Délibérations du Comité sénatorial permanent des
Transports et des communications
Fascicule 5 - Témoignages du 29 avril 2014
OTTAWA, le mardi 29 avril 2014
Le Comité sénatorial permanent des transports et des communications se réunit aujourd'hui, à 9 h 30, pour entendre le témoignage de représentants de BCE Inc. (Bell Canada) et du Commissariat à la protection de la vie privée du Canada au sujet de la pratique consistant à recueillir et à analyser les données des clients de Bell Canada à des fins commerciales, notamment à des fins de publicité ciblée
Le sénateur Dennis Dawson (président) occupe le fauteuil.
[Français]
Le président : Honorables sénateurs, je déclare cette séance du Comité sénatorial permanent des transports et des communications ouverte. Aujourd'hui sera la première de deux réunions consacrées à la pratique de recueillir et d'analyser les données des clients de Bell Canada à des fins commerciales, notamment à des fins de publicité ciblée.
Nos témoins pour aujourd'hui sont Mme Chantal Bernier, commissaire intérimaire à la protection de la vie privée, au Commissariat à la protection de la vie privée du Canada; et M. Regan Morris, conseiller juridique à la Direction des services juridiques des politiques et de la recherche du Commissariat à la protection de la vie privée du Canada.
[Traduction]
Avant d'inviter Mme Bernier à commencer son exposé, j'aimerais informer tous les sénateurs que son bureau a entrepris un examen des pratiques de Bell Canada et qu'elle contreviendrait aux dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en divulguant les détails de cette enquête. Nous l'avons donc convoquée pour nous parler des aspects plus généraux liés à la cueillette des données dans l'industrie des télécommunications dans son ensemble. Je demande donc aux sénateurs d'éviter de l'interroger au sujet des détails du programme ou des progrès de l'enquête en cours.
[Français]
Chantal Bernier, commissaire intérimaire à la protection de la vie privée, Commissariat à la protection de la vie privée du Canada : Monsieur le président, mesdames et messieurs les membres du comité, je vous remercie de votre invitation.
Je suis accompagnée aujourd'hui, comme vous l'avez dit, par un de nos conseillers juridiques, M. Regan Morris. Je traiterai des trois enjeux soulevés dans l'invitation que vous nous avez lancée, soit notre opinion concernant les pratiques de l'industrie des télécommunications par rapport à la protection des renseignements personnels, les responsabilités des entreprises de télécommunications à ce sujet et les mesures de sécurité.
Comme vous le savez, le Commissariat à la protection de la vie privée du Canada est chargé de veiller au respect de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), laquelle s'applique au secteur privé au Canada. Les entreprises de télécommunications relèvent donc de notre compétence.
Comme vous l'avez dit, monsieur le président, nous faisons enquête en ce moment sur les modifications que Bell Canada a récemment apportées à sa politique de confidentialité. Toutefois, en vertu de l'article 20 de la LPRPDE, nous sommes tenus au secret concernant cette enquête.
Même si nous ne pouvons parler de cette enquête en particulier, j'aimerais traiter des quelques enjeux relatifs à la vie privée qui se rapportent aux entreprises de télécommunications.
[Traduction]
Les avancées technologiques constituent un enjeu clé touchant les pratiques des entreprises de télécommunications, puisqu'elles permettent souvent aux entreprises d'utiliser des renseignements personnels afin d'établir un profil détaillé des consommateurs et de personnaliser les produits et services en fonction de leurs intérêts présumés.
Bien entendu, ce n'est pas d'hier que les organisations veulent se renseigner sur leurs clients. Mais ce qui est nouveau, c'est que les entreprises disposent maintenant d'outils permettant de brosser un portrait de plus en plus détaillé des gens.
Les entreprises de télécommunications modifient leurs pratiques face à la concurrence dans l'environnement en ligne et numérique. En ce qui touche par exemple le cyberespace, notre enquête sur Google et la publicité comportementale en ligne, dont nous avons publié les résultats en janvier dernier, a révélé l'existence d'un modèle d'affaires où les entreprises utilisent les renseignements personnels recueillis à partir des activités en ligne des internautes pour cibler les annonces publicitaires. Plus la publicité est ciblée, plus elle sera lucrative.
Au fil des années, nous nous sommes notamment penchés sur la question du consentement en lien avec le marketing. Nous avons également examiné d'autres pratiques des entreprises de télécommunications qui soulèvent des inquiétudes à l'égard de la protection de la vie privée, par exemple la collecte de renseignements personnels à des fins de vérification et d'authentification, la communication de renseignements personnels à des membres de la famille de l'intéressé ainsi que la communication de renseignements personnels aux autorités chargées de l'application de la loi.
Devant la complexité et la concurrence à l'ère numérique, la transparence et les politiques de confidentialité jouent un rôle primordial pour obtenir un consentement valide et permettre aux internautes de garder la maîtrise de leurs renseignements personnels.
Le printemps dernier, le commissariat et 18 autorités de protection des données d'autres pays ont effectué un ratissage en ligne pour analyser la pertinence et la transparence des politiques de confidentialité. Nous avons constaté que de nombreux sites Web n'affichaient aucune politique de confidentialité et que certains se contentaient d'un énoncé trop général ne donnant aucun détail sur la façon dont l'organisation utilise les renseignements des clients. À la suite du ratissage, certaines organisations ont amélioré leurs politiques de confidentialité.
Nous avons publié dans notre site web la liste complète des éléments observés dans le cadre du ratissage. Nous y faisons aussi état des pratiques exemplaires que nous avons constatées.
Les entreprises de télécommunications doivent également mettre en place des mesures de sécurité adéquates pour protéger les consommateurs contre un accès non autorisé à leurs renseignements personnels. La technologie numérique permet aux organisations de recueillir et de conserver de grandes quantités de renseignements qui peuvent être vulnérables aux atteintes à la sécurité. Afin de protéger les renseignements personnels des consommateurs, il est essentiel d'adopter des procédures rigoureuses pour confirmer l'identité des individus et d'utiliser des moyens technologiques à la fine pointe.
[Français]
En plus de faire enquête sur les plaintes et les atteintes à la sécurité, notre commissariat mène plusieurs autres activités pour relever les défis liés à la protection de la vie privée. Par exemple, nous avons mis au point des outils pour aider les entreprises à tirer parti de la technologie tout en respectant la vie privée des consommateurs, notamment des lignes directrices et une position de principe sur la publicité comportementale en ligne, et un document d'orientation sur les comptes des membres d'un ménage. En outre, nous publierons bientôt un document d'orientation sur le consentement en ligne et les politiques de confidentialité.
Plus tôt cette année, nous avons formulé des recommandations au Parlement en vue de la réforme de la législation actuelle sur la protection des renseignements personnels, pour obliger les entités du secteur privé, notamment les entreprises de télécommunications, à présenter des rapports publics sur la communication de renseignements personnels aux organismes de sécurité nationale sans surveillance judiciaire en vertu des dispositions de la LPRPDE.
En terminant, j'aimerais insister sur le fait que le respect des lois sur la protection des renseignements personnels n'est pas un obstacle à l'innovation. Les problèmes auxquels les entreprises de télécommunications doivent s'attaquer dans le domaine sont d'autant plus complexes que la technologie évolue sans cesse.
Le respect de la vie privée dans l'écosystème de la technologie est essentiel. Le maintien de la confiance des consommateurs repose en grande partie sur la transparence, l'obtention d'un consentement valide et l'adoption de mesures de sécurité adéquates.
J'aimerais remercier encore une fois les membres du comité d'avoir pris le temps de m'écouter, et, si vous avez des questions, il me fera plaisir d'y répondre.
Le président : Merci, madame Bernier. Le sénateur Housakos posera la première question.
[Traduction]
Le sénateur Housakos : Merci, madame la commissaire, de votre présence ce matin. Merci également à vous, monsieur Morris.
J'ai plusieurs questions. Il y a d'abord le fait que certains détracteurs des entreprises de télécommunications canadiennes ont soutenu que ces fournisseurs détenaient davantage de renseignements sur les utilisateurs que n'importe qui d'autre, y compris des sociétés comme Facebook et Google, par exemple. Je trouve que c'est un peu exagéré, étant donné que ces entreprises planétaires ont accès à des détails comme l'identité des amis et des proches de l'utilisateur, ses relations personnelles, son style de vie, ses photos, les groupes de musique qu'il apprécie, ses films préférés ou même ses aspirations et compétences professionnelles.
J'espère que lorsque vous vous penchez sur la question, vous vous rendez compte que cela concerne également la capacité concurrentielle et que nos lois et politiques ne devraient pas défavoriser les sociétés canadiennes. Convenez-vous avec moi que la LPRPDE doit s'appliquer de la même manière à toutes les entreprises? Comment vous y prenez-vous avec les multinationales qui ne relèvent pas de notre compétence?
Mme Bernier : Vous avez tout à fait raison. Notre loi vise d'abord et avant tout à concilier le droit à la protection de la vie privée et le besoin légitime d'une organisation d'obtenir certains renseignements personnels pour réaliser ses objectifs, ce qui inclut le maintien de sa capacité concurrentielle.
La LPRPDE s'applique à toutes les entreprises de la même manière. Si vous jetez un coup d'œil sur l'éventail d'enquêtes que nous avons menées, vous verrez que Facebook a été visé. Nous avons d'ailleurs rendu publics les résultats de cette enquête. La loi s'applique aussi à Google, et nous en avons témoigné. Mais les petites et moyennes entreprises n'échappent pas non plus à cette loi.
La LPRPDE tire sa force du fait qu'elle est fondée sur des principes, ce qui permet d'offrir un cadre de protection des renseignements personnels qui est à la fois clair et flexible. Les principes établis à l'annexe 1 de la loi définissent notamment les concepts de transparence, de consentement et de restriction quant à l'utilisation, mais ils peuvent être adaptés en fonction des circonstances. Il ressort clairement de la jurisprudence que ces principes doivent être interprétés et appliqués en tenant compte des réalités pratiques de l'entreprise, et c'est exactement ce que nous faisons.
Le sénateur Housakos : Bon nombre d'entreprises présentes dans cette sphère d'activité cherchent des moyens de diffuser de la publicité en ligne qui serait mieux adaptée aux besoins de leurs utilisateurs et de leurs abonnés. Certaines demandent à leurs utilisateurs de s'abonner à leurs services, alors que d'autres leur offrent l'option de se désinscrire. Il y a par contre des entreprises qui n'offrent même pas cette dernière possibilité. Dans le cas de Facebook, je crois que les utilisateurs ne peuvent pas se soustraire à la publicité jugée pertinente. Est-ce parce qu'il n'y a pas de frais d'adhésion que Facebook est justifié de ne pas offrir une option de désactivation? À la base, comment la LPRPDE s'applique-t-elle dans un cas comme Facebook ou Google, par exemple? Pourriez-vous nous l'expliquer?
Mme Bernier : La loi s'applique de la même manière que pour toute autre entreprise qui est en affaires au Canada ou dont les activités ont des incidences dans notre pays. Il faut que le lien soit direct et concret. Si l'on considère le nombre d'utilisateurs de Facebook au Canada, il est bien évident que notre loi s'applique à cette entreprise et nous n'avons pas manqué d'exercer notre compétence en la matière.
Quant aux options offertes aux utilisateurs, notre bureau est d'avis que la possibilité de refus peut être une formule acceptable, pour autant qu'il ne s'agisse pas de renseignements de nature confidentielle. Nous jugeons en outre qu'une telle option ne convient pas dans le cas des enfants. Il faut qu'il y ait transparence totale relativement à l'utilisation de l'information de telle sorte que la personne concernée puisse savoir ce qu'on fait de ses renseignements personnels et pour quels motifs on les utilise.
Le sénateur Housakos : Commissaire, certains soutiennent que Facebook peut le faire sans problème, car ses utilisateurs n'ont aucuns frais à payer. Pensez-vous que le prix du service devrait déterminer le niveau approprié de protection des renseignements personnels pour l'utilisateur?
Mme Bernier : M. Morris m'a remis une note à ce sujet.
Pourriez-vous nous parler davantage de Facebook?
Regan Morris, conseiller juridique, Direction des services juridiques, des politiques et de la recherche, Commissariat à la protection de la vie privée du Canada : Il est vrai que Facebook n'a pas de mécanisme permettant de se soustraire à l'ensemble de ses publicités. Je crois que cela est prévu dans leurs modalités de service.
Facebook se distincte notamment du fait que c'est un réseau social auquel chacun est libre d'adhérer. Vous pouvez examiner les modalités de service avant de décider si vous souhaitez faire partie de ce réseau social, alors que les services de télécommunications sont une nécessité pour bien des Canadiens. C'est peut-être donc un élément qui distincte ces deux formes de services.
Le sénateur Housakos : Pourriez-vous nous dire si les États-Unis ont adopté une loi comparable à la LPRPDE pour les questions touchant la protection de la vie privée? À votre avis, les Américains sont-ils moins sévères que nous le sommes? Pourrait-on tirer des enseignements des pratiques en usage aux États-Unis et ailleurs dans le monde pour la protection de la vie privée?
Mme Bernier : Il va de soi que les États-Unis ont une approche différente. D'abord et avant tout, ils n'ont pas de commissaire à la protection de la vie privée. C'est la Federal Trade Commission qui fait enquête sur les différentes pratiques commerciales, y compris celles qui pourraient relever de notre compétence, notamment pour ce qui est des pratiques trompeuses misant sur l'utilisation inappropriée des renseignements personnels. Les Américains ont différentes lois sectorielles en la matière, mais pas de loi générale. Ils ont aussi une loi qui traite spécifiquement de la situation des enfants.
Leur démarche est donc différente. Si je puis me permettre, je ne pense pas qu'il serait sage de vouloir les imiter au Canada. Il y a d'abord le fait qu'il n'y a pas aux États-Unis d'organisme indépendant ayant le mandat précis de protéger la vie privée, ce qui représente selon moi un gros atout pour notre pays. Leur régime apparaît fragmenté. Je privilégie une approche plus holistique.
Ailleurs dans le monde, les Européens ont également une approche qui diffère de la nôtre en ce sens qu'ils ont une loi s'appliquant à la fois au secteur public et au secteur privé. Cette loi part du principe que la protection de la vie privée est un droit fondamental qui s'exerce aussi bien dans la sphère privée que dans les relations avec le gouvernement. Des principes différents s'appliquent du fait que la notion de nécessité prime dans les relations avec le gouvernement, alors que c'est le consentement qui est primordial dans les rapports avec le secteur privé. Quoi qu'il en soit, les Européens ont adopté une approche globale que certains qualifieraient de plus sévère en matière de protection des renseignements personnels.
Mes propos paraîtront peut-être chauvins, mais disons que je n'ai pas peur d'affirmer ma fierté d'être Canadienne. La réputation mondiale de notre régime, reconnu à la fois pour sa clarté et sa flexibilité, m'amène à penser que nous avons su trouver le juste équilibre entre les objectifs de capacité concurrentielle et de croissance économique et la nécessité de protéger les renseignements personnels et la vie privée des consommateurs.
Le sénateur Housakos : Je me demande dans quelle mesure il existe actuellement un marché noir pour le trafic des renseignements personnels par les entreprises. Votre gouvernement est déterminé à faire en sorte que les entreprises canadiennes soient capables de soutenir la concurrence publicitaire à l'échelle planétaire, et notamment celles de ces multinationales, mais nous devons aussi nous employer à protéger les aspects les plus fondamentaux de la vie privée de chacun.
Permettez-moi de vous donner un exemple. En octobre dernier, je me suis rendu en Croatie avec un comité parlementaire. À peine 15 minutes après notre sortie de l'avion, mes quatre collègues et moi-même avons reçu le même texto d'une entreprise locale nous souhaitant la bienvenue à Zagreb et nous invitant à communiquer avec elle si nous avions besoin d'aide pour visiter la ville, trouver les meilleurs restaurants, un hôtel ou des attractions touristiques.
J'ai trouvé étrange que nous recevions tous le même message. Qu'avions-nous en commun? Nous étions tous des clients de Rogers. Nous étions abasourdis. J'ai trouvé cela incroyable.
J'ai parcouru les différents communiqués publiés au cours des 12 à 18 derniers mois, et Rogers a indiqué publiquement qu'elle ne participait à aucun programme de publicité ciblée et qu'elle ne vendait jamais, de quelque façon que ce soit, les renseignements personnels en sa possession. De deux choses l'une, ou Rogers le fait sans l'admettre, ou quelqu'un a piraté son système, ou encore il y a une fuite quelque part.
Que peut-on faire lorsqu'il se produit des choses semblables?
Mme Bernier : Vous avez tout à fait raison; c'est vraiment problématique. Plutôt que de se demander ce que les Canadiens peuvent faire, je crois qu'il convient de faire porter le fardeau aux instances réglementaires concernées, y compris notre commissariat. À ce titre, permettez-moi de vous parler des mesures concrètes que nous prenons. Vous nous exposez en fait un problème planétaire entraînant des risques pour la protection de la vie privée. Nous avons donc besoin de mesures de protection à l'échelle de la planète.
Nous intervenons donc à différents niveaux. Je copréside avec mon homologue du Royaume-Uni, un groupe de travail visant la coopération dans l'application des règles de telle sorte que les autorités chargées de la protection des renseignements personnels puissent contrer ensemble les menaces internationales. Autre exemple, je codirige avec mon homologue des Pays-Bas la première enquête internationale portant sur une entreprise. C'est une société américaine tout à fait légitime qui éprouve toutefois des difficultés à protéger adéquatement l'information.
Le problème que vous soulevez se manifeste de plus en plus souvent. Je vous signale à ce sujet un reportage médiatique récent au sujet de Globe24h, une entreprise basée en Roumanie qui ratisse l'Internet pour glaner des décisions juridiques particulièrement embarrassantes et les afficher sur le Web par la suite. Lorsque la personne concernée prend connaissance de l'affichage et communique avec l'entreprise, on lui répond qu'on peut certes retirer le tout, mais en échange d'une certaine somme d'argent.
Je pense que cela témoigne exactement des préoccupations que vous avez exprimées ainsi que des nombreux cas qui nous ont incités à conjuguer nos efforts avec les autres instances chargées de la protection des renseignements personnels.
Outre ce comité dont j'assure la coprésidence, je dois aussi mentionner que nous avons conclu des protocoles d'entente avec cinq pays, soit l'Irlande, le Royaume-Uni, l'Uruguay, les Pays-Bas et l'Allemagne, pour permettre les échanges d'information de manière à pouvoir contrer de façon concertée ces risques planétaires pour la protection de la vie privée.
[Français]
Le président : Je vais donner la parole au sénateur Mercer. Toutefois, j'aimerais ajouter que c'est l'une des raisons pour lesquelles ces audiences sont si importantes. Elles vous donnent l'occasion de diffuser ce genre d'information. Je crois qu'il est important que les Canadiens aient de plus en plus accès à ces détails. C'est la preuve que le sujet est d'intérêt.
[Traduction]
Le sénateur Mercer : Dans votre exposé, vous avez parlé des 18 autres autorités de protection des données qui ont effectué un ratissage en ligne pour analyser la transparence des politiques. Vous avez aussi souligné que vous avez publié sur votre site web la liste complète des éléments observés dans le cadre de ce ratissage, en faisant notamment état des pratiques exemplaires que vous avez constatées.
Êtes-vous allé plus loin en essayant de déterminer si les entreprises canadiennes utilisent ces pratiques exemplaires que vous avez recensées? Avez-vous procédé à une analyse de la situation dans l'industrie en déterminant où se situent nos entreprises par rapport aux meilleures pratiques en usage?
Mme Bernier : Les résultats de notre ratissage sont affichés, un peu à la blague, sous les rubriques le bon, le mauvais et le pire. Vous avez donc un aperçu de l'ensemble du spectre, en allant des entreprises vraiment exemplaires jusqu'à celles qui font montre de négligence à ce chapitre. Disons simplement que leurs politiques de protection de la vie privée sont trop longues, difficiles à lire et pas vraiment accessibles. Dans le pire des cas, on pouvait noter l'absence totale de politique en la matière.
Dans l'intérêt public, nous avons identifié les entreprises particulièrement problématiques et celles qui se tirent très bien d'affaire. Dans les semaines qui ont suivi, nous avons été ravis de constater que certaines entreprises parmi les moins bien cotées ont fait le nécessaire pour rectifier le tir. Certaines ont ainsi clarifié leur politique, et nous étions satisfaits des modifications apportées.
Le sénateur Mercer : Les avez-vous fait passer de la colonne des pires à celle des bons?
Mme Bernier : Vous verrez sur notre site web que nous les félicitons d'avoir agi aussi rapidement.
Le sénateur Mercer : Voilà qui est bien. Je suis heureux de voir que vous êtes proactifs.
Vous avez aussi indiqué que vous avez formulé, plus tôt cette année, des recommandations au Parlement en vue de la réforme de la législation actuelle sur la protection des renseignements personnels pour obliger les entités du secteur privé, et notamment les entreprises de télécommunications, à présenter des rapports publics sur la communication de renseignements personnels aux organismes de sécurité nationaux sans surveillance judiciaire en vertu des dispositions de la LPRPDE. Quelles suites le gouvernement a-t-il données à vos recommandations?
Mme Bernier : Nous attendons toujours une réponse. Nous avons formulé nos recommandations. Nous avons fait un suivi en adressant une lettre à chacun des ministres concernés par l'une ou l'autre des recommandations dans l'espoir d'obtenir une réponse, mais nous attendons toujours de l'action dans ce dossier.
Le sénateur Mercer : Nous espérons que vous pourrez nous tenir au courant, car vos recommandations ont assurément leur importance, et le gouvernement devrait réagir en conséquence.
Il y a un aspect qui demeure problématique pour nous. Bon nombre de clients se voient offrir l'option de refuser que l'on communique leurs renseignements personnels à des fins bien précises, mais plusieurs d'entre eux ne savent pas exactement à quoi ils s'engagent en se prévalant de cette possibilité de refus.
Ne devriez-vous pas, ou ne devrait-on pas d'une manière générale, essayer de mieux définir ce qu'on entend par cette option de refus? Lorsque j'indique que je ne veux pas qu'on utilise mes renseignements personnels, je présume que l'on ne s'en servira pas, un point c'est tout. C'est comme la Liste nationale des numéros de télécommunication exclus. Si je fais inscrire mon nom sur cette liste, je m'attends à ne pas recevoir d'appels, à part ceux provenant des groupes qui en sont exemptés, comme les organismes de charité et les partis politiques. Devrait-on procéder de cette manière?
Mme Bernier : Nous allons sous peu publier des lignes directrices sur la façon de procéder pour obtenir un consentement valide en ligne. Vos questions nous ramènent à bon nombre des enjeux que nous avons relevés. Compte tenu de la complexité technologique, comment s'assurer que le consentement est valide? L'utilisation des renseignements se fait à plusieurs niveaux et de manière implicite; elle échappe au premier coup d'œil. C'est en quelque sorte invisible. Avec ces appareils qui sont de plus en plus petits, comment peut-on s'assurer que le consommateur exprime un consentement valide?
Les lignes directrices dont je vous parle traitent de toutes ces difficultés en vue d'aider les entreprises à régler précisément le problème que vous soulevez. Comment s'assurer que le consommateur savait vraiment ce qu'il faisait en choisissant de s'inscrire ou de se désinscrire? Les lignes directrices répondront à cette question.
Le sénateur Mercer : Combien de temps faudra-t-il attendre pour que ces lignes directrices soient disponibles et en vigueur?
Mme Bernier : Nous allons les rendre publiques en mai à l'occasion d'un événement prévu à cette fin.
Le sénateur Mercer : Très bien. Merci beaucoup.
Il y a un autre problème qui se pose lorsqu'un client retire son consentement auprès d'une entreprise qui compte de nombreuses filiales. Comme je ne peux pas identifier une certaine entreprise, je vais éviter de la nommer en parlant de l'entreprise A à laquelle est affiliée toute une série d'autres entreprises. Si j'indique au départ à l'entreprise A que je refuse qu'on utilise mes renseignements personnels, il est important que l'entreprise Z qui lui est affiliée n'ait pas accès elle non plus à ces renseignements. N'êtes-vous pas de cet avis?
Mme Bernier : Une personne raisonnable serait en droit de s'attendre à cela, et c'est donc le critère auquel on doit satisfaire.
Le sénateur Mercer : Je suis tout ce qu'il y a de plus raisonnable.
Le sénateur Plett : Des spécialistes se penchent encore sur la question.
Le sénateur Eggleton : C'est une plainte contre Bell Canada qui est à l'origine de tout cela, mais je sais que vous ne pouvez pas faire de commentaires à ce sujet, car votre bureau enquête actuellement sur la question. Dans une perspective générale, je comprends que vous souhaitez que toutes les entreprises soient traitées sur le même pied, qu'il s'agisse de Google, de Facebook, de Rogers, de Bell ou peu importe, et que les mesures s'appliquent dans tous les cas, plutôt qu'à certaines entreprises seulement. Je voulais simplement que les choses soient bien claires dans le contexte de cette plainte contre Bell qui est à l'origine de notre étude.
J'ai une question concernant ces ententes dont parlait M. Morris. Lorsqu'on s'inscrit à Facebook, il nous apparaît toutes sortes de choses, dont cette entente très longue, rédigée en termes juridiques. Vous faites défiler l'écran, et on vous demande si vous acceptez les conditions. Est-ce que cela inclut les éléments qui nous intéressent ici? Ces éléments sont-ils mis en évidence d'une manière ou d'une autre ou se perdent-ils parmi tous ces termes juridiques pour nous indiquer que les renseignements fournis seront transmis à des annonceurs?
Mme Bernier : Je vous disais que la transparence est l'un des principes sous-jacents à la LPRPDE. Par transparence, on entend que les politiques sur la protection de la vie privée doivent être très claires et facilement accessibles, et bien préciser à quoi le consommateur s'engage, si je puis dire, en communiquant ses renseignements personnels à une entreprise. La loi exige que tout cela soit exprimé très clairement.
Le sénateur Eggleton : La plupart des ententes en question sont rédigées dans des termes très juridiques et portent sur une multitude d'aspects. Je ne suis pas sûr que les gens soient en mesure de comprendre tout cela.
Mme Bernier : Vous avez bien raison, c'est pourquoi, lorsque nous examinons des politiques de protection de la vie privée, nous nous demandons non seulement si elles sont technologiquement accessibles, mais aussi si elles sont lisibles.
Par ailleurs, si vous jetez un coup d'œil à notre rapport sur les conclusions de l'enquête dans l'affaire Nexopia, un site web destiné aux jeunes, nous sommes allés plus loin et avons conclu que le vocabulaire devait être à la portée du public. Lorsqu'on cible les jeunes, les politiques de protection de la vie privée doivent être écrites en conséquence.
Le sénateur Eggleton : Serait-il préférable de séparer tout cela? Chaque personne a ses raisons de vouloir être sur Facebook. Selon le libellé des ententes en ce moment, il faut choisir entre tout ou rien. Ne serait-il pas préférable que cette partie soit séparée?
Mme Bernier : Que voulez-vous dire par séparée? J'essaie de comprendre ce que vous envisagez.
Le sénateur Eggleton : Il pourrait peut-être y avoir une entente séparée, qu'on pourrait refuser, mais tout de même pouvoir profiter des autres services.
Mme Bernier : Nous voulons que ce soit l'utilisateur qui décide. C'est le sens même de la protection de la vie privée. Les personnes doivent garder la maîtrise des renseignements personnels recueillis ou utilisés à leur sujet, et ce, dans toutes les circonstances, mais tout dépend des circonstances. Par exemple, pour les petits appareils, nous allons être très précis et exiger qu'il y ait un bouton « refuser » très simple. Pour les enfants, il doit y avoir un hyperlien qui les dirige immédiatement vers un site. Il peut prendre la forme d'une petite personne, d'une petite image pour que ce soit bien clair pour l'utilisateur. Vous me demandez si ce doit être séparé. La politique de protection de la vie privée doit assurément faire l'objet d'un hyperlien séparé, très clair et très accessible, pour que l'utilisateur reste maître de ses renseignements personnels.
Le sénateur Eggleton : C'est bon.
Les recommandations que vous avez envoyées, les avez-vous envoyées au gouvernement ou au Parlement?
Mme Bernier : Au Parlement, dans notre rapport spécial au Parlement. Il s'intitule Mesures de vérification et de contrôle et porte précisément sur la supervision des activités de surveillance exercées au nom de la sécurité nationale.
Le sénateur Eggleton : Il ne porte pas vraiment sur cet aspect.
Mme Bernier : Il y a une recommandation qui vise à moderniser la LPRPDE afin d'obliger les entités privées à fournir des statistiques sur le nombre de demandes de communication de renseignements personnels auxquelles elles accèdent sans présentation de mandat. Supposons qu'un service de police s'adresse à une entreprise de télécommunications en lui disant : « Nous avons une urgence; nous avons besoin de renseignements personnels maintenant; nous n'avons pas le temps de nous adresser à un tribunal. » L'entreprise de télécommunications va effectivement lui transmettre ces renseignements pour protéger des vies, par exemple, mais nous croyons que les statistiques à cet égard devraient être rendues publiques pour donner aux Canadiens une idée, à tout le moins, de l'étendue et de la nature de ces activités sans compromettre les activités en question, évidemment, parce que ce ne serait qu'à des fins statistiques.
Le sénateur Eggleton : Il faut modifier la loi pour cela plutôt que de procéder par règlement?
Mme Bernier : Nous aimerions que ce soit inscrit dans la loi.
[Français]
Le sénateur Demers : Quelles sont les principales préoccupations du Commissariat à la protection de la vie privée du Canada quant à l'utilisation de technologies de l'information et de communication modernes et à l'utilisation de grandes quantités de données personnelles sur les consommateurs qui sont si précieuses?
Mme Bernier : J'ai plusieurs préoccupations. Alors, en vous écoutant, j'essaie de me faire une liste de priorités pour commencer avec la première.
Tout d'abord, votre question fait allusion à la puissance de la technologie. Cette puissance crée une asymétrie entre les compagnies et le consommateur. Le consommateur a des pouvoirs limités et parfois une compréhension limitée de la technologie en jeu. Il ou elle donne son information à une compagnie qui, elle, a des pouvoirs extrêmement étendus pour analyser l'information, la diffuser et la partager. La première préoccupation, c'est cette asymétrie qui s'installe entre le pouvoir du consommateur de protéger son information et le pouvoir des compagnies de l'utiliser.
Une deuxième préoccupation, c'est le fait que — et cela ressort clairement de notre enquête sur Google — tout un modèle d'affaires s'est maintenant construit sur l'utilisation des données personnelles. Ce qui est ressorti de notre enquête sur Google — et vous le verrez dans les rapports financiers de Google — c'est que 90 p. 100 et plus de ses revenus proviennent de la publicité. Ajoutez à cela que la publicité ciblée rapporte 2,6 fois plus. Elle est donc plus lucrative, de presque trois fois, que la publicité non ciblée.
Alors vous voyez l'incitatif économique à utiliser les renseignements personnels pour faire de la publicité ciblée. Ceci, en retour d'un accès à Internet « gratuit » — je le mets entre guillemets puisque vous payez par le biais de vos données personnelles. Une autre préoccupation qu'il faut véritablement encadrer, c'est ce nouveau modèle d'affaires.
Une troisième préoccupation, c'est la vulnérabilité de la technologie, mise en évidence par le marché noir. Pour revenir à la question du sénateur Housakos, il y a cette vulnérabilité, le piratage et aussi l'erreur humaine. Il est donc important d'élaborer des mesures de sécurité qui sont à la hauteur de cette vulnérabilité.
Il y a aussi la préoccupation de la complexité qui s'impose au consommateur. Vous faisiez référence tout à l'heure à l'importance de transmettre l'information aux Canadiens. Il est donc important d'informer les Canadiens pour les outiller face à cela. En général, je dirais qu'il existe toute une vague de développement économique qui repose sur les renseignements personnels, ce qui nous oblige, comme régulateurs, comme gouvernement, comme élaborateurs de politiques, à nous assurer que le cadre de protection est à la hauteur.
Le sénateur Demers : Nous parlons aujourd'hui de la protection de la vie privée. Vous semblez tous les deux extrêmement bien informés.
Il y a quelques mois, on me disait : « Jacques, je sais où tu demeures. On a vu ta maison sur Internet. » Quand on parle de vie privée, on atteint vraiment ici la vie privée. Certaines personnes ont besoin d'être protégées. Mais jusqu'où allons-nous? On voit ma maison et mon adresse. Ma question est-elle pertinente?
Mme Bernier : Tout à fait. Lorsque Google a développé son programme Google Maps, de nombreux commissariats à la vie privé à travers le monde ont exprimé exactement les mêmes préoccupations que celles que vous soulevez aujourd'hui, et ont obtenu de Google certaines protections. Par exemple, on veut s'assurer qu'une personne ne puisse être identifiée et être liée à l'adresse. Ceci étant dit, on a effectivement l'adresse; elle est facile à trouver, elle est déjà du domaine public. Cependant, Google doit s'assurer que, par l'intermédiaire de Google Maps, elle ne dévoile pas plus d'information que ce qui est déjà disponible.
Le sénateur Demers : C'est une préoccupation pour beaucoup de gens qui, comme vous dites, œuvrent dans la vie publique. En tout cas, j'aime votre réponse. Merci, monsieur le président.
[Traduction]
Le sénateur Plett : J'ai une question. Vous nous avez parlé à maintes reprises aujourd'hui de l'option de retrait, et vous avez recommandé que les enfants puissent cliquer sur des icônes pour refuser des choses. Est-ce que ce ne devrait pas être le contraire? La personne pourrait choisir de dire oui si elle le veut? On reçoit tout le temps plein de communications, dans lesquelles on nous dit : « Si vous voulez être retiré de cette liste, vous pouvez le demander. » Je pense qu'on devrait d'abord me demander si je veux m'inscrire à une liste d'envoi plutôt que de me dire que mon nom peut en être retiré.
Mme Bernier : Cela nous ramène à la prémisse de la LPRPDE, comme je le disais, qui vise à assurer un juste équilibre entre la croissance économique, qui implique de permettre aux organisations de recueillir les renseignements dont elles ont besoin pour leurs affaires, et la protection de la vie privée. Les options de retrait ou d'inclusion peuvent être modulées en conséquence. Nous ne voudrions pas qu'on puisse refuser la communication de renseignements sensibles. Nous voulons qu'il existe un consentement explicite et détaillé pour tous les renseignements sensibles et comme nous l'avons dit, pour les enfants. Cependant, il y a d'autres contextes dans lesquels nous croyons que l'option de retrait pourrait être offerte, si l'on prend en considération ce que les entreprises appellent l'expérience des consommateurs et le degré de sensibilité de l'information. Même là, la transparence est de mise, et il faut expliquer très clairement aux consommateurs qui envisagent de se retirer quels renseignements seront recueillis, ce que l'organisation compte en faire et à qui elle compte les communiquer. Le consommateur doit garder la maîtrise de tout cela.
Le sénateur Plett : Je comprends, et je suis certain que vous prenez la chose aussi au sérieux que vous le dites. Je n'en ai aucun doute. Cependant, il y a quelque chose qui me préoccupe, surtout quand je pense à toutes les histoires d'horreur dont on entend parler et qui touchent des enfants. Il faut concevoir un système très clair. Je pense qu'il faudrait pencher plutôt du côté de l'option d'inclusion ou d'adhésion. Les jeunes ne prendront pas la peine de se prévaloir d'une option de retrait. Ils vont se demander ce que c'est et essayer d'obtenir un peu plus d'information. Même moi, j'ai ce problème.
Mme Bernier : C'est un souci tout à fait légitime, c'est pourquoi nous avons élaboré des lignes directrices sur la publicité comportementale, justement pour évaluer quand il est acceptable qu'une personne puisse refuser que des renseignements la concernant soient communiqués, et nous faisons particulièrement mention des enfants. Il faut traiter les enfants comme des personnes vulnérables, puisque c'en est.
[Français]
Le sénateur Housakos : Madame Bernier, à titre de régulateur, il est sûr et certain que votre rôle principal est la protection des renseignements privés de nos citoyens. Mais est-ce que vous faites un effort comparable pour veiller à ce que les compagnies de télécommunications soient capables de capitaliser sur cette ressource économique? Est-ce qu'il y a une bonne communication entre vous et le secteur privé, les compagnies canadiennes? Évidemment, c'est une ressource économique importante et il est également important, pour le gouvernement, que les compagnies canadiennes jouissent d'un environnement concurrentiel. Il faut donc trouver une façon de concilier ces deux intérêts importants.
Mme Bernier : Tout à fait. D'ailleurs, ma dernière réponse montrait comment nous tenons compte de ce que les compagnies recherchent en termes d'expérience de l'individu. Il s'agit vraiment de tenir compte des besoins pour être concurrentiel.
Si vous voulez savoir comment se porte notre relation avec le secteur privé, je vous dirais qu'il faudrait le lui demander aussi. Mais de notre point de vue, elle est très satisfaisante. Et comment nous assurons-nous d'une relation satisfaisante?
Premièrement, en tenant des réunions régulièrement avec divers secteurs. Par exemple, en dehors de toute enquête, en s'asseyant avec les télécommunicateurs, simplement pour leur dire : « Voici ce que nous notons, qu'est-ce que vous en pensez? Que faites-vous pour traiter tel ou tel dossier? » C'est donc maintenir une relation permanente en dehors de cas précis de conformité.
Deuxièmement, en montrant une ouverture à leurs besoins; une ouverture à cette exigence de la loi qui est de tenir compte de leurs exigences commerciales.
Troisièmement, en mettant en œuvre la loi au moyen d'une démarche pragmatique, c'est-à-dire en tenant compte de ce qui est faisable.
Prenons l'exemple des enquêtes qui ont été particulièrement médiatisées, comme l'enquête sur Google qui portait sur la publicité en ligne, puisque nous l'avons rendue publique le 15 janvier dernier. Vous avez peut-être noté que nous avons reçu la collaboration de Google. Google a fait preuve d'ouverture, cela s'est fait à l'aide d'un dialogue véritablement constructif. Pourquoi? Parce que, premièrement, les compagnies se rendent compte que protéger la vie privée est un avantage concurrentiel. Nos sondages le montrent au Canada, mais c'est vrai aussi à travers le monde. Les consommateurs veulent faire affaire avec des compagnies qui protègent la vie privée. En fait, les consommateurs disent avoir évité des compagnies qui ont été blâmées pour avoir négligé de protéger adéquatement la vie privée.
Nous poursuivons nos efforts et nous engageons un dialogue avec ces compagnies, ce qui nous amène tous au même point, c'est-à-dire à la protection des renseignements personnels dans le cadre d'une économie dynamique et moderne.
Le sénateur Housakos : Est-ce qu'il y a présentement des outils que vous n'avez pas et qui sont nécessaires pour relever ce défi auquel vous faites face? Est-ce que vous pouvez nous faire part aussi de votre réflexion sur le projet de loi S-4 dont nous sommes saisis?
Mme Bernier : Tout à fait. Pour ce qui est d'outils qui nous manquent, je reviendrais à la réponse que j'ai donnée au sénateur Demers plus tôt. L'asymétrie qui s'installe entre le consommateur, l'individu, et les grandes compagnies, à notre avis, ne peut être résolue que par l'attribution d'un grand pouvoir au régulateur, ce qui lui permettra de corriger cette asymétrie.
Le projet de loi S-4 accroît nos pouvoirs. D'abord, il nous donne un an, plutôt que 45 jours, pour référer une enquête à un tribunal. Cela correspond beaucoup mieux à la réalité de nos délais d'enquête, qui sont très complexes et donc prennent du temps.
On a également élargi notre pouvoir de nommer, dans l'intérêt public. Pour revenir à la remarque du président, cela aide à outiller les consommateurs; donc, cela aussi, c'est un pouvoir qui nous permet, à nous, de faire une différence.
Troisièmement, le projet de loi S-4 répond à une autre demande qui vise à inscrire dans la loi la possibilité de conclure des ententes par lesquelles une compagnie démontre sa responsabilité. Par exemple, si une compagnie est trouvée en défaut au regard de telle ou telle disposition de la loi, on lui demande de nous offrir, dans un délai d'un an par exemple, une vérification qui démontre qu'elle a effectivement mis en œuvre toutes nos recommandations. Cette disposition figurerait dans la loi si le projet de loi S-4 était adopté. Ce sont trois exemples de pouvoirs additionnels qui nous aident.
Il y a également dans le projet de loi S-4 une autre disposition qui répond à des demandes que nous exprimons depuis de nombreuses années : celle de créer une obligation pour les compagnies de signaler une intrusion, un incident. Nous croyons donc que cette disposition renforce le régime de protection de la vie privée au Canada.
Le sénateur Housakos : Merci beaucoup, madame Bernier.
Le président : Merci, sénateur.
[Traduction]
Le président : Madame Bernier, monsieur Morris, je vous remercie infiniment de votre témoignage.
Demain, nous allons recevoir comme témoins des représentants de Bell Canada sur le même sujet.
Au cours du prochain mois, nous allons nous pencher sur la teneur du projet de loi C-31. La Loi sur la sécurité automobile va nous être renvoyée, et nous allons recevoir les modifications à la Loi sur la sécurité ferroviaire. Nous allons également être saisis de l'étude sur le transport des marchandises dangereuses, puis étudier la question des frais d'itinérance des sociétés de téléphonie et enfin, celle du pont de Montréal. Toutes ces études vont nous être renvoyées sous peu, de sorte que nous allons y consacrer l'essentiel du mois de mai. Nous reviendrons ensuite à notre étude sur la Société Radio-Canada, selon où nous en serons rendus.
Le sénateur Mercer : Petite précision, je comprends qu'il soit difficile pour Mme Bernier de répondre à nos questions sur des entreprises en particulier en raison de son poste et de l'enquête en cours. Je présume que nous pourrons être plus précis dans nos discussions avec les témoins demain soir.
Le président : J'imagine que les représentants de Bell ne nous parleront pas en particulier de la plainte. Ils vont plutôt nous parler de la collecte de données et non d'une plainte qui a été déposée contre eux.
Le sénateur Mercer : C'est un peu difficile de séparer les deux.
Le président : Après cette rencontre, nous devrons décider de ce que nous voulons faire à ce sujet.
Demain soir, nous recevons les représentants de Bell, après quoi nous allons étudier la teneur du projet de loi portant exécution du budget et ce, jusqu'à l'ajournement de juin.
(La séance est levée.)