Délibérations du Comité sénatorial permanent des
Transports et des communications
Fascicule 7 - Témoignages du 3 juin 2014
OTTAWA, le mardi 3 juin 2014
Le Comité sénatorial permanent des transports et des communications, auquel a été renvoyé le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence, se réunit aujourd'hui, à 9 h 30, pour étudier le projet de loi et pour étudier à huis clos, un projet de rapport sur la teneur des éléments des sections 15, 16 et 28 de la partie 6, du projet de loi C-31, Loi portant exécution de certaines dispositions du budget déposé au Parlement le 11 février 2014 et mettant en œuvre d'autres mesures.
Le sénateur Dennis Dawson (président) occupe le fauteuil.
[Traduction]
Le président : Honorables sénateurs, aujourd'hui, nous allons poursuivre l'étude du projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence. Le titre abrégé du projet de loi est Loi sur la protection des renseignements personnels numériques. Il modifie à plusieurs égards la législation fédérale sur la protection des renseignements personnels dans le secteur privé.
Monsieur Lawford, je crois que c'est vous qui avez l'honneur.
John Lawford, avocat général et directeur général, Centre pour la défense de l'intérêt public : Monsieur le président, honorables sénateurs, je m'appelle John Lawford et je suis directeur général et avocat général du Centre pour la défense de l'intérêt public. Geoffrey White, avocat du CDIP, m'accompagne.
Le CDIP est un organisme de bienfaisance sans but lucratif sous le régime de la loi fédérale fondé en 1976 qui offre des services juridiques et de recherche pour les intérêts des consommateurs, et notamment pour les intérêts des consommateurs vulnérables concernant la prestation d'importants services publics.
C'est avec plaisir que le CDIP présente ses observations sur le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, qui propose des modifications de la législation fédérale sur la protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE.
Vous comprendrez que la protection des renseignements personnels est un sujet brûlant, et non sans raison, étant donné les révélations qui se succèdent quasi quotidiennement sur les pratiques des entreprises et des gouvernements quant à l'échange des renseignements des Canadiens. La protection des renseignements personnels est le deuxième pilier de la stratégie Canada numérique 150 du gouvernement du Canada, dans laquelle le gouvernement promet : « La population canadienne sera protégée contre les menaces en ligne et le mauvais usage de la technologie numérique. »
Le CDIP préconise la protection des renseignements personnels des consommateurs depuis l'époque antérieure à la LPRPDE. Voilà pourquoi nous sommes déçus du projet de loi à l'étude. C'est un remaniement de qualité médiocre du projet de loi C-12. Au lieu d'améliorer les protections des renseignements personnels, les modifications proposées dans le projet de loi affaibliront la protection des renseignements des consommateurs. Aujourd'hui, nous soumettons trois problèmes majeurs à votre examen.
Le premier problème majeur du projet de loi est la modification relative aux atteintes à l'intégrité des données. Elle tente de créer un régime de déclaration pour que les entreprises informent les particuliers lorsque leurs données ont été perdues, volées ou autrement compromises, mais il faut améliorer ce régime. Le projet de loi exige que les entreprises déclarent les atteintes aux données directement aux consommateurs et au Commissariat à la protection de la vie privée du Canada en même temps, mais seulement lorsqu'un seuil élevé est atteint. Si ce seuil n'est pas atteint, il n'y a aucune déclaration, ni au Commissariat ni aux consommateurs. Tout ce que l'entreprise est tenue de faire lorsqu'elle estime que le critère d'un vrai risque de préjudice grave n'est pas atteint, c'est de consigner l'atteinte et de garder le registre secret pour elle-même. Les entreprises veulent éviter les déclarations d'atteinte à cause du tort causé à leur réputation et parce que, pour la plupart des atteintes, la déclaration de chaque cas coûte 200 $.
Il est vrai que les entreprises doivent conserver le registre des atteintes à la disposition du Commissariat à la protection de la vie privée du Canada pour qu'il puisse l'inspecter, mais pourquoi ciblerait-il telle entreprise pour y faire une inspection? Le Commissariat a à peine le personnel nécessaire pour étudier les plaintes ordinaires qu'il reçoit. Il sera tout simplement incapable, par exemple, de prélever les dossiers d'atteinte de toute une industrie sur trois ans ou même sur une seule année. Ces registres demeureront, comme The Scarlet Letter, un petit secret d'entreprise. Malheureusement pour elles, les victimes d'atteinte subiront des pertes de données tandis que le Commissariat ne sera pas au courant de l'atteinte et sera incapable de faire une vérification ou une enquête.
Il est vrai aussi que ce sera une infraction que de contrevenir sciemment aux exigences relatives aux atteintes ou à la tenue de registres, mais l'entreprise devra seulement avoir un processus d'évaluation interne qui conclut que chaque atteinte est trop peu importante pour justifier une déclaration, auquel cas l'entreprise aura une défense légale basée sur la diligence raisonnable.
Un autre risque, c'est que l'entreprise peut nier toute atteinte, c'est-à-dire s'abstenir de la déclarer. La seule possibilité d'obtenir une condamnation, pour ainsi dire, serait de compter sur un dénonciateur. Très peu probable.
Par conséquent, la disposition sur les atteintes découragera la déclaration aux consommateurs de ces atteintes. La loi devrait inciter les entreprises à rendre leurs activités conformes aux exigences législatives. Ce n'est pas ce que fait le projet de loi. Nous prévoyons que le régime de déclaration, tel qu'il est décrit, se traduira par une sous-estimation de l'ampleur des atteintes graves aux données.
Nous vous avons proposé un amendement que le greffier vous aura remis. Cet amendement tend à retirer toute discrétion laissée à l'entreprise et à exiger la déclaration au commissaire à la protection de la vie privée de toutes les atteintes aux données.
Geoffrey White, conseiller, Centre pour la défense de l'intérêt public : Le deuxième problème majeur du projet de loi est la modification — le nouvel alinéa 7(3)d.1) de la LPRPDE — qui permet aux entreprises de communiquer volontairement à une autre entreprise des renseignements personnels sur leurs clients sans leur permission, sans même les informer que cette communication s'est faite, sans aucun recours pour les clients.
Vous avez probablement entendu parler de la tempête suscitée devant les tribunaux par cette exemption volontaire, pour le secteur privé, à la déclaration aux instances gouvernementales. La Cour suprême du Canada est maintenant saisie de cette exemption controversée, qui fait également l'objet d'une autre contestation, par l'Association canadienne des libertés civiles, qui soutient qu'elle est inconstitutionnelle.
Pourtant, la nouvelle exemption proposée dans le projet de loi est plus sinistre à certains égards. Elle permet très simplement au secteur privé d'espionner les consommateurs en dehors de tout recours pour ceux-ci. La nouvelle exemption permet de contourner toute décision judiciaire. Pourtant, le système judiciaire civil a des règles de preuve et de procédure qui protègent les renseignements des consommateurs. Par exemple, nous avons déjà au Canada un régime équilibré de communication privée pour les atteintes alléguées au droit d'auteur qui a été mis en place par plusieurs décisions de la Cour fédérale du Canada. Il faudrait retirer cette exemption du projet de loi.
M. Lawford : Le troisième problème majeur concerne la modification proposée à la disposition sur le consentement prévue dans la LPRPDE. C'est le nouvel article 6.1. Cette disposition est superflue. Elle énonce l'actuel critère juridique aux termes de la LPRPDE — c'est-à-dire le consentement éclairé — qui a été clairement confirmé par la Cour d'appel fédérale dans l'affaire Englander c. TELUS. Les dispositions qui font double emploi suscitent de la confusion chez ceux qui doivent se conformer, et ce « niveau supplémentaire de consentement » risque d'abaisser la norme actuelle de consentement ailleurs.
Cette disposition vise indirectement une question très chère au CDIP, étant donné le travail qu'il a fait par le passé, soit la protection de vie privée des enfants. Toutefois, le projet de loi ne crée pas une nouvelle norme de consentement pour les enfants, ce qui est le véritable objectif, probablement parce qu'on se soucie du fait que l'âge de la majorité dans chaque province est une question qui relève du domaine de la propriété et des droits de la personne en droit civil.
Un comité de la Chambre a recommandé par le passé que cette question soit mise à l'étude pour que la vie privée des enfants, tellement vulnérables à l'époque de la connectivité constante et du règne des réseaux sociaux, soit abordée directement dans la LPRPDE. C'est un moyen d'aller de l'avant, en ce qui concerne la vie privée des enfants, qui est préférable à une disposition qui désoriente et fait double emploi.
Je dirai pour conclure que, même si le gouvernement a fait savoir que les mesures proposées dans le projet de loi S-4 protégeront les renseignements personnels numériques, elles feront exactement l'inverse sur trois points fondamentaux. La solution que nous proposons à ces problèmes majeurs consiste à modifier ou à supprimer la disposition en cause jusqu'à ce qu'Industrie Canada puisse faire les choses correctement. Il est beaucoup plus probable qu'Industrie Canada sera en mesure de le faire si le Sénat et l'autre endroit tiennent des audiences, ce que la LPRPDE exige et qu'on a évité jusqu'à maintenant, pour examiner globalement la LPRPDE.
Merci beaucoup d'avoir donné au CDIP la possibilité de comparaître aujourd'hui.
Le président : Merci.
Dans son empressement à entreprendre les travaux, la présidence a oublié de présenter les témoins. Je présente donc, du Centre pour la défense de l'intérêt public, John Lawford, directeur général et Geoffrey White, avocat. Nous aurons un deuxième groupe de témoins, soit David Fraser et Jean Nelson, de l'Association du Barreau canadien. Nous leur consacrerons environ une heure, après quoi il y aura un deuxième groupe à 10 h 30.
Jean Nelson, membre honoraire de l'exécutif, Section nationale du droit de la vie privée et de l'accès à l'information, Association du Barreau canadien : Merci beaucoup et bonjour à tous. Je m'appelle Jean Nelson, comme le président l'a dit, et je suis membre de l'exécutif de la section du droit de la vie privée du Barreau canadien. Je suis aussi membre du comité de défense de l'Association canadienne des conseillers juridiques d'entreprises. Mon collègue, David Fraser, est également membre de l'exécutif de la section du droit de la vie privée de l'ABC et président de la section du droit de la vie privée de la Nouvelle-Écosse, à l'ABC. Merci de nous accueillir.
L'ABC a été très engagée dans le processus de la LPRPDE. Cette association, qui compte plus de 37 000 membres dans l'ensemble du Canada, a pour mandat de défendre la primauté du droit et de chercher à améliorer l'administration de la justice. C'est dans cet esprit que nous nous adressons à vous aujourd'hui. Nous voulons exprimer notre appui aux objectifs de la Loi sur la protection des renseignements personnels numériques, le projet de loi S-4, mais nous recommandons aussi d'apporter des améliorations aux modifications de la LPRPDE. Vous avez notre mémoire en main. Ce matin, nous allons insister ce matin sur deux domaines, et je vais faire équipe avec M. Fraser.
Je vais aborder pour commencer la communication de renseignements sans consentement, dont nos collègues du CDIP ont déjà parlé, après quoi M. Fraser parlera des dispositions sur la notification des atteintes.
Sans plus tarder, je vais vous parler de la communication de renseignements sans consentement. Il va sans dire que nous serons heureux de répondre à toute question sur l'ensemble du mémoire qui vous a été remis.
En ce qui concerne la communication de renseignements sans consentement, nous croyons que cette disposition devrait faire l'objet d'une analyse plus poussée de façon à en réduire la portée. Nous craignons que, dans son état actuel, la modification proposée à la LPRPDE, les alinéas (3)d.1) et d.2), ne soit inutilement étendue et ne permette la communication de renseignements sans consentement dans un éventail de circonstances trop large.
Cette disposition semble avoir un lien avec la suppression de la notion d'« organisme d'enquête ». Dans le régime des organismes d'enquête, le gouverneur en conseil pouvait approuver par voie réglementaire des organismes particuliers ou des catégories d'organismes auxquels les organisations pouvaient communiquer des renseignements personnels. Les nouveaux articles proposés sont conformes à la position que l'ABC a exprimée dans des mémoires antérieurs, à compter de 2005, dans lesquels elle a exhorté le gouvernement à envisager des modèles de remplacement de l'organisme d'enquête analogues à ce qu'on trouvait en Alberta et en Colombie-Britannique.
Toutefois, nous croyons que le projet de loi S-4 n'atteint pas l'objectif et, comme nous l'écrivons dans le rapport, qu'il faut le nuancer. L'ABC serait heureuse, comme elle le dit dans son mémoire, de travailler avec le gouvernement et d'autres protagonistes pour trouver la bonne dose de nuance. Nous comprenons la nécessité de l'alinéa 7(3)d.2), car de grands secteurs, comme les services bancaires, les services financiers, les services d'assurance et d'autres organisations des secteurs public et privé, communiquent des renseignements pour pouvoir déceler et réprimer la fraude et faire des enquêtes. Nous estimons cependant que la disposition devrait être adaptée plus étroitement à son objectif réel de façon à prévenir toute interprétation abusive de son libellé général.
Voilà qui met fin à mes observations sur la communication de renseignements sans consentement. Avec votre permission, je vais maintenant demander à M. Fraser de préciser le point de vue de l'ABC sur les dispositions relatives à la notification des atteintes.
David Fraser, président de section de division, Section nationale du droit de la vie privée et de l'accès à l'information, Association du Barreau canadien : Je suis heureux de pouvoir m'entretenir avec vous des dispositions sur la notification des atteintes du projet de loi S-4, Loi sur la protection des renseignements personnels numériques. Comme vous le savez, l'article 10 du projet de loi S-4 prévoit le même critère pour la notification des atteintes au particulier et pour la déclaration des atteintes au commissaire à la protection de la vie privée. Aux termes du projet de loi S-4, toute atteinte dont le particulier doit être avisé fait également l'objet d'une déclaration au commissaire. Voilà qui n'est pas nécessaire, à notre avis, et cela ne devrait pas être exigé. Les deux formes d'avis ont des buts différents. Il faudrait donc faire une distinction entre les deux.
Si les atteintes sont déclarées au commissaire, c'est pour qu'il puisse suivre l'évolution du volume et de la nature des atteintes dans toute organisation donnée. Par ailleurs, l'avis au particulier doit permettre à celui-ci d'atténuer tout préjudice qui peut découler de l'atteinte. Les deux choses sont différentes. Alors que le critère de notification des particuliers doit reposer sur l'existence d'un risque élevé de préjudice pour eux, la déclaration au commissariat doit reposer sur la prémisse d'une atteinte majeure ou importante.
Nous recommandons également que, outre la prise en compte de la sensibilité des renseignements personnels comme l'exige le paragraphe proposé de la LPRPDE, le 10.1(8), le deuxième facteur devrait être la probabilité de l'accès plutôt que la probabilité d'une utilisation abusive.
Dans bien des cas, les organisations soumises à des garanties relatives aux atteintes à la sécurité peuvent raisonnablement déterminer la probabilité d'accès à l'information en vérifiant dans quelle mesure l'information a été cryptée, caviardée ou autrement modifiée. Il est beaucoup plus difficile de déterminer la probabilité d'une mauvaise utilisation, et les organisations doivent se livrer à beaucoup trop d'hypothèses. Lorsqu'il y a atteinte, on sait souvent peu de choses sur le responsable de l'atteinte et ses intentions. Il serait plus raisonnable et pratique que la probabilité de mauvaise utilisation soit l'un des facteurs, la probabilité d'accès étant une considération indépendante et à part.
Nous proposons aussi des modifications à la définition de « préjudice grave ». Comme vous le savez, l'article 10 du projet de loi S-4 présente une définition de la notion de « préjudice grave » qui comprend une liste non exhaustive d'exemples. Nous nous demandons s'il y a lieu de donner une définition. S'il est vrai que certains exemples constituent indiscutablement un préjudice grave, comme les lésions corporelles ou une perte d'emploi, d'autres ne représentent pas nécessairement un préjudice grave, cela dépendant de la gravité des circonstances, comme les dommages aux relations ou aux biens. Certains exemples sont trop spéculatifs. Même si tous les exemples sont des formes de préjudice, ils peuvent ou non être graves selon les circonstances précises de l'atteinte et la nature de l'information. Il serait préférable, au lieu de présumer que tous les préjudices énumérés sont graves en soi, d'avoir des lignes directrices du commissariat ou une compréhension bien établie des circonstances.
Les dispositions du projet de loi relatives à la notification de tiers nous inspirent aussi des préoccupations. Dans sa forme actuelle, le projet de loi S-4 contraindrait une organisation qui a subi une atteinte à prévenir certains tiers. Nous percevons la justification avancée, mais nous avons conclu que cette communication avec des tiers devrait être laissée à la discrétion de l'organisation. Une disposition qui obligerait à aviser des tierces parties, au lieu de permettre de le faire, soulève diverses questions.
L'organisation ou l'institution gouvernementale ainsi avisée est-elle tenue de prendre des mesures pour atténuer le préjudice qui pourrait découler de l'atteinte? Le projet de loi ne prévoit aucune obligation de cet ordre. Si l'organisation ou l'institution prend des mesures qui supposent certains coûts, qui paiera ces coûts? Enfin, que se passe-t-il si une organisation ne réussit pas à identifier toutes les organisations ou institutions gouvernementales qui peuvent être en mesure de réduire ou d'atténuer le préjudice? J'exerce le droit dans ce domaine depuis plus d'une douzaine d'années et je ne suis pas sûr de pouvoir énumérer toutes les organisations susceptibles d'intervenir pour atténuer le préjudice. Le groupe de l'ABC recommande donc de modifier la disposition pour remplacer la notion d'obligation par celle de discrétion et de remplacer « est tenue d'en aviser » par « peut en aviser », ce qui permettrait d'évaluer la situation au cas par cas. Le fait de ne pas aviser une autre organisation ne devrait jamais être considéré comme une infraction.
Quant à la tenue de registres sur les atteintes, nous sommes d'avis que la tenue obligatoire de registres pour toutes les atteintes, sans égard à leur importance, est peu pratique et imposera une charge trop lourde aux organisations. Selon la version actuelle du projet de loi, la moindre petite atteinte, même futile, doit être consignée de la manière prescrite, et c'est une infraction que de la consigner de façon non appropriée ou imparfaitement. Nous devrions faire porter les efforts sur les atteintes qui ont des répercussions sur les consommateurs. Pour l'instant, les entreprises n'ont aucun moyen de consigner les atteintes, et c'est un effort mal placé que de mettre en place des systèmes qui ne donnent aucun avantage. Là encore, aucune lacune ne devrait constituer une infraction.
Enfin, ce serait négligence que de ne pas vous signaler nos préoccupations au sujet de la protection plus générale des renseignements personnels. Les projets de loi S-4 et C-13, Loi sur la protection des Canadiens contre la cybercriminalité, portent sur les droits à la protection des renseignements personnels à l'ère numérique. Les deux projets sont liés et devraient être étudiés de concert. Le C-13 porte sur la capacité des forces d'exécution de la loi d'obtenir des renseignements personnels de certaines organisations tandis que le S-4 traite de la capacité des organisations de communiquer des renseignements personnels. Il faut donc être deux, et les deux mesures vont de pair.
L'ABC a présenté récemment ses observations sur le projet de loi C-13 au comité parlementaire. Elle lui a recommandé de mettre en place un organisme de surveillance pour contrôler l'effet cumulatif de diverses lois et mesures de l'État sur la protection des renseignements personnels. Nous réitérons la même recommandation ici. Compte tenu de la prolifération des lois qui régissent la communication de renseignements personnels, cet organisme est essentiel si on veut garantir une approche cohérente et raisonnée pour renforcer la confiance du public à l'égard d'un régime mis en place pour protéger le droit à la vie privée de chacun.
Nous serons très heureux de répondre à vos questions sur l'un ou l'autre des sujets abordés au cours de nos observations d'ouverture ou dans notre mémoire.
Le président : Merci beaucoup de vos exposés.
Le sénateur Mercer : Merci à vous tous de votre présence ce matin, au moment où nous entrons dans les détails du projet de loi S-4. Je trouve frappant que les trois problèmes soulevés par les deux groupes soient au cœur du débat.
En ce qui concerne la notification des atteintes au particulier et leur déclaration au commissaire à la protection de la vie privée, il me semble simplement logique que le commissaire — le candidat au poste comparaîtra cet après-midi au Sénat pour des échanges difficiles — soit renseigné sur toutes les atteintes pour qu'il puisse juger de ce qui se passe dans le secteur canadien. Est-ce bien ce que les deux groupes disent ce matin?
M. Lawford : Je vais intervenir d'abord pour ensuite laisser la parole à David. Nous avons une légère divergence de vues sur les modalités de déclaration au commissaire à la protection de la vie privée. Le CDIP estime que toute atteinte doit être déclarée au commissaire pour que celui-ci soit au courant. Quant à l'amendement que nous proposons pour rompre le lien avec la notification des particuliers, l'entreprise serait toujours tenue de signaler aux consommateurs les atteintes importantes qui risquent de leur causer un préjudice, mais le commissaire serait au courant de ce qui se passe. Si le commissaire est prévenu de 100 atteintes concernant une entreprise au cours d'une année et si les consommateurs sont avisés de seulement une d'entre elles, le commissaire voudra peut-être soumettre l'entreprise à une vérification. C'est ainsi que joue notre amendement, mais je crois que M. Fraser a peut-être un point de vue différent. En général, je suis d'accord avec vous.
M. Fraser : Nous optons pour une approche légèrement différente. Nous ne préconisons pas la notification de toutes les atteintes, car certaines, tout en étant des atteintes au sens strict, n'entraînent aucun préjudice pour la personne ou n'indiquent pas nécessairement la présence d'un problème systémique. Nous craignons que le commissaire ne soit submergé si on lui déclare toutes les atteintes.
Nous donnons un exemple dans notre mémoire : si j'entends l'échange entre un pharmacien et son client lorsque je vais chercher mon ordonnance, il s'agit techniquement d'une atteinte aux mesures de sécurité. Faudrait-il que cela soit consigné et faudrait-il en donner avis? C'est une atteinte relativement mineure sans risque de préjudice pour la personne en cause. Il faut qu'il y ait un seuil. C'est ce que nous préconisons.
Le sénateur Mercer : Je conviens qu'il peut y avoir des atteintes accidentelles. Vous donnez un bon exemple. C'est une chose qui nous est tous arrivée, et la vie continue normalement.
Pourtant, il me semble que, si on veut que le commissaire à la protection de la vie privée mesure les tendances et examine les problèmes qui risquent de surgir, il doit savoir quelles sont les atteintes. Si toutes les atteintes se produisent dans un secteur donné et s'il s'en produit seulement une par-ci par-là ailleurs, cela peut révéler un problème systémique qui n'est pas évident. Si on considère seulement une atteinte donnée, elle peut sembler minime. S'il y a un millier d'atteintes à un millier d'endroits différents, il se peut qu'il y ait un problème. Il me semble logique que nous cherchions la racine du problème.
Le président : Le sénateur Plett a une question complémentaire à poser à ce sujet.
Le sénateur Plett : Merci. Ma question était exactement celle que le sénateur Mercer a posée au sujet des atteintes banales. Vous parlez d'atteintes banales, et ma question est la suivante : est-ce l'Association du Barreau canadien qui décide ce qui est banal? Qui prend la décision? Ce que vous considérez comme négligeable, je pourrais le trouver assez grave. Comme sénateur Mercer le dit, une atteinte banale, c'est une chose, mais 500 atteintes banales, cela devient plus que banal. Comment fixer les paramètres, et qui décide de ce qui est banal? Nous pouvons avoir des opinions tout à fait différentes à ce sujet.
M. Fraser : Nous préconisons l'élaboration d'une norme, une norme clairement compréhensible qu'on pourrait expliquer aux organisations pour qu'elles saisissent ce qu'est le seuil de déclaration.
Le sénateur Black : C'est ce que le gouvernement a fait. Il a décidé de la norme, et cette norme veut que toutes les atteintes soient déclarées.
M. Fraser : Selon le projet de loi S-4, toutes les atteintes qui entraînent un risque important de préjudice grave doivent être déclarées au commissaire. Seulement celles qui atteignent ce seuil sont déclarées. Le projet de loi précise que toutes les atteintes, sans égard à leur gravité, doivent être consignées, mais elles n'ont pas à être forcément déclarées. C'est le régime proposé dans le projet de loi. Tout comme le CDIP, nous soutenons que la notification et la déclaration ont des buts différents, et il s'agit de déterminer les circonstances dans lesquelles il y a obligation de déclaration au commissaire.
M. Lawford : Ce que j'ai dit dans nos observations à propos de la Scarlet Letter signifie ceci : si l'entreprise garde pour soi seule le registre des atteintes, cela n'a aucune utilité, puisque le commissaire à la protection de la vie privée ne peut gérer la situation et aller demander leur registre à toutes les organisations. Si ces renseignements sont communiqués au commissaire, il a alors tous les dossiers et les chiffres pour pouvoir faire une analyse. Il vaut mieux déclarer un peu trop de renseignements plutôt que trop peu. Voilà le pourquoi de notre position.
Le sénateur Mercer : Je ne suis pas sûr de comprendre la raison d'être de la communication de renseignements à une autre entreprise et je ne vois pas non plus pourquoi le Centre pour la défense de l'intérêt public s'en inquiète. Je ne comprends pas pourquoi ce genre de communication se ferait, mais je voudrais savoir pourquoi vous êtes aussi inquiets.
M. Lawford : Les manières dont une entreprise privée peut obtenir des renseignements personnels par ailleurs confidentiels d'une autre entreprise sont d'habitude encadrées par le système judiciaire. Si on a un problème avec un consommateur, par exemple s'il télécharge vos films et que vous vouliez savoir qui est ce consommateur, il faut vous adresser au tribunal : « Nous pensons que c'est cette personne-là, et il nous faut recevoir un peu plus d'information de l'entreprise. » Il y a alors un processus de communication prévu dans la procédure civile de chacun des systèmes judiciaires.
Or, le projet de loi permet d'envoyer une simple lettre ou de faire un appel téléphonique pour demander à l'autre entreprise d'avoir l'obligeance de communiquer l'information. Le problème, c'est que, si les deux entreprises ont des activités commerciales ensemble, elles risquent de s'échanger les renseignements fort librement, et de ne pas dire non, ce qu'elles peuvent faire, mais cette exemption leur permettra de communiquer les renseignements. Dans les faits, le consommateur n'a alors droit à aucune des protections qui lui sont acquises dans un système judiciaire, où les renseignements doivent être pertinents, doivent être liés aux litiges. Autrement dit, cela peut être une question d'exécution, comme s'il y avait enquête. Qu'est-ce qui peut empêcher une entreprise de faire une demande générale au sujet de tous les consommateurs qui ont utilisé le produit au cours des deux derniers mois? « Je veux savoir ce qu'ils ont fait ou surveiller ce qu'ils font au cours des deux prochains mois. » C'est de l'hameçonnage. C'est sans précédent.
Le sénateur Mercer : Je suis d'accord. Nous devons faire attention au transfert de renseignements entre entreprises. Nous donnons aux entremises nos renseignements pour des raisons données, et nous ne prévoyons pas que l'entreprise A communiquera de l'information à l'entreprise B, à moins qu'il ne s'agisse de l'utilisation commune de choses comme une carte de récompense utilisée à divers endroits. Quand on fait ce genre de chose, il faut s'attendre à ce que les renseignements soient communiqués à tous ceux qui souscrivent à ces choses-là
Le sénateur Furey : J'aurais une ou deux questions à poser à MM. Lawford et White.
Lorsque vous avez parlé de consentement, vous avez dit qu'il existe tout un régime d'âge de majorité prévu dans les lois des provinces. Je ne crois pas que le projet de loi à l'étude outrepasse vraiment ce régime. Le fait n'en demeure pas moins qu'il n'y a ici aucun âge limite. Il pourrait s'agir d'enfants dans leurs tendres années. À quoi veut-on en venir? Que veulent les entreprises de télécommunications? Quelle sorte de protection existe-t-il? Est-ce simplement parce que des enfants prennent un iPad et appuient sur oui qu'elles veulent l'immunité si elles communiquent ou utilisent les renseignements ainsi obtenus?
M. Lawford : Pour l'instant, le projet de loi est tel que ces entreprises peuvent recueillir des renseignements même sur des enfants dans leurs tendres années, comme vous dites. Il n'y a aucune limite d'âge. La loi dit qu'il faut respecter une limite raisonnable; certains avocats disent donc qu'il n'est pas raisonnable de recueillir des renseignements sur des enfants de moins de 13 ans, mais aucune loi au Canada n'interdit de soutenir que c'est raisonnable, surtout lorsqu'il s'agit d'enfants de 8 ans qui se servent de Facebook.
Le projet de loi vise à combler cette lacune : « Si vous obtenez le consentement, eh bien, il vaut mieux que ce soit un consentement vraiment solide. » Et il faut que l'enfant connaisse les conséquences exactes de ce qu'il fait. L'hypothèse étant, je crois, qu'un enfant de 8 ans ne peut aucunement comprendre les conséquences, s'il donne tous ses renseignements sur Facebook. L'exception, c'est que la notion de consentement est déjà celle d'un consentement éclairé dans la LPRPDE. On se trouve donc à dire : « Oui, c'est vraiment ce que je veux dire. » Ce qui nous inquiète, c'est peut-être que le reste de la loi risque d'être contaminé et que les entreprises ne se disent : « Ce n'est pas une situation comme celle qui se présente avec un enfant et il n'est pas nécessaire que le consentement soit absolument réel. Les exigences en matière de consentement risquent d'être abaissées de façon générale dans d'autres situations. On sème la confusion. Si on veut certains niveaux de consentement pour les enfants, alors, comme l'autre comité l'a dit, qu'on étudie la question, qu'on trouve un moyen de travailler avec les provinces et d'en arriver à certaines hypothèses sur le consentement en fonction de l'âge. Voilà ce que nous recommanderions.
Le sénateur Furey : Vous avez parlé de l'amendement que vous avez proposé. Si la police veut s'adresser à une entreprise de télécommunication ou à une banque, elle a maintenant besoin d'un mandat pour obtenir des renseignements, mais aux termes du paragraphe 7(3) de la LPRPDE et désormais aux termes de la modification proposée dans le projet de loi S-4, ces renseignements peuvent être communiqués volontairement, et il n'y a pas de limite; ils peuvent être donnés avec l'immunité législative et probablement en toute impunité. Comment l'amendement que vous proposez fait-il obstacle à cette façon de faire? Je ne le vois pas. Votre amendement semble bon, mais je souhaiterais une disposition qui traite également de l'immunité.
M. Lawford : À ce propos, sénateur Furey, notre amendement porte uniquement sur les atteintes aux données; il s'agit de faire en sorte que toutes les atteintes soient déclarées. Notre solution, dans le projet à l'étude, consiste à supprimer l'exemption pour l'accès par des entreprises privées.
Si je comparaissais pour parler du projet de loi C-13, je dirais qu'il ne doit pas y avoir immunité pour la communication de renseignements, mais ce n'est pas ce à quoi je suis appelé en ce moment.
Le sénateur Furey : Cela fait beaucoup pour au moins assurer une certaine surveillance, des freins et contrepoids, mais ne devrait-il pas y avoir aussi des délais à respecter pour informer les particuliers? Ne devrait-il pas y avoir communication à un moment donné?
M. Lawford : Par le passé, lorsqu'on nous a posé la question même après le fait, notre position a été que, si quelqu'un a eu accès à ses données, le consommateur devrait être avisé habituellement dans les 60 ou 30 jours, je crois.
Le sénateur Housakos : De toute évidence, nous nous trouvons en territoire inconnu, en ce qui concerne la protection des renseignements personnels, et la technologie est fluide, le Web prend de plus en plus de place et est plus puissant. La seule bonne nouvelle, dans l'immédiat, qui va venir du point de vue technologique, à propos des atteintes aux données et de l'information, c'est que les avocats seront très occupés dans ce dossier dans les prochaines années et probablement pendant des décennies.
En ce moment, il est clair que notre société essaie de déterminer ce qui constitue une atteinte importante aux données et où se situe le seuil. Ce qui peut être une atteinte importante à mes yeux ne l'est pas forcément pour mon collègue. Il sera difficile à court terme de quantifier la gravité des atteintes et le seuil.
L'un des témoins voudrait-il nous donner des exemples concrets. Nous ne discutons des atteintes aux données que sur le plan théorique. Quels sont les exemples concrets de ce qui serait une communication inacceptable de renseignements venant de diverses sociétés, que ce soit une entreprise de télécommunication ou l'Association du Barreau canadien? Le projet de loi s'applique à une association comme le Barreau. Vous recueillez des renseignements sur vos membres. Que considéreriez-vous comme un exemple concret d'atteinte grave aux données?
Ma question suivante s'adresse expressément à M. Lawford. Dans votre témoignage, vous avez signalé que, aux termes du projet de loi, les entreprises ne sont pas tenues de révéler qu'il y a eu atteinte aux données, cela dépendant de la gravité de l'atteinte, et c'est vraiment là l'essentiel de votre argument. Mais là encore, qu'entend-on par « grave », qu'est-ce qui est sans importance et croyez-vous vraiment qu'il y a des exemples de sociétés dont l'intérêt est de garder leurs clients dans l'ignorance? En fin de compte, toutes ces entreprises du secteur privé vivent en assurant des services à leur clientèle de base; si elles ne protègent pas l'intérêt de leur clientèle, elles en paieront le prix.
M. Lawford : Avec votre permission, David, je vais répondre à la deuxième question pour vous laisser ensuite la parole.
Ce qui est préoccupant, à propos de la gravité des atteintes, c'est que, si on s'en remet à la discrétion de l'entreprise, celle-ci prendra toujours au mieux sa décision sur le degré de gravité, mais elle n'est pas experte en la matière. Elle peut connaître fort bien sa clientèle, mais elle n'est pas spécialiste de ce qui peut advenir des données lorsqu'elles tombent entre les mains de voleurs ou lorsqu'on en fait un usage abusif. Nous croyons que le commissaire à la protection de la vie privée est un spécialiste. L'amendement que nous proposons vise à faire en sorte qu'il soit mis au courant de toutes les atteintes. Puis, nous laissons à l'entreprise l'obligation d'appliquer le processus et de décider : cela va-t-il vraiment nuire à nos clients? Dans l'affirmative, il faut faire une déclaration. Je le répète, s'il y a eu 100 atteintes en une année et si une seule est déclarée, peut-être le commissaire devrait-il appeler l'entreprise : « Que se passe-t-il là-bas? Nous avons l'impression que vous ne faites pas les choses tout à fait comme il faut. »
Autre chose. Il y a des différences au niveau des incitatifs, je crois. Les entreprises doivent tenir compte du coût de la déclaration des atteintes, qui, d'après les chiffres des États-Unis, atteignent 200 $ par dossier. C'est une question d'argent à laquelle il faut réfléchir quand il s'agit de prendre une décision. En Alberta, par exemple, où il existe un seuil différent pour la déclaration, la plupart des cas sont soumis au commissaire à la protection de la vie privée, qui ordonne ensuite aux entreprises de faire une déclaration, que cela plaise ou non, lorsque l'atteinte lui semble grave. En 2012, il y a eu 94 recommandations de notification d'atteinte. La même année, aux termes des lignes directrices d'application facultative au niveau fédéral, il n'y en a eu que 33 dans l'ensemble du pays. Il y a donc des fois où un spécialiste en protection des renseignements personnels peut avoir une opinion différente de celle de l'entreprise. Je ne veux pas dire que l'entreprise a tort, mais elle risque de se tromper un peu plus en ce qui concerne le consommateur. Voilà ce que nous disons.
M. Fraser : Dans notre recommandation, nous demandons une décision sur ce qui constitue une atteinte grave. Cela se résume, comme vous l'avez dit, à la question de savoir ce qui est grave ou non, et il est évident que, dans le domaine de la protection des renseignements personnels, il y a de la subjectivité. Selon moi, il y a un solide consensus sur les types de renseignements personnels qui, selon la LPRPDE, sont considérés comme sensibles. Une atteinte à ces renseignements peut avoir des conséquences importantes pour la personne. Ce sont par exemple les renseignements médicaux et les renseignements qui pourraient être utilisés pour des documents essentiels relatifs au vol d'identité. Dans les milieux de la protection des renseignements personnels, il y a un solide consensus pour dire que ces renseignements atteignent le seuil de gravité.
D'autres atteintes pourraient n'avoir aucune importance, et c'est pourquoi nous avons défini un seuil de gravité. Par exemple, la définition des atteintes aux mesures de sécurité prévue dans la loi englobe toute atteinte aux mesures que l'organisation met en place et même plus. Si une organisation adopte comme politique que les bureaux doivent être dégagés, exigeant que tous les documents disparaissent du dessus des bureaux lorsqu'on n'y travaille pas, il y a atteinte aux mesures de sécurité si quelqu'un laisse un document sur son bureau pendant qu'il va se chercher du café. Il y a une atteinte technique même si personne n'a rien vu. Cela constituerait une atteinte aux mesures de sécurité au sens de la loi, même s'il n'y a aucun risque de préjudice pour qui que ce soit. Le document n'a été vu par personne, mais le fait de le laisser sur le bureau est une atteinte aux mesures de sécurité.
Il s'agit de concevoir et de définir un seuil clairement compréhensible pour qu'on sache ce qui est grave et doit être déclaré au commissaire à la protection de la vie privée. Nous avons les mêmes objectifs globaux que les rédacteurs du projet de loi et que le CDIP, pour ce qui est de déterminer le seuil qui convient. Il faut faire des déclarations au commissaire pour qu'il puisse dégager les tendances, déceler les problèmes, les questions qui se posent à l'intérieur d'une organisation donnée où il peut y avoir des atteintes légères — pas banales, mais légères — dont l'effet cumulatif trahit des problèmes systémiques. Le commissaire peut alors agir et soumettre l'organisation à une vérification ou prendre une autre mesure si cela est nécessaire à la protection des intérêts du public.
Le sénateur Housakos : Les lois doivent être applicables et raisonnables. Que pensez-vous de mon point de vue, soit que nous devons pouvoir compter avec une certaine confiance que les sociétés privées au Canada pour assurer des services de leur mieux tout en protégeant les intérêts des Canadiens. Je répète que, si elles n'ont pas le plus grand respect pour les renseignements personnels et leurs clientèles, elles vont le payer cher sur le marché. Le gouvernement n'a pas la capacité nécessaire pour aller dans toutes les entreprises et exercer une surveillance au point où, comme dans l'exemple que vous donnez, on estime que si quelqu'un laisse un document classifié sur son bureau pendant qu'il va se chercher un café, il commet une atteinte grave. Oui, il est possible que ce soit une atteinte grave, mais où s'arrête la surveillance orwellienne de toutes les activités quotidiennes des Canadiens?
M. Fraser : Nous partageons assurément votre préoccupation. Si le document reste sur un bureau et si un visiteur peut le voir, cela peut correspondre au seuil et devenir une atteinte grave, mais ce ne serait pas le cas si personne ne le voit. Il s'agit de s'assurer que les gens et les organisations comprennent ce qu'est le seuil et sachent qu'il a du sens, de façon que le commissariat ne soit pas bombardé, qu'il ne soit pas submergé de choses complètement sans importance, qui ne trahissent aucun problème systémique ou autre.
M. Lawford : Une brève observation. S'il y a un régime où toutes les atteintes sont déclarées au commissaire à la protection de la vie privée, il n'en découle pas nécessairement que l'entreprise ferait toujours une déclaration, car, selon notre amendement, elle ne serait tenue de le faire que lorsqu'une atteinte risque de causer un préjudice grave. Il s'agit au fond d'une divergence de vues sur le volume des communications à faire au commissaire. Il est vrai que le commissariat risque d'être débordé, mais je ne crois pas qu'il reçoive de déclaration sur l'oubli d'un document sur un bureau. Mais s'il reçoit beaucoup de déclarations sur ce genre d'incident, il publiera une ligne directrice : « Ce n'est pas très grave » ou encore : « C'est grave, et nous voudrions que, à propos des documents qui restent sur les bureaux, vous réfléchissiez au problème. » Ce pourrait être une approche en douceur.
Mme Nelson : Le sénateur Housakos a demandé des exemples précis. Je n'appartiens pas au monde de l'Association du Barreau canadien. Je suis première responsable de la protection des renseignements personnels dans une organisation. Il arrive aussi que nous évitions des problèmes de juste, comme cela arrive en médecine et en aviation, et ce peut être l'occasion de faire de la pédagogie. Je peux dire à ceux avec qui je travaille : « Je veux que vous me signaliez tout pour que nous puissions faire une évaluation ensemble. » Nous estimons que c'est une occasion de faire de la pédagogie. C'est ainsi que nous avons procédé dans mon organisation.
Le sénateur Furey : Je suis d'accord avec le sénateur Housakos quand il parle de la nécessité de protéger les sociétés dans ce nouveau monde où nous vivons, mais j'en reviens toujours à cette préoccupation. Je n'ai pas eu la possibilité d'étudier les amendements que vous proposez, madame Nelson, mais j'en reviens au fait que cela me dérange que les organisations soient autorisées à se communiquer des renseignements volontairement, en toute immunité. Y voyez-vous un problème, ou y a-t-il quelque chose qui m'échappe?
Mme Nelson : Merci beaucoup, sénateur Furey. L'ABC ne voit là aucun problème, mais elle estime que cette disposition est trop large. Elle est permissive, comme vous l'avez signalé, et comme nos collègues l'ont aussi fait remarquer. Nous sommes inquiets parce qu'il n'y a aucune limite quant aux types d'organisation et aux types de renseignements. Nous estimons qu'il faut vraiment réexaminer cette disposition. Nous avons parlé de « nuance ». Peut-être est-ce plutôt dans la finesse. Il fallait donc remplacer la disposition antérieure sur les organismes d'enquête. Ce régime était parfois perçu comme encombrant. Les lois de l'Alberta et de la Colombie-Britannique ont un régime semblable, mais nous ne croyons pas que le libellé actuel de la LPRPDE soit à la hauteur, comme nous l'avons dit, et il faut revoir cette disposition.
Le sénateur Furey : Oui, alors que la modification maintenant prévue dans le projet de loi S-4, à l'article 7.2, je crois, étend l'immunité.
Mme Nelson : Bon point. Nous donnons dans notre mémoire un exemple qui montre que cela peut aller d'une affaire criminelle à une violation du droit d'auteur. Il y a un large éventail de contraventions possibles à la loi. Nous avons également cette préoccupation.
Le sénateur Housakos : Dernière question. Elle s'adresse sans doute au Barreau et à M. Lawford. Le projet de loi S-4 prévoit maintenant des peines pécuniaires très lourdes pour les sociétés qui, délibérément, dissimulent les atteintes aux données. Ne pensez-vous pas que, en soi, cela encouragerait suffisamment les entreprises à éviter de cacher délibérément des atteintes et de garder pour soi de l'information lorsqu'il y a eu atteinte à des données? Elles risquent de devoir payer des amendes qui se chiffrent par centaines de milliers de dollars.
M. Lawford : Nous reconnaissons que les peines sont à la hauteur des risques, mais, plus particulièrement dans la notification des particuliers, nous croyons, comme je l'ai dit dans nos observations, qu'il est très simple de se soustraire à ces peines. Il suffit d'établir un ensemble de politiques sur la façon de juger des atteintes. À cause de la disposition sur la consignation des peines, il faut qu'il y ait un effort délibéré afin de ne pas aviser les particuliers. Pourvu que la société suive une politique interne, je crois qu'il est impossible de leur imposer une amende conformément à ce critère.
Quant à la dissimulation, je comprends votre point de vue. La société peut dire pourquoi il ne faut pas tout dans son petit registre. Elle ne veut pas avoir 100 000 $ par dossier à payer. Cela peut arriver, mais notre difficulté fondamentale, au sujet d'un registre que l'on conserve quelque part chez soi, c'est que le commissaire à la protection de la vie privée ne le verra jamais. Cela n'est donc pas utile pour faire aviser les consommateurs ou, comme nous l'avons déjà dit, pour dégager les tendances dans les atteintes. J'accepte néanmoins votre point de vue.
Le sénateur Plett : La plupart de mes questions portaient sur les atteintes graves ou banales. Je crois que le sujet a été assez largement traité. Aussi je ne vais pas poser d'autres questions à ce propos. J'ai néanmoins une question générale à adresser à l'ensemble des témoins. Vous avez parlé quelques fois de l'Alberta et de la Colombie-Britannique, et aussi du Québec, je crois. Ces trois provinces ont leurs propres lois sur la protection des renseignements personnels numériques. Je sais et je comprends que certaines choses nécessitent une intervention fédérale, car le pourvoir central a des compétences à cet égard. Cela mis à part, sur des points où il y a chevauchement, si on veut, le S-4 est-il plus complet? Est-il plus rigoureux ou les lois provinciales sont-elles plus strictes? Je vous serais reconnaissant de bien vouloir me livrer vos réflexions générales à ce sujet.
M. Lawford : L'Alberta a un régime de déclaration plus strict pour la notification des atteintes. Les atteintes graves doivent être déclarées au commissaire à la protection de la vie privée, qui a le pouvoir d'ordonner à la société d'aviser les consommateurs. Nous estimons donc que l'Alberta, par exemple, a un régime plus strict que le régime fédéral, même après l'adoption du projet de loi S-4.
Le sénateur Plett : Et le Québec et la Colombie-Britannique?
M. Lawford : Le régime de la Colombie-Britannique m'est moins familier. Je n'ai pas beaucoup étudié celui du Québec non plus. Celui de la Colombie-Britannique prévoit un certain nombre de déclarations des atteintes. Il est donc peut-être semblable. Je ne connais pas assez bien celui du Québec pour en parler.
Le sénateur Plett : L'Association du Barreau?
M. Fraser : Actuellement, l'Alberta est la seule à avoir un régime de notification et de déclaration obligatoire des atteintes pour le secteur privé. Beaucoup de lois au Canada sur les renseignements personnels en matière de santé comprennent des obligations de notification des atteintes, mais actuellement, pour les entreprises ordinaires, l'Alberta est la seule province qui prévoit cette déclaration obligatoire. Nous avons constaté que, à cause de ce fait, les grandes organisations qui ont des activités dans tout le Canada se conforment aux exigences albertaines et font des déclarations dans l'ensemble du Canada.
Le sénateur Plett : Merci.
[Français]
La sénatrice Verner : Je vous remercie de votre présence aujourd'hui. Vous suggérez dans votre mémoire de limiter la communication de renseignements personnels entre deux entreprises privées à celles qui disposent d'un groupe interne spécialisé pour prévenir les cas de fraudes et limiter les abus. Si tel était le cas, hormis les entreprises bancaires et d'assurance, à quel autre type d'entreprises faites-vous référence pour créer ce groupe?
Mme Nelson : Je vais répondre en anglais même si j'ai compris votre question en français.
La sénatrice Verner : Allez-y, oui.
[Traduction]
Ce serait analogue aux anciens organismes d'enquête, c'est-à-dire les institutions inscrites. Il pouvait y avoir par exemple des instances réglementaires, comme des collèges, des associations du Barreau et des organismes d'attribution de permis. Ces organismes ont une fonction de perfectionnement continu et une fonction d'attribution de permis et de discipline. Nous estimons que la disposition est trop large. Si on a besoin de ce type de renseignements en cas de fraude ou de contravention, il ne faut pas les envoyer à la boîte de réception générale de l'organisation, mais à l'entité de l'organisation qui s'occupe des permis par opposition à l'éventail complet des activités de ce genre d'organisme.
Vous avez demandé si la question était strictement financière. Il y a d'autres sortes d'institutions de réglementation qui ont assumé un rôle d'enquête.
Le sénateur Furey : Une brève question sur l'amendement que vous proposez, monsieur Lawford. Il vise à instaurer un semblant de surveillance dans tout le processus, et l'idée me plaît, mais je m'inquiète toujours du fait que la vie privée d'une personne puisse être violée sans qu'il existe le moindre mécanisme qui lui permette de l'apprendre. Ne faudrait-il pas aller plus loin et exiger au moins que la personne soit avisée dans un certain délai?
M. Lawford : Il y a fine démarcation, comme, je crois, M. Fraser l'a signalé, entre aviser chaque fois tous les consommateurs de toutes les atteintes, et se dire que c'est exagéré, que cela coûte trop cher, que c'est inutile. Nous essayons de concevoir la première étape de façon que le commissaire à la protection de la vie privée soit au courant de toutes les atteintes, que ce soit ce type d'atteinte ou non. Dans les circonstances appropriées, le commissaire pourrait idéalement exiger des sociétés qu'elles avisent les consommateurs. Toutefois, si on laisse aux sociétés l'obligation de déclaration, cela peut fonctionner également. Nous partageons votre crainte, soit que, en fin de compte, même après les amendements, le projet de loi ne fasse pas augmenter le nombre de notifications parce que les critères sont trop peu exigeants, qu'ils sont liés ensemble et que tout encourage les entreprises à ne pas faire de déclaration. Facilitons donc les choses. Ce serait peut-être plus de travail de renvoyer le texte à Industrie Canada pour qu'il fasse les choses correctement, mais c'est probablement la meilleure idée.
Le sénateur Furey : Très bien. Merci.
Le sénateur Mercer : Je voudrais poursuivre dans le même ordre d'idées que la question du sénateur Furey. Voulez-vous dire qu'il appartient au commissaire à la protection de la vie privée — je répète que nous rencontrerons aujourd'hui, le candidat à ce poste — de décider s'il y a lieu d'aviser les particuliers et de dire quelle atteinte est assez grave pour justifier qu'on en avise le particulier?
M. Lawford : Il y a deux façons de s'y prendre. On peut faire comme l'Alberta. On peut dire que la plupart des atteintes sont signalées au commissaire à la protection de la vie privée qui, comme vous le dites, a le pouvoir d'ordonner à l'entreprise d'aviser les intéressés. Ce modèle nous plaît.
L'autre moyen consiste à accepter notre amendement et à faire connaître au commissaire à la protection de la vie privée du Canada toutes les atteintes, tout en laissant à la société la décision d'aviser le consommateur. Celle-ci prend alors un risque, sachant que le commissaire est au courant. S'il est au courant, la décision sera-t-elle différente? Il y a deux façons de faire.
Le sénateur Furey : Je voudrais ajouter une note rapide après coup.
Lorsque je parle de notification, je comprends qu'il peut y avoir des éléments banals, mais à l'actuel article 10, il y a un élément plus sérieux : aucun mécanisme n'est prévu pour aviser le particulier que des renseignements ont été communiqués. C'est plutôt cela qui m'intéressait, c'est-à-dire les cas les plus graves.
M. Lawford : Aviser de la communication ou de l'atteinte?
Le sénateur Furey : Si une institution communique des renseignements à une organisation, aucun mécanisme ne garantit que la personne victime de l'atteinte sera mise au courant de ce fait.
M. Lawford : Je crois que c'est exact. Pour l'instant, il n'y a rien. Il n'y a pas moyen de savoir.
Le sénateur Furey : C'est plutôt à cela que je voulais en venir.
M. Lawford : Excusez-moi. Si vous voulez parler de l'alinéa 7(3)d.1). Que je sache, il n'y a aucun mécanisme.
M. Fraser : Je ne crois pas que l'ABC ait jamais abordé cette question dans son mémoire ni dans des exposés antérieurs.
À titre personnel et non à titre de représentant de l'ABC, je préconiserais vigoureusement la notification obligatoire, après le fait, de la personne de toute communication de renseignements sans son consentement. Si la communication est en lien avec une enquête pour fraude, il faut éviter de le prévenir, au risque de faire échouer l'enquête, s'il s'agit d'une enquête raisonnable. Mais après le fait, surtout si l'alinéa 7(3)d.1) est adopté tel quel, il faudrait aviser l'intéressé après le fait.
Le sénateur Furey : Merci.
Le président : Quelque chose à ajouter, monsieur White?
M. White : Je dirai simplement que, à mon avis, cette modification ne devrait pas être adoptée. Je ne crois pas qu'une disposition sur les avis à donner protège suffisamment les consommateurs des caprices de cette disposition qui permet la communication de renseignements entre grandes sociétés.
Le sénateur Furey : Dans la perspective inverse, une organisation comme la police aurait besoin non seulement d'un mandat, mais aussi d'un mandat très précis pour obtenir ces renseignements. Actuellement, on peut communiquer les renseignements volontairement avec immunité et sans déclaration.
M. White : Et si vous lisez l'amendement proposé, vous constatez qu'il n'y a aucune ligne directrice concernant ce qui régit ou restreint la communication de renseignements entre organisations. C'est un problème énorme, et l'amendement ne règle aucun des problèmes à résoudre. Voilà pourquoi nous nous inquiétons de cette disposition.
Le président : Mme Nelson aura le dernier mot.
Mme Nelson : Pour revenir sur le point que M. Fraser a fait ressortir, je dirai que le mémoire de l'ABC dit que l'absence d'avis est un exemple qui montre que la disposition est trop large. C'est écrit dans le mémoire. David, à titre personnel, s'inquiète de cela, mais l'organisation qu'est l'ABC s'en inquiète aussi.
Le sénateur Furey : Merci.
Le président : Je remercie le premier groupe de témoins qui ont parlé du projet de loi S-4. Messieurs Lawford et White, du Centre pour la défense de l'intérêt public, merci de votre exposé. Madame Nelson et monsieur Fraser, de l'Association du Barreau canadien, merci également de votre présentation.
Je rappelle aux députés que, à la fin de la séance, nous siégerons à huis clos pour adopter le rapport sur le projet de loi C-31 portant exécution du budget.
De la Centrale des caisses de crédit du Canada, j'accueille Marc-André Pigeon, directeur, Politique du secteur financier, et Jan Hopper, adjointe/chef de la protection des renseignements personnels. De l'Association des banquiers canadiens, nous avons Mme Lucie V. Gauvin, vice-présidente et avocate-conseil adjointe, Groupe juridique RBC, à la Banque Royale du Canada; Linda Routledge, directrice, Consommation; Nathalie Clark, avocate-conseil et secrétaire générale.
Nathalie Clark, avocate-conseil et secrétaire générale, Association des banquiers canadiens : Merci, monsieur le président. Bonjour. Je m'appelle Nathalie Clark, et je suis chef du contentieux, secrétaire générale et responsable de la protection des renseignements personnels auprès de l'Association des banquiers canadiens. Je suis accompagnée aujourd'hui, de Linda Routledge, directrice, Consommations et affaires commerciales, Association des banquiers canadiens, et de Lucie Gauvin, vice-présidente et avocate-conseil adjointe, RBC Groupe financier. Nous sommes très heureuses d'être ici aujourd'hui, à l'invitation du comité, pour discuter du projet de loi S-4, Loi sur la protection des renseignements personnels numériques, qui modifierait la Loi sur la protection des renseignements personnels et les documents électroniques.
L'ABC représente 60 banques membres, soit des banques canadiennes ainsi que des filiales et des succursales de banques étrangères exerçant des activités au Canada, et leurs 280 000 employés. La protection des renseignements personnels revêt une importance cruciale pour le secteur bancaire. Compte tenu de la nature des services que les banques fournissent à des millions de clients dans les collectivités partout au Canada, les banques sont des gardiens fiables d'importants volumes de renseignements personnels.
La protection des renseignements des clients constitue la pierre angulaire des services bancaires. Les banques prennent très au sérieux leur responsabilité quant à la protection des renseignements personnels des clients et sont engagées à répondre non seulement aux exigences des lois sur la protection des renseignements personnels, mais aussi aux attentes des clients. Pour reprendre les propos de Mme Bernier, commissaire à la protection de la vie privée par intérim : « La protection des renseignements personnels se trouve dans l'ADN des banques. »
Le secteur bancaire a été parmi les premiers à participer aux projets qui ont abouti à l'adoption de la LPRPDE et l'un des premiers à être assujettis à cette loi. Dans le cadre de la révision de la Loi, en 2006, nous avons présenté au gouvernement nos idées sur la manière de modifier la LPRPDE pour résoudre certains problèmes survenus au cours de sa mise en œuvre initiale. Nous sommes ravis que le projet de loi propose des modifications à la LPRPDE pour répondre à nombre de nos préoccupations.
Nous partageons les préoccupations du gouvernement — exprimées dans le budget de 2014 — concernant les personnes âgées et autres personnes vulnérables à l'exploitation financière. Nous sommes ravis que le projet de loi S-4 comprenne des modifications qui donneraient aux banques et à d'autres organismes une plus grande capacité d'aider leurs clients à éviter l'exploitation financière.
Les modifications apportées par le projet de loi permettront aux banques, aux organismes d'application de la loi ou à toute autre autorité compétente d'informer les autres membres de la famille non concernés par l'acte d'exploitation présumé, lorsqu'il y a des éléments qui montrent qu'un client a été, est ou pourrait être victime d'exploitation financière. Dans de tels cas, la LPRPDE limite actuellement la capacité des banques de divulguer les renseignements sur les clients sauf en cas de consentement ou lorsqu'une loi est transgressée. Toutefois, les banques sont témoins d'un bon nombre de cas d'exploitation financière présumés qui n'enfreignent aucune loi.
Nous félicitons le gouvernement d'avoir proposé des modifications qui permettront aux banques d'alerter le proche d'un client âgé dont les capacités sont limitées, ou d'autres clients vulnérables, afin qu'il puisse prendre les mesures nécessaires pour l'aider à éviter ou à atténuer les cas d'exploitation financière présumés.
Un autre domaine très important dans lequel les banques doivent intervenir pour protéger les clients est celui de la criminalité financière — lutte contre la fraude, blanchiment d'argent et toute autre activité criminelle contre les clients des banques et les banques elles-mêmes. Actuellement, les banques sont en mesure de recueillir, d'utiliser et de divulguer des renseignements pour lutter contre la criminalité financière par l'intermédiaire du Bureau de prévention et d'enquête du crime bancaire, ou BPECB, de l'ABC, un organisme d'enquête désigné en vertu de la LPRPDE.
Nous soutenons la proposition du gouvernement visant à éliminer les organismes d'enquête désignés et à suivre plutôt la démarche adoptée en Alberta et en Colombie-Britannique, où les organismes ont la capacité de recueillir et d'utiliser des renseignements et de les divulguer à d'autres organismes en vue d'une enquête sur la violation d'un accord ou d'une loi et de détecter, d'éliminer ou de prévenir la fraude, soit les fins pour lesquelles le BPECB a été créé. Si on veut que le BPECB poursuive sa lutte contre les activités criminelles, il demeure cependant indispensable que les modifications apportées à la LPRPDE grâce au projet de loi soient améliorées de deux façons.
Premièrement, il faudrait ajouter les « activités criminelles » aux fins touchant la détection ou l'élimination de la fraude, étant donné qu'un bon nombre de crimes contre les banques et leurs clients sont illicites, mais ne constituent pas des actes frauduleux, par exemple lorsque les voleurs vident les guichets automatiques, cambriolent les succursales et volent les données ou les renseignements personnels, ou lorsque des personnes menacent ou agressent le personnel de la banque.
En outre, de nombreux criminels mènent leurs activités à l'échelle internationale. Les banques doivent être en mesure de coopérer avec des organismes d'autres pays lorsque l'activité criminelle entraîne un chevauchement de compétences. Il faudrait donc que les lois des pays étrangers soient ajoutées.
La criminalité financière a une incidence négative à la fois sur les consommateurs et l'intégrité économique du secteur financier. La criminalité financière finance d'autres activités criminelles qui ciblent des Canadiens, comme le blanchiment d'argent, le financement des terroristes, le trafic de drogues et d'armes, et la traite de personnes. Il est essentiel pour la société canadienne que le gouvernement continue de mettre en place des mesures qui réduisent la criminalité financière.
Nous soutenons donc les dispositions permettant aux organismes de recueillir, d'utiliser et de divulguer des renseignements personnels à ces fins, et recommandons fortement de tenir compte des modifications que nous avons proposées. Nous serions heureuses de fournir des idées plus précises pour les modifications du projet de loi S-4 concernant ces changements.
Le projet de loi introduit de nouvelles dispositions dans la LPRPDE en matière de notification et de rapport sur les atteintes. Nous soutenons la nécessité d'aviser les personnes concernées et de déclarer au commissaire à la protection de la vie privée les violations qui peuvent représenter un vrai risque de préjudice pour les personnes.
Les banques notifient déjà les clients dans les rares cas d'atteinte à leurs renseignements personnels, afin qu'ils puissent se protéger contre la fraude ou toute autre utilisation abusive de leurs renseignements personnels.
Le secteur bancaire est heureux de collaborer avec le gouvernement pour s'assurer que des règlements appropriés et réalisables soutenant la déclaration des violations seront élaborés, de sorte que les infractions soient correctement suivies et signalées.
Nous sommes heureuses d'avoir l'occasion de commenter le projet de loi S-4, et nous avons hâte d'entendre vos questions.
[Français]
Marc-André Pigeon, directeur, Politique du secteur financier, Centrale des caisses de crédit du Canada : Merci, monsieur le président et honorables membres du comité, de nous avoir offert l'occasion de vous faire part de nos commentaires sur le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence. Je m'appelle Marc-André Pigeon et je suis directeur de la politique publique de la Centrale des caisses de crédit du Canada.
[Traduction]
Ma collègue Jan Hopper, chef de la protection des renseignements personnels, m'accompagne aujourd'hui. Elle m'aidera à répondre à certaines questions techniques que vous pourriez avoir à poser.
Avant d'exposer nos opinions sur le projet de loi, je voudrais dire quelques mots du rôle de mon organisation et, plus généralement, du réseau canadien des caisses de crédit.
La Centrale des caisses de crédit du Canada, l'organisation pour laquelle je travaille, est une association professionnelle nationale au service de ses propriétaires, les centrales provinciales des caisses de crédit. Par leur intermédiaire, nous assurons des services à quelque 320 caisses de crédit partout au Canada.
Comme vous le savez peut-être, les caisses de crédit représentent une part importante de l'économie canadienne. On compte actuellement environ 1 700 succursales de caisses de crédit qui servent 5,3 millions de Canadiens, possèdent des actifs de 160 milliards de dollars et emploient environ 27 000 personnes. Les caisses de crédit prennent toutes les formes et toutes les tailles. La plus petite, par exemple, la iNova Credit Union, en Nouvelle-Écosse, a des actifs de moins de 30 millions de dollars et peut n'employer que 10 personnes. Les plus grandes, comme Vancity, en Colombie-Britannique, ont des actifs d'à peine moins de 20 milliards de dollars et emploient des milliers de personnes. Les tailles sont très disparates.
Peu importe leur taille, les caisses de crédit croient avoir la responsabilité inhérente d'être ouvertes et accessibles tout en témoignant du plus grand respect pour la protection des renseignements personnels de leurs membres. Leur code de protection des renseignements personnels, adopté par la majorité des caisses de crédit bien avant que cela ne soit exigé, documente l'engagement depuis longtemps accepté du réseau à respecter les renseignements personnels des membres. Pour cette raison, nous estimons que le projet de loi S-4 fait beaucoup de choses de façon judicieuse.
Nous sommes particulièrement heureux des dispositions qui faciliteraient la tâche aux caisses de crédit lorsqu'il s'agit de communiquer des renseignements personnels au plus proche parent ou à des représentants autorisés parce qu'elles ont des motifs raisonnables de croire qu'une personne est victime d'exploitation financière.
Nous estimons néanmoins que la mesure est perfectible, qu'il devrait être possible d'informer un membre de la famille de la personne des soupçons d'exploitation, qu'on pourrait augmenter légèrement la portée de la disposition. D'après les recherches, il arrive souvent, dans les cas d'exploitation financière d'un aîné, que le coupable soit le plus proche parent.
Le projet de loi S-4 nous plaît également parce qu'il fait beaucoup pour alléger la charge de la réglementation prévue par la loi actuelle. Par exemple, nous appuyons la proposition qui élimine la nécessité d'obtenir le consentement si des renseignements personnels sont utilisés lorsque des organisations envisagent des fusions et des acquisitions.
Comme vous le savez peut-être, il y a maintenant dans le réseau des caisses de crédit un processus de regroupement rapide. Cette modification est donc la bienvenue.
De la même façon, nous sommes en faveur de l'élimination du consentement lorsque les renseignements sont communiqués entre institutions financières pour prévenir la fraude. Cela permettra aux caisses de crédit d'alléger les frais administratifs liés à certaines opérations du bureau des caisses de crédit pour la prévention du crime et les enquêtes.
Cela dit, d'autres dispositions nous inquiètent parce qu'elles risquent d'alourdir la réglementation. Plus précisément, le projet de loi propose des exigences qui obligeraient les institutions financières à tenir un registre de toutes les atteintes aux données. Il nous semble plus logique de faire correspondre cette tenue de registre aux exigences de notification. Comme vous le savez, ces exigences font que les atteintes doivent être déclarées lorsqu'elles présentent un risque réel de préjudice grave pour les particuliers.
Imposer des exigences de tenue de registre qui sont plus élevées que celles des déclarations et avis nécessitera le lourd déploiement d'un processus d'identification des incidents en deux volets. Cela pourrait s'avérer particulièrement coûteux et long pour les petites caisses de crédit comme celles que j'ai évoquées tout à l'heure.
Il n'est pas évident qu'il soit utile de consigner des incidents qui n'atteignent pas le seuil de déclaration, et cela risque de détourner des ressources rares d'activités importantes comme la prévention des atteintes. Pour cette raison, nous remettons en question aussi la peine proposée qui pourrait atteindre 100 000 $ pour dérogation à cette nouvelle exigence de tenue de registre.
Pour situer ces préoccupations dans leur contexte, je voudrais souligner certains résultats d'un sondage récent mené auprès de nos membres au sujet de la charge de la réglementation. Nous avons constaté que les petites caisses de crédit, celles qui ont moins de 23 employés, ne consacraient pas moins de 21 p. 100 du temps de leur personnel aux affaires de réglementation, dont la LPRPDE, le prochain FATCA, les exigences relatives au blanchiment d'argent, et le reste. Les caisses de crédit qui comptent 100 employés ou plus et les organisations de taille moyenne ne consacraient en moyenne à ces tâches que 4 p. 100 du temps de leur personnel.
Si on extrapole jusqu'aux banques, qui, bien entendu, sont beaucoup plus grandes que les caisses de crédit, il est raisonnable de prévoir que toute nouvelle réglementation soit beaucoup moins lourde pour elles que pour nous. Le problème, c'est que les règles du jeu ne sont plus les mêmes pour tous, si on veut voir les choses sous cet angle. Il devient un peu plus difficile pour nous de livrer concurrence, surtout s'il y a de petites institutions qui ont beaucoup plus de mal à supporter cette charge.
Nous demandons au comité et au gouvernement, dans leur examen du projet de loi S-4, de tenir compte de ce type de charge que doivent porter les caisses de crédit et d'autres petites institutions financières pour se conformer aux règlements et d'envisager des amendements propres à atténuer le choc pour ces institutions. Nous croyons que cette requête cadre bien dans l'initiative fédérale d'allégement de la charge de la réglementation.
[Français]
Pour conclure, nous souhaitons remercier les membres du comité de nous avoir offert l'occasion de participer à votre étude sur le projet de loi S-4. Nous répondrons à vos questions avec plaisir.
Le président : Monsieur Pigeon, je dois vous dire que vous avez une perspective différente de celle que vous aviez auparavant alors que vous étiez assis à ce bout-ci de la table.
[Traduction]
M. Pigeon prenait autrefois place à ce bout de la table lorsqu'il était greffier et analyste au Comité sénatorial des banques. Il a assumé les mêmes rôles au Comité des finances. Il comparaît maintenant à l'autre bout de la table. Sénateur Mercer, vous avez la parole.
Le sénateur Mercer : Heureux de vous revoir. Bienvenue à vous et à vous tous.
Je voudrais revenir à l'une des choses dont Mme Clark et M. Pigeon ont parlé, soit l'exploitation financière des aînés. Je vous recommande de parcourir les travaux du Comité sénatorial spécial sur le vieillissement, présidé avec compétence par notre ancienne collègue, la sénatrice Carstairs. Il a consacré beaucoup de temps à l'étude de ce phénomène. Cette initiative est une bonne nouvelle. Je vais vous donner un très bel exemple.
Aux audiences de Welland, en Ontario, un représentant d'une institution financière, je ne me rappelle plus laquelle, a comparu devant le comité et nous a raconté certains faits. Quelqu'un de la succursale locale de la banque ou de la caisse de crédit, je ne sais plus trop, a remarqué quelque chose. Ce n'était pas le directeur, mais un commis, une caissière. Cette personne a remarqué un changement dans les habitudes d'un client, l'a signalé au directeur, qui a mené une petite enquête. Et en effet, cette personne était victime d'exploitation financière aux mains d'un membre de sa famille.
Le système en place marche bien. Vous devez continuer à former vos employés pour qu'ils remarquent ce genre de chose.
Je voudrais poser une question sur les avis d'atteinte. Il arrive parfois qu'on détourne cette procédure. J'ai eu connaissance de deux exemples où des fraudeurs se sont servis d'un faux avis d'atteinte pour essayer d'obtenir des renseignements personnels de certaines personnes. Cela est-il devenu un problème?
Je sais que les banques et les caisses de crédit signalent rapidement aux clients qu'elles ne s'y prennent pas de cette manière pour communiquer avec eux lorsqu'il y a un problème, mais les consommateurs ne sont pas toujours au courant. Avez-vous remarqué une augmentation du nombre de cas où des fraudeurs détournent à leur avantage le processus de notification?
Mme Clark : Je veux m'assurer de bien comprendre votre question. Vous voulez parler de cas où des fraudeurs envoient un courriel à des clients de banques, leur disant : « Il y a eu fraude dans votre compte, nous voulons vous aviser, veuillez ouvrir une session et vérifier toute votre information. » C'est une forme d'hameçonnage qui permet d'obtenir des renseignements personnels. Ce genre de chose s'est déjà produit. Les banques ont des dispositions très rigoureuses en place pour repérer ces activités, les bloquer et les prévenir. Elles sont plutôt efficaces lorsqu'il s'agit de s'assurer que, au bout du compte, leurs clients ne seront pas touchés.
Si les banques pensent qu'il y a un risque que certains de leurs clients subissent un préjudice, elles les avisent immédiatement et leur conseillent d'être très prudents, de surveiller ce genre d'activité, de se méfier et, en cas de doute, de communiquer avec elles pour s'assurer que la demande est légitime.
M. Pigeon : Je demanderai à Jan si elle a quelque chose à dire à ce sujet.
Jan Hopper, secrétaire générale adjointe/chef de la protection des renseignements personnels, Centrale des caisses de crédit du Canada : Je n'ai pas grand-chose à ajouter à ce que Nathalie a dit. Essentiellement, les caisses de crédit adoptent la même approche; elles ferment le site d'hameçonnage. De plus, elles cherchent à sensibiliser le consommateur à ce type de fraude et à bien d'autres. Nous avons une brochure, Defending Yourself Against Fraud, qui est à la disposition de nos membres pour qu'ils puissent s'informer et repérer les courriels de cette nature, qui sont très fréquents, en réalité.
Le sénateur Furey : Merci à vous tous d'avoir accepté de comparaître ce matin.
Madame Clark, je m'intéresse au paragraphe 7(2) de la LPRPDE, qui concerne le droit des institutions de communiquer volontairement des renseignements. Selon vous, est-il nécessaire que des organisations communiquent ainsi des renseignements personnels volontairement?
Mettons les choses autrement. La police peut s'adresser à une banque pour obtenir les renseignements dont elle a besoin, ce pourquoi il lui faut un mandat très précis. Mais le paragraphe 7(2) de la LPRPDE permet à l'organisation de communiquer volontairement des renseignements sans jamais aviser le client. Est-ce nécessaire?
Mme Clark : Les banques se communiquent déjà des renseignements l'une à l'autre — par exemple, par l'entremise du Bureau de prévention et d'enquête du crime bancaire — pour prévenir la criminalité financière. Si nous soupçonnons que le fait d'aviser le client que des renseignements personnels sont communiqués risque de compromettre l'enquête en cours pour prévenir ou déceler des crimes financiers, il nous semble normal de communiquer volontairement des renseignements à une autre organisation.
Dans le secteur bancaire, cela se fait maintenant par l'entremise d'un organisme d'enquête et il s'agit surtout de prévenir des crimes financiers ou un préjudice pour d'autres clients qui serait causé par un crime particulier.
Nous évitons d'aviser le client uniquement lorsque nous soupçonnons que cet avis risque de compromettre l'enquête. Autrement, nous l'avisons. Évidemment, si nos clients risquent d'être des victimes, nous voulons prévenir tout autre préjudice autant que possible. C'est dans cette limite que nous avons recours au BPECB.
Le sénateur Furey : Vous touchez là certaines des bonnes mesures du projet de loi, notamment la protection des personnes vulnérables, mais on dirait que c'est une mesure extraordinaire que de communiquer volontairement des renseignements sans en aviser l'intéressé.
Je comprends que, si cela risque de compromettre l'enquête, il y ait une certaine période pendant laquelle les clients ne sont pas informés, mais ne croyez-vous pas que, à un moment donné, la banque a le devoir de refuser la communication?
Mme Clark : Tout à fait. À un moment donné, la banque divulgue le fait.
Le sénateur Furey : Quand?
Mme Clark : Une fois l'enquête terminée, par exemple.
Le sénateur Furey : Mais la loi ne vous y oblige pas.
Mme Clark : Je crois qu'à ce moment-là, le client est avisé.
Lucie pourrait peut-être expliquer les pratiques de la RBC, mais j'insiste encore sur le fait que, dans le secteur bancaire, la principale raison de la communication volontaire de renseignements avec une autre organisation est le souci de prévenir la criminalité financière. C'est la principale raison et ce sera encore la principale raison d'agir de la sorte aux termes du projet de loi S-4, si nous en arrivons là.
Lucie V. Gauvin, vice-présidente et avocate-conseil adjointe, Groupe juridique RBC, Banque Royale du Canada, Association des banquiers canadiens : Je ne suis pas sûre d'avoir grand-chose à ajouter, sinon que les renseignements sont communiqués pour prévenir, combattre et réprimer une certaine forme d'activité criminelle. Si la personne dont les renseignements sont ainsi communiqués participe ou est soupçonné de participer à une activité criminelle, il est certain qu'elle n'est pas avisée tant que d'autres moyens ne sont pas mis en place. Par contre, s'il s'agit d'une victime de la fraude ou de l'activité, nous l'avisons dès que possible.
Le sénateur Furey : J'ai deux autres questions à poser.
Le président : Je crois que le sénateur Eggleton a une question complémentaire à poser.
Le sénateur Eggleton : Vous parlez de communiquer des renseignements si vous soupçonnez qu'un crime risque d'être commis, comme l'exploitation d'un aîné ou un autre crime. Et s'il s'agit simplement d'une affaire civile, si une société d'assurance, par exemple, cherche des renseignements pour l'étude d'un dossier? Qu'est-ce qui vous empêche alors de communiquer les renseignements?
Mme Clark : Actuellement, si nous soupçonnons un manquement à la loi, nous pouvons communiquer des renseignements aux forces d'exécution de la loi ou aux autorités gouvernementales. La loi nous y autorise déjà. Désormais, comme je l'ai dit, nous communiquerons des renseignements surtout pour prévenir ou réprimer des crimes financiers. Nous n'avons pas discuté de l'étude de l'utilisation à venir de cette exemption, mais je dirais ceci : généralement, les banques ne communiquent pas de renseignements au sujet de leurs clients sans leur consentement. C'est la règle générale. Il est important d'affirmer que les banques, à cause de la nature de leurs activités, s'en tiendront généralement à ces grandes règles.
Le sénateur Eggleton : C'est votre règle.
Mme Clark : Les exemptions prévues dans la loi seront donc abordées avec grande prudence par l'institution financière à cause de la nature même de ses relations avec ses clients.
À propos de ces types d'exemption, les banques adopteront une attitude très prudente, examineront leur application au cas par cas et prendront de grandes précautions. Si elles décident de communiquer volontairement des renseignements, cette action sera encadrée par des paramètres rigoureux. Elles ne communiqueront les renseignements que si c'est absolument nécessaire et le client sera avisé dès que possible. Vu la nature de cette relation, les banques vivent grâce à leurs clients, et la communication de leurs renseignements personnels est une affaire grave. Voilà l'approche qui serait adoptée.
Le sénateur Eggleton : Mais ce serait votre décision. Les forces d'exécution de la loi, c'est une chose, mais si une société d'assurance vient vous dire : « Nous sommes en train d'étudier une demande d'indemnisation et nous croyons que telle personne ne nous a pas dit toute la vérité sur telle ou telle chose; auriez-vous des renseignements susceptibles de nous aider? », vous décideriez s'il y a lieur de fournir ces renseignements et d'en aviser le client? C'est à cela que la situation se résume : prendre votre propre décision sur cette demande?
Mme Clark : J'estime que le commissaire à la protection de la vie privée a un rôle à jouer pour mettre en place des lignes directrices au sujet de ce type de communication, et nous avons hâte de prendre connaissance des indications qui seront données. Je pense aussi qu'il est important de tenir compte du fait que le commissaire surveillera ce genre d'activité. Voilà ce que je dirais, généralement. J'ignore si mes collègues ont des opinions à exprimer à ce sujet. En ce qui concerne le secteur bancaire, je le répète, nous adopterons une approche très prudente à l'égard de cette exemption à appliquer avec parcimonie, étant donné la nature de nos relations avec les Canadiens.
Mme Gauvin : J'ajouterais que ce n'est pas parce que la loi permet de communiquer des renseignements qu'on se donne automatiquement la capacité, le pouvoir de le faire. Comme Nathalie l'a dit, nous étudions chaque cas isolément et prenons une décision. Vous avez raison : cette décision se résumera à voir si nous estimons ou non, dans les paramètres de cette disposition, avoir la capacité de faire cette communication et si cela nous semble nécessaire.
Le sénateur Eggleton : Sans le consentement du client.
Le sénateur Furey : Je voudrais revenir sur ce point, car le paragraphe 7(2) ne porte pas que sur la communication. Il porte aussi sur l'immunité. Les banques jouiront de l'immunité aux termes de la loi lorsqu'elles communiqueront des renseignements. La loi vous donne une autorisation. Vous nous dites que vous communiquerez volontairement des renseignements à un moment donné, même si vous n'y êtes pas tenus, mais est-ce nécessaire d'avoir l'immunité? Autrement dit, si vous faisiez quelque chose de mal en communiquant des renseignements, un client de la banque n'aurait aucun recours parce qu'elle respecte la loi qui lui donne cette autorisation. Est-ce nécessaire?
Mme Clark : Il est important de ne pas oublier que, si la banque estime devoir communiquer des renseignements pour prévenir un crime et le fait rigoureusement, seulement dans la mesure nécessaire pour prévenir le crime, et s'il y a une erreur ou si la banque communique trop de renseignements, selon l'opinion du consommateur ou de l'organisme de réglementation, alors interviennent l'étroite surveillance de l'organisme de réglementation, mais aussi la surveillance interne de la banque. La banque réexaminera ses politiques et procédures pour en revoir une partie et veiller à ce que ces activités soient plus limitées par la suite.
Il est important d'affirmer qu'il existe une surveillance. Si, après le fait, on s'aperçoit que quelqu'un a subi un préjudice excessif ou qu'il y a lieu de revoir les politiques et procédures, cela va se faire assurément dans le secteur bancaire. Il y a également le commissaire à la protection de la vie privée qui peut examiner les politiques et procédures que les banques ont mises en place et ordonner ou suggérer à la banque des modifications pour que, par la suite, ces activités respectent les limites qui doivent être respectées.
Le sénateur Furey : Je suis d'accord. La confiance est peut-être la règle d'or des banques. Les consommateurs leur confient leur argent et leur font confiance. Si cette confiance est trahie, il est possible que le tort soit irréparable. Ce que vous me dites maintenant sur la surveillance m'incite à penser que l'immunité n'est pas vraiment nécessaire, qu'il ne devrait pas y avoir de paragraphe 7(2) qui accorde l'immunité pour la communication de renseignements, puisque vous vous occupez de tout cela à l'interne.
Mme Clark : Lorsqu'on communique des renseignements de bonne foi pour prévenir un crime financier ou un préjudice pour certains autres clients, je crois que, si on commet une erreur ce faisant, on ne devrait pas être puni trop sévèrement. Il est important de donner aux organisations le réconfort d'une certaine protection si elles essaient de prévenir des activités criminelles en communiquant des renseignements.
Le sénateur Furey : Cela dépend beaucoup des mécanismes internes, mais on ne veut pas se retrouver dans une situation où une banque devient un agent des services d'exécution de la loi. Ce n'est pas son travail.
Mme Clark : Je suis d'accord.
Le sénateur Furey : Mais je le répète, la loi est ainsi libellée que cela dépend de votre surveillance interne.
Mme Clark : Comme je l'ai dit, il est très important de ne pas oublier qu'il y a une solide surveillance exercée par l'organisme de réglementation, mais aussi par la banque, à l'interne, pour veiller à ce que toutes ces activités soient conformes à la loi et ne soient pas plus importantes qu'il ne le faut pour atteindre le but visé, ce qui, dans notre cas, consiste à combattre la criminalité financière.
Mme Routledge : La raison d'être de cette disposition, c'est que le gouvernement propose d'éliminer les organismes d'enquête désignés. Ce qui se fait maintenant à l'intérieur de l'organisme d'enquête, c'est ce qui est prévu au paragraphe 7(3). On s'inspire de ce que l'Alberta et la Colombie-Britannique ont prévu dans leurs lois : la capacité de communiquer des renseignements pour les enquêtes et pour la prévention du crime.
Nous sommes plus ou moins en train de nous rapprocher de ce qui se fait au niveau provincial. Que je sache, il n'y a pas de problèmes au niveau provincial dans la communication de renseignements, dans les enquêtes ou ces activités.
Le sénateur Furey : Je ne suis pas contre le fait qu'on essaie de lutter contre la criminalité, et notamment la fraude et le terrorisme et toutes ces choses mauvaises et vilaines. C'est simplement l'idée d'immunité qui ne me plaît pas. Il devrait y avoir un certain critère à respecter avant que les communications ne se fassent. Voilà mon opinion personnelle.
Je reviens un instant à Mme Gauvin. À la lumière de ces questions, pouvez-vous nous dire s'il y a des interactions, et lesquelles, sur une base régulière entre les banques et les institutions policières? Par exemple, combien y a-t-il, par année, de communications volontaires entre elles? Donnez-nous une idée de l'importance de ces communications.
Mme Gauvin : Les institutions gouvernementales ont certainement la capacité de demander la communication de renseignements à des organisations soumises au régime actuel, et elles exercent ce pouvoir. Elles le font surtout au moyen d'ordonnances de communication. Elles ont pu avoir par le passé la volonté de demander simplement les renseignements, mais la loi les a très bien dressées. Elles savent qu'elles doivent montrer qu'elles ont le pouvoir de demander les renseignements, et elles remettent les ordonnances de communication aux institutions financières lorsqu'elles font des enquêtes.
Je ne connais pas le nombre précis d'ordonnances de communication qui sont remises aux organisations.
Le sénateur Furey : Je suis désolé, mais je vous ai probablement induite en erreur par ma longue question.
Ma question portait plutôt sur la communication volontaire de renseignements du point de vue des banques par opposition aux mandats délivrés et présentés aux banques. Avez-vous une idée du nombre de communications volontaires faites par les banques à des organisations policières dans une année, par exemple?
Mme Gauvin : Je ne suis pas au courant de chiffres précis, mais je peux vous dire que, abstraction faite des communications faites directement à des institutions gouvernementales, nos communications passent par notre organisme d'enquête. Il doit exister des dispositions dans le régime actuel qui permettent aux banques de faire d'autres communications dans le contexte d'une enquête, effectivement.
Le sénateur Furey : À la Banque Royale, par exemple, avez-vous un organisme d'enquête? Toutes les communications doivent-elles passer par lui?
Mme Gauvin : Toutes les communications passent par lui.
Le sénateur Furey : Ces gens ne sont pas représentés ici aujourd'hui, de toute évidence?
Mme Gauvin : Non.
Le sénateur Furey : Merci.
Le sénateur Demers : Voici une anecdote qui, je l'espère, aidera les deux parties du groupe de témoins et les sénateurs. Il s'agit d'un incident, et peut-être votre réponse nous éclairera-t-elle.
En 2012, je me trouvais en Floride avec ma femme pour des vacances. Un soir, nous sommes allés au restaurant avec un autre couple. Ma carte de crédit a été refusée. Nous savions que ce n'était pas possible. La banque m'a contacté immédiatement pour me dire que quelqu'un, à Kansas City, avait dépensé plus de 5 000 $ très rapidement, dans l'espace de six ou sept heures. La Banque Royale du Canada a fait preuve d'un grand professionnalisme pour me rendre ma carte; j'ai dû me procurer une nouvelle carte. Trois ou quatre semaines plus tard, la banque nous a remboursé l'argent que nous avions perdu. On m'a dit que les gens fraudent le système à hauteur de centaines de millions de dollars; le système est fraudé à chaque minute. Apparemment, les fraudeurs connaissaient mon adresse et mon numéro de téléphone. Ils ont pu se les procurer, sans doute.
Depuis 2012, qu'a-t-on fait pour prévenir cette fraude? Apparemment, il y a toujours des fraudes, mais a-t-on apporté des rajustements pour protéger les consommateurs contre ces fraudes?
Mme Clark : Je peux commencer par une réponse générale du point de vue de l'ABC. Au Canada, nous avons adopté un certain nombre de mesures pour prévenir ce genre de fraude sur carte de crédit ou de débit. Nous avons adopté la technologie de la puce et du NIP pour éviter certains de ces crimes, et ce moyen a été très efficace.
Par l'entremise du BPECB, les institutions se communiquent des renseignements. Cela nous permet de prévenir et de déceler certains de ces crimes. Depuis, comme vous avez pu le constater avec la Banque Royale, malgré tous les efforts que nous déployons — et il s'en fait beaucoup pour prévenir ce type de crimes —, nous avons dans le secteur bancaire une politique qui soustrait le client à toute responsabilité. Nos clients sont intégralement remboursés.
Le secteur bancaire absorbe les pertes occasionnées par les fraudes sur carte de débit et de crédit, comme vous avez pu le constater avec la Banque Royale. Le problème continue de nous préoccuper. Nous essayons toujours de devancer les criminels. Beaucoup de crimes de fraude sur carte de débit et de crédit au Canada sont le fait de groupes importants, et une partie de cette criminalité vient de l'étranger. C'est donc une criminalité sur une grande échelle.
Je le répète, l'adoption de la technologie de la puce et du NIP a atténué le risque en partie, et nous continuons de suivre le problème de très près.
[Français]
M. Pigeon : Si je peux ajouter quelque chose. On suit des démarches semblables dans notre système. Il faut cependant se souvenir que, dans le cadre du système des caisses de crédit, nous ne sommes pas les émetteurs de cartes de crédit. Nous avons des contrats avec d'autres compagnies qui les émettent, mais elles suivent les mêmes règles que les banques. C'est donc la même chose chez nous.
La sénatrice Verner : J'ai une question complémentaire à celle de mon collègue. Une expérience semblable est arrivée il y a à peine quelques mois à mon conjoint. Nous sommes des clients de la Banque Royale, et ils ont réagi très, très rapidement. En l'espace de quelques heures, ils se sont rendu compte qu'il y avait un problème et ils ont bloqué la carte de crédit de mon conjoint.
Les consommateurs se demandent souvent si vous parvenez à trouver ceux qui clonent les cartes. Il y a quand même quelqu'un qui a utilisé la carte de crédit de mon mari. Lorsqu'on pose la question, le personnel des banques est très réticent à divulguer de l'information à ce sujet. Cela donne la désagréable impression que le fraudeur est davantage protégé que le fraudé.
Il ne s'agit pas de se faire justice soi-même, mais on se doute souvent de l'endroit où cela s'est produit. On se demande souvent ce qui arrive à ceux qui ont cloné les cartes. Est-ce qu'on en arrête quelques-uns parfois?
[Traduction]
Mme Clark : Merci beaucoup de votre question. Je dirais que très souvent, il y a une enquête suivie. Si le stratagème de fraude sur carte de débit ou de crédit est sur une grande échelle et fait intervenir toutes sortes d'autres organisations criminelles qui sont très avancées et ont parfois leur origine à l'étranger, il est impossible de communiquer cette information. L'enquête serait compromise. C'est la première chose que je dirais.
J'ajouterais, si on me le permet, car je ne l'ai pas dit en réponse à la question du sénateur Demers, que les banques ont des systèmes de sécurité internes très perfectionnés qui permettent de déceler les tendances. Les banques connaissent assez bien les clients et leurs habitudes, l'usage qu'ils font de leurs produits bancaires, et elles peuvent très rapidement déceler les transactions qui ne sont pas typiques de leurs clients.
Je dirai aussi que les banques sont un groupe très bien organisé pour prévenir ce genre de crime, mais chacune d'elles est aussi extrêmement avancée et est dotée de systèmes rigoureux pour déceler et prévenir ces crimes. Il nous arrive d'épingler quelques criminels à l'occasion.
La sénatrice Verner : C'est bon de le savoir.
Mme Clark : Et nous y arrivons avec l'aide des forces d'exécution de la loi. C'est une partie du travail que le BPECB tente de faire, pour permettre aux banques de communiquer une partie de l'information afin de trouver l'origine des crimes et les empêcher.
Le président : Une dernière question, sénateur Mercer?
Le sénateur Mercer : Madame Clark, dans votre exposé, vous avez dit : « Nous soutenons la nécessité de notifier les personnes concernées et de déclarer au commissaire à la protection de la vie privée les violations qui peuvent représenter un vrai risque de préjudice pour les personnes. » Comment définissez-vous la notion de « risque réel ».
Mme Clark : Le seuil? Si je comprends bien, vous demandez comment évaluer le seuil prévu dans le projet de loi, comment savoir ce qu'est un risque de préjudice grave pour la personne?
Le sénateur Mercer : Effectivement.
Mme Clark : Je vais laisser ma collègue Linda Routledge répondre à la question. Elle a étudié minutieusement ce sujet.
Linda Routledge, directrice, Consommation, Association des banquiers canadiens : Selon moi, le projet de loi lui-même amorce la description de ce qu'est un préjudice grave. Il parle de renseignements délicats, et ainsi de suite et du risque d'avoir des répercussions sur la personne, mais je crois que les banques doivent étudier chaque situation au cas par cas et comprendre quel en sera l'impact. Il faut donc conjuguer la loi et l'évaluation subjective que l'organisation peut faire.
Le sénateur Mercer : Merci, monsieur le président.
Le président : Je remercie Mme Clark, M. Pigeon et leurs collègues de leur présentation.
Brièvement, je veux informer les membres de la séance de demain soir. Nous accueillerons les représentants du Commissariat à la protection de la vie privée. Comme vous le savez, il n'y a pas de commissaire par intérim, mais nous aurons un représentant du commissariat. Il y aura également l'Association de la recherche et de l'intelligence, l'Association canadienne du marketing, Michael Geist, de l'Université d'Ottawa, et Michael Crystal, de Crystal Avocats. Voilà le programme de demain.
Nous allons suspendre la séance environ une minute et nous siégerons ensuite à huis clos pour adopter le rapport sur le projet de loi C-31, portant sur l'exécution du budget.
Sénateur Furey, vous avez une question à poser?
Le sénateur Furey : Avant que nous n'ajournions, monsieur le président, et probablement pour nous faire gagner du temps, pourrions-nous demander à Mme Gauvin de vérifier auprès de son groupe d'enquête, mettons à la BRC, pour nous faire savoir quel est le nombre des communications volontaires? On pourrait probablement vous présenter aussi, monsieur le président, le nombre de communications volontaires sur une base annuelle pour que nous ayons une idée de l'ordre de grandeur?
Le président : Et si l'association reçoit ce genre d'information d'autres banques, je suppose que vous pourriez nous la communiquer, si c'est possible?
[Français]
Il y a aussi les caisses de crédit.
[Traduction]
Mme Clark : Nous ferons de notre mieux pour examiner cette question. Si l'information est disponible, nous la transmettrons directement au comité.
Le président : Merci. Nous allons lever la séance pendant une minute.
(La séance se poursuit à huis clos.)