groupements de services en préoccupe certains. Le sénateur Fairbairn nous a récemment fait part de travaux portant sur la compréhension écrite des Canadiens. Pour comprendre l'avis dont vous venez de nous parler, il faut, si je ne m'abuse, que le client ait une assez bonne aptitude à la lecture?
M. Howey: Nous demandons, en ce qui nous concerne, aux employés de la banque d'en dire tout de même un mot au client. Étant donné que le client doit aussi prendre connaissance de certains autres documents, il est possible que le client et le banquier soient tous les deux pressés et que la discussion orale n'ait pas lieu comme prévu. Les employés de la banque sont, selon les procédures en vigueur, tenus d'offrir le choix au client. Nos employés doivent lui en parler si l'occasion s'y prête et non pas se contenter de dire au client «Voici un document que vous pourrez lire à tête reposée».
Le sénateur Finestone: Je me souviens de l'époque où la Banque Royale a créé son premier service à l'intention de personnes handicapées. Je crois que c'était pour les personnes malvoyantes. Nous sommes très fiers de plusieurs des services que vous avez instaurés, mais il arrive tout de même que des membres du comité reçoivent au bureau des plaintes concernant des services que le client n'avait pas demandés, notamment en matière d'hypothèque et d'assurance.
J'estime que les banques doivent s'en tenir à une éthique très stricte. Après tout, leur métier touche de très près la vie des citoyens, leurs foyers et leurs dépenses les plus diverses.
Êtes-vous d'accord que les banques doivent se montrer encore plus exigeantes sur le plan éthique? Ne pensez-vous pas qu'une banque devrait, avant de lui rajouter des services ou d'augmenter le barème des coûts, s'entretenir de vive voix avec son client?
M. Shaughnessy: Certains des frais varient en fonction des taux d'intérêt. Il est clair que le taux d'intérêt d'un compte d'épargne peut varier, comme peut le faire le taux applicable à un prêt remboursable sur demande ou à un prêt hypothécaire à taux flottant.
Je suis moi-même client d'une des banques représentées ici et j'ai bien l'impression que s'agissant, par exemple, d'un prêt hypothécaire à taux flottant, le client est avisé de tout changement de taux. En cas de changement de certains frais bancaires, la Loi sur les banques prévoit une longue procédure qui comprend une période de préavis. Les clients ne se voient jamais imposer un groupement de services. Souvent ces groupements leur sont offerts car ils sont intéressants et peuvent épargner au client des sommes considérables.
Ce que vous dites au sujet des aptitudes de lecture est très vrai. Je suis heureux de dire que cela fait des années que je suis administrateur d'ABC Canada, dont le sénateur Fairbairn est un soutien des plus fidèle. Je participe à l'action de cet organisme car, en tant qu'acteur du secteur des services financiers, nous ne pouvons pas, je crois, rester indifférent à l'illettrisme.
Le secteur bancaire encourage ses employés à prendre le temps d'expliquer verbalement au client qui s'avère illettré ou incapable de manier les chiffres, la teneur des divers documents.
Le sénateur Finestone: Vos procédures prévoient-elles que le client doit donner un consentement éclairé, oralement ou par écrit? Considérez-vous que vous procédures actuelles correspondent pleinement à cette exigence?
M. Shaughnessy: En général, oui. N'oublions pas que les banques comptent leurs clients par dizaines de millions.
Le sénateur Finestone: C'est bien pour cela qu'il vous faut vous montrer particulièrement vigilants sur le plan éthique.
M. Shaughnessy: Je dois dire que les banques canadiennes bénéficient, auprès de leur clientèle, d'une grande confiance. Les clients ne sont peut-être pas toujours d'accord sur certains points, mais il faut bien dire que la confiance règne. L'activité des banques est, me semble-t-il, conforme à une éthique très stricte.
Madame le sénateur, si vous me demandiez d'affirmer que telle ou telle situation ne se produirait jamais, il est clair que je ne pourrais pas le faire car, sur les millions de clients qu'ont les banques, il va sans doute y avoir certains cas où le client ou la cliente n'a pas l'impression d'avoir été suffisamment informé. Cela étant, et comme le sénateur Johnson le faisait remarquer en nous interrogeant au sujet de la procédure de plainte, je peux dire que nous avons instauré une excellente procédure de règlement des différends, qui peuvent ainsi remonter jusqu'à l'Ombudsman bancaire canadien.
Le sénateur Finestone: Je me souviens d'une discussion portant sur la fonction d'ombudsman bancaire et je me souviens aussi d'avoir entendu son titulaire témoigner ici. Vous n'hésitez donc pas à dire qu'avant de recevoir tel ou tel service ou produit, le client aura l'occasion de donner un consentement formel?
M. Shaughnessy: À mon avis, cela vaut pour le code de protection des renseignements personnels et des renseignements fournis par le client lors de l'ouverture d'un compte ou de l'achat d'un produit ou service. J'estime, en effet, que les banques se montrent à cet égard très sourcilleuses au niveau des principes.
Le sénateur Finestone: J'imagine que vous êtes partisan du commerce électronique et que vous ne seriez nullement opposé à ce que ces principes soient confirmés par le législateur dans un pays qui entend protéger la vie privée des citoyens?
M. Howey: Nous sommes tout à fait partisans de l'adoption du projet de loi C-6, la Loi sur la protection des renseignements personnels et les documents électroniques. Je vous rappelle que la principale composante de cette loi est le code type de l'Association canadienne de normalisation, qui constitue la base de notre politique actuelle de protection des renseignements personnels. Nous estimons être déjà très avancés sur la voie de l'observation des dispositions du projet de loi C-6, encore que la loi ne doive entrer en vigueur que le 1er janvier. Et, je le répète, nous en sommes chaudement partisans.
Je voudrais ajouter un mot à propos de la notion de consentement éclairé. À l'évidence, il ne s'agit pas d'un événement ponctuel. Si un client change d'avis demain parce qu'il a eu un coup de téléphone de CIBC ou qu'il a reçu au courrier quelque chose qui lui déplaît, et s'il nous en avertit, nous ferons immédiatement le changement nécessaire en fonction de ses préférences.
Le sénateur Finestone: Vous voulez dire, s'il dit oui d'abord et change ensuite d'avis?
M. Howey: Étant donné les possibilités de marketing dont nous disposons et dont je vous ai parlé, nous expliquons clairement aux gens ce que nous allons faire. S'ils ne sont pas d'accord, nous nous abstenons. Cela se fait constamment. Le client peut nous dire à n'importe quel moment, «J'ai reçu un coup de téléphone à l'heure du dîner, hier soir, et cela ne m'a pas plu du tout. Je vous interdis de recommencer.» Nous en profitons pour lui dire «Voudriez-vous qu'on vous envoie de la documentation par la poste?» Il arrive fréquemment que le client accepte, mais à condition de ne pas recevoir d'appels téléphoniques. Notre système informatique nous permet de faire cette distinction. Nous pouvons enregistrer le fait qu'un client ne veut pas qu'on l'appelle au téléphone mais qu'il accepterait de recevoir de la documentation par la poste.
Encore une fois, il est dans notre intérêt de ne pas commettre d'erreur. Si nous irritons un client, il ne nous achètera rien et, en tout cas, nous n'en ferons pas un client satisfait. C'est essentiellement une question d'auto-surveillance. Nous n'avons pas besoin qu'on nous menace de représailles pour le faire.
Le sénateur Finestone: De temps à autre, vous devriez faire la queue dans une banque, ce qui vous arrive certainement. Allez donc sur Sparks Street et prenez la queue. La semaine dernière, j'ai attendu 45 minutes avant d'être servie. J'étais là pour déposer de l'argent, pas pour en retirer. C'était irritant de devoir attendre si longtemps. Je n'aime pas faire de dépôt à un guichet automatique, bien que je l'utilise pour des retraits.
J'ai trouvé intéressantes vos remarques au sujet de l'infrastructure cryptographique de clés publiques. Je sais que nous nous orientons de plus en plus vers l'utilisation de garde-barrières et je sais également que la cryptographie devient de plus en plus perfectionnée, et que la protection est incorporée dans le système. Néanmoins, comment puis-je m'assurer que le fournisseur qui obtient ma carte de crédit ou ma carte bancaire est quelqu'un de fiable, quelqu'un qui respecte mes droits et protège la confidentialité de mes transactions et des renseignements me concernant? Je note qu'à la page 8 de votre mémoire, vous nous disiez ce qu'il faut vérifier au sujet d'un fournisseur dans l'Internet ou de vous assurer de ce que celui-ci est tenu de faire pour respecter votre vie privée.
Au Canada, comment appliquer le principe? Si je commande une bricole que j'ai vue dans une émission de cuisine à la télévision ou si je commande des disques ou des livres, comment puis-je être sûre que le fournisseur à qui je fais la commande est quelqu'un de conscient de ses responsabilités sociales? Comment puis-je m'assurer qu'il respectera la vie privée de ses clients, qu'il ne communiquera pas de renseignements personnels me concernant ou qu'il ne vendra pas mon nom pour qu'il figure sur une liste d'envois quelconque? Je vois que M. Braidwood sourit. Vous êtes-vous déjà posé la même question?
M. Braidwood: Non, je me disais simplement qu'il faudrait plusieurs jours pour répondre à votre question.
Le sénateur Finestone: J'essaie simplement de trouver la réponse. Le public suit ces questions et il veut des réponses. Lorsque vous voyez une publicité intéressante, vous prenez le téléphone. Vous vous dites, «Ces nouveaux essuie-glace, ce passoire à sauce ou ces magazines me paraissent très bien.» Pourtant lorsque vient le moment où je dois donner mon numéro de carte de crédit au fournisseur, j'hésite. Je commence à me demander qui va utiliser cette information et à quelle fin. Pourriez-vous nous expliquer un peu ce qui se passe?
M. Braidwood: Je vais essayer de vous répondre aussi brièvement que possible.
C'est un domaine dans lequel nous n'avons manifestement pas encore trouvé toutes les solutions. Les acheteurs, en particulier ceux qui utilisent actuellement l'Internet, sont ce que nous considérons comme des adoptants. Pour n'importe quel nouveau produit, un four à micro-ondes, par exemple, il y a les adoptants, et puis ceux qui attendent plus ou moins longtemps avant de se décider.
Le sénateur Finestone: Il y a les innovateurs, et puis il y a les autres.
M. Braidwood: Oui. Tous ceux qui font aujourd'hui des achats dans l'Internet ont besoin d'avoir un certain niveau d'instruction et de formation dans ce domaine. Nous envisageons d'adopter une marque de qualité du genre de celle qu'utilise le Bureau d'éthique commerciale.
Le sénateur Finestone: Je crois que nous avons déjà eu une expérience assez troublante avec ce genre d'estampille d'homologation du Bureau d'éthique commerciale, n'est-ce pas?
M. Braidwood: En effet.
Le sénateur Finestone: Il y a effectivement eu vol.
M. Braidwood: Nous devrions rechercher des politiques en matière de protection des renseignements personnels, par exemple. Je viens de vérifier le site sur la Toile de ma propre banque, et j'ai remarqué qu'au bas de chaque page il y a un lien avec une autre page intitulée «Votre vie privée». Il y a aussi un lien avec la page «Renseignements sur la sécurité». Où que vous soyez, le site de la Banque Royale peut vous permettre de vérifier ces deux domaines.
Le sénateur Finestone: Cela fonctionne-t-il dans vos huit banques et vos 41 succursales?
M. Braidwood: C'est dans l'Internet. Nous avons adopté une politique très ferme selon laquelle tout ce qui est sur le site Internet de la Banque Royale est soumis aux mêmes contrôles. C'est ce que nous attendons également des sites des fournisseurs, et nous conseillons fortement à nos clients de s'en assurer.
Le sénateur Finestone: Vous vous attendez à ce que cela existe, mais il n'y a aucun moyen de l'imposer.
M. Braidwood: En effet.
M. Shaughnessy: Cela nous ramène à une remarque que je vous avais faite, je crois, plutôt, au sujet de la confiance. Les banques canadiennes, et je le pense, la plupart des grandes banques mondiales, ont une relation de confiance avec leurs clients, et cette relation est très forte et importante. Je crois que le client qui traite avec une des banques du Canada, et d'ailleurs avec une des grandes banques mondiales, éprouve ce sentiment de confiance.
Lorsqu'on traite avec un détaillant d'une autre industrie, il faudrait pouvoir disposer d'un certain nombre de renseignements sur lui puisque vous êtes susceptibles de faire affaire avec lui. Qu'un détaillant soit dans l'Internet ne signifie pas nécessairement que l'on est obligé de traiter avec quelqu'un de totalement anonyme.
En attendant l'adoption et la pleine mise en vigueur d'autres mesures, telles que l'infrastructure de clés publiques et les contrats d'agence, ce que je vous recommande c'est de savoir à qui vous avez affaire.
Le sénateur Finestone: Pensez-vous que nous devrions avoir une charte générale de la protection de la vie privée qui comporterait des lignes directrices d'une qualité comparable à celles qu'utilise actuellement l'Association des banquiers.
M. Howey: Il est encore un peu tôt pour dire si nous avons besoin d'encore plus de mesures législatives.
Le sénateur Finestone: Ce n'est pas ce que je veux dire; je parlais d'une politique où d'une directive obligatoire qui vous permettrait d'examiner ce que vous faites et de vous dire, «Oui, cela serait équitable pour les Canadiens, cela nous placerait dans la catégorie de ceux qui méritent la confiance, car ce sont là les règlements que nous devrions suivre.»
M. Howey: La Loi sur la protection des renseignements personnels et les documents électroniques comporte suffisamment de détails à ce sujet. Elle n'est pas uniquement composée de lignes directrices générales dans ce domaine; il y a les dix principes interdépendants relatifs à la protection des renseignements personnels ainsi que des détails assez complets sur les choses à faire et à ne pas faire. Ces dispositions finiront par s'appliquer à toutes les entreprises commerciales au Canada.
Je considère que le secteur bancaire est favorable à l'adoption de cette loi et qu'il aimerait savoir comment elle va fonctionner. Nous vivons déjà cela depuis un certain nombre d'années puisque nous avons un code qui est fondé sur celui de l'Association canadienne de normalisation, dont est inspirée la loi. Le système fonctionne pour nos quatre banques depuis un certain nombre d'années. Il devrait également fonctionner pour les autres entreprises; il faut lui en donner la chance.
Le sénateur Finestone: Nous avons parlé du monde branché. Que ce passe-t-il dans le monde sans fil? Est-il aussi bien connecté?
La plus grande partie des habitants de la planète n'ont pas accès au même genre de téléphonie protégée que ceux qui vivent dans les pays industrialisés; ils ne bénéficient pas non plus d'autant d'interconnexions. J'ai entendu des Pakistanais dire qu'ils ne savent jamais s'il y aura de l'électricité pendant toute la journée, ou si celle-ci fonctionnera pendant plus de 15 ou 20 minutes d'affilée. Si l'on s'appuie sur les concepts dont nous discutons, sur le plan de la créativité, de la compétence intellectuelle et des habilités nécessaires pour utiliser toute cette nouvelle technologie d'interconnexion et de communication internationale, le choix entre un monde sans fil et un monde branché aura-t-il une importance?
M. Shaughnessy: Il est intéressant que vous souleviez cette question. Il y a quelques semaines, je me trouvais en Belgique, à une conférence internationale sur les paiements. En Europe, en particulier dans certains pays scandinaves, on ne parle plus de commerce électronique; on parle d'utiliser le «commerce-m», d'être mobile, du monde sans fil, et cetera. Les pays scandinaves semblent être à la pointe du progrès à cet égard. Je sais que les banques qui sont membres de notre association utilisent déjà le système sans fil pour un certain nombre de leurs activités.
M. Braidwood: Au plan de la sécurité, il n'y a pas de différence. Dans notre monde banché, il est fort possible qu'une partie de la transmission se fasse sans fil. La sécurité doit être totale d'un bout à l'autre, quelle que soit la manière dont les bits et les multiplets sont transmis.
Le sénateur Finestone: Lorsque j'étais en Allemagne, j'ai essayé d'utiliser diverses cartes de crédit et seule ma carte American Express a fonctionné. À mon retour au Canada, j'ai appris que les lignes étaient en panne. J'ai trouvé cela très déconcertant. La même chose se produira-t-elle souvent lorsque le monde sans fil sera totalement fonctionnel?
M. Braidwood: Il est vrai que dans certains pays, les communications ne sont pas aussi bonnes que chez nous. Peut-être les connexions locales s'y amélioreront-elles avec le temps?
La présidente: Le sénateur Finestone a utilisé les termes «branché» et «sans fil». L'étude que nous faisons fait suite à un rapport que ce sous-comité a déposé au Sénat. Il avait pour titre «Branché pour gagner».
Ce rapport a été déposé au début de 1999. Une de nos recommandations avait trait à la protection des renseignements personnels et à la sécurité. Tous les sénateurs ont donc été ravis de voir le ministre Manley présenter le projet de loi C-6 sur la protection des renseignements personnels et les documents électroniques. Cette loi entrera en vigueur le 1er janvier prochain.
Vous avez soulevé la question de la sphère de compétence. Nous avons également abordé ce sujet dans notre premier rapport. Nous recommandions notamment que notre pays prenne des mesures pour que ces droits soient protégés sur le Web, mais qu'il le fasse après en avoir discuté avec les autres pays.
Pourriez-vous nous dire quels forums internationaux votre association utilise pour discuter de ces préoccupations communes concernant la protection des renseignements personnels et la sécurité ainsi que pour l'information diffusée dans le monde entier?
M. Shaughnessy: Les banques, par l'intermédiaire des banques centrales, participent en général à des systèmes de paiement internationaux perfectionnés. Interac, le réseau VISA et MasterCard en sont des exemples. Il s'agit là de systèmes pointus comportant des structures internationales intégrées de gouvernance.
Le système de paiements au Canada, par le truchement de l'Association canadienne des paiements, codifie le même genre de gouvernance. Ainsi, les banques du monde entier, à cause des milliers sinon des millions de transactions quotidiennes qui s'effectuent à l'échelle de la planète, ont mis en place un système de gouvernance extrêmement perfectionné.
M. Braidwood: Il est certain que l'industrie bancaire a beaucoup travaillé avec Industrie Canada au fil des années. En liaison avec l'Organisation de coopération et de développement économiques, un travail préparatoire considérable a été effectué afin de préparer l'entrée dans le monde branché. Les organismes bancaires s'occupent de questions telles que l'interopérabilité. Le secteur bancaire en général a apporté son soutien à un certain nombre d'initiatives gouvernementales en fournissant des conseils et des études à divers ministères fédéraux.
M. Howey: Sur le plan de la protection des renseignements personnels, Industrie Canada a à peine amorcé le processus conduisant à l'approbation des mesures législatives contenues dans le projet de loi C-6 -- je ne suis pas tout à fait sûr d'utiliser le terme technique correct -- ou à leur reconnaissance par l'Union européenne. C'est un processus officiel qu'Industrie Canada espère avoir mené à bien d'ici la fin de l'année. L'industrie bancaire y participe en arrière-plan.
Deux ou trois banquiers japonais sont venus me voir la semaine dernière. Le Japon étudie quelque chose de semblable à notre loi, car il veut donner plus de mordant à son régime de protection personnelle.
Dans ce domaine, je suis toujours très surpris de voir combien les concepts sont les mêmes dans le monde entier. On rencontre constamment les mêmes principes, préoccupations et problèmes, du moins dans le monde du commerce, quel que soit l'endroit du monde où l'on se rend.
Le sénateur Finestone: Je vois que Stephanie Perrin, celle que j'appelle la mère du projet de loi sur le commerce électronique, se tient juste derrière vous, messieurs. C'est notre prochain témoin. Nous avons eu de longues discussions au sujet de la nature des garde-barrières et de l'information. En particulier, en ce qui concerne la réponse que vous venez de nous donner, le Canada n'a pu qu'adopter la formule du commerce électronique. L'OCDE et l'Union européenne ont clairement dit aux États-Unis et au Canada que s'ils n'avaient pas de mesures acceptables de protection des renseignements personnels, les pays européens ne feraient pas affaire au Canada. C'est bien cela, n'est-ce pas?
M. Howey: C'est effectivement la position prise par l'Union européenne, encore que les Américains n'aient pas exprimé beaucoup d'intérêt pour l'adoption d'une loi dans ce domaine. Il leur a fallu au moins un an pour proposer un accord sur une règle refuge, formule qui n'est pas tout à fait à la hauteur de notre projet de loi C-6.
Le sénateur Finestone: Les Américains voulaient signer un contrat très important avec l'Allemagne pour construire son réseau métropolitain. Les Allemands ont dit, «À moins que vous n'adoptiez des mesures de protection des renseignements personnels, vous n'aurez pas le contrat.» Aussitôt dit, aussitôt fait, les Américains ont pris un engagement, mais je ne crois pas qu'il soit aussi solide que le nôtre.
M. Howey: C'est bien ce que je dis, c'est une règle refuge, pas une loi fédérale.
Le sénateur Finestone: Ce régime fonctionne-t-il au niveau national ou au niveau de l'État?
M. Howey: Je crois qu'il a été mis en place par Washington.
Le sénateur Finestone: Je ne le crois pas, il me semble qu'il s'agissait d'un État, celui que ce contrat concernait.
Je pense que nous devrions examiner la question, madame la présidente, car cela pourrait avoir une incidence sur la manière dont le Canada devrait traiter avec les États-Unis. Nous nous soumettrons aux exigences des Européens et des pays de l'OCDE. Par contre, les Américains ne le font pas. Que cela signifie-t-il pour nous? Que cela signifie-t-il lorsqu'il s'agit de recueillir des informations sur le travail et sur les gens au Canada?
M. Braidwood: L'industrie bancaire a collaboré avec Stephanie Perrin à l'établissement de la politique de l'OCDE sur la protection des renseignements confidentiels, politique qui a été adoptée par les Européens. Nous ne nous contentons pas d'adopter directement ce qu'ont fait les Américains.
La présidente: Je représente le Nord de l'Ontario au Sénat. Une des questions que j'entends poser depuis trois ou quatre ans à Sudbury, a trait aux services régionaux personnalisés dans les banques. Bien que le monde branché permette aux Canadiens d'avoir plus facilement accès à une masse plus importante d'information et à une plus grande diversité de services, de nombreux Canadiens ont l'impression que ces services personnalisés sont beaucoup moins accessibles qu'auparavant. Comment nos banques canadiennes conçoivent-elles l'équilibre entre le service personnalisé et le service électronique?
M. Shaughnessy: Madame la présidente, je vais parler de notre industrie.
La présidente: Monsieur Shaughnessy, combien de membres représentez-vous?
M. Shaughnessy: Je représente huit banques de l'annexe I et 41 banques de l'annexe II. Les premières appartiennent toutes à des intérêts canadiens, alors que la plupart des banques de l'annexe II appartiennent à des intérêts étrangers. Un certain nombre de ces dernières n'offrent pas de services bancaires de détail; certaines sont des banques de gros.
En général, les banques se sont efforcées de développer la commodité des services -- c'est un point important -- offerts à leurs clients. À l'époque où j'ai commencé à travailler pour l'une de nos quatre banques -- c'était ma première carrière -- vous deviez vous occupez de vos affaires à la banque entre 10 h et 15 h. Vous pouviez le faire cinq jours par semaine et, peut-être même, le vendredi soir, lorsque certains établissements demeuraient ouverts jusqu'à 18 h, voire 21 h. Vous étiez alors obligé de vous rendre à la succursale. Aujourd'hui, les gens disent, «Vous faites en sorte que de moins en moins d'opérations puissent être effectuées dans les succursales.» On m'a cité une statistique, la semaine dernière, selon laquelle le nombre d'opérations demeure en fait le même dans les succursales. Ce qui s'est produit, c'est qu'à l'époque de l'électronique, il y a une véritable explosion des opérations bancaires; beaucoup d'entre elles se font aux guichets automatiques, par téléphone, et il y a aujourd'hui plus de 2,5 millions de clients qui utilisent l'Internet.
En général, les banques essaient d'utiliser leurs succursales pour fournir des conseils financiers fiables à certains de leurs clients. Ceux-ci se chargent eux-mêmes de ce que nous appellerions les opérations quotidiennes et pour cela, ils utilisent les moyens électroniques de remplacement qui existent.
Peut-être M. Howey ou M. Braidwood voudrait-il nous parler des stratégies utilisées dans leurs propres banques.
M. Howey: Je suis tout à fait d'accord avec vous, monsieur Shaughnessy, et je tiens à faire observer que les canaux électroniques permettent aux opérations bancaires de se dérouler 24 heures par jour, sept jours par semaine. Nous avons le sentiment que nos services s'améliorent. Comme M. Shaughnessy l'a dit plus tôt, nous n'avons pas ajouté un canal pour en abandonner un autre. Nous continuons à les ajouter les uns aux autres et à les offrir simultanément à tous les Canadiens, ce qui nous coûte très cher.
Nous estimons avoir considérablement amélioré le service à la clientèle. Au niveau de la succursale, si le sénateur Finestone veut déposer de l'argent au guichet automatique, cela permet de libérer la personne avec qui elle aurait autrement eu affaire au comptoir; cette dernière peut alors fournir des conseils financiers fiables aux Canadiens qui ont des questions à poser et des préoccupations à exprimer au sujet de leurs investissements, que les machines ne peuvent pas encore répondre.
Le sénateur Finestone: Je dois vous avouer que bien que je ne sois pas illettrée, j'aime beaucoup le service personnalisé. Quand je me rends à ma banque à l'Annonciation, il y a de longues queues, les gens raffolent du service personnalisé. Pourtant, vous faites tout pour les supprimer. Je voudrais savoir ce qu'il y a de nouveau et ce qui s'annonce.
J'aimerais que les services régionaux soient meilleurs et la présidente partage cet avis. Je sais que nous sommes obligés de devenir numériquement «compétents», mais je préférerais que cette compétence prenne la forme d'un visage et d'une personne à qui je pourrais m'adresser.
J'espère que l'un d'entre vous va parler de l'infrastructure de clés publiques, madame la présidente.
Le sénateur Johnson: Je ne comprends pas toutes ces questions au sujet du service personnalisé. Il y a plus d'un an que je n'ai pas mis les pieds à ma banque. J'utilise les systèmes automatiques pour tout. C'est comme cela que je paie mes factures.
Le sénateur Finestone: Vous êtes si moderne.
Le sénateur Johnson: Ce n'est pas tellement que je sois moderne, c'est simplement que si j'ai besoin de quelque chose, le service existe pour cela. Je vais donc vous poser la question suivante: n'est-ce pas manquer de réalisme que de dire que nous continuerons à avoir des succursales locales pour tout le monde? Leur nombre ne va-t-il pas diminuer radicalement au cours des cinq prochaines années?
Cela m'amène à la question du commerce mobile. Quel genre de services personnalisés offrira-t-il? Aucun, sans doute, à moins que vous ne vouliez négocier une grosse hypothèque ou quelque chose du même genre? Je reconnais que certaines personnes tiennent au service personnalisé, mais je crois qu'il n'est pas réaliste de penser qu'il continuera à exister.
M. Shaughnessy: Je peux seulement parler au nom de l'industrie. Bien évidemment, nous avons ici des représentants de deux des banques. Je ne crois pas qu'un jour viendra -- je sais bien qu'il ne faut jamais dire, fontaine je ne boirai pas de ton eau -- où il n'y aura plus du tout de succursales ou d'autre établissement de ce genre.
Ce que nous avons fait c'est ajouter des canaux d'acheminement de l'aide. Nous n'en avons supprimé aucun, nous en avons ajouté. Certes, des succursales ont été fermées mais il en reste des milliers -- et nous pourrons vous en fournir le nombre. Nous vous avons apporté la commodité des opérations à notre clientèle. Ces succursales ressembleront de plus en plus à des centres de vente et de service où les personnes telles que vous, qui peuvent avoir besoin d'une hypothèque ou de conseils sur les produits d'investissement pourront venir les négocier.
La plupart de nos membres continueront à vous offrir la possibilité d'effectuer des transactions, comme le souhaite le sénateur Finestone, de bénéficier de services au quotidien. Une évolution est en cours, mais je tiens à souligner qu'elle ne se fait pas au prix de la perte d'un des canaux d'acheminement de l'aide.
La présidente: J'ai une autre question à poser au sujet d'un autre aspect des banques. Notre comité de la banque se trouvait à Chicago il y a quelques jours dans le cadre d'une mission d'information sur le commerce électronique et les placements de capitaux à risque. Il est évident que les banques ont un rôle considérable à jouer dans le financement des nouvelles entreprises. Comme notre pays veut s'équiper de manière à conquérir une plus grande part du commerce électronique mondial, comment l'association conçoit-elle sa responsabilité en ce qui concerne le financement à risque de ces petites entreprises émergentes, que ce soit dans le domaine des télécommunications ou de n'importe quel autre type de service lié au commerce électronique?
M. Shaughnessy: Les membres de notre association se penchent actuellement sur les questions de participation et je ne sais pas si je peux me permettre de parler au nom des banques. Je peux en tout cas vous dire -- et je serais heureux de communiquer l'information au greffier du comité -- que les banques canadiennes sont de très importants fournisseurs de capitaux de financement et autre aux petites entreprises de notre pays. En fait, nous sommes de très loin les fournisseurs les plus importants. Il y a aussi de nombreux exemples de sociétés dynamiques qui ont reçu un prêt à redevances de plusieurs de nos banques. Je n'ai pas les chiffres devant moi aujourd'hui mais, si vous le désirez, je vous ferai remettre les statistiques de prêt de la banque que nous avons rassemblées pour le comité parlementaire sur l'industrie. Vous les trouverez également aujourd'hui sur le site de l'ABC.
La présidente: Nous vous en saurions gré.
Le sénateur Spivak: Quelle a été la croissance du commerce électronique depuis son apparition en 1995 ou 1996? A-t-elle été importante? Quelle est la différence pour l'association des banquiers entre ce commerce et le commerce interentreprises? Autant que je sache, cela semble constituer une plate-forme commune, mais je n'en suis pas certain.
M. Shaughnessy: Pour les banques, le commerce électronique est quelque chose d'extraordinaire. Comme le sénateur Johnson l'a dit, si je l'ai bien comprise, elle ne se rend plus jamais à la banque pour traiter ses affaires.
Le sénateur Johnson: Rarement, à moins qu'il ne s'agisse de quelque chose de tout à fait spécial.
M. Shaughnessy: Je fais la même chose. J'éprouve même un plaisir un peu pervers à payer mes factures maintenant.
Nous avons dit tout à l'heure que plus de 2,5 millions de Canadiens utilisent aujourd'hui l'Internet et l'ordinateur pour avoir accès à leur banque. Il y a deux ans environ, personne ne le faisait; il y a donc là une progression extraordinaire. Je crois qu'il est probable -- c'est une observation purement personnelle -- que les Canadiens effectuent proportionnellement plus d'opérations avec leurs banques qu'avec d'autres détaillants. C'est là où joue le facteur confiance dont nous parlions plus tôt.
Le sénateur Spivak: Ce n'est pas la seule raison.
M. Braidwood: Pour répondre à la question du sénateur Spivak, il est bien certain, comme nous l'avons déjà dit, que nous en sommes encore au tout début du commerce électronique. Selon les prévisions, le secteur interentreprises sera énorme en comparaison de celui des affaires ordinaires client-marchand. L'opération interentreprises, cependant, comme je l'appelle, est plus qu'une simple opération entre entreprises; elle se fait surtout dans l'Internet. Elle comprend aussi un paiement et celui-ci doit se faire par l'intermédiaire de la banque.
D'autre part, j'ai dit tout à l'heure qu'il se pourrait fort bien que les banques ne soient pas uniquement appelées à s'occuper à cette transaction interentreprises en ce sens qu'elles peuvent également être amenées à assurer certaines des interactions antérieures entre deux entreprises.
Le sénateur Johnson: Le livret que vous avez inclus dans votre trousse d'information est excellent. J'ai pu le parcourir rapidement pendant que nous parlions. Comme nous le savons, la révolution numérique ou révolution de l'Internet que nous vivons est tout à fait comparable à la révolution industrielle. J'en suis absolument convaincue.
En ce qui concerne les particuliers et les entreprises, j'essaie de me faire une idée des possibilités de conflit, étant donné que tant de personnes qui comparaissent devant nous continuent à parler de la protection des renseignements personnels. Les tentatives pour renforcer les droits des individus dans ce domaine vous inquiètent-elles? Y a-t-il un projet de loi sur la protection des renseignements personnels présenté ici ou ailleurs dans le monde, qui imposerait des contraintes excessives aux banques?
M. Howey: C'est une question de portée bien générale. Puis-je limiter mes remarques au Canada?
Le sénateur Johnson: Naturellement.
M. Howey: J'ai dit tout à l'heure que j'avais rencontré deux ou trois banquiers japonais la semaine dernière et qu'ils envisagent le genre de loi qu'Industrie Canada a fait voter en avril.
Je le répète encore, nous sommes tout à fait partisans de telles mesures. Nous en utilisons d'ailleurs nous-mêmes depuis de nombreuses années. Ce qui sera important, c'est de savoir comment une telle loi sera interprétée. Certains de ses éléments sont parfaitement clairs. Nous sommes certains que le commissaire à la protection de la vie privée se montrera impartial dans ses décisions, et aussi juste à l'égard des individus qui ont des préoccupations dans ce domaine que des entreprises qui ont des besoins, et nous croyons aussi qu'un équilibre approprié s'établira entre les deux parties. Reste donc à savoir comment cette loi fonctionnera, compte tenu du rôle du commissaire, et cetera. Pour le moment j'attends avec confiance l'avenir en ce qui concerne la protection des renseignements personnels au Canada.
Le sénateur Finestone: Voudriez-vous vous reporter à la page 6 de votre mémoire, monsieur Braidwood? Vous avez parlé de cryptographie traditionnelle, de la manière dont on l'utilise actuellement pour protéger des données circulant sur des réseaux informatiques pendant de nombreuses années, et vous nous avez dit que le principal instrument utilisé par les banques pour protéger les transactions électroniques est la cryptographie. Vous nous parlez maintenant de l'adoption d'un nouveau système de cryptographie pour l'Internet. La Banque Royale est dans l'Internet. J'aimerais connaître les incidences de ce que vous appelez la cryptographie de clés publiques, qui n'est pas encore en place. Quels conseils donneriez-vous à notre comité en ce qui concerne l'adoption de la cryptographie à clés publiques. Est-elle nécessaire, faut-il en permettre la mise en place? Vous avez parlé des clés de connexion, de la paire de clés, de la clé publique, de la clé privée et des signatures numériques.
Pourriez-vous nous donner plus de détails sur les services de sécurité, pour notre gouverne?
M. Braidwood: La technologie existe depuis de nombreuses années; ce qui nous manquait c'était l'infrastructure juridique. C'est ce que la partie 2 de la Loi sur la protection des renseignements personnels et les documents électroniques met en place. C'est le volet documents électroniques de cette loi qui établit l'infrastructure nécessaire pour que les signatures électroniques soient légales.
Le sénateur Finestone: Cela se trouve dans le projet de loi C-6.
M. Braidwood: Absolument. Tout est en place et nous pouvons maintenant passer à la mise en oeuvre de ce niveau de sécurité.
Le sénateur Finestone: J'ai relu les pages 6 et 7, et je me demandais si quelque chose gênait ou si vous attendez autre chose que la mise en oeuvre de cette loi. Dans ces pages, on mentionne qu'une ICP introduit la notion de certificats logiciels et de pouvoirs de certification. Le sens est expliqué, après quoi le document précise qu'avant que ces certificats ne soient délivrés, un critère doit être respecté. N'est-ce pas inhérent à tout ce que vous avez entrepris jusqu'à présent? Des changements devront-ils être apportés à la suite de ce nouvel engagement? Suit la liste des questions; je me demandais donc s'il y avait quelque chose que nous devions confirmer. Madame la présidente, je vous cède la parole à ce sujet.
La présidente: Monsieur Shaughnessy, vouliez-vous confirmer vos déclarations?
M. Shaughnessy: M. Braidwood est un expert de cette infrastructure cryptographique à clés publiques, des CC, et cetera. Cela étendra les effets de ce qui se passe aujourd'hui. Actuellement, notre industrie et nos banques, sont très satisfaites de la sécurité de l'infrastructure actuelle et de celles des opérations bancaires que le sénateur pourrait faire dans l'Internet. Cependant, les ICP et les OC authentifient les opérations. Donc, à son nième degré, lorsque les lois seront en vigueur, vous pourrez faire pratiquement tout ce que vous pouvez faire aujourd'hui sur papier. Est-ce exact?
M. Braidwood: C'est exact. Le plus important c'est que cela facilite l'interopérabilité entre clients de banques différentes. En ce moment, la sécurité dans l'Internet existe surtout entre les clients et leurs propres banques.
Le sénateur Spivak: Faudrait-il des doubles sur papier? Ou est-ce que ce sera tout? Ne sera-t-il plus nécessaire d'avoir d'autres documents sur papier pour authentifier une opération?
M. Braidwood: C'est exact. Vous n'aurez besoin de rien d'autre.
Le sénateur Spivak: Cela réduira la circulation des documents.
La présidente: Merci, monsieur Shaughnessy, monsieur Howey, et monsieur Braidwood, de l'Association des banquiers canadiens. Nous savons que vous allez nous faire parvenir des informations supplémentaires. Je compte sur vous, au cas où nous aurions d'autres questions à poser au cours des prochaines semaines, pour nous fournir des réponses, car votre contribution est absolument indispensable à la qualité de notre rapport.
M. Shaughnessy: Nous vous remercions de nous avoir invités à l'audience d'aujourd'hui, pour nous permettre de témoigner devant le comité et de répondre à ses questions. Bien évidemment, nous serons ravis de travailler avec le comité et de l'aider dans ses futures délibérations.
La présidente: Merci.
Nos prochains témoins sont Mme Stephanie Perrin, de Zero-Knowledge Systems et M. Brian O'Higgins, de Entrust Technologies. Soyez les bienvenus tous les deux.
Mme Stephanie Perrin, responsable de la protection des renseignements confidentiels, Zero-Knowledge Systems Inc.: Madame la présidente et membres du comité, je suis heureuse de pouvoir vous parler ce matin.
Avant de passer en revue quelques-uns des points les plus importants de notre mémoire, je tiens à signaler, comme le sénateur Finestone l'a peut-être déjà dit, que j'ai été un des principaux artisans du projet de loi C-6 -- la Loi sur la protection des renseignements personnels et les documents électroniques. Lorsque nous applaudissons le Canada pour l'initiative prise par lui à cet égard, il ne s'agit donc pas exactement d'applaudissements désintéressés.
Zero-Knowledge Systems est la seule entreprise au monde qui s'occupe de mettre au point une infrastructure sécuritaire de contrôle cryptographie de l'identité et de la confidentialité pour l'Internet. C'est une des toutes nouvelles sociétés dot coms qui, nous l'espérons, vont fleurir au Canada. Nous vous demandons donc instamment de créer l'environnement propice à cela. Nous avons plus de 230 employés; notre siège central se trouve à Montréal. Nous venons également d'ouvrir un bureau en Californie -- dans la «Silicone Valley» -- et nous espérons en ouvrir un autre en Europe. Nous exploitons ce qui nous paraît être un désir mondialement répandu de protection des renseignements personnels et de mise en place d'une technologie sécuritaire.
Lorsque j'étais à Industrie Canada, nous parlions de la nécessité d'avoir des codes de pratique et des normes, des normes internationales, une loi, des technologies de protection des renseignements personnels et un processus d'éducation du public. Je me retrouve aujourd'hui responsable de la protection des renseignements personnels à Zero-Knowledge, et je continue à répéter les mêmes choses. Nous sommes très heureux de voir adopter la loi qui garantit les droits dans ce domaine. Franchement, les lois que nous adoptons portent sur les questions qui nous tiennent à coeur. Si, au Canada, nous tenons à protéger notre vie privée, il nous faut une loi dans ce domaine, comme il y en a dans le reste du monde développé. Cependant, il ne suffit pas d'avoir une loi. Nous avons besoin d'éduquer le public et de lui faire mieux comprendre les risques qui menacent notre vie privée. Il faut que nous incorporions les exigences juridiques dans l'infrastructure elle-même de manière à pouvoir nous protéger contre la collecte massive d'informations par la technologie elle-même.
C'est dans ce but que Zero-Knowledge Inc. a commercialisé en décembre un produit qui s'appelle Freedom. Ce produit peut être téléchargé à partir de l'Internet. Il existe également sur CD-ROM. Enfoui dans la structure de votre ordinateur personnel, il permet de protéger votre adresse et votre identité. Les parents peuvent laisser leurs enfants l'utiliser pour naviguer dans l'Internet en utilisant un pseudonyme; ils peuvent aussi installer des filtres pour empêcher un enfant de divulguer, sans le savoir, des renseignements personnels tels que son nom, son adresse, son numéro de téléphone.
Ce produit gère les témoins dont vous avez certainement entendu parler, en créant un fichier spécial. C'est essentiellement un élément de protection du public pour l'Internet.
Vous verrez, dans nos publications, ce que nous disons de l'anonymité, qui nous paraît menacée dans la structure mondiale de l'information. Cela ne signifie pas que nous croyons que toutes les transactions devraient être anonymes. Cependant, nous croyons que si nous n'avons pas la capacité nécessaire d'assurer toute une gamme de mesures de contrôle de l'identité, dans l'Internet, nous aurons au moins créé une structure de surveillance. Nous commençons donc par protéger cette identité et par laisser à l'utilisateur le contrôle de la divulgation de cette identité.
Je mentionnerai brièvement les recommandations que nous faisons à votre comité.
Nous nous réjouissons de l'adoption de la Loi sur la protection des renseignements personnels et les documents électroniques, qui, selon nous, nous place dans une position de leadership global. Les témoins qui nous ont précédés ont parlé de la règle de refuse aux États-Unis. Les États-Unis ont fait en sorte que les grandes sociétés puissent se prévaloir de cette règle. Elles pourront faire partie du club et prendre un engagement. Toutefois, les petites entreprises ne feront pas partie de ce club. Au Canada, toutes les entreprises seront traitées de la même manière en vertu de la législation. Nous n'obligeons pas les entreprises à faire des vérifications par de grandes sociétés spécialisées pour garantir aux clients que les exigences de la règle de refuge sont respectées. Nous avons un commissaire à la protection des renseignements personnels qui, espérons-nous, aura les fonds requis pour faire son travail. De fait, il s'agit d'une option plus transparente et plus souple que l'autoréglementation. C'est faux de croire que l'autoréglementation est plus économique.
De plus, on a empêché l'Union européenne de faire une détermination prépondérante à l'effet que l'Amérique du Nord ou les États-Unis ne sont pas un endroit sûr pour la circulation de renseignements. Cela ne signifie pas qu'un commissaire à la protection des données n'interdira pas un échange de renseignements, au cas par cas, ni qu'un consommateur européen ne puisse s'adresser au tribunal des droits de la personne en Europe, ce qui devrait être la prochaine étape.
Nous estimons que l'adoption de cette loi nous place dans une situation de leadership mondial. Nous aimerions aller de l'avant et développer une partie de la technologie qui servira à la mettre en oeuvre dans la structure.
Notre première recommandation est à l'effet que votre comité observe ce qui s'est fait en Irlande, qui est devenu le «le tigre celtique» de l'Europe. Ce pays s'est doté de politiques pour faciliter la mise sur pied de compagnies de haute technologie et il a opéré des changements considérables. Le Canada dispose maintenant d'une politique et d'un leadership législatif. Nous pourrions faire la même chose chez nous.
Je ne dirai pas grand-chose de la cryptographie parce que M. O'Higgins, de Entrust Technologies, en connaît certainement beaucoup plus que moi sur cette technologie. Toutefois, nous de Zero-Knowledge croyons fermement qu'une cryptographie bien développée est la clé de l'économie de l'information. Nous devons trouver des façons de lever les obstacles à son utilisation. Nous devons nous assurer que les intervenants internationaux ne nous poussent pas à contrôler davantage le cryptage, pour protéger nos compagnies et permettre la mise en application de ces systèmes.
Je vous ai mentionné l'intégration de la protection des renseignements aux nouvelles technologie de l'information. Récemment, nous avons retenu les services de M. Stefan Brands, un cryptographe hollandais renommé. Nous allons de l'avant afin d'intégrer ce système de contrôle de l'information progressif dans les infrastructures à clés publiques et dans explorateurs de réseau que nous élaborons afin de naviguer sur la Toile par synonyme. Nous estimons qu'il devrait y avoir un débat public avant d'établir quelque limite que ce soit sur la capacité de naviguer de manière synonyme et anonyme.
Nous entendons des discours sur l'interférence entre protection de la vie privée et application de la loi. Nous sommes plutôt d'avis que le manque de protection de la vie privée, l'absence de capacité de protéger les personnes, de protéger l'identité, sont à l'origine d'une foule de cybercrimes. S'il existait de bonnes mesures de sécurité, la grande majorité de ces crimes ne se produiraient pas.
En tant que compagnie, nous entendons intégrer le plus d'éléments possible à notre produit afin d'aider les autorités policières et de mettre un terme aux attaques dont il est question dans la presse. Nous l'avons déjà fait et nous cherchons à établir une coopération plus poussée avec les autorités afin que nous sachions ce qu'il faut faire à cet égard et renforcer la coopération. Nous avons pu constater que les autorités policières sont conscientes que nos produits doivent protéger le public. Lors d'une rencontre récente avec un groupe au Canada, l'un des dirigeants nous a dit «Vous me compliquez singulièrement la vie quand vous faites enquête, mais je tiens à ce que mon épouse utilise vos produits». Au fur et à mesure où nous entrons dans un réseau global, nous devons prendre conscience que la protection, l'équivalent de verrous sur les portes, vient au premier rang des priorités.
Nous sommes très enthousiastes face à la charte proposée par le sénateur Finestone. Les gens ne comprennent pas à quel point ces infrastructures d'information sont l'objet d'intrusions. Ils ne sont pas conscients des mesures de surveillance qui existent déjà. Nous n'apprécions guère l'évolution de notre société où l'on sait tout sur chacun de nous. Nous estimons qu'il doit y avoir un débat public et nous féliciterions votre comité d'assumer un certain leadership pour faire en sorte que le débat ait lieu.
Il existe un certain nombre de forums internationaux, habituellement derrière des portes closes -- où l'on discute de crime international, de blanchiment d'argent et des limites à la protection de la vie privée. Il y a aussi d'autres intervenants qui cherchent à protéger la vie privée. Tous ces gens doivent se rencontrer et faire ressortir leurs points communs. Ils doivent discuter de la façon d'élaborer l'architecture voulue pour la société actuelle et pour la société que nous voulons.
Il me fera plaisir de répondre aux questions des honorables sénateurs.
M. Brian O'Higgins, vice-président exécutif et responsable de la technologie, Entrust Technologies: Je vous remercie de la possibilité que vous m'offrez de témoigner devant votre comité. Mes observations porteront sur la nouvelle technologie permettant d'assurer la sécurité et la protection de la vie privée dans l'Internet, une technologie à laquelle contribue notre compagnie. Certains des tableaux auxquels je me référerai se trouvent dans les documents que je vous ai remis.
Nous nous intéressons à l'Internet en raison du volume des affaires qui s'y transigent. Le tableau de la page 2 donne le nombre et la valeur des opérations dans l'Internet. Bien sûr, les résultats diffèrent selon les analystes, mais vous pouvez constater qu'il s'agit d'un marché considérable et en pleine croissance.
Les activités entre entreprises sont dix fois plus nombreuses que celles qui se déroulent entre entreprises et consommateurs. Toutefois, nous n'en sommes qu'aux premiers stades. Tout cela ne représente qu'un pour cent des activités à venir. L'an dernier, il s'est transigé pour un milliard de dollars d'affaires dans l'Internet, soit moins de un pour cent des opérations entre entreprises. Il y a donc place pour une croissance phénoménale. Nous n'en sommes qu'au tout début.
Nous sommes les leaders mondiaux de ce qu'il est convenu d'appeler la technologie de l'infrastructure à clés publiques, une technologie qui utilise la cryptographie pour assurer la sécurité des opérations. Selon Data-Quest, nous avions accaparé 35 p. 100 du marché mondial l'an dernier. À l'heure actuelle, notre rythme de croissance est supérieur à celui du marché. Selon nos estimations, notre part du marché mondial est d'environ 40 p. 100.
La compagnie a été créée en janvier 1997, à partir de NorTel. Aujourd'hui, nous employons plus de 900 personnes dans 35 pays. Le produit lui-même est disponible dans cinq langues et nous prenons de l'expansion à l'échelle mondiale parce que, et je le répète, les opérations dans l'Internet suivent cette tendance.
Pour ce qui est de rendre les opérations plus sécuritaires et plus fiables dans l'Internet, les analystes partagent le marché en trois catégories -- les opérations commerciales internes, les opérations entre entreprises et les opérations entre entreprises et clients. Toutefois, la technologie qui assure la sécurité et la fiabilité est la même dans les trois cas. C'est ce que l'on appelle l'infrastructure à clés publiques.
Quand il est question de sécurité et de fiabilité, il est essentiel de savoir qui est la personne. Nous préservons la confidentialité des renseignements qui la concernent. Nous devons savoir si la personne avec laquelle nous traitons est autorisée à faire une opération donnée. De plus, nous devons confirmer chacune des opérations de même que le paiement en bonne et due forme, et avoir accès à une piste de vérification complète. Ce sont des éléments essentiels. Ces fonctions existent actuellement dans le monde réel et nous devons avoir les mêmes fonctions dans le monde électronique.
Le graphique de la page 5 fait référence à la valeur ajoutée de l'ICP, où ICP représente l'infrastructure à clés publiques. Il s'agit là d'un résumé de certains des avantages au plan de la sécurité offerts par la technologie. Les avantages comprennent l'authentification, pour prouver qui vous êtes, l'autorisation, afin que vous sachiez ce que vous êtes autorisé à voir et à faire, la confidentialité, afin que les renseignements soient réservés aux destinataires visés, et l'intégrité des données, pour assurer l'inviolabilité des renseignements. La non-répudiation est une piste de preuve très solide. On ne saurait nier avoir été partie à une opération ni la modifier après-coup. Il existe aussi des pistes de vérification permettant de remonter la chaîne de communication et de déterminer ce qui a pu mal tourner.
Un des éléments de la technologie est le certificat ou identification numérique, l'équivalent électronique de votre passeport. C'est ce qui prouve qui vous êtes. Il est émis par ce qu'il est convenu d'appeler un organisme de certification et l'infrastructure publique se charge de la gestion des certificats pendant la durée de leur vie utile.
Une des fonctions principales est la signature numérique. C'est l'équivalent électronique de votre signature au stylo à l'encre, mais l'utilisateur verrait plutôt un bouton à l'écran. Il appuierait sur le bouton «Signature», puis il entrerait un mot de passe pour s'identifier. L'opération réelle ou le formulaire que l'usager signe sont ainsi protégés.
Nous offrons également le chiffrement de bout en bout, qui permet de coder le formulaire électronique que l'on s'apprête à signer et de s'assurer que le codage est maintenu jusqu'à la fin du processus, c'est-à-dire à l'échelle du réseau, qu'il s'agisse d'un réseau sans fil ou d'un réseau de serveurs de la Toile et ainsi de suite. Cela contraste avec ce que l'on utilise fréquemment aujourd'hui pour assurer la sécurité dans l'Internet. Il s'agit de chiffrement des opérations par rapport au chiffrement selon le protocole SSL, aujourd'hui intégré aux navigateurs. Son utilité est négligeable, mais plusieurs marchands estiment que cet outil est un gage de sécurité pour les opérations faites par carte de crédit dans l'Internet. Voilà qui est loin de la vérité, parce que les renseignements importants, c'est-à-dire le numéro de carte de crédit, sont affichés clairement sur le serveur du marchand. Les pirates ne s'intéressent guère à un seul numéro; ils cherchent plutôt à accéder au serveur pour se procurer 317 000 numéros de carte de crédit, comme ils l'ont fait dans le cas de CD Universe. À l'avenir, chaque violation de la sécurité deviendra un record mondial par définition parce qu'il y a de plus en plus d'opérations qui se font dans l'Internet, et qu'une violation de la sécurité aura pour effet de miner la confiance du public face à cette technologie.
Parfois, on soulève des questions concernant la protection de la vie privée et l'infrastructure de clés publiques. Le fait que vous ayez un certificat qui atteste de votre identité, ne signifie pas que vous compromettez la protection des renseignements personnels. De fait, le certificat qu'utilise la plupart des utilisateurs porte une désignation anonyme ou un nombre choisi au hasard. Cela permet à l'émetteur d'identifier l'utilisateur et assure le caractère privé de l'opération. Les renseignements permettant d'identifier l'utilisateur ne sont jamais utilisés clairement dans l'Internet. Toutefois, le marchand qui traite avec un client doit savoir qui est cette personne afin de pouvoir la servir de manière appropriée.
Les sites portails sont un autre outil d'utilisation très fréquente. Au tout début de l'Internet, nous pensions que la connectivité était tous azimuts, mais tel n'est pas le cas. Il s'agit plutôt d'une connexion entre plusieurs utilisateurs et quelques sites, les utilisateurs entrant en ligne et se raccordant à leur site portail favori, qui leur sert ensuite de tremplin pour accéder à divers services. Bien entendu, ceux qui offrent des services de portail souhaitent ardemment que les utilisateurs reviennent constamment sur leur site. Le site portail conserve les certificats de l'utilisateur de même que les renseignements qui le concernent. Il le fait de manière transparente pour l'utilisateur afin que celui-ci puisse appuyer sur le bouton «Signature» des formulaires, faire des opérations chiffrées de bout en bout et apposer une signature numérique de bout en bout. La personne qui gère le portail gère aussi toute l'infrastructure au nom de l'utilisateur.
Pour l'utilisateur, cela peut ressembler à un mot de passe qu'il suffit d'entrer pour accéder au réseau. Là s'arrête la comparaison. Les mots de passe traditionnels sont affichés clairement sur le réseau ou sont comparés à une inscription sur le serveur. Ces mots de passe ne quittent jamais le contexte local de l'utilisateur. Ils servent essentiellement à déverrouiller les certificats, qui servent au chiffrement et à la signature numérique de renseignements de bout en bout. Pour faire une identification plus formelle de l'utilisateur qui entre en ligne, il faut une carte à puce ou un dispositif de sécurité biométrique. Pour obtenir une plus grande certitude au sujet de l'utilisateur qui entre en ligne, il suffit d'ajouter d'autres étapes, en fonction du type d'opération à effectuer.
Les opérations entre entreprises et consommateurs dépasseront très rapidement le cadre des ordinateurs personnels. Le gros des opérations dans l'Internet se font par l'entremise de téléphones cellulaires et autres dispositifs intégrées. Les analystes consultés prédisent que ces dispositifs l'emporteront sur les ordinateurs personnels d'ici cinq ans. Le Gartner Group estime que d'ici 2004 il y aura un milliard d'utilisateurs reliés à l'Internet à l'aide de dispositif sans fil par rapport à un demi-milliard qui le seront à partir d'un ordinateur personnel. Cette solution est beaucoup plus commode pour les utilisateurs. Les micronavigateurs sont intégrés à ces dispositifs qui peuvent se raccorder à des serveurs WAP, l'équivalent sans fil des serveurs Web, pour des opérations normales.
La technologie d'infrastructure publique permettant de faire des opérations en toute sécurité est identique, peu importe qu'il s'agisse d'un dispositif sans fil ou d'un ordinateur. De fait, nous sommes les premiers au monde à émettre ce qu'il est convenu d'appeler des certificats de serveur WAP. Nos clients sont tous en Finlande et en Norvège, et à Hong Kong, là où le marché est le premier à accepter l'Internet sans fil.
Je terminai en formulant certaines recommandations. J'estime que la Loi sur la protection des renseignements personnels et les documents électroniques convient tout à fait à la situation actuelle. C'est ce que j'appelle une touche de modernisme à la protection de la vie privée. Selon moi, les gens ont absolument besoin d'une législation pour assurer la protection de leur vie privée, sans quoi ils ne feront pas ce que nous attendons d'eux et il y aura d'autres violation spectaculaires, qui mineront davantage la confiance du public.
La sécurité doit être une affaire de marché, et cela comprend tous les problèmes relatifs à la gestion des certificats et aux signatures numériques. Le responsable d'un site portail fera tout en son possible pour prouver à son client qu'il a sa sécurité à coeur. Il lui offrira un accès unique au réseau, afin que l'utilisateur se serve d'un mot de passe, peu importe qu'il utilise un téléphone cellulaire ou qu'il fasse une opération par l'entremise d'un PlayStation 2 de Sony. La plate-forme de jeux est très importante puisqu'elle comporte un navigateur basé sur Java et une capacité de connexion à large bande à l'Internet. En général, on la considère d'abord comme une plate-forme de jeu, mais elle deviendra l'ordinateur des masses. Lorsque Sega a lancé son Dreamcast, les ventes ont atteint deux millions d'unités en six mois. Sony a lancé son PlayStation 2 au Japon, il y a quelques mois, et en un seul weekend, il s'en est vendu un million d'unités. Le week-end suivant, Sony en a vendu un million de plus. Cet appareil dispose d'une carte graphique, offre une connexion à bande large à l'Internet et est muni d'un navigateur et aussi d'une fente pour carte à puce. De plus, il est très répandu. Il s'agit d'un véhicule parfait pour les opérations entre le gouvernement et les citoyens, entre les entreprises et leurs clients, et ainsi de suite.
Le sénateur Spivak: Quel en est le coût?
La présidente: Nous en viendrons à ces questions dans une minute, sénateur Spivak.
M. O'Higgins: La réforme de l'exportation pose toujours problème, compte tenu de la législation relative à la cryptographie. Le Canada a pour politique d'être égal aux autres nations concernant ce qui se fait sur le marché ou meilleur qu'elles. En pratique, cela n'est tout simplement pas vrai. Le MAECI accuse un retard d'une année, ce qui place les compagnies canadiennes dans une situation très difficile; aux États-Unis, la technologie que nous pourrions fournir est considérée comme de la technologie de détail. Il n'existe aucun contrôle à l'exportation. Il faut tout bêtement se souvenir à qui on a vendu les produits. Par contre, au Canada, je dois demander une licence d'exportation, au cas par cas, ce qui entraîne de longs délais et est source de tensions pour nous-mêmes et pour nos clients.
Le gouvernement se doit d'être un utilisateur modèle de cette technologie, par exemple pour la soumission des déclarations de revenu. L'an dernier, 3,8 millions de contribuables ont utilisé un logiciel commercial sur leur ordinateur personnel pour préparer leur déclaration de revenu, mais seulement 500 000 d'entre eux ont soumis leur déclaration par voie électronique. Tous les autres ont imprimé, signé et posté leur déclaration. Seulement 15 p. 100 des contribuables ont envoyé un fichier électronique. L'ADRC vous dira qu'il s'agit d'un succès considérable, mais que s'est-il passé pour les 85 p. 100 qui restent? Le gouvernement économise beaucoup. Il en coûte 1,60 $ pour saisir le contenu de chacune des déclarations, de sorte que l'Agence prévoit un budget de 50 millions de dollars uniquement pour la saisie des données. Si elle utilisait ces 50 millions de dollars pour la perception des impôts, elle récupérerait un milliard de dollars de plus.
Ce sont des exemples où le commerce électronique est avantageux pour toutes les parties.
Il y a aussi d'autres exemples. Le Canada a connu un bon départ dans la prestation de services électroniques, du moins entre gouvernements. Il commence maintenant à le faire de gouvernement à entreprise. La partie la plus intéressante viendra lorsque le gouvernement commencera à faire de même avec les citoyens. Il ne faudrait absolument pas cesser d'offrir des services sécuritaires. Le gouvernement deviendra un utilisateur modèle et incitera le reste de l'industrie à suivre son exemple.
La présidente: Merci. Nous passons maintenant aux questions.
Le sénateur Spivak: J'ai plusieurs questions concernant l'évolution de la technologie, mais cela n'est pas notre véritable préoccupation. Je ne sais pas pourquoi il est plus pratique d'utiliser un appareil de poche qu'un ordinateur portatif, et j'aimerais entendre votre point de vue sur la question.
Vous avez dit tous deux que cela contribuera à prévenir le crime. Toutefois, cela signifie aussi que des criminels ayant des connaissances plus poussées pourront utiliser cette technologie pour des opérations de blanchiment d'argent, par exemple, et s'en tireront sans être repérés.
Êtes-vous d'avis que cette technologie permettra à certains criminels d'opérer sans possibilité de détection?
M. O'Higgins: Le secteur des banques est le plus grand segment de notre marché. Nos clients utilisent cette technologie à plusieurs fins. Elle permet d'automatiser plusieurs processus. De plus, cette technologie ajoute beaucoup à la sécurité, donne une meilleure certitude pour les pistes de vérification et améliore la capacité d'analyser l'information. Cette technologie pourrait réduire les fraudes et le blanchiment d'argent parce que, quand tout est électronique, on peut automatiser les outils de recherche des tendances dans ce qui ne va pas bien.
Le sénateur Spivak: Voulez-vous dire que le système bancaire peut retracer les activités des utilisateurs?
M. O'Higgins: Les banques doivent savoir qui sont leurs clients. La technologie sert à plusieurs fins, notamment l'authentification formelle -- pour savoir qui est le client, les comptes auxquels il a accès et la quantité d'argent qu'il peut utiliser. La signature numérique permet d'automatiser les opérations manuelles.
Le sénateur Spivak: Cela est transparent pour les systèmes bancaires, mais est-ce également transparent pour les systèmes gouvernementaux?
M. O'Higgins: Le même principe s'appliquerait. La sécurité est absolument transparente pour les particuliers et transparente de manière générale pour les fournisseurs d'application. La difficulté est d'automatiser le processus manuel. Nous transposons actuellement à l'Internet ce qui se faisait autrefois sur papier. C'est un travail très difficile, mais quand on y ajoute le niveau de sécurité, tout devient transparent et très simple.
Le sénateur Spivak: En d'autres mots, ce n'est pas transparent dans l'Internet. Le système est transparent dans les divers endroits où vous voulez qu'il le soit, mais ces endroits ne sont pas accessibles par l'Internet. Est-ce exact?
M. O'Higgins: Oui.
Le sénateur Spivak: Comment cela empêcherait-il le crime organisé d'utiliser la même démarche? Par crime organisé, j'entends les activités de blanchiment d'argent hautement perfectionnées, ce que, semble-t-il, la mafia russe arrive à faire avec de très importantes sommes d'argent.
M. O'Higgins: Il y a quelques années, cela faisait partie du débat traditionnel. Les autorités policières craignaient beaucoup les conséquences de l'adoption de systèmes de chiffrement perfectionnés, qui rendaient encore plus difficiles les activités d'écoute électronique. Il est vrai que ces activités seront beaucoup plus difficiles.
La question est de savoir ce que l'on perdra vraiment. La police dispose de plusieurs techniques de surveillance, et cetera. L'utilisation de pinces crocodiles sur les lignes téléphoniques ne s'applique tout simplement pas à l'Internet.
Le sénateur Spivak: Cela empêchera-t-il la CIA d'écouter les conversations téléphoniques d'organisations terroristes? Peut-être cela ne s'applique-t-il qu'aux téléphones cellulaires.
M. O'Higgins: Il y aura des techniques évoluées de brouillage et les gens les utiliseront. C'est là un petit inconvénient par rapport aux nombreux avantages.
Le sénateur Spivak: Pouvez-vous m'expliquer comment il se fait que ce dispositif de poche acquiert une telle popularité? Je comprends pourquoi on le retrouve en Finlande et dans des endroits similaires, parce que le service de téléphone mobile est beaucoup plus évolué que le système téléphonique conventionnel. Pourquoi les utilisateurs préfèrent-ils ces dispositifs à un ordinateur portatif?
M. O'Higgins: C'est tout simplement une question pratique. D'un point de vue culturel, c'est difficile à comprendre. Chez nous, l'infrastructure de la téléphonie cellulaire n'est pas bien développée et elle ne le sera probablement jamais pour des raisons géographiques et à cause de l'immensité du territoire à couvrir, comparativement à l'Europe, où il est beaucoup plus facile de l'implanter et où la densité de population est beaucoup plus forte. Par conséquent, les coûts sont plus faibles.
En Finlande, chacun a son téléphone. J'y étais la semaine dernière pour rencontrer des clients. Le téléphone devient presque votre portefeuille. Vous pouvez acheter un Coke dans une machine distributrice simplement en composant le numéro de la machine. L'appareil est multifonctionnel. Bien qu'il ne soit pas possible de consulter un grand nombre de catalogues, il s'agit d'un système hybride. Il suffit de consulter un catalogue sur votre ordinateur et d'appuyer sur «Acheter». Votre téléphone sonnera, vous glisserez votre carte de crédit dans une fente sur le téléphone, entrerez votre numéro d'identification personnelle, puis appuierez sur la touche «OK». Voilà un exemple d'opération «avec carte». Il y a tout un monde de différence en matière sécurité et de fraude entre ce type d'opération et celle qui se fait «sans la carte». En cas de fraude lors d'une opération sans utilisation directe de la carte, le marchand écope. Si la fraude survient lors d'une opération où la carte doit être utilisée, la banque émettrice de la carte absorbe la perte.
Tous les utilisateurs doivent en arriver aux opérations qui exigent la carte dans l'Internet, et un dispositif comme le téléphone est l'outil tout désigné à cette fin.
Le sénateur Spivak: Votre système s'applique à toutes les opérations?
M. O'Higgins: Oui.
Le sénateur Finestone: Madame Perrin, quelle est la différence entre ce que vous dites pour préserver l'anonymat et ce que dit M. O'Higgins? S'agit-il de deux systèmes distincts ou plutôt d'applications différentes qui visent à préserver mon anonymat, à me protéger et à assurer ma sécurité?
Mme Perrin: Essentiellement, il s'agit de la même infrastructure à clés publiques. Je suis d'accord avec ce que dit M. O'Higgins. Nous craignons que le jour où nous en arriverons à une infrastructure à clés publiques largement répandue -- et il convient de noter que cette infrastructure n'est pas répandue pour le moment -- nous ne puissions recueillir tous les renseignements au sujet des utilisateur sous certaines clés, ou certaines identités.
M. O'Higgins a donné l'exemple de l'achat d'une boisson gazeuse ou d'un autre article dans un magasin. Nous voudrions être en mesure de le faire de manière anonyme. Actuellement, vous pouvez payer comptant tout ce que vous achetez et nous aimerions que cela demeure possible dans le futur. Nous voulons éviter, dans toute la mesure du possible, qu'une architecture à clés publiques soit gérée par une banque, par exemple. Nous voudrions nous assurer de l'existence d'architectures multiples et de la possibilité de télécharger des fonds dans votre «portefeuille», par téléphone, sans préciser d'où vient l'argent. Le point d'interface est votre banque. La banque devrait toujours savoir avec qui elle traite. Il faut adopter des contrôles pour s'assurer que quelqu'un n'est pas en train de télécharger, à chaque minute, suffisamment d'argent pour blanchir toute l'opération faite illégalement. Ces contrôles ne devraient pas prendre la forme de collecte de renseignements sur les consommateurs qui se présentent au magasin.
Malheureusement, le modèle de carte de crédit a servi à recueillir des données sur les opérations au fil des années. Vous savez très bien, grâce aux témoignages entendus dans le cadre de vos audiences sur la protection de la vie privée, que les gens ne comprennent pas comment les compagnies peuvent dresser leur profil. Si nous passons à une architecture d'authentification à clés publiques, nous facilitons tout simplement la collecte de données au plan technologique.
Nous cherchons simplement une façon de dégrouper les renseignements afin que je puisse acheter une boissons gazeuse en tant que Mickey Mouse et non en tant que Stephanie Perrin.
Le sénateur Finestone: Monsieur O'Higgins, que faites-vous qui soit différent?
M. O'Higgins: Un certain nombre d'applications utiliseront notre technologie, mais la signature numérique est le principal élément. C'est la capacité d'automatiser un processus manuel.
Le sénateur Finestone: Cette technologie est bonne pour les avocats, les notaires et les comptables qui soumettent une déclaration de revenu. C'est ce que vous dites. Mme Perrin dit qu'un particulier pourra acheter tel article et entrer les données dans le système sans que quiconque sache de qui il s'agit, à l'exception de la banque.
M. O'Higgins: Il y a une différence à établir entre la protection des renseignements et la sécurité. Il ne s'agit pas de deux notions égales. La protection correspond aux données sur la signature plus la protection des données. Ma technologie concerne surtout la sécurité des données. Nous prenons, pour ainsi dire, une opération -- un fichier ou un courriel, ou un formulaire électronique -- et lui accordons une protection absolue, de bout en bout. Nous y apposons une signature numérique, qui a beaucoup plus de poids qu'une signature écrite. Une fois que vous avez la signature numérique, vous savez qui l'a donnée. Il est impossible de modifier quoi que ce soit dans le fichier d'origine.
Le sénateur Finestone: Quelle est la différence par rapport à la technologie de Zero-Knowledge dont parle Mme Perrin? Peut-elle s'adapter à mon ordinateur personnel? Je n'ai pas très bien saisi de quoi il retourne.
M. O'Higgins: Notre technologie peut servir à assurer la protection des renseignements, mais cette notion vise la protection de vos renseignements ou la divulgation uniquement du montant nécessaire pour effectuer telle opération. Bien sûr, il est aussi question de consentement informé, du débat sur l'accès ou le retrait et du seuil de sensibilité des renseignements qui devrait être utilisé pour décider d'un modèle de protection des renseignements. Toutes ces questions font partie du débat sur la protection des renseignements personnels.
Notre technologie ne sert pas principalement à protéger les renseignements. Elle sert à protéger l'opération grâce à un chiffrement et à une signature numérique. Cette technologie est également utilisée par plusieurs personnes pour se conformer à des lignes directrices concernant la protection des renseignements personnels. Il s'agit tout simplement d'un très bon outil.
Le sénateur Finestone: Tout outil qui protège ma vie privée est un bon outil. Il s'agit, je crois, d'une chose que les civilisations démocratiques modernes peuvent appeler un actif. Dans plusieurs autres formes de société, comme le communisme, on ne se préoccupe guère de protéger les droits.
Le sénateur Johnson: J'aimerais savoir pourquoi je devrais vous faire confiance à vous ou à votre compagnie pour que cela ne se produise pas? Vous êtes une compagnie privée. Pourquoi devrais-je croire que vous le faite dans l'intérêt public?
M. O'Higgins: Non, vous feriez confiance à la banque à laquelle je vendrais mon logiciel, par exemple.
Le sénateur Johnson: Vous vendez aux institutions?
M. O'Higgins: Je suis un fournisseur de logiciels. Le gouvernement du Canada est l'un de mes clients. La GRC et le SCRS utilisent notre technologie à l'interne et maintenant, l'ensemble du gouvernement le fait aussi. Nous faisons preuve de diligence raisonnable dans la façon dont nous élaborons notre logiciel. De fait, les gouvernements sont à l'avant-garde dans le monde pour ce qui est de comprendre le chiffrement de même que toutes les erreurs que commettent les gens dans l'élaboration de systèmes. Il existe une foule de normes gouvernementales en matière de sécurité. En général, nous sommes les premiers au monde à obtenir ces diverses désignations, et il y en a plusieurs dans le monde.
Le sénateur Johnson: Vous n'êtes donc pas d'accord avec les observations du président et chef de la direction de Sun Microsystems, selon qui «Il y a déjà absence de protection de la vie privée. Il faut s'y faire.» Si je m'en tiens à ce que vous venez de dire, vous n'êtes pas d'accord avec cette affirmation?
M. O'Higgins: Je ne suis pas du tout d'accord avec cela. Ce fut une observation bien malheureuse et la compagnie a consacré l'année qui a suivi à la démentir. Tous reconnaissent que la protection des renseignements personnels revêt une importance capitale.
Je suis d'accord avec votre observation précédente selon laquelle l'industrie a besoin d'aide. Elle doit pouvoir compter sur une législation qui favorise le comportement approprié en matière de protection de la vie privée, parce que les conséquences sont graves en cas de pépin.
Le vol d'identité est un autre crime qui se développe dans l'Internet. Récemment, un site d'accueil utilisé par plusieurs organismes de bienfaisance canadiens a été investi par une autre compagnie parce que le niveau d'authentification requis par la base de données était très faible, ce qui permettait à quelqu'un d'autre de prendre charge du compte.
Le sénateur Finestone: En ce qui a trait au registre de domaines, nous avons appris que des gens enregistrent le nom de vedettes ou de personnalités très connues et que ces personnes doivent ensuite racheter leur propre nom. C'est là une chose terrible.
Je ne comprends toujours pas très bien la différence entre le travail que vous faites tous les deux, à moins que ce soit parce que M. O'Higgins vend des produits à de grandes entreprises et aux gouvernements et que Mme Perrin vend la technologie de Zero-Knowledge pour protéger nos intérêts et prévenir de vol d'identités grâce à l'utilisation de garde-barrières solides.
La technologie de Mme Perrin se rend-elle jusqu'à mon ordinateur personnel? Comment cela s'intègre-t-il à la perspective du sans fil?
Mme Perrin: Oui. Je me dois d'ajouter que notre produit actuel sert uniquement à la navigation dans l'Internet et à l'utilisation anonyme du courrier électronique. Nous n'avons encore rien pour les téléphones cellulaires. Je ne crois pas que le marché soit prêt pour un tel produit. Nous espérons cependant développer un produit pour ce marché.
Permettez-moi de vous donner un exemple. Plutôt que de vous demander d'utiliser une carte de crédit avec un téléphone cellulaire pour une journée de magasinage, nous aimerions vous offrir la possibilité d'établir une authentification solide auprès de votre banque, de télécharger des fonds dans un «portefeuille», puis de dépenser cet argent de manière sécuritaire et anonyme.
À la base, c'est la même cryptographie que celle qui permet d'authentifier le processus. Nous voulons nous assurer de ne pas procéder à une authentification sécuritaire exacte pour chacune des opérations que vous faites.
Je ne sais pas si vous avez déjà parlé aux témoins précédents du réseau Interac au Canada. Une des choses intéressantes que nous avons intégrées aux protocoles pour ce réseau est une barrière entre la banque et le produit que vous achetez. La banque ne reçoit pas de piste complète d'Interac, comme c'est le cas pour les achats par carte de crédit. Nous voulons un modèle de compte électronique qui vous permette d'acheter de manière anonyme.
Le sénateur Finestone: Vous avez dit quelque chose qui m'intrigue. La plupart des gens utilisent une carte VISA ou MasterCard. J'ai posé la question plus tôt au sujet Interac. Je n'ai pas obtenu la même réponse, mais on m'a dit que ce système bénéficiait d'une certaine protection. Est-il préférable pour un client de faire un achat avec de l'argent obtenu d'un guichet Interac plutôt que d'utiliser une carte VISA ou MasterCard?
Mme Perrin: Si vous tenez à votre vie privée, ce système vous ramènerait dans un monde anonyme.
Le sénateur Finestone: Cela est important pour tous les consommateurs. Supposons que vous vouliez acheter un sac à main, une robe ou des bas de nylon. Si je fais ces achats avec des fonds obtenus d'un guichet automatique, ma démarche sera plus anonyme que si je fais les mêmes achats avec une carte de crédit. Est-ce exact? En d'autres mots, les données concernant les achats ne sont pas recueillies de la même manière que si j'utilisais une carte de crédit. Cela nous maintient dans le domaine de l'argent comptant, même si en bout de ligne, il s'agit d'opérations qui sont faites à moitié au comptant, à moitié sans comptant. Suis-je sur la bonne voie, madame Perrin?
Mme Perrin: Je le crois bien. J'ajouterais cependant que je ne connais pas les derniers développements de l'Interac. Les systèmes évoluent si rapidement; peut-être ont-ils déjà subi une transformation. Peut-être aussi que les cartes de crédit en sont au point d'émuler ce type d'opérations, mais j'en doute.
Le sénateur Finestone: Nous avons posé la question au tout début des audiences. Je n'ai pas obtenu ce genre d'assurance, mais l'Association des banquiers et la CIBC devraient nous fournir une réponse par écrit, madame la présidente. Parle-t-on ici du même processus?
J'ai une question au sujet du courrier électronique, de la sécurité et de la confiance. Si j'utilise vos systèmes, puis-je avoir l'assurance que mon employeur n'aura pas accès à mon courrier électronique?
Le sénateur Spivak: Il n'aurait pas été possible de poursuivre Microsoft.
M. O'Higgins: Votre question touche plusieurs aspects. Notre technologie sert souvent à assurer la protection du courrier électronique grâce au chiffrage et à la signature numérique. Habituellement, cette technologie s'emploie au sein d'une organisation. Je puis vous fournir le produit logiciel, mais tout dépend de la façon dont il est utilisé et des politiques qui régissent les postes administratifs.
Une compagnie peut offrir une protection absolue, garantie et totale pour les opérations d'un dernier utilisateur. Bien souvent, ce n'est pas la façon dont les programmes sont utilisés pour la simple raison qu'il est possible de sauvegarder et de récupérer les données. Si un employé disparaît, vous devez être en mesure d'accéder à son courrier électronique. Il existe souvent une sauvegarde des clés d'un utilisateur. Cette sauvegarde est sous le contrôle des administrateurs. Votre produit comporte un commutateur à cette fin. Il existe aussi beaucoup de possibilités de contrôle sur la capacité de sauvegarde et sur la façon dont nous vendons le produit. Si le produit est vendu sans que la capacité de faire des sauvegardes soit activée, nous demandons aux clients de signer des ententes supplémentaires attestant qu'ils comprennent bien ce qu'ils font, parce qu'une telle démarche est probablement risquée dans un milieu corporatif. Nous avons une option. Et elle est exigée pour certains de nos clients européens, qui doivent être capables d'acheter un produit ainsi configuré. Nos clients américains ne se soucient guère que cette caractéristique soit activée ou non, pourvu qu'ils aient le contrôle. Toutefois, je vends un produit logiciel à une entreprise, lequel produit est utilisé par le service de TI au nom des utilisateurs finaux. Il ne s'agit pas d'un service de courrier électronique public pour les particuliers; il s'agit d'une chose complètement différente.
Le sénateur Finestone: N'y a-t-il pas là un cas d'invasion du domaine privé quand vous avez l'option de préserver le caractère personnel de votre courrier électronique. L'an dernier, 27 p. 100 des grandes compagnies américaines surveillaient le courrier électronique de leurs employés, ce qui pose certains types de problèmes.
Le sénateur Spivak: Cela pourrait faire l'objet de négociations collectives dans le futur. N'est-ce pas là une question qui divise les employés et leur administration? Tout cela a des répercussions, qui ne sont pas fonction de la technologie. Il me semble que l'employeur ne devrait pas avoir le droit de consulter le courrier électronique personnel. Pour le bien-être de la société, l'entreprise devrait avoir le droit de consulter le contenu des opérations commerciales, mais sans avoir le droit de consulter le courrier électronique privé. Ce sont deux questions distinctes.
Mme Perrin: Comme le disait M. O'Higgins, il s'agit d'un problème très complexe. À titre de responsable de la protection des renseignements personnels chez Zero-Knowledge, je dois notamment m'assurer que tout ce que nous faisons en tant que compagnie réponde aux normes les plus élevées à l'échelle globale. Nous avons eu des débats épiques sur cette question. En toute franchise, si vous vous occupez des renseignements personnels de vos clients, de personnes de l'extérieur ou d'autres personnes, vous devez vous assurer que ces renseignements sont protégés. Et une partie de cette protection consiste à savoir ce que font vos employés et à vous assurer qu'ils ne peuvent verrouiller ces renseignements, faire disparaître la clé et s'en aller. C'est là l'équilibre qu'il faut viser.
Malheureusement, en ce qui concerne les 27 p. 100 dont vous parliez plus tôt, il y a un écart considérable entre le fait d'avoir accès à la clé en cas d'urgence, par exemple si une personne se fait frapper par un autobus, et la surveillance au jour le jour. Je crois que les syndicats commencent à porter attention à cette surveillance.
J'aimerais attirer votre attention sur la conservation des dossiers. La législation et les politiques concernant la protection des renseignements personnels feront en sorte que vous vous débarrasserez des dossiers parce qu'ils ne sont plus nécessaires, y compris le courrier électronique éphémère. Il y a eu des cas célèbres d'employés dont le courrier électronique a fait l'objet d'un subpoena pour diverses raisons. Dès le moment où ces documents sont conservés, ils peuvent être utilisés dans une procédure en divorce, dans une poursuite pour diffamation écrite ou verbale. Le choix est vaste. C'est ainsi que l'existence d'une politique sur la protection des renseignements personnels permet de disposer du courrier électronique éphémère. À l'heure actuelle, la plupart des systèmes ne le font pas. En ce qui a trait aux documents essentiels dont votre compagnie a besoin, vous devriez avoir un système de classement approprié pour classer le courrier électronique de manière acceptable. Malheureusement, la plupart des compagnies n'ont pas de système semblable.
Le sénateur Finestone: Faut-il chercher à améliorer la législation en ce sens ou s'agit-il simplement d'un cas d'éthique commerciale? Cela a-t-il été abordé dans le cadre des normes de la CSA?
Mme Perrin: Cette question est couverte par la législation et les normes existantes, qui précisent que vous devez établir des calendriers de conservation, mais c'est là un aspect auquel la plupart des organisations s'intéressent le moins. Assurément, les Archives nationales s'intéressent à cet aspect depuis plusieurs années, dans le contexte du gouvernement fédéral. Ce sont des questions épineuses et très difficiles à élucider.
Le sénateur Finestone: Compte tenu du projet de loi C-6 -- Loi sur la protection des renseignements personnels et les documents électroniques -- et compte tenu de ce que nous souhaitons inclure dans notre rapport, quels éléments doivent être consolidés pour que les entreprises puissent fonctionner de la manière la plus efficace possible en se servant des nouvelles technologies -- câblées ou sans fil? Est-ce là un domaine où le commissaire à la protection de la vie privée aura un rôle à jouer?
Mme Perrin: Vous pourriez effectivement inviter le commissaire à la protection de la vie privée à examiner cette question. Malheureusement, il y a probablement beaucoup d'autres choses importantes dont il doit s'occuper. Toutefois, la question de l'archivage du courrier électronique et de la gestion des documents ainsi créés vient hanter ceux et celles qui reçoivent un subpoena et qui découvrent l'existence de dossiers remontant à dix ans.
Le sénateur Finestone: Existe-t-il une date limite quelconque ou devrait-il y en avoir une?
Mme Perrin: Nous n'avons pas établi de délai particulier. En principe, vous devez vous débarrasser des données dès qu'elles ne vous servent plus.
Le sénateur Finestone: Il faut que cela soit pertinent à la question.
Mme Perrin: C'est exact. Vous constaterez dans l'Internet -- et c'est l'une des raisons pour lesquelles nous estimons qu'il faut renseigner les gens et leur montrer à naviguer de manière anonyme -- que des documents fournis à des groupes de nouvelles dix ans plus tôt peuvent être récupérés sur le site déjànews.com et servir à embarrasser les gens. Ces documents devraient être éliminés dès qu'ils ne sont plus utiles.
Le sénateur Finestone: Ma dernière question se rapporte à Zero-Knowledge Systems. Il se peut que je n'aie pas les connaissances nécessaires pour bien saisir la distinction entre Entrust, qui est un produit de Nortel, et Zero-Knowledge. Existe-t-il une distinction particulière entre ce que Entrust doit faire et ce que votre produit doit faire. En l'occurrence, est-ce que le NAS intervient à un moment quelconque?
Mme Perrin: Dans les deux cas, il s'agit de sécurité. Les deux entreprises utilisent la cryptographie à clés publiques. Et je crois comprendre que toutes deux cherchent à apporter un niveau de sécurité accru dans l'Internet. C'est là où nos orientations divergent. Nous visons le marché de la consommation et l'Internet. La compagne de M. O'Higgins s'intéresse aux opérations entre entreprises. Pour ce qui est du NAS, je ne crois pas qu'il y ait de lien. Il n'y aurait certainement aucune raison de faire intervenir le NAS dans les produits et les services qu'offre Zero-Knowledge.
M. O'Higgins: Notre compagnie s'intéresse principalement au segment des opérations entre entreprises, bien que l'on commence à voir un début d'activités entre entreprises et consommateurs, un secteur où le nombre d'opérations est plus élevé. Nous vendons notre produit aux entreprises, qui ont carte blanche pour présenter leurs points de vue à leur public. Je n'ai jamais entendu dire qu'un NAS ou quelque chose d'équivalent faisait partie de ce type de scénario, mais je ne voudrais pas dire que cela est impossible. Un de mes principaux clients sera la Banque populaire de Chine, qui sera un modèle de sécurité pour les opérations bancaires dans l'Internet. Cette banque, qui commence ses opérations en ligne, veut faire les choses correctement dès le départ. Elle affiche le plus fort taux de croissance au monde. Dans trois ou quatre ans, elle aura le site Internet le plus important au monde, où l'importance du commerce électronique deviendra un modèle à suivre. Il est bien possible qu'il soit nécessaire de faire une vérification de l'identité d'une personne avant de lui émettre un certificat ou l'équivalent d'un passeport. Chaque compagnie fera ce qu'elle juge approprié.
Le sénateur Johnson: Les écrivains et les artistes du pays éprouvent de grands problèmes depuis l'avènement de l'Internet. Je parle ici du droit d'auteur, une question que nous avons déjà abordée. Les ouvrages sont maintenant accessibles dans l'Internet, et il est possible d'en extraire des citations. Cela s'applique aussi à la musique. Vos systèmes sont-ils conçus pour les aider à résoudre ces problèmes de droit d'auteur? Pouvez-vous contribuer à mettre un terme aux abus incroyables à l'endroit de leurs oeuvres? Il m'est apparu soudainement que cette technologie pourrait permettre de corriger le problème.
M. O'Higgins: Cette technologie a été examinée d'un oeil très critique pour ces applications en particulier. Plusieurs de mes clients travaillent dans ces secteurs de consommation. Toutefois, je suis loin d'être optimiste quant à la possibilité d'une solution. Plusieurs des approches consistent à sceller le fichier MP-3 afin que seul un intervenant qualifié sache comment y accéder pour l'ouvrir. Nous sommes ici en pleine science fiction.
Un lecteur aurait plus de valeur s'il pouvait utiliser des objets scellés et des objets non scellés. Peu importe, quelqu'un finira par rendre le fichier accessible. Ce fichier ira dans l'Internet, où tout change. Loin de moi l'idée de dire que l'industrie de la musique disparaît, mais elle change beaucoup. Je suis sûr qu'il continuera d'y avoir des spectacles. Le médium est totalement différent pour l'artiste face à son auditoire. Le monde évoluera de façon marquée mais je ne crois pas que quiconque sache exactement de quelle manière. On note l'émergence de plusieurs forums sur les normes qui commencent à se pencher sur la façon de conditionner la musique ou d'y apposer un filigrane numérique. Ainsi, il serait possible, au moment de la copie du fichier, de retracer la personne qui en est le propriétaire. Mme Perrin trouvera le sujet embêtant, mais la norme commence à poindre.
Le sénateur Johnson: Qu'en est-il de nos écrivains, de nos créateurs littéraires? Avez-vous entendu parler de la bataille incessante de Mme Heather Robertson qui cherche à faire respecter le droit d'auteur pour les ouvrages disponibles dans l'Internet? Actuellement, il n'y a aucun contrôle en la matière. Toute personne peut accéder au matériel des artistes, quand il lui plaît et comme il lui plaît. Les artistes sont devant les tribunaux à l'heure actuelle.
M. O'Higgins: La même chose s'est produite dans l'industrie du logiciel, ce qui a donné lieu à des problèmes qui ne sont toujours pas réglés. L'industrie a apporté des changements marqués et commence à s'adapter grâce à un nouvel outil et à un nouvel environnement.
Mme Perrin: Il faut reconnaître aussi que les journalistes ont maintenant des liens très différents avec leur journal, en raison de l'Internet, et que cela pose problème. Le barème de prix, la propriété, la permission de réutiliser, de reformuler et de produire de nouveau sont des problèmes qui touchent l'ensemble de la société. Et ce sont les écrivains qui le subissent de façon plus particulière.
La situation nous préoccupe grandement et préoccupe aussi la plupart des défenseurs de la protection de la vie privée. Nous surveillons l'évolution des systèmes intégrés de gestion du droit d'auteur. La technologie n'est pas particulièrement garante de sécurité. Je suis bien consciente qu'il y a là un problème réel, et je me souviens d'avoir posé la question suivante à l'industrie, en 1995, à l'époque où j'étais à l'OCDE: «Pourquoi ne pouvez-vous apposer à vos produits ce que l'on appose sur les robes? Dès que vous passez la porte, une tache d'encre apparaît.» Comme cela n'est pas bon pour le commerce, rien n'a été fait. Plutôt que d'avoir une petite «taupe» sur la copie du Roi Lion, qui dise à tout le monde que cet exemplaire a été vendu à Mme Stephanie Perrin et qu'on en est actuellement à la 200e copie, pourquoi ne pas avoir quelque chose qui fasse apparaître une «tache d'encre» quand quelqu'un essaie d'utiliser la copie à des fins illicites?
M. O'Higgins me dira sans doute pourquoi cela n'est pas possible, mais nous envisageons la perspective que tout ce que vous regarderez, que chaque journal que vous lirez, que tout ce que vous trouverez en naviguant sur la Toile, que chaque livre que vous achèterez, que chaque exemplaire du Roi Lion portera votre empreinte numérique encodée à l'aide de la technologie de M. O'Higgins. On utilisera la stéganographie pour placer une marque et nous aurons droit à toutes sortes de scénarios. Nous n'avons jamais réfléchi au contrôle de cette façon.
Lorsque la CIA et le FBI ont voulu lancer un programme de sensibilisation dans les bibliothèques, dans les années 60 et 70, ce sont les bibliothécaires qui se sont opposés. Nous nous apprêtons à faire la même chose avec l'Internet pour la gestion du droit d'auteur, et cela suscite de graves inquiétudes.
Le sénateur Johnson: Il s'agit d'un problème grave, qui pose un défi de taille, ne croyez-vous pas?
Mme Perrin: Oui.
Le sénateur Finestone: Le dilemme concerne le droit d'auteur et la propriété intellectuelle: à quel moment faut-il intervenir? Comment pouvez-vous vivre des revenus de votre propriété intellectuelle sans pour autant suivre à la trace la personne ou le particulier qui viole ce droit d'auteur? C'est une chose vraiment compliquée. J'aime l'idée de la tache d'encre, mais je croyais que cela ne concernait que le test de Rorschach.
M. O'Higgins: Je ne suis pas en désaccord avec Mme Perrin. On a tenté plusieurs approches. Par exemple, des clients comme Sony Corporation mettent au point de ces dispositifs pour protéger le contenu régional. Vous pourriez incorporer un dispositif à tache d'encre, afin que le fichier se désintègre s'il est mal utilisé, mais personne n'aimera cette solution et personne ne voudra acheter de la compagnie. Vous n'arriverez jamais à vendre ce principe de cette façon. Il faut être prudent.
Je ne sais pas ce qui se produira, mais le premier stade est plutôt simple. Il s'agit d'adopter des dispositifs qui permettront le téléchargement de logiciels que les utilisateurs pourront adapter à leur situation particulière. Si vous voulez modifier un dispositif logiciel, vous ne pouvez télécharger n'importe quel logiciel. Vous devez vous assurer qu'il s'agit de l'élément approprié. Ma technologie fait en sorte que le dispositif saura qui a développé le logiciel et acceptera de nouveaux logiciels du fabricant. En conséquence, nous sommes prêts pour la prochaine génération de protection du droit d'auteur.
Mme Perrin: Le problème de base est que les gens n'aiment pas cette solution. Ils sauront quand leur exemplaire se désintégrera. Par exemple, un pirate s'est fait prendre parce qu'il s'était vanté dans l'un des groupes de discussion. Vous avez sans doute entendu parler de cet incident.
Le sénateur Finestone: L'affaire «Love letter»?
Mme Perrin: Oui. Son filigrane était sur le programme et il a été facile de savoir quel logiciel avait servi à créer ce programme. Qui savait cela? Dans une société libre et démocratique, il est acceptable de ne pas ennuyer le client mais d'incorporer, à son insu, un système de surveillance à toute la technologie. C'est le type de surveillance bénigne d'Orwell. C'est très bien si la surveillance est discrète, mais qu'arrive-t-il si elle ne l'est pas? Comment faites-vous pour repérer ceux qui ont accès à cette technologie, qui sont surtout des techniciens de pointe, des fanatiques qui travaillent dans l'ombre? Ce sont ceux qui comprennent véritablement ce qui se passe.
Le sénateur Spivak: Peut-être que la réponse est d'avoir la technologie. Il suffit de la faire breveter pour plusieurs années. Il faut se tourner vers l'avenir. Votre technologie ne signifie pas nécessairement que nous n'avons pas besoin d'un système bancaire.
M. O'Higgins: J'estime que les banques sont menacées, particulièrement les compagnies émettrices de carte de crédit. Il suffit de penser à l'exemple que je vous donnais au sujet de la Finlande. Il y a eu paiement sans qu'intervienne une compagnie de carte de crédit. Les deux applications WAP les plus populaires -- c'est-à-dire l'Internet sur votre téléphone -- consultent le solde de votre compte de téléphone cellulaire et font le paiement à la banque. Vous faites une opération quand vous allez au lave-auto, quand vous utilisez une machine distributrice et ainsi de suite. L'opération se déroule entre votre téléphone et une machine, et le montant est ajouté à votre compte de téléphone.
Le sénateur Spivak: Si nous entrons dans une société de compensation pure, les banques seront comme tout le monde. Elles sont des intermédiaires. Elles ont peut-être d'autres fonctions, mais les particuliers pourront compter sur des offres et ainsi de suite pour obtenir de l'argent. Pouvez-vous envisager un système où les banques seraient inutiles?
M. O'Higgins: C'est possible. Dans mon exemple, les compagnies de téléphone deviennent une banque. Elles pourraient faire beaucoup d'argent sur les fonds qui transitent chez elles ou sur les opérations que vous faites. C'est ce qu'elles recherchent, particulièrement en Europe, où l'on trouve beaucoup de téléphones à prépaiement. Les gens se déplacent beaucoup et il est difficile d'avoir un compte de banque. Dans un monde d'Internet sans fil, les normes de sécurité sont très lourdes, mais il importe peu que vous les utilisiez ou non. Le code téléphonique est transmis pendant toute opération. Au départ, les compagnies aident à rédiger ces normes. Éventuellement, cet ensemble de normes disparaîtra, parce que vous voudrez vous adresser directement à la banque et que quelqu'un voudra vous offrir le service directement par téléphone. À court terme, les banques seront toujours là.
Le sénateur Spivak: Existe-t-il une documentation quelconque sur le sujet, expliquant les répercussions financières? Il doit bien exister quelque chose quelque part.
Le sénateur Finestone: La CIBC ne publie rien sur le sujet.
M. O'Higgins: Que je sache, il n'existe pas de bon résumé de cette question. Il s'agit d'un domaine tout à fait nouveau mais vous verrez que les compagnies de téléphone voudront devenir des banques, et que le mouvement s'amorcera en Europe.
Le sénateur Finestone: Voilà qui est fascinant. Nous devons demander aux compagnies de téléphone ce qu'elles savent à ce sujet. Les banques nous le diront, n'est-ce pas?
À la page 3 de votre mémoire, madame Perrin, vous dites que nous devrions nous pencher sur les lois et les incitatifs fiscaux adoptés par le gouvernement de l'Irlande qui lui ont permis de devenir le «tigre celtique». La cryptologie est la clé de voûte de notre économie de l'information, comme vous l'avez dit. Qu'est-ce que le tigre celtique et quelles sont les restrictions prévues dans l'arrangement de Wassenaar? Cela se trouve à la page 3 du mémoire présenté par Zero-Knowledge Systems. Pouvez-vous nous expliquer comment cette protection pourrait être incorporée à la nouvelle technologie de l'information?
Mme Perrin: L'arrangement de Wassenaar est l'entente en vertu de laquelle les principales nations -- je ne sais pas exactement combien de pays l'ont entériné, mais ce sont des chefs de file -- s'entendent sur les contrôles à l'exportation de la cryptographie. Les pays signataires se rencontrent régulièrement. À l'heure actuelle, la commercialisation de masse de la cryptographie n'est sujette à aucun contrôle, mais il y a des restrictions comme celles dont a parlé M. O'Higgins. Par exemple, il faut obtenir une licence d'exportation pour les opérations entre entreprises, ce qui ralentit le rythme de développement et crée une forme de bureaucratie pour l'exportation de la cryptographie. Ainsi, Zero-Knowledge doit poster un avis sur son site Web disant qu'il est interdit de télécharger vers des pays soumis à un contrôle. Il existe des filtres sur nos serveurs pour nous assurer que le matériel n'est pas téléchargé vers des pays interdits comme l'Iraq.
Dans le monde actuel, cela devient de plus en plus difficile à appliquer. Comme le soulignait M. O'Higgins, le Canada s'est doté d'une politique très progressiste et très dynamique en matière de cryptographie qui a été déposée en même temps que le projet de loi C-6. Malheureusement, les États-Unis et d'autres pays comme l'Irlande ont laissé tomber tous les travaux d'écriture alors que nous ne l'avons pas fait. Serait-ce une description équitable de la situation actuelle?
Le sénateur Finestone: Que voulez-vous dire par «ont laissé tomber les travaux d'écriture»?
Mme Perrin: Je laisserai M. O'Higgins répondre à cela.
Nous voulons surtout suivre le rythme des pays de tête et nous assurer qu'il y a moins de travaux d'écriture obligatoires, afin que nous puissions arriver sur le marché plus rapidement avec de bons produits cryptographiques. L'Irlande l'a fait. Et c'est l'une des raisons pour lesquelles des compagnies de cryptographie s'établissent en Irlande, afin d'être capables d'agir rapidement.
Le sénateur Finestone: Est-ce la raison pour laquelle on surnomme ce pays le tigre celtique?
Mme Perrin: Plusieurs éléments entrent en jeu. Je ne suis pas économiste, mais je sais que le pays a un régime fiscal favorable et de bonnes stratégies d'investissement. À l'émission de la CBC intitulée Ideas, il y a un mois, il a été question des succès de l'Irlande. Si nous voulons vraiment aller de l'avant en matière de commerce électronique, le Canada doit faire preuve de dynamisme. Tous les pays sont sur la ligne de départ et nous devons nous assurer de faire partie du groupe.
Le sénateur Finestone: Il ne faudrait pas oublier de demander un exemplaire de la transcription de ce programme.
Le sénateur Spivak: Voilà une bonne idée.
M. O'Higgins: Je suis d'accord avec les observations de Mme Perrin. L'Irlande a fait un excellent travail pour devenir une terre d'accueil favorable au commerce électronique. La région de Dublin a repris vie au cours des dix dernières années. On y trouve d'ailleurs plusieurs compagnies qui sont des chefs de file mondiaux. Plus particulièrement, l'Irlande n'impose pas de contrôles à l'exportation de matériel cryptographié. Au Canada, la politique est très bonne. Elle est égale, ou à tout le moins elle n'est pas en retard sur celle des 33 pays signataires de l'arrangement de Wassenaar, dont l'Irlande. Toutefois, nous ne nous conformons pas à notre politique.
La présidente: Est-ce que nous avons bien entendu ce que vous venez de dire? Pourrions-nous dire que vous estimez que nos pratiques et nos règlements en matière d'exportation ne peuvent soutenir le rythme d'évolution requis pour le commerce électronique? Est-ce que j'exprime clairement ce que vous venez de dire?
M. O'Higgins: Vous l'avez résumé de fort jolie manière.
La présidente: En conséquence, que recommanderiez-vous pour que les entreprises canadiennes soient en mesure d'offrir rapidement des services à d'autres pays?
M. O'Higgins: Je recommanderais, comme mesure d'urgence, une réorganisation de la politique d'exportation du Canada.
La présidente: Sénateur Finestone, avez-vous d'autres questions?
Le sénateur Finestone: Non. Je tiens à vous rappeler, madame la présidente, que quatre d'entre nous sommes attendus pour une autre réunion dans quatre minutes. Nous devons nous préparer mentalement à aborder la politique d'Air Canada.
La présidente: Sénateur Johnson, avez-vous d'autres questions pour nos témoins d'aujourd'hui?
Le sénateur Johnson: Je ne pourrais les poser toutes pour le moment.
Le sénateur Finestone: J'aimerais que vous nous fassiez un résumé. Je note que chacun de vous a des recommandations à formuler. Pourriez-vous être plus précis sur la nature de vos recommandations, pour le bénéfice de nos recherchistes, s'il vous plaît?
Mme Perrin: M. O'Higgins en a déjà parlé et cela couvre quelques-uns de nos points. Nous devons réorganiser la politique sur la cryptographie et nous assurer d'être à l'avant-garde et parmi les plus rapides à intervenir. Il faut organiser un débat public sur les technologies qui permettent d'accroître la protection de la vie privée et leur déploiement dans le cadre du programme de protection de l'infrastructure de renseignements critiques. Nous devons comprendre l'importance de la protection des renseignements, pour donner confiance aux personnes qui utilisent l'Internet, pour éviter le vol d'identité, et, de façon générale, comprendre l'importance de cette protection dans le cadre d'une infrastructure sécuritaire.
Nous prions votre comité de revenir sur l'idée d'une charte lancée par le sénateur Finestone et d'examiner l'aspect que nous n'avons pas abordé aujourd'hui, c'est-à-dire la notion d'intrusion. La protection de la vie privée, comme l'a dit M. O'Higgins, n'est pas une simple question de sécurité, de confidentialité ou de protection des renseignements personnels. Il s'agit surtout d'empêcher toute intrusion, de s'assurer que vous n'ayez pas à donner de renseignements qu'il n'est pas nécessaire de fournir. Avec les technologies dont il a été question aujourd'hui, c'est-à-dire le système de gestion du droit d'auteur, l'identification sécuritaire, les capacités de dépenser à partir d'un portefeuille, soit avec un téléphone cellulaire, soit avec un navigateur dans l'Internet, il n'est pas nécessaire d'être identifié.
Pouvons-nous nous pencher sur la notion d'intrusion et sur ce qui est acceptable en vertu de la Charte, à la fois du point de vue du gouvernement et de l'entreprise? La Charte ne s'applique pas aux entreprises, mais l'existence d'une charte des droits permettant de voir ce que fait le gouvernement permettrait sans doute de résoudre certains des problèmes.
La présidente: La semaine prochaine, des représentants de la GRC doivent témoigner devant notre comité. Nous cherchons à entendre dès maintenant la contrepartie aux deux questions que vous nous avez soumises de façon aussi claire aujourd'hui.
Merci beaucoup d'être venus témoigner aujourd'hui. Si nos recherchistes ont d'autres questions, je suppose qu'ils peuvent s'adresser à vous deux et que vous leur fournirez les réponses nécessaires.
La séance est levée.