Délibérations du Comité sénatorial permanent des
Transports et des communications
Fascicule 7 - Témoignages du 4 juin 2014
OTTAWA, le mercredi 4 juin 2014
Le Comité sénatorial permanent des transports et des communications se réunit aujourd'hui, à 18 h 45, pour étudier le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence.
Le sénateur Dennis Dawson (président) occupe le fauteuil.
[Traduction]
Le président : Honorables sénateurs, aujourd'hui, nous poursuivons notre étude du projet de loi S-4, Loi modifiant la loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence. C'est la loi dont le titre abrégé est Loi sur la protection des renseignements personnels numériques. Les témoins de notre premier panel représentent le Commissariat à la protection de la vie privée du Canada, qui est orphelin pour quelques jours. Il s'agit de Patricia Kosseim, avocate générale principale et directrice générale, et de Carman Baggaley, conseiller stratégique principal des politiques. Veuillez présenter votre exposé, après quoi les sénateurs vous poseront des questions.
[Français]
Patricia Kosseim, avocate générale principale et directrice générale, Commissariat à la protection de la vie privée du Canada : Merci, monsieur le président et honorables membres du comité, de nous avoir invités pour vous parler du projet de loi S-4 qui propose de modifier la Loi sur la protection des renseignements personnels et les documents électroniques.
Je suis accompagnée aujourd'hui, de M. Carman Baggaley, conseiller stratégique principal des politiques.
Comme vous le savez, le commissariat est en période de transition. Je ne peux pas parler au nom du commissaire qui sera nommé sous peu. Toutefois, comme vous nous avez demandé de comparaître aujourd'hui, avant de conclure votre étude sur le projet de loi S-4, nous présenterons notre point de vue, tel qu'il a évolué au cours de plus de 10 ans d'expérience dans l'application de cette loi sous la direction de la commissaire, Jennifer Stoddart, et, plus récemment, de la commissaire par intérim, Chantal Bernier.
[Traduction]
Je voudrais d'abord dire que nous sommes ravis que le gouvernement ait déposé un projet de loi en vue de mettre à jour la LPRPDE. C'est le troisième projet de loi présenté et nous espérons qu'il sera adopté.
Nous avons remis au Comité un mémoire détaillé sur le projet de loi S-4, mais vu le temps limité qui nous est imparti aujourd'hui, je limiterai nos commentaires aux quelques modifications qui nous semblent les plus importantes.
Nous pensons que le projet de loi S-4 renforcera les mesures de protection de la vie privée des Canadiens dans leurs rapports avec les entreprises du secteur privé et rehaussera la confiance que l'économie numérique inspire aux consommateurs. Nous nous réjouissons particulièrement de l'obligation de signaler les atteintes et des accords de conformité volontaire.
Je vais me pencher sur ces deux éléments pour commencer. L'obligation de signaler les atteintes qui présentent un « risque réel de préjudice grave » permettra d'harmoniser la LPRPDE avec les lois exigeant le signalement qui ont été adoptées dans de nombreux autres pays. Les modifications proposées dans le projet de loi S-4 représentent un juste milieu, à notre avis.
En obligeant les organisations à tenir un registre faisant état de toutes les atteintes et à en fournir copie au commissariat sur demande, on met en place un mécanisme redditionnel important qui nous permettra d'évaluer la conformité aux dispositions sur le signalement et d'examiner la façon dont les organisations prennent leurs décisions en la matière.
Les accords de conformité proposés constituent un moyen novateur d'encourager les organisations à travailler avec nous à l'amélioration de leurs pratiques tout en nous offrant un mécanisme de recours pour nous assurer que les entreprises respectent les engagements qu'elles ont pris pendant l'enquête.
La proposition visant à faire passer de 45 jours à un an le délai pour le dépôt d'une demande à la Cour fédérale donne à toutes les parties une plus grande latitude pour régler les problèmes complexes dans un délai plus réaliste.
Nous sommes aussi satisfaits de la modification proposée qui vise à clarifier les exigences entourant le consentement valide ainsi que de la proposition d'élargir la portée de l'information que nous pouvons divulguer dans l'intérêt public.
L'autorisation de communiquer des renseignements personnels pour contacter le plus proche parent ou identifier une personne blessée, malade ou décédée sert un objectif familial ou humanitaire important.
La proposition d'autoriser les communications pour faciliter les transactions commerciales vient combler une lacune devenue apparente après l'adoption de la LPRPDE. Les mesures de protection entourant ces dispositions devraient réduire le risque d'abus.
Toutefois, nous émettons des réserves concernant deux nouveaux alinéas proposés, soit les alinéas 7(3)d.1) et d.2) qui, dans certaines circonstances, autorisent une organisation à communiquer des renseignements personnels à une autre organisation sans le consentement de l'intéressé. Nous craignons que ces deux modifications ne donnent lieu à des communications excessives, dont les individus concernés et le commissariat n'auront pas connaissance. Dans notre mémoire, nous proposons des façons de réduire le risque de communication excessive et nous demandons au comité d'envisager des moyens d'obliger les organisations à plus de transparence à propos de ces communications.
[Français]
Enfin, plus de transparence s'impose également, à notre avis, relativement aux communications en vertu de l'alinéa 7(3)c.1). Cette disposition permet aux organisations de communiquer des renseignements personnels, à l'insu de l'intéressé, à une institution gouvernementale ayant l'autorité légale de demander accès à ces renseignements lorsqu'elle soupçonne qu'ils sont afférents à la sécurité nationale ou pour certaines fins, notamment, l'application de la loi.
À tout le moins, nous recommandons que les organisations soient tenues de conserver un registre de ces communications effectuées sans mandat et de rendre cette information publique sous forme agrégée, comme le font actuellement certaines organisations américaines.
Je vous remercie, et c'est avec plaisir que nous répondrons maintenant à toutes vos questions.
[Traduction]
Le président : Je vous remercie de votre présence. Nous savons qu'en raison des circonstances, vous vous trouvez dans une drôle de situation, mais nous sommes contents que vous ayez pu venir comparaître.
Le sénateur Mercer : Encore une fois, merci d'être venus. Comme le sénateur Dawson l'a dit, nous vous en savons gré, vu les circonstances actuelles.
À propos de votre dernier point concernant l'alinéa 7(3)c.1), qui permet aux organisations de communiquer des renseignements personnels à l'insu de l'intéressé à une institution gouvernementale, nous avons été informés, ces dernières semaines, du nombre incroyable de demandes qui ont été faites. La commissaire par intérim a rendu les chiffres publics. Je pense que les Canadiens sont surpris, choqués et probablement préoccupés d'apprendre que cela s'est produit.
Je trouve que nous devons trouver une manière de protéger les Canadiens. Nous comprenons que cette information doit parvenir à certaines agences gouvernementales, de sorte qu'elles puissent faire leur travail comme il se doit. Cependant, si des agences gouvernementales demandent de l'information sur des Canadiens hors du cadre d'une enquête criminelle, ne pensez-vous pas que les Canadiens méritent de savoir qu'on a demandé de l'information à leur sujet?
Mme Kosseim : Je vous remercie de cette question. Le nombre qui a été rendu public récemment en réponse à une demande d'accès à l'information sur le nombre de demandes faites à des entreprises de télécommunication était en effet très élevé. Des réponses ont été fournies pour une partie de ces demandes. C'est la chose la plus importante à signaler pour commencer.
Nous estimons que les entreprises, comme c'est le cas pour de nombreuses entreprises américaines, devraient faire rapport des données d'ensemble comme le nombre de demandes présentées, le nombre de demandes rejetées ou reportées, le nombre de divulgations faites, les types de renseignements demandés, le recours ou non à un mandat, une assignation ou une ordonnance de la cour. Nous pensons que de tels rapports sur les mesures de transparence seraient une bonne chose ici aussi.
Le sénateur Mercer : De mémoire, les renseignements divulgués ne l'ont été dans aucun cas sur la production d'un mandat. Je pense que ce qui choque plus que le nombre de demandes, c'est qu'aucun mandat n'a été produit pour ces demandes. Big Brother surveille, mais nous voulons pour la plupart que Big Brother, ce faisant, respecte notre droit à la protection des renseignements personnels et à la liberté en vertu de la Charte des droits et libertés aussi.
Comment resserrer cela sans limiter l'accès aux organismes d'application de la loi et aux agences gouvernementales qui en ont besoin? Est-ce possible de resserrer cela sans entraver le rôle important que jouent les agences gouvernementales?
Mme Kosseim : Il y a des façons. Premièrement, la Cour suprême a été saisie de la question des paramètres de ce qui peut être divulgué en vertu de l'alinéa 7(3)c.1). Nous nous attendons à ce qu'elle rende une décision bientôt. Ainsi, nous pourrons savoir les renseignements qui peuvent être demandés en l'absence d'un mandat et connaître les paramètres relatifs aux autorisations légitimes. Je pense que cela aidera tous ceux qui doivent interpréter ou appliquer l'alinéa 7(3) c.1).
Les rapports sur les mesures de transparence que nous préconisons et que le Canada, comme les États-Unis, devrait adopter d'après nous, sont très certainement un mécanisme qui rehausse la responsabilité et donne aux entreprises de télécommunication et autres le courage de poser des questions difficiles, d'exercer une diligence raisonnable, de demander la source de l'autorisation légitime, de mettre en doute les demandes et, dans certains cas, de donner l'information si elles estiment les demandes légitimes, étant donné que cette décision est laissée à leur discrétion. Cependant, elles ont aussi le droit de refuser de donner l'information. Je pense que les rapports sur la responsabilité ou sur les mesures de transparence nous donneront une meilleure idée de la pratique actuelle, du nombre de cas et des types de demandes qui ont été faites, ainsi que des réponses données. Je pense que c'est un mécanisme très important pour garantir à tout le moins une responsabilité et une transparence accrues.
Le sénateur Mercer : Nous avons peut-être vendu la peau de l'ours avant de l'avoir tué. Nous discutons de ce projet de loi alors qu'une décision attendue de la Cour suprême pourrait avoir un effet sur une partie très importante du projet de loi. J'imagine que la bonne nouvelle, c'est que cela ne passera pas à la Chambre des communes. Même si ça passe au Sénat, ça ne passera pas à la Chambre des communes avant la pause estivale, et l'arrêt de la Cour suprême aura été rendu.
Ma dernière question porte sur le registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels. Le commissaire à la protection de la vie privée n'aura accès à cela que sur demande. J'ai posé cette question avant, mais jamais à une personne de votre niveau.
D'après moi, il serait bon que le commissaire à la protection de la vie privée voie toutes les atteintes — sans nécessairement enquêter dans tous les cas — pour connaître les tendances. S'il y a des tendances relatives à un mode, un dispositif ou une industrie en particulier, ou à un type d'atteintes en particulier, il serait bon que le commissaire prenne connaissance de ces tendances, et ce n'est pas possible si vous ne faites que regarder des rapports produits sur demande.
Ne pensez-vous pas qu'il faudrait regarder toutes les atteintes? Quand je dis « regarder », je ne veux pas dire les examiner toutes individuellement, mais au moins avoir un dossier interne. Comme ça, si vous deviez réagir aux tendances et les analyser, vous auriez les données sous la main.
Mme Kosseim : Je pense que « sur demande » correspond à un juste équilibre; autrement, nous pourrions nous attendre à être inondés de rapports sur des atteintes. Je pense que « sur demande » nous permet de faire une demande auprès d'un organisme particulier dans le contexte d'une enquête sur une atteinte ou sur une plainte, mais aussi auprès de plusieurs organismes dans le cas d'une vérification de l'industrie ou du secteur, par exemple. Du moment que nous pouvons demander l'information quand il nous la faut pour mener nos enquêtes et nos vérifications, nous pensons que c'est un juste milieu et que c'est probablement la bonne quantité d'information qu'il nous faut probablement, quand il nous la faut probablement.
[Français]
La sénatrice Verner : Ma première question concerne la communication de renseignements entre deux organisations privées. Des témoins qui ont comparu à notre comité se sont inquiétés des abus qui pourraient survenir.
On a bien compris que l'échange de communications entre deux organisations privées pouvait être utilisé, notamment, pour prévenir la fraude et des problèmes de type financier et liés aux assurances. On comprend qu'il pourrait aussi y avoir de la communication de données sensibles sur la santé des individus.
Afin d'équilibrer les attentes, que ce soit entre le besoin d'entreprises du secteur privé d'échanger des renseignements et le besoin des consommateurs de voir leurs droits protégés, advenant l'adoption du projet de loi S-4, aurez-vous les pouvoirs réglementaires nécessaires ou les mécanismes administratifs nécessaires encadrer le tout et atteindre un équilibre?
Mme Kosseim : Merci pour la question. C'est une excellente question, et d'ailleurs, vous allez voir dans notre soumission que nous exprimons des inquiétudes par rapport à cette disposition. Cependant, nous avons aussi des suggestions pour rétablir cet équilibre. Par exemple, nous suggérons que, au minimum, vous examiniez sérieusement la disposition qui permettrait cet échange pour prévenir la fraude. On comprend, quand il y a une fraude documentée, qu'il faut l'examiner ou la supprimer, mais pour prévenir la fraude, cela laisse la porte grande ouverte à un type de surveillance, de monitorage, d'échange d'informations, alors qu'il n'y a pas de besoin ni de justification. D'après nous, prévenir la fraude est une porte grande ouverte, et on suggère de resserrer un petit peu le texte en enlevant cette portion de la disposition proposée.
Deuxièmement, nous recommandons d'élever le seuil de la « raisonnabilité » au seuil de la nécessité. Alors, encore une fois, si la divulgation peut se faire seulement lorsqu'elle est nécessaire et non pas lorsqu'elle est simplement raisonnable, ce serait une façon de resserrer la divulgation entre organismes.
Troisièmement, et dans la même veine de nos propos par rapport, cette fois, à l'alinéa 7(3)c.1) nous croyons qu'il est nécessaire d'obtenir plus de transparence par rapport à ces divulgations, et pour les mêmes raisons, nous suggérons qu'il y ait au moins un registre où les organismes puissent documenter les cas où ils partagent les renseignements avec d'autres organismes et pour quelles raisons, pour permettre une plus grande transparence et une meilleure imputabilité.
Dernièrement, si la disposition entre en vigueur, nous voudrions l'interpréter de façon resserrée. Nous allons nous attendre à ce que les organismes fassent preuve d'un type de diligence raisonnable pour considérer la requête faite par un autre organisme, pour déterminer si l'information est vraiment nécessaire, si toute l'information est nécessaire, peut-être un peu moins, s'il s'agit vraiment de supprimer une fraude. Tout ce genre de questionnement doit être fait et étudié au cas par cas afin d'éviter un échange entre organismes sans imputabilité. Voici les suggestions que nous vous faisons par rapport à ces deux dispositions.
La sénatrice Verner : Parlant de registre, l'Association du Barreau canadien et la Centrale des caisses de crédit du Canada ont fait part de leurs inquiétudes face au fardeau administratif et aux coûts supplémentaires qu'engendrerait la mise en œuvre d'un registre sur les atteintes à la vie privée et de l'obligation de signaler les situations au commissariat. Entre autres, ils étaient plus particulièrement inquiets du fardeau financier que cela pourrait avoir sur les très petites entreprises.
Pensez-vous que ces craintes sont justifiées? Êtes-vous en mesure, à la commission, d'évaluer les impacts financiers de la tenue de ce type de registre, particulièrement pour les petites entreprises?
Mme Kosseim : Je dois dire que nous n'avons pas d'inquiétude à cet égard. Selon nous, obtenir un registre est le minimum qu'un organisme puisse faire pour documenter les atteintes à la vie privée. Comme on dit, on ne peut pas évaluer ce qu'on ne mesure pas. Donc, si aucune des atteintes à la vie privée n'a été consignée, comment les entreprises pourront-elles s'autoévaluer pour savoir si elles s'améliorent, si elles ont comblé des lacunes, répondu aux besoins ou resserré leurs mesures de sécurité?
C'est la première étape qu'elles se doivent de faire pour voir de quoi il s'agit et pour pouvoir mettre la question en évidence auprès de leur patron, pour élever le discours d'atteinte à la vie privée à l'échelon le plus élevé de la compagnie.
La sénatrice Verner : Lorsque le ministre Moore a comparu, je lui ai demandé, étant donné qu'il aura une charge importante et une responsabilité nouvelle et importante pour le commissariat, si le commissariat disposerait de fonds et des ressources suffisantes pour assumer ce rôle à la suite de l'adoption de projet de loi S-4. Il m'a répondu que la commissaire intérimaire était favorable au projet de loi, tel que vous venez de le dire, et qu'elle n'avait pas demandé de nouveaux fonds pour sa mise en application. Maintenez-vous toujours la même réponse?
Mme Kosseim : Encore une fois, merci pour la question fort pertinente. Nous avons parlé des questions de ressources au personnel d'Industrie Canada pour leur faire part de nos inquiétudes à ce sujet, d'autant plus que nous avons l'expérience de cette dernière année où le taux de signalement a été à la hausse dans les secteurs privé et public. Pour vous donner une idée, le signalement est devenu obligatoire dans le secteur public depuis un mois, soit depuis la directive du Conseil du Trésor. En l'espace d'un mois, il y a eu une augmentation de signalement de 239 p. 100 par rapport à la même période l'an passé.
On peut donc s'attendre à une charge de travail plus élevée. Il est sûr que tous les signalements ne mèneront pas à des enquêtes, mais, quand même, il y a un travail fort important de triage, d'évaluation et de dialogue avec les compagnies qu'il faudra faire, et on le fera du mieux qu'on peut. Cependant, il y aura évidemment un impact sur les ressources.
[Traduction]
La sénatrice Merchant : J'aimerais faire une autre observation concernant l'autorisation de divulguer des renseignements personnels sans que la personne en soit informée ou y ait consenti dans des circonstances très particulières. Pourquoi ne pas en aviser les gens? Pour l'écoute électronique, les personnes en sont avisées 90 jours plus tard, je pense. Comme ça, c'est presque comme si le public suit ce qui se passe. Si vous avez beaucoup de plaintes, vous savez alors qu'il y a un problème. Pourquoi ne pas avoir quelque chose de semblable?
Mme Kosseim : Je vous remercie de cette question. Certaines dispositions exigent des avis, même s'il y a une exception explicite à l'obligation de donner un avis. Cependant, il y a toujours le principe important de l'ouverture et de la transparence; nous devons pouvoir compter sur les organisations pour qu'elles soient transparentes dès le début avec leurs clients au sujet de la possibilité qu'elles recueillent, utilisent et divulguent de l'information sans consentement.
Il y a donc des dispositions explicites dans certains cas, ainsi que le principe général de l'ouverture et de la transparence.
Je vais demander à mon collègue de préciser cela ou d'ajouter quelque chose au besoin.
Carman Baggaley, conseiller stratégique principal des politiques, Commissariat à la protection de la vie privée du Canada : Je pense que l'exemple de l'écoute électronique est utile. C'est une disposition qui se trouve dans le Code criminel depuis de nombreuses années, et les organismes d'application de la loi semblent pouvoir fonctionner, sachant que l'avis sera donné après un certain temps si l'écoute électronique ne se fait pas dans le cadre d'une enquête. Je pense que c'est un modèle utile. Nous pourrions envisager des façons d'intégrer une sorte de mécanisme qui garantirait que de telles divulgations sont rendues publiques dans certaines circonstances. Certainement pas dans le cas d'une enquête en cours ou de mesures antiterroristes, ou quelque chose comme ça, mais il devrait y avoir un mécanisme permettant qu'un avis soit donné.
Le président : Je vous remercie beaucoup de votre exposé. Nous comprenons les circonstances. Nous vous savons gré d'être venus comparaître, et nous espérons qu'on vous donnera un bon commissaire à la protection de la vie privée.
Nous poursuivons notre examen du projet de loi S-4. Nous avons un panel composé de représentants de l'Association de la recherche et de l'intelligence marketing et de l'Association canadienne du marketing.
Les représentantes de l'Association de la recherche et de l'intelligence marketing sont Kara Mitchelmore, directrice générale, et Annie Pettit, directrice des publications. Pour ce qui est de l'Association canadienne du marketing, les représentants sont Wally Hill, vice-président principal, Affaires gouvernementales et consommateurs, et David Elder, conseiller juridique spécial, Protection des renseignements personnels numériques, et avocat à Stikeman Elliott s.r.l.
Nous allons commencer par écouter l'exposé de l'Association de la recherche et de l'intelligence marketing.
Kara Mitchelmore, directrice générale, Association de la recherche et de l'intelligence marketing : Je suis avec l'Association de la recherche et de l'intelligence marketing, l'ARIM. Je suis accompagnée de Mme Annie Pettit qui, entre autres responsabilités, est la directrice des publications de l'ARIM.
Premièrement, je vous remercie de nous avoir invitées à vous parler du projet de loi S-4, la Loi sur la protection des renseignements personnels numériques.
L'ARIM est une association nationale d'autoréglementation qui représente tous les secteurs de l'industrie de la recherche en marketing au Canada. Nous comptons parmi nos membres 1 500 professionnels de la recherche et près de 350 agences de recherche, de même que des acheteurs de services de recherche comme des institutions financières, de grands détaillants, des entreprises d'assurances, des entreprises de télécommunication et des fabricants.
L'ARIM a toujours appuyé la LPRPDE. Nos membres consacrent énormément de temps et d'effort à protéger les bonnes relations qu'ils entretiennent avec le public, et cela comprend la prise de mesures pour respecter le droit à la vie privée des personnes. Nous croyons que la LPRPDE est efficace et qu'elle a amené énormément de changements positifs dans les façons de faire des entreprises au Canada.
Nous sommes ici pour vous exprimer notre appui, moyennant quelques réserves, au projet de loi S-4. Nous croyons que bien des dispositions du projet de loi S-4 représentent un pas en avant puisqu'elles comblent des lacunes du cadre de protection de la vie privée au Canada. Paradoxalement, nous tenons à souligner que d'autres dispositions proposées dans le projet de loi S-4 pourraient réduire les droits à la protection de la vie privée au Canada.
Nous allons faire des commentaires sur cinq points en particulier. Notre appui et nos préoccupations se limitent à ces cinq points que vous trouverez expliqués en détail dans le mémoire que nous avons soumis à M. Charbonneau.
Je vais premièrement vous signaler quelque chose brièvement. Plus que jamais, les organisations peuvent amasser des quantités importantes de données sur les particuliers. Malheureusement, nous sommes de plus en plus souvent informés d'atteintes importantes à la vie privée de milliers et de millions de personnes. Les Canadiens doivent être informés de ces atteintes pour qu'ils puissent se protéger.
L'ARIM appuie donc l'obligation de signaler les atteintes. Nous estimons que c'est la proposition la plus importante et la plus positive du projet de loi. Compte tenu de l'accès facile à d'importantes données et du nombre sans précédent de vols d'identité, il ne suffit plus d'estimer que le signalement des atteintes est une obligation morale. Elle doit être une obligation juridique.
Il faut cependant faire une mise en garde. Nous recommandons que le projet de loi soit modifié de sorte qu'il incombe au commissaire à la protection de la vie privée de déterminer si une atteinte présente un risque réel de préjudice grave pour une personne. Laisser cette responsabilité à une organisation, en cas d'atteinte, peut donner lieu à un conflit d'intérêts et à une trop grande subjectivité. Nous estimons que le rôle de faire une évaluation impartiale est un prolongement naturel du mandat du commissaire et qu'il en découlerait une évaluation plus objective de l'importance du préjudice causé.
Nous proposons aussi que la loi oblige les organisations responsables des atteintes à offrir une année de surveillance de crédit aux personnes touchées, en guise de mesure supplémentaire de protection contre le vol d'identité.
Ensuite, il y a la validité du consentement. L'ARIM appuie sans réserve les dispositions du projet de loi S-4 qui précisent les éléments nécessaires à la validité du consentement d'une personne. Nous croyons que préciser les éléments nécessaires à la validité du consentement aura des effets très positifs sur la protection des Canadiens les plus vulnérables, comme les aînés et les enfants.
Pour ce qui est du consentement des mineurs, vous pourriez jeter un coup d'œil à notre guide intitulé Code de déontologie et règles de pratique, qui renferme une section sur les entrevues réalisées auprès d'enfants et de jeunes. On y indique notamment les précautions que doit prendre le chercheur en pareilles circonstances. Je n'en dirai pas plus, car vous trouverez un extrait de notre code de déontologie dans notre mémoire.
Troisièmement, il y a la question des éventuelles transactions commerciales. Nous sommes ravis que le gouvernement reconnaisse la nécessité de modifier la LPRPDE afin de permettre la communication de renseignements personnels par une organisation à un éventuel acheteur ou à un futur partenaire.
Sans entrer davantage dans les détails, je vous dirais que nous appuyons cette proposition. Annie va maintenant vous livrer le reste de nos observations.
Annie Pettit, directrice des publications, Association de la recherche et de l'intelligence marketing : En quatrième lieu, il y a l'échange de renseignements entre organisations. Notre association n'appuie pas les dispositions du projet de loi S-4 qui permettent aux organisations de divulguer à une autre organisation des renseignements personnels, sans le consentement des individus visés, même à des fins tout à fait louables comme une enquête sur le non-respect d'une entente ou une allégation de fraude.
La divulgation de renseignements entre organisations sans le consentement de la personne visée devrait continuer à se faire uniquement sous la supervision d'une instance judiciaire, par exemple en application d'une ordonnance du tribunal.
Même si l'assouplissement des règles pourrait simplifier le travail d'enquête dans les cas possibles d'atteinte à la vie privée ou de fraude, notre association estime que l'on irait ainsi à l'encontre des principes fondamentaux qui ont guidé l'élaboration de la LPRPDE, à savoir que les renseignements personnels des Canadiens doivent être protégés, à moins que des circonstances raisonnables justifient que l'on agisse autrement.
Nous croyons que la disposition proposée pourrait servir d'échappatoire en permettant aux organisations opérant à l'extérieur des cadres gouvernementaux ou des forces de l'ordre de faire fi des procédures prévues dans la loi. On créerait ainsi un environnement propice aux abus. Un peu comme le soulignait Kara, il y a trop de subjectivité en jeu pour que l'on permette aux organisations de déterminer elles-mêmes si le consentement des personnes visées est requis. Pour éviter les conflits d'intérêts, il faut pouvoir compter sur l'orientation et la surveillance d'une instance neutre faisant autorité, comme un tribunal.
Cinquièmement, il faut considérer l'aspect des échanges d'information entre les institutions gouvernementales et les organisations. Nous aimerions dire un mot d'une disposition actuelle de la LPRPDE qui permet aux organisations de communiquer sans consentement des renseignements personnels à un organisme d'enquête ou à une institution gouvernementale.
Nous ne sommes pas des experts en matière d'enquêtes judiciaires ou de sécurité nationale. Nous sommes toutefois alarmés par les reportages médiatiques qui révèlent que les agences gouvernementales ont adressé en 2011 pas moins de 1,2 million de requêtes à des entreprises de télécommunication pour qu'on leur transmette, sans mandat, des renseignements au sujet de centaine de milliers de clients.
Nous croyons que les législateurs à l'origine de la mise en œuvre de la LPRPDE voulaient trouver un juste équilibre entre, d'une part, la nécessité de protéger les renseignements personnels et, d'autre part, les besoins des autorités qui doivent avoir accès à ces renseignements dans certaines circonstances bien précises. Il apparaît impensable que les législateurs aient alors envisagé une quantité aussi alarmante de cas où l'on passe outre à l'obligation d'obtenir un mandat.
Nous croyons plutôt que ces dispositions servent d'échappatoire pour éviter de se conformer aux procédures prévues dans la loi. Nous exhortons donc le comité à profiter de cette occasion pour supprimer cette échappatoire en proposant de nouvelles dispositions qui feraient en sorte que la LPRPDE établirait plus clairement les paramètres devant guider les institutions gouvernementales qui demandent à obtenir des renseignements personnels sans le consentement des intéressés.
Pour conclure, disons que les études de marché et les sondages jouent un rôle essentiel au sein de notre société en permettant aux Canadiens de se faire entendre et d'exercer une influence sur les décideurs aux fins de l'amélioration des politiques publiques. Nous devons maintenir la confiance du public envers nos spécialistes en marketing. Malgré tous les efforts déployés par ceux-ci pour respecter le droit à la vie privée, il est arrivé que des actions posées dans d'autres secteurs minent les bonnes relations que nous avons su établir avec les Canadiens.
La LPRPDE a joué un rôle primordial en rehaussant les normes en matière de protection de la vie privée. Nous estimons que quelques-unes des mesures proposées dans le projet de loi S-4 rendront la loi encore plus efficace. Le projet de loi devrait toutefois être débarrassé de toutes les dispositions qui risquent de diluer ces droits à la vie privée.
L'ARIM préconise un renforcement du cadre de protection de la vie privée au Canada, et nous sommes heureux d'avoir l'occasion de formuler quelques recommandations en ce sens à l'intention de votre comité.
Le président : Merci. Je vais maintenant demander à MM. Hill et Elder de nous présenter également leur déclaration préliminaire, après quoi nous passerons aux questions des sénateurs.
Wally Hill, vice-président principal, Affaires gouvernementales et consommateurs, Association canadienne du marketing : Merci au comité de nous avoir invités à comparaître aujourd'hui, pour nous exprimer au sujet de la Loi sur la protection des renseignements personnels numériques, le projet de loi S-4.
L'Association canadienne du marketing (ACM) est le plus grand regroupement du genre au Canada. Nous comptons parmi nos membres quelque 800 entreprises de marketing et de publicité représentant les principaux secteurs commerciaux canadiens et intégrant l'ensemble des disciplines, des modes de diffusion et des technologies propres au marketing. Notre association est le porte-parole national du secteur du marketing au Canada et les efforts que nous déployons visent à créer un environnement au sein duquel le marketing éthique peut prospérer.
Voilà un bon moment déjà que l'ACM figure parmi les chefs de file en matière de protection de la vie privée au Canada. Au début des années 1990, l'association s'est donné un code de déontologie et des règles de pratique qui s'articulent notamment autour de principes de protection de la vie privée. En 1995, nous avons été la première association commerciale à demander publiquement l'adoption d'une loi nationale qui permettrait de mieux ancrer les principes fondamentaux associés à la protection des renseignements personnels.
Notre code est considéré comme la marche à suivre en matière d'autoréglementation par les spécialistes en marketing au Canada. De nombreux gouvernements et organismes de réglementation y voient un modèle pour un marketing éthique et une autoréglementation efficace de l'industrie.
Étant donné que l'on recueille, utilise et conserve de plus en plus de renseignements personnels, notre association est plus convaincue que jamais de l'importance cruciale d'une loi efficace pour la protection de la vie privée afin d'assurer un sain fonctionnement du marché. Cette loi établit des paramètres clairs pour l'adoption de bonnes pratiques commerciales et, comme l'indique son préambule, vise à protéger les renseignements personnels et ainsi à promouvoir le commerce électronique, lequel représente, comme nous le savons tous, une composante de plus en plus importante de l'économie canadienne.
Une récente étude de BrandSpark International commandée par l'ACM révélait que 52 p. 100 des consommateurs canadiens n'apprécient toujours pas qu'une entreprise leur demande de fournir des renseignements personnels en ligne. Notre association est d'avis que bon nombre des dispositions du projet de loi S-4 contribueront à augmenter la confiance des consommateurs à l'égard du commerce électronique en consolidant le cadre en place pour la protection des renseignements personnels.
Malgré certaines réserves mineures, l'ACM appuie l'effort consenti par le gouvernement avec ce projet de loi qui vise à mettre à jour les mesures législatives canadiennes touchant la protection des renseignements personnels dans le secteur privé. À l'occasion du premier examen de la LPRPDE en 2006-2007, l'ACM a encouragé la commissaire à la protection de la vie privée à élaborer des lignes directrices nationales sur la notification des atteintes. Ces lignes directrices ont été diffusées en 2007. Les consultations menées ultérieurement par le gouvernement auprès des groupes intéressés ont abouti à l'établissement d'une série de dispositions relatives aux atteintes à la vie privée que l'on retrouve maintenant dans le projet de loi S-4. Notre organisation continue d'appuyer ces changements.
Nous exhortons toutefois les sénateurs et les députés à prendre en considération certaines modifications qui pourraient préciser et étoffer différentes dispositions de la loi. C'est dans cette optique que je vais consacrer le reste de mon allocution à quatre dispositions importantes du projet de loi S-4.
L'article 10.3 exige qu'une organisation tienne et conserve un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion. Les exigences prévues en matière de notification représentent une amélioration logique à la LPRPDE, mais nous estimons qu'une modification s'impose pour préciser la portée et la durée de ces exigences. Le projet de loi S-4 fait en sorte que les organisations devraient conserver indéfiniment tous ces dossiers relatifs aux atteintes à la vie privée. Le libellé actuel devrait être revu en tenant compte des difficultés qu'il pourrait poser pour l'ensemble des organisations.
Il serait bon que la loi précise dans quel but les dossiers doivent être conservés de manière à guider l'élaboration des règlements qui devront inévitablement être pris pour prescrire l'information devant être conservée et les conditions applicables.
Il faut surtout s'inquiéter du fait que le projet de loi S-4 n'indique pas pendant combien de temps il faut conserver l'information sur les cas d'atteinte à la vie privée. Il est déraisonnable et même contraire aux saines pratiques de protection de la vie privée de demander à des entreprises de conserver des renseignements personnels semblables pendant une période indéfinie. Notre association estime donc que la période de conservation de ces données devrait être clairement établie dans la loi, et nous faisons valoir qu'une période de deux ans serait raisonnable à cette fin.
L'article 17.1 proposé autoriserait le commissaire à la protection de la vie privée à conclure un accord de conformité avec les organisations intéressées. D'après ce que nous pouvons comprendre, ces accords seraient conclus sur une base volontaire, c'est-à-dire seulement si une organisation choisit de s'entendre avec le commissaire. Nous estimons que cela va tout à fait dans le sens du modèle d'ombudsman appliqué avec succès par le Canada pour la protection de la vie privée et la réglementation en la matière.
Cependant, nous sommes encore une fois préoccupés du fait que ces ententes risquent d'avoir une portée plus large que ce que l'on souhaiterait. Nous préconisons donc un amendement qui ferait en sorte que ces accords de conformité respecteraient les objectifs et les limites des pouvoirs dont dispose actuellement le commissaire à la protection de la vie privée.
Le nouveau paragraphe 20(2) proposé prévoirait ce qui suit :
Le commissaire peut rendre publique toute information dont il prend connaissance par suite de l'exercice des attributions que la présente partie lui confère, s'il estime que cela est dans l'intérêt public...
Bien que nous reconnaissions la nécessité que le commissaire puisse transmettre de l'information utile et appropriée aux consommateurs, nous nous demandons encore une fois si le libellé proposé ne permet pas une interprétation trop large. Nous voudrions donc que l'on apporte les modifications requises pour assurer la protection des renseignements commerciaux de nature confidentielle. Nous comprenons que le but visé est de permettre au commissaire de communiquer au public les informations relatives aux accords de conformité suivant le principe du besoin de savoir, mais nous craignons que la divulgation publique d'une quantité excessive d'informations relatives à des cas particuliers puisse miner le modèle d'ombudsman en jetant un froid dans les relations de travail entre le Commissariat à la vie privée du Canada et les organisations qu'il réglemente.
Enfin, j'aimerais que nous traitions un instant de l'article 6.1 proposé qui vise à mieux définir ce qu'on entend par consentement valable.
À la lumière des débats tenus précédemment au Sénat, au sein de ce comité et sur d'autres tribunes gouvernementales, il ressort clairement que cet article vise à protéger certains groupes, notamment parmi les mineurs, qui pourraient avoir de la difficulté à saisir le libellé des dispositions concernant la protection de la vie privée et le consentement afférent. L'ACM souscrit entièrement à cet objectif. Il y a longtemps déjà que notre propre code de déontologie renferme des dispositions spéciales au sujet de la cueillette de renseignements personnels auprès des enfants et des adolescents.
C'est toutefois une autre disposition qui pourrait être interprétée de façon très large et paver la voie à une vaste réinterprétation des exigences en matière de consentement qui ont été établies au moyen de la LPRPDE au cours de la dernière décennie. Notre association souhaiterait que cette disposition soit mieux définie de telle sorte qu'il soit bien clair que les mineurs ou les autres groupes vulnérables sont visés par l'article en question. On pourrait ainsi parler plutôt « d'individus appartenant à des catégories de personnes particulièrement vulnérables », ce qui correspond en fait au libellé utilisé à des fins similaires dans l'article 52 de la Loi sur la concurrence.
En conclusion, les spécialistes canadiens du marketing et l'ACM reconnaissent d'emblée que la confiance du consommateur est primordiale et que la protection de la vie privée est un ingrédient important de cette confiance. En clair, nous savons que le respect des renseignements personnels est bon pour les affaires, qu'il s'agisse de commerce en ligne ou plus traditionnel.
Nous vous remercions de votre attention et nous sommes prêts à répondre à vos questions.
Le président : Merci beaucoup, monsieur Hill.
Le sénateur Mercer : Merci à tous de votre présence; je vous suis reconnaissant pour le temps que vous nous consacrez.
Madame Mitchelmore, comme bien d'autres avant vous, vous avez noté dans votre exposé la désignation du Commissariat à la protection de la vie privée comme instance chargée de déterminer si une atteinte à la vie privée crée un risque véritable que des torts importants soient causés à la personne concernée. Comment définissez-vous « risque véritable »?
Mme Mitchelmore : Merci pour cette intéressante question qui est au cœur de toute la problématique. L'ARIM est d'avis que l'on ne peut pas demander aux organisations elles-mêmes de déterminer ce qui constitue un tort considérable, car il y a trop de subjectivité attachée à cette évaluation. Il faut que cela soit clairement articulé et bien défini dans toutes les mesures législatives que nous allons prendre.
Il faut être réaliste. Les organisations ne possèdent pas l'expertise voulue et on ne peut tenir pour acquis qu'elles vont se conformer. C'est pourquoi nous estimons qu'il n'est pas dans le meilleur intérêt de la population canadienne que nous confions aux organisations elles-mêmes le soin de définir ce qui constitue un tort important, un bris de confiance ou un risque véritable de vol d'identité.
Le sénateur Mercer : Plus loin à la page 3 de votre mémoire, vous traitez au point 4 des échanges de renseignements entre organisations. J'ai moi-même des réserves à l'égard de cette portion du projet de loi, et j'ai noté que vous n'y étiez pas favorables vous non plus. Vous indiquez ne pas croire que la LPRPDE devrait être utilisée par des organisations opérant à l'extérieur des cadres gouvernementaux ou des forces de l'ordre pour faire fi des procédures prévues dans la loi.
Pourriez-vous nous donner un exemple de la façon dont cela pourrait se matérialiser?
Mme Mitchelmore : C'est une très bonne question. Merci.
En analysant cet aspect de l'échange de renseignements à l'extérieur des cadres gouvernementaux ou des forces de l'ordre, il nous est apparu qu'il existait des risques de manipulation. Bien que certaines institutions bancaires pourraient faire valoir que ces mesures contribueraient à réduire la fraude à l'endroit des aînés grâce à l'échange de renseignements sans mandat, notre association est d'avis qu'il pourrait être fortement problématique de permettre à des organisations d'échanger des renseignements aussi confidentiels compte tenu de la possibilité d'apparier électroniquement différentes informations pour en apprendre encore davantage au sujet des personnes concernées. Je ne sais pas si Annie souhaiterait ajouter quelque chose.
Mme Pettit : Certainement. La nature de notre travail fait en sorte que notre association est un peu moins à risque à ce chapitre. Une institution financière ou une organisation du secteur de la santé détient beaucoup plus de renseignements confidentiels. Pour notre part, nous avons bien des adresses courriel ou résidentielles, mais il est plus rare que nous possédions des données dont la communication pourrait être nuisible. C'est tout de même quelque chose qui peut arriver à l'occasion.
Nous sommes donc plutôt privilégiés à cet égard, mais nous demeurons persuadés que dans les cas où on l'est justifié de vouloir obtenir des renseignements de ce type, l'étape suivante devrait logiquement être l'obtention d'une ordonnance judiciaire à cette fin.
Le sénateur Mercer : Merci beaucoup. Monsieur Hill, vous avez parlé de la durée de conservation des registres sur les atteintes à la vie privée. Vous avez recommandé une période de deux ans. J'estime pour ma part que toutes les atteintes devraient être signalées au commissaire qui pourrait alors déterminer pendant combien de temps il conservera les dossiers.
Je crains qu'une période de conservation de seulement deux ans ne permette pas de dégager des tendances quant aux atteintes à la vie privée. Bien que les choses puissent se dérouler plutôt rapidement à notre époque, il faut parfois un certain temps pour qu'une tendance puisse se manifester et je pense que l'on aurait tort de ne pas conserver les dossiers pendant plus de deux ans.
Seriez-vous d'accord pour que toutes les atteintes à la protection de la vie privée soient signalées au commissaire et qu'on lui laisse le soin de déterminer la durée de rétention des données?
M. Hill : Je ne pense pas pouvoir souscrire à cette façon de procéder. Je vous rappelle à ce titre les réserves soulevées par le commissariat lui-même qui craignait d'être inondé de cas d'atteintes mineures qui ne sont pas préoccupantes, alors qu'il souhaite être en mesure de s'occuper des cas plus graves qui posent un risque pour les consommateurs. J'aurais donc peur moi également que le commissariat se retrouve englouti sous les signalements.
Le sénateur Mercer : J'estime qu'une atteinte mineure à la sécurité, si elle est non contrôlée ou non gérée, peut ouvrir la voie à des atteintes subséquentes et plus graves. Je vais m'arrêter ici. Merci beaucoup.
Le sénateur Plett : Ce qui me préoccupe le plus, c'est que je commence à penser de plus en plus comme le sénateur Mercer, car il pose mes questions avant moi, et cela me préoccupe vraiment, monsieur le président.
Ma question est également liée au risque grave, et j'allais poser exactement la même question, c'est-à-dire comment détermine-t-on un risque grave? Vous avez répondu à cette question, mais j'aimerais poursuivre dans cette voie.
Le paragraphe 10.1(1) est ainsi libellé :
L'organisation déclare au commissaire toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s'il est raisonnable de croire, dans les circonstances, que l'atteinte présente un risque réel de préjudice grave à l'endroit d'un individu.
Vous parlez ensuite du paragraphe 10.1(8), ainsi libellé :
Les éléments servant à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l'endroit de l'intéressé sont notamment le degré de sensibilité de renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soit en train ou sur le point de l'être et tout autre élément prévu par règlement.
Plus loin, on indique que des amendes pouvant atteindre 100 000 $ seront imposées pour chaque omission de signaler.
Vous suggérez que le commissaire à la protection de la vie privée devrait être la seule personne responsable. À mon avis, cela déresponsabilise les entreprises, car maintenant, le commissaire déterminera que leurs dirigeants ne sont plus du tout responsables. Je crois qu'ils adoptent un comportement plus responsable si on les oblige à signaler toute atteinte à la sécurité, car s'ils ne le font pas et qu'ils sont déclarés coupables, ils devront payer une amende de 100 000 $ par infraction. Pourtant, dans votre exposé, vous parlez d'une protection supplémentaire et selon vous, confier l'entière responsabilité au commissaire à la protection de la vie privée représente une meilleure protection.
Veuillez approfondir votre raisonnement, car je crois que vous accomplirez le contraire si cet amendement est adopté.
Mme Mitchelmore : Ce sont de très bons commentaires et je vous remercie d'avoir posé la question. Il faut, entre autres, tenir compte de l'ampleur et de la portée. Si je dirige une grosse entreprise, une amende de 100 000 $ représente un risque moins élevé que le risque de nuire à ma réputation par la divulgation.
Si l'on se questionne sur l'effet dissuasif entraîné par l'amende de 100 000 $, on peut aussi se demander dans quelle mesure l'obligation de divulguer et d'envoyer des avis à tous les clients provoque un effet dissuasif. Dans le cas des grandes entreprises avec des contrats de plusieurs millions de dollars, nous avons constaté qu'une amende de 100 000 $ ne ternira pas autant leur réputation.
Il y a un autre élément à considérer, et nous le voyons chaque jour au sein de l'ARIM, car nous avons des normes et un code de déontologie qui régissent l'ensemble de nos membres partout au pays. Nous devons assumer la responsabilité de déterminer s'il y a une atteinte à la sécurité et déterminer les sanctions appropriées. Nous le faisons pour que chaque plainte obtienne une audience juste et qu'elle soit fondée sur des faits examinés par nous et par nos comités pour veiller à ce que nous soyons à jour en ce qui concerne toutes les normes, les codes, les codes de déontologie et les sanctions qui sont touchés, afin de prendre une décision impartiale et fondée sur les faits.
À notre avis, ce n'est pas impartial pour nos entreprises et l'affirmation que les organismes agiront de bonne foi parce que c'est le milieu des affaires... même si nous adorerions croire cette affirmation, lorsque nous voyons chaque jour dans les médias et dans les nouvelles que ce n'est pas le cas, nous ne pouvons pas l'appuyer.
Le sénateur Plett : Ce sont des arguments valables et je les comprends. Puisque l'on parle des grandes entreprises, je présume que vous mettez Google dans cette catégorie. Il y a de bonnes chances que Google n'ait pas eu affaire à une seule atteinte à la sécurité, mais à un millier. Mille fois 100 000 $ n'est pas un montant négligeable, même pour Google. Je conviens que si l'entreprise divulgue une seule atteinte à la sécurité, une amende de 100 000 $ ne représente pas un problème, mais ce ne serait probablement pas le cas de Google. Ce serait peut-être le cas d'une entreprise plus petite, mais dans ce cas, une amende de 100 000 $ représenterait une grosse somme.
Je ne suis pas un témoin et ce n'est pas mon rôle de m'engager dans un débat avec vous, mais encore une fois, j'aimerais que vous soyez clair. Si le commissaire de la protection de la vie privée découvre que Google a eu 1 000 atteintes à la sécurité, et que les représentants de l'entreprise répondent qu'ils sont désolés et qu'ils vont tenter de corriger la situation, si on les tient responsables, ils devront payer 1 000 fois 100 000 $ d'amende, et je crois qu'ils signaleront donc ces atteintes plus rapidement.
Si vous avez d'autres commentaires, allez-y.
Mme Pettit : J'aimerais faire un commentaire. C'est en grande partie ce qui nous préoccupe au sujet de la subjectivité. Il est très facile de dire : « Je ne pensais pas que c'était grave, mais maintenant que je suis exposé et que vous me dites que c'est grave, je m'excuse. » C'est beaucoup plus facile d'éviter de signaler les atteintes à la sécurité, car on ne pense pas que c'est grave. Si on élimine l'aspect subjectif et qu'on retire la responsabilité de l'entreprise pour la confier au Commissariat à la protection de la vie privée du Canada, ce qui est embarrassant et ce qui présente un risque potentiel n'est plus soumis à la subjectivité. La limite peut se situer n'importe où, selon qui vous êtes et quelle entreprise ou personne vous représentez. À notre avis, il n'est pas approprié de confier cette responsabilité à l'entreprise. L'entreprise devrait s'occuper du signalement et le Commissariat à la protection de la vie privée du Canada peut déterminer s'il s'agit d'un préjudice grave ou non.
Le sénateur Plett : Le degré de gravité dépendrait de la personne qui juge, et j'en conclus donc respectueusement que nous ne sommes pas d'accord.
Mme Pettit : Absolument.
M. Hill : Nous pourrions voir les choses autrement et faire valoir que la plupart des entreprises de notre pays mènent leurs activités de façon responsable. Qu'il s'agisse de Google ou d'une autre grande entreprise, leurs dirigeants ont beaucoup à perdre s'ils ne respectent pas la politique en matière de protection de la vie privée et les lois en vigueur. La réputation d'une entreprise sera souvent beaucoup plus entachée si elle est accusée d'avoir commis une infraction.
À mon avis, rendre les entreprises du secteur privé responsables d'évaluer le risque pour leurs clients — après tout, ce sont leurs clients, ce sont leurs affaires — correspond parfaitement à l'esprit de la LPRPDE et à la façon dont elle a été appliquée jusqu'ici. Même si la question concerne la façon dont nous évaluons le risque de préjudice, je crois que la sensibilité est l'un des problèmes.
Les autres facteurs réglementaires sont mentionnés dans le projet de loi. Je soupçonne que le commissaire de la protection de la vie privée et d'autres seront consultés pour déterminer lesquels de ces facteurs devraient devenir des règlements. Toutefois, au bout du compte, ils serviront de lignes directrices aux entreprises et aux organismes qui sont responsables des renseignements personnels de leurs clients. Je crois que le projet de loi est correct en ce sens.
Le sénateur Plett : Merci. Je suis d'accord.
David Elder, conseiller juridique spécial, Protection des renseignements personnels numériques et avocat à Stikeman Elliott s.r.l., Association canadienne du marketing : Je crois que je vois les choses d'une façon un peu différente. Je ne crois pas que cette disposition énonce qu'une entreprise devrait déterminer, à sa seule discrétion, les circonstances dans lesquelles il est raisonnable de conclure qu'il y a un risque réel de préjudice grave.
C'est une norme législative, et à mon avis, les dirigeants d'une entreprise aux premières lignes dans cette situation prendront cette décision, mais ils la prendront en sachant que c'est assujetti à une norme législative qui sera examinée au bout du compte par le commissaire de la protection de la vie privée dans le cadre d'une plainte pour vérifier si c'est raisonnable dans les circonstances. Enfin, un tribunal examinerait la question et demanderait si c'était raisonnable dans les circonstances. Je crois que cela sera fait.
Honnêtement, je ne sais pas comment on pourrait fonctionner autrement, à moins que toutes les atteintes à la sécurité soient signalées au commissaire de la protection de la vie privée qui décide ensuite s'il y a un risque réel de préjudice grave. Je crois qu'il y a certaines protections prévues dans cet environnement et qu'une certaine surveillance est exercée par le commissaire de la protection de la vie privée et, encore une fois, par les tribunaux au bout du compte.
Le sénateur Plett : Vous êtes battu par deux votes contre un.
Le président : Nous ne mènerons pas de sondage sur la question.
La sénatrice Merchant : J'ai une observation supplémentaire au sujet des commentaires de M. Hill sur la cueillette de ces données pendant une période indéterminée.
Les renseignements recueillis aujourd'hui, sur une personne âgée de 20 ans ne sont peut-être pas très importants, mais ils pourraient l'être dans 15 ou 20 ans, car la position des gens change et ils vieillissent. Dans 20 ans, ces renseignements pourraient être très embarrassants ou ces personnes pourraient ne pas vouloir que ces renseignements soient diffusés, entreposés et recueillis pour une période indéterminée, car les normes changent également. Nous savons qu'à l'époque de Shakespeare, notamment dans sa pièce Le marchand de Venise, on désapprouvait les prêts en argent et la pratique consistant à exiger des intérêts; c'était usuraire à l'époque, mais aujourd'hui, les banques font la même chose. Les normes ont changé. Conserver quelque chose pour une durée indéterminée semble inquiétant et déraisonnable.
M. Hill : Nous partageons certainement cette inquiétude.
La sénatrice Merchant : Je ne sais pas comment vous avez déterminé la période de deux ans.
M. Hill : Je vais laisser David vous parler des deux ans. Nous avons eu quelques discussions au sujet de la période de temps qui devrait être proposée. Je vais laisser David approfondir cette question, mais elle est ouverte à la discussion. Une période indéterminée n'est pas une bonne solution et je pense, comme vous l'avez souligné, que la conservation des renseignements personnels présente toujours un risque. En effet, on atteint un point où les avantages potentiels sont considérablement réduits et le risque posé l'emporte sur les avantages de la conservation de ces renseignements.
Me Elder : L'un des principes fondamentaux de la loi en vigueur — et auquel on ne toucherait pas —, c'est la conservation des documents. En effet, on conserve les documents seulement aussi longtemps qu'il est raisonnablement nécessaire de le faire et ensuite, on les détruit ou on les supprime d'une façon ou d'une autre. Il s'agit simplement d'une pratique exemplaire. À mon avis, elle ne s'applique pas seulement aux renseignements personnels, mais à tous les types de documents. Je crois que les dirigeants des entreprises responsables ont mis en œuvre ce type de politiques en matière de gestion et de conservation des documents dans le cadre desquelles ils ont réfléchi à tous les types de documents et à toutes les données qu'ils possèdent. Ils examinent diverses obligations prévues par la loi, et ils examinent leurs obligations opérationnelles raisonnables et ils établissent un calendrier de conservation. Je crois que c'est ce que nous disons. Nous pouvons nous quereller au sujet des chiffres.
Deux ans représentent la période de restriction habituelle dans les affaires civiles. Si des poursuites ne sont pas intentées après deux ans, dans la plupart des cas, le dossier est clos, et c'est la raison pour laquelle nous avons choisi cette période. C'est également le fondement du calendrier de conservation d'un grand nombre d'entreprises.
Nous pouvons nous quereller sur les chiffres, mais le problème, à notre avis, c'est qu'une période indéterminée ne constitue pas une pratique exemplaire. Sans compter qu'il peut également être très dispendieux de conserver ces renseignements aussi longtemps.
La sénatrice Merchant : Je voulais m'aligner sur la position de ces deux messieurs.
Le président : S'il n'y a pas d'autres questions, nous allons remercier les témoins. Nous vous remercions de vos exposés.
Notre dernier groupe de témoins est formé de Michael Geist, professeur de droit, Université d'Ottawa, et de Michael Crystal, avocat, Crystal et associés. J'invite Me Geist à livrer son exposé et nous entendrons ensuite celui de Me Crystal. Les sénateurs poseront ensuite leurs questions.
Michael Geist, professeur de droit, Université d'Ottawa, à titre personnel : J'aimerais vous remercier de m'avoir invité. Comme vous l'avez entendu, je m'appelle Michael Geist. Je suis professeur de droit à l'Université d'Ottawa, où je suis titulaire de la Chaire de recherche du Canada en droit d'Internet et du commerce électronique. Je comparais aujourd'hui, à titre personnel et je présente seulement mon opinion.
J'aimerais livrer mon exposé en me concentrant sur trois éléments du projet de loi S-4 qui, à mon avis, sont positifs, et sur trois domaines qui ont besoin d'amélioration. Enfin, j'aimerais signaler une omission flagrante.
Tout d'abord, parlons des éléments positifs. Le projet de loi S-4 fournit des éclaircissements supplémentaires sur la norme en matière de consentement. Étant donné qu'un consentement éclairé constitue le fondement de la loi, je crois que la clarification est nécessaire, surtout pour les mineurs. Le consentement est inutile si la personne ne comprend pas ce à quoi elle consent. En clarifiant la norme en matière de consentement, les entreprises auront une plus grande certitude et l'obligation précise de veiller à ce que les Canadiens soient mieux informés au sujet de la cueillette, de l'utilisation et de la divulgation de leurs renseignements personnels.
Deuxièmement, je pense que l'expansion de la divulgation publique de renseignements par le commissaire de la protection de la vie privée est également un élément positif. Il y a longtemps que je soutiens que le commissariat a une interprétation inutilement conservatrice de la disposition actuelle qui permet de nommer les entreprises faisant l'objet de plaintes bien fondées. L'élargissement de la portée de la disposition encourage le commissaire à ne pas hésiter à divulguer publiquement des renseignements si c'est dans l'intérêt de la population.
Troisièmement, la prolongation du délai pour déposer une plainte devant la Cour fédérale est également nécessaire, étant donné que le système actuel représente un obstacle inutile à un examen potentiel de la Cour fédérale.
Permettez-moi de parler des trois domaines qui, à mon avis, doivent être améliorés. Le premier concerne les exigences en matière de divulgation des atteintes à la sécurité, et je sais qu'elles ont déjà fait l'objet de nombreuses discussions. Ces exigences en matière de divulgation auraient dû être imposées il y a longtemps, car à mon avis, elles incitent les entreprises à mieux protéger leurs renseignements et elles permettent aux Canadiens d'agir pour éviter des risques tel le vol d'identité. Certains éléments de ce projet de loi améliorent les projets de loi précédents, notamment les projets de loi C-12 et C-29, en grande partie par l'introduction de sanctions concrètes qui sont essentielles pour encourager la conformation. Toutefois, il y a des problèmes liés à la norme de divulgation; certains d'entre eux ont été hérités des projets de loi précédents et d'autres ont été créés dans le projet de loi actuel.
Comme vous l'avez entendu, dans le projet de loi précédent, la norme de signalement aux personnes concernées est liée à « un risque réel de préjudice grave à l'endroit d'un individu. » Je crois que ce seuil devrait être plus bas, afin d'inclure plus d'atteintes à la sécurité. En comparaison, la loi sur le signalement des atteintes à la sécurité de la Californie exige la divulgation de toute atteinte à la sécurité liée aux renseignements personnels non cryptés lorsqu'on a des motifs raisonnables de croire qu'ils ont été acquis par une personne non autorisée. Autrement dit, le seuil est établi en fonction de l'acquisition des renseignements par une personne non autorisée, et non en fonction d'un risque réel de préjudice grave.
En Europe, les atteintes à la sécurité dans le domaine des télécommunications doivent être signalées en fonction des effets indésirables sur les données ou sur les renseignements personnels, une norme qui est, à mon avis, supérieure à celles contenues dans le projet de loi S-4.
Ce qu'il y a de nouveau dans le projet de loi, c'est qu'on a éliminé un processus à deux volets qui exigeait tout d'abord d'informer le commissaire à la protection de la vie privée et ensuite la personne concernée lorsque les circonstances le justifient. Je crois que le projet de loi contient la même norme, c'est-à-dire la norme liée à « un risque réel de préjudice grave », lorsqu'il s'agit d'aviser le commissaire et les personnes concernées. Je crois que cela signifie qu'on ne signalera pas les problèmes de sécurité systémiques au sein d'une entreprise ou les vulnérabilités techniques courantes qui pourraient avoir été repérées. Je le répète, ces types d'atteinte à la sécurité ne seraient pas divulgués à qui que ce soit. Le projet de loi exige manifestement que les entreprises conservent un enregistrement de toutes les atteintes à la sécurité, mais il exige leur divulgation seulement si le commissaire en fait la demande.
Pourquoi est-ce un problème? Je crois que cela diminuerait grandement le nombre de signalements d'atteinte à la sécurité, étant donné que les entreprises se contenteront immanquablement de ne pas signaler les cas limites. Il s'ensuit que le commissaire ne sera pas au courant de la situation, puisqu'il n'y a aucune exigence de signalement au commissariat.
Je sais que des personnes ont laissé entendre que toutes les atteintes à la sécurité devraient être signalées au commissaire. Je sais également que les commissaires jugent que les signalements deviendraient trop nombreux dans ce cas.
Dans certains États, il faut déclarer toutes les infractions. Par exemple, un règlement de l'Union européenne adopté l'an dernier dicte que toutes les atteintes aux données personnelles commises par les sociétés de télécommunications doivent être déclarées à l'autorité.
Je crois toutefois que les projets de loi précédents du gouvernement, le C-12 et le C-29, présentaient une meilleure stratégie en deux volets, qui ne nous permettraient pas de repérer toutes les infractions, mais d'en repérer plus. Un premier avis serait envoyé au commissaire à la protection de la vie privée dès qu'est constatée une « atteinte importante aux mesures de sécurité ». La dernière partie est importante : l'avis serait donné en cas d'atteinte importante aux mesures de sécurité. Pour que l'atteinte soit jugée importante, il faudrait déterminer le degré de sensibilité de l'information, le nombre de personnes touchées et s'il s'agit d'un problème systémique. Il ne serait pas nécessaire qu'il y ait un risque de préjudice grave. C'est ce qui était écrit dans les projets de loi des conservateurs eux-mêmes, dans le C-12 et le C-29. Je trouvais cette stratégie en deux volets bien meilleure que celle-ci parce qu'elle prévoyait l'envoi d'avis préalables au commissaire pour un éventail plus large d'infractions, dont les problèmes systémiques, qui sont exclus de la portée du projet de loi S-4.
Je recommande donc deux modifications à ces dispositions. Premièrement, je recommande d'adopter une norme de type californien pour la notification aux personnes. Deuxièmement, je recommande d'adopter la solution que le gouvernement lui-même proposait dans les projets de loi C-12 et C-29, qui consiste à aviser d'abord le commissaire dans certaines circonstances.
Par ailleurs, il conviendrait de revoir tout ce qui libéralise la divulgation sans mandat, et je sais que je ne suis pas le premier à vous en parler. Au moment même où beaucoup de Canadiens s'inquiètent des communications volontaires sans mandat, le projet de loi élargit la possibilité de communiquer des renseignements à quiconque sans mandat et non seulement aux organismes d'application de la loi. Il contient en effet une disposition permettant aux organisations de communiquer volontairement à d'autres organisations des renseignements personnels sans que la personne touchée n'en soit informée et sans ordonnance de la cour, lorsque cette organisation enquête sur la violation d'un accord, une atteinte juridique ou la possibilité d'une infraction future.
Cette vaste exception permettra aux entreprises de communiquer des renseignements personnels à d'autres entreprises ou organisations sans l'autorisation d'un tribunal. Cela va à l'encontre de décisions récentes de la Cour fédérale, qui visait à établir des limites claires et à assurer une surveillance de ces communications. De plus, la communication elle-même étant gardée secrète, la personne touchée risque fort peu de s'en plaindre puisqu'elle n'est pas mise au courant que ses renseignements personnels ont été communiqués.
Un comité de la Chambre des communes avait recommandé une réforme semblable, quoique de portée un peu plus étroite, en 2006. Je dois souligner que sa recommandation avait alors été rejetée à la fois par la commissaire à la protection de la vie privée du Canada et les députés conservateurs membres du comité. La réforme ici est claire. Étant donné que cette disposition ouvre la porte à une prolifération massive des communications volontaires sans mandat et sans notification, il conviendrait de la retirer de ce projet de loi.
Ensuite, compte tenu du manque flagrant de pouvoirs dont dispose le commissaire à la vie privée du Canada, je crois que la création des accords de conformité est un pas dans la bonne direction. Il faut toutefois prévoir également un pouvoir d'ordonnance ou à tout le moins une quelconque forme de mesure réglementaire directe qui comprendrait des peines administratives et financières. Beaucoup de Canadiens sont excessivement frustrés de ne pas avoir accès à des recours solidement fondés à moins de s'adresser à la Cour fédérale, dans une procédure difficile et inaccessible. Beaucoup de Canadiens s'en sont plaints à moi.
La création d'ordonnances de conformité serait fondée si elles s'accompagnaient des pouvoirs nécessaires pour imposer des peines ou prendre des mesures réglementaires, comme c'est le cas aux États-Unis, où les ordonnances de conformité sont courantes. Toutefois, sans cette menace, il est difficile d'imaginer pourquoi une organisation accepterait de signer un accord de conformité. On cherche à éviter l'intervention de la Cour fédérale quand on a peur d'y perdre quelque chose. Ce n'est généralement pas le cas sous le régime de la LPRPDE. Il faut réformer le système pour que le régime de conformité s'accompagne de peines tangibles.
Enfin, j'aimerais conclure en soulignant une omission flagrante. On revient au manque de transparence des communications et d'exigences de déclarations associées à la communication sans mandat. Les révélations renversantes selon lesquelles il y aurait eu plus d'un million de demandes et les renseignements sur les comptes de 750 000 utilisateurs auraient été communiqués, la majorité du temps sans surveillance de la cour ni mandat, témoignent d'une faiblesse extrêmement troublante des lois canadiennes en matière de protection de la vie privée. La plupart des Canadiens ne sont pas conscients de l'existence de ces communications, et je pense qu'ils sont nombreux à être choqués d'apprendre à quel point elles sont fréquentes. Les projets de loi à l'étude au Parlement, celui-ci et le projet de loi C-13, proposent tout de même de les permettre encore davantage, et le C-13 va même jusqu'à accorder l'immunité aux organisations qui communiquent volontairement des renseignements. À mon avis, la communication de renseignements personnels fait de nous tous des victimes, puisque nous n'en sommes souvent pas informés ni n'avons le loisir d'y consentir explicitement.
Je recommanderais donc deux réformes pour corriger le problème. Premièrement, la loi devrait obliger les organisations à déclarer publiquement le nombre de communications aux organismes d'application de la loi effectuées sans mandat, consentement ni notification pour nous donner une idée la fréquence et de l'ampleur du recours à cette exception extraordinaire. Je crois que l'information devrait être divulguée en bloc, donc de manière générale tous les 90 jours ou trimestriellement.
Deuxièmement, les organisations devraient être tenues d'en aviser les personnes touchées dans un délai raisonnable, de 60 jours environ, à moins que cela ne nuise à une enquête en cours.
L'adoption de ces deux réformes, qui iraient dans le même sens que les recommandations de M. Therrien, que vous avez entendu hier et qui a mis beaucoup l'accent sur la transparence, serait un pas en avant important pour assurer une plus grande transparence aux Canadiens et les informer sur l'utilisation et la communication de leurs renseignements personnels.
Je suis prêt à répondre à vos questions.
Michael Crystal, avocat, Crystal et associés, à titre personnel : Je vous remercie, monsieur le président et mesdames et messieurs les honorables sénateurs, de me permettre de m'exprimer devant vous ce soir sur le projet de loi S-4, Loi sur la protection des renseignements personnels numériques.
En tant qu'avocat ayant consacré l'essentiel des 20 et quelques dernières années à plaider des causes sur la base de la Charte à titre d'avocat criminaliste et spécialiste de la protection de la vie privée et ayant récemment intenté un recours collectif sur l'accès non autorisé et intentionnel aux dossiers d'hôpitaux de l'Ontario par des employés qui ont ensuite été congédiés pour ce motif, je suis gravement troublé par plusieurs dispositions de ce projet de loi, que je vais énumérer sous peu.
Bien honnêtement, je crains surtout que les modifications proposées aient pour effet de transformer la principale loi de protection de la vie privée en loi qui autorise plutôt et même favorise les atteintes à la vie privée des Canadiens et va même dans certains cas jusqu'à accorder une immunité.
Honorables sénateurs, il suffit de jeter un coup d'œil à l'édition d'aujourd'hui, du Toronto Star. Sur la page couverture, on y voit un article sur 8 300 nouvelles mères ayant d'accouché à l'hôpital Rouge Valley de Scarborough, en Ontario. Des employés de l'hôpital auraient vendu les renseignements personnels de ces mères venant d'accoucher. Tout cela pour de la publicité.
C'est mon lot quotidien dans ma pratique. Le téléphone sonne. Je décroche. Un patient, dont le seul crime a été d'être patient dans un hôpital, vient de se rendre compte que son dossier a été intentionnellement subtilisé et que quelqu'un a eu accès aux renseignements le concernant.
Mais parlons un peu des articles précis du projet de loi qui me posent problème. Il n'y en a vraiment que trois en particulier, mais le principal est l'alinéa 7(10)d.1). Cet alinéa permet non seulement aux organisations d'application de la loi, mais à d'autres organisations aussi, dans certaines circonstances, d'avoir accès à des renseignements personnels. Au moment même où je prononce ces mots, j'ai les manchettes de ce matin qui me reviennent en tête et qui vont probablement me causer de gros maux de tête.
Cette disposition ne se limite pas à perpétuer cette pratique inadmissible et potentiellement inconstitutionnelle, à mon avis, selon laquelle des organismes d'application de la loi peuvent avoir accès sans mandat aux renseignements personnels que possèdent des organisations. Pire encore, la modification proposée permettrait maintenant à d'autres types d'organisations, y compris des entreprises privées, d'avoir accès, sans aucune forme d'autorisation judiciaire que ce soit, aux renseignements personnels des Canadiens que possèdent d'autres organisations.
Honorables sénateurs, dans la biographie de l'ancien juge en chef Dickson, on peut lire l'histoire du tout premier litige fondé sur la Charte : l'affaire Hunter c. Southam. Dans ce contexte, Lawson Hunter, chef d'une organisation administrative, avait non seulement des pouvoirs d'enquête, mais des pouvoirs quasi judiciaires, en ce sens qu'il pouvait ordonner une fouille sans aucune forme de mandat.
Selon le récit raconté dans A Judge's Journey, par le juge en chef Dickson, la contestation présentée dans ce cas se fondait sur l'article 8 de la Charte, sur les fouilles, les perquisitions et les saisies illégales. C'était le tout premier litige fondé sur la Charte et il remonte à 1983. Les juges avaient alors écouté l'histoire et pris connaissance de la preuve. Évidemment, ils ont étudié le contexte en profondeur. L'affaire leur a été soumise par voie d'injonction, et les neuf juges ont conclu unanimement que ces preuves devaient être exclues. La question posée allait être la question fondamentale.
Pour la petite histoire, et je ne veux pas vous prendre trop de temps, le juge en chef Laskin avait été sollicité, puisqu'il siégeait encore au tribunal, mais il était trop malade pour participer à la procédure et il est malheureusement décédé avant que la décision ne soit rendue, si bien que c'est le juge Dickson qui a fait office de juge en chef à l'époque à toutes fins et intentions.
Il s'est référé au Bill of Rights américain pour déterminer la voie à suivre, mais le Bill of Rights énonçait exactement dans quels contextes il fallait obtenir un mandat. Il s'en est donc remis à la common law britannique et s'est rendu compte que l'article 8 devrait prévoir que ces fouilles doivent être ordonnées par un tiers indépendant et impartial. Ces fouilles devaient donc avoir une justification objective, d'autant plus que le Canada est un pays où les lois sur les fouilles, les perquisitions et les saisies se fondent sur le concept de l'autorisation préalable et non sur celui d'une validation ex post facto.
C'est pourtant l'effet de l'alinéa 7(10)d.1), qui vise à étendre aux organisations le droit d'accès à ces renseignements si l'on soupçonne un bris de contrat. Je serais porté à vous dire que c'est contraire à notre éthique constitutionnelle fondamentale.
Je vais maintenant passer brièvement à la décision Telus, la décision la plus récente sur les recherches électroniques. Celle-ci portait sur les messages textes. Je tiens à vous en lire un extrait, puisque le tribunal a statué que les messages textes devaient faire l'objet d'un mandat plus strict qu'un mandat général. Ils devraient faire l'objet du même genre d'autorisation que l'écoute électronique. La cour a conclu que l'interception en cause était inconstitutionnelle parce que les différences techniques intrinsèques des nouvelles technologies ne devraient pas déterminer l'étendue de la protection accordée aux communications privées.
Honorables sénateurs, c'est le monde à l'envers. On parle ici d'une loi qui protège la vie privée des gens. Elle ne serait pas censée permettre aux institutions de recueillir et de prendre des renseignements personnels sans aucune forme d'autorisation préalable.
Passons maintenant brièvement aux deux autres dispositions proposées qui me dérangent. Il y a l'article 10.1, qui porte sur la déclaration, tant au commissaire à la protection de la vie privée qu'à l'individu en cas d'atteinte à la sécurité.
Pour avoir déjà représenté des personnes dans un recours collectif, dans un contexte où des renseignements médicaux sensibles avaient été utilisés par des employés d'hôpital sans autorisation, qui ont ensuite été congédiés pour ce comportement, je peux vous dire que les victimes de telles atteintes à la vie privée sont souvent anéanties et se demandent pourquoi elles, quels renseignements ont été communiqués et quel était le but.
Les citoyens canadiens ont le droit, en vertu de notre loi sur la protection de la vie privée, de pouvoir faire confiance aux détenteurs de leurs renseignements personnels. Si et quand ces détenteurs ne protègent pas leurs renseignements, les victimes d'atteinte à la protection des données doivent avoir le droit d'en être avisées à l'avance. Je vous dirai simplement qu'on devrait appliquer la tolérance zéro à l'égard de ces déclarations, et je ne répéterai pas ici les arguments présentés par mon collègue, Me Geist.
J'en arrive à mon dernier objet de préoccupation, le paragraphe 10.1(6). La disposition proposée dicte que l'avis est donné le plus tôt possible, mais je ne suis pas certain de comprendre ce que cela signifie. Cela me rappelle l'affaire Brown, dans la jurisprudence américaine, sur l'expression anglaise « with all deliberate speed », qui dicte que l'avis peut être reporté s'il y a une enquête criminelle en cours sur cette atteinte. Je suis d'avis que cette disposition devrait être supprimée parce qu'il n'est pas justifiable d'exposer des individus aux conséquences d'une atteinte à la vie privée dont ils n'ont pas été informés, que ces conséquences prennent la forme d'une activité criminelle ou de tout autre type de préjudice, pendant que la police mène enquête.
Dans la jurisprudence, il y a une décision rendue par le juge Moldaver, qui siégeait alors à la Cour divisionnaire de l'Ontario. L'affaire Doe c. the Toronto Police Commissioner portait sur un cas de violeur en série. La police avait médiatisé l'affaire. Elle savait où le violeur frappait, mais ne l'avait pourtant dit à personne parce qu'elle craignait de ne pas réussir à l'attraper si elle le disait. En gros, d'autres agressions ont été commises. Ces femmes ont alors poursuivi la police et obtenu gain de cause.
Cette idée ne fonctionne pas. Cette façon de penser a déjà prévalu, et le résultat, c'est que les gens se font vider leurs comptes en banque, se font voler leur identité et se retrouvent sans possibilité d'obtenir compensation. Encore une fois, il faut penser à la personne et à l'intention de la loi.
Il ne faut jamais perdre de vue le fait qu'une loi sur la protection de la vie privée a pour but de protéger les droits de la personne à sa vie privée, de protéger ses renseignements les plus personnels et précieux; elle n'est pas là pour violer ces droits ni pour accorder l'immunité aux entités dont l'opportunisme outrepasse le respect des protections à la vie privée de la personne. Merci.
Le président : Comme vous êtes le dernier témoin, le président a été un peu généreux avec vous.
M. Crystal : Merci. Je l'apprécie.
Le sénateur Mercer : Nous apprécions l'enthousiasme et la passion. Je vous remercie, messieurs, d'être ici. J'ai posé la même question à la plupart de nos témoins jusqu'à maintenant. Elle porte sur la déclaration des atteintes aux protections de l'information. Tout le monde a l'obligation de consigner les infractions, mais elles ne sont déclarées au commissaire à la protection de la vie privée que sur demande. J'adhère à la théorie selon laquelle quelqu'un devrait tenir une base de données sur tout cela. Croyez-vous que toutes les infractions doivent être déclarées au commissaire à la protection de la vie privée, compte tenu qu'il va recevoir un volume assez important de déclarations au départ, mais que ce volume va probablement s'atténuer un peu avec le temps?
M. Geist : Je dois admettre que je ne suis pas certain qu'il va s'atténuer. Je pense que nous constatons surtout qu'il y a de plus en plus de collectes de données personnelles et que ce genre d'atteintes à la vie privée semble de plus en plus fréquent.
Comme je l'ai mentionné dans mon exposé, je pense qu'il y a un juste milieu possible. La stratégie sur laquelle se fonde ce projet de loi, qui consiste essentiellement en des déclarations volontaires, à moins que le commissaire ne demande de l'information, ne peut pas fonctionner, bien honnêtement. On ne peut pas demander au commissaire de scruter chaque organisation afin de repérer les atteintes à la vie privée qui relèvent de son contrôle. En même temps, je suis sensible au fait que la déclaration systématique de la moindre atteinte anodine ne constituerait probablement pas la meilleure utilisation du temps pour l'organisation en cause et le commissaire. C'est la raison pour laquelle je répète que le mécanisme en deux volets que le gouvernement envisageait dans les projets de loi précédents me semble tout à fait indiqué. Je ne comprends pas pourquoi il a fait volte-face. Il propose maintenant un seuil inférieur. Un plus large éventail d'atteintes à la vie privée devra être divulgué au commissaire, la norme étant les atteintes importantes aux mesures de sécurité, ce qui comprend un plus grand nombre d'atteintes, pas toutes mais plus, après quoi on passe à l'étape suivante. On peut débattre de la norme qui serait appropriée, mais il faudrait que les personnes touchées soient avisées.
Le sénateur Mercer : Maître Geist, estimez-vous légitime que des citoyens ne soient pas mis au courant du fait que des données les concernant ont été transmises ou ont été partagées entre deux entreprises sans qu'ils n'y consentent en vertu de cette nouvelle loi?
M. Geist : Comme je l'ai déjà dit, c'est à mon avis l'un des éléments les plus problématiques du projet de loi. Bien franchement, cela va directement à l'encontre des décisions des tribunaux et des limites qu'ils ont essayé de créer à cet égard. Compte tenu de tout ce que nous avons pu observer dans le contexte d'autres projets de loi, comme le C-13, sur lequel j'ai comparu devant le Comité de la justice la semaine dernière, je crois que nous nous en allons vers un monde où le nombre de divulgations sera bien supérieur aux statistiques actuelles et où il y aura énormément de communications sans mandat, ce qui me semble extrêmement problématique.
Permettez-moi de souligner que ce n'est pas qu'une préoccupation théorique de professeur d'université. Il me semble très probable que des renseignements soient communiqués dans des contextes contre lesquels les tribunaux ont essayé de nous prémunir. Par exemple, il y a eu une poursuite récemment, au Canada, dans laquelle une société souhaitait connaître l'identité de 2 000 abonnés d'un fournisseur de services Internet. Les tribunaux ont été saisis de l'affaire, et les juges se sont dits inquiets que cette poursuite ne génère des abus du système judiciaire, de sorte qu'ils ont imposé des limites strictes à l'utilisation de ces renseignements si le fournisseur de services Internet les communiquait à l'entreprise, puis ont prévu un mécanisme de surveillance des communications en provenance de la partie qui avait ultimement l'intention de communiquer avec tous ces abonnés, pour qu'il n'y ait pas d'abus non plus du système judiciaire. Sous le régime de cette disposition, cette même entreprise pourrait aller voir le fournisseur de services Internet et dire : « J'aimerais avoir des renseignements sur ces 2 000 ou 5 000 abonnés, ou sur tant d'abonnés », et le fournisseur de services Internet aurait le droit de les lui communiquer tout simplement sans aucune surveillance ni limite imposée par un tribunal. Cela va totalement à l'encontre des décisions rendues par la Cour fédérale et pourrait se répercuter sur des centaines de milliers de Canadiens.
Le sénateur Mercer : Si j'ai bien compris, les entreprises de télécommunications auraient accédé à 1,2 million de demandes d'information sans exiger de mandat. Elles ont déclaré ensuite qu'il serait trop fastidieux d'aviser constamment les gens qu'elles ont volontairement remis leurs renseignements personnels, sans leur consentement. Qu'en pensez-vous?
M. Geist : S'il n'est pas trop fastidieux de remettre les renseignements personnels de tous ces abonnés, ce n'est sûrement pas trop fastidieux de les en aviser également. Une partie du problème, c'est que nous ne savons pas si toutes les demandes sont dépourvues de mandat. Il est raisonnable de croire que la grande majorité s'appuie sur des mandats, mais cela soulève un autre problème mis en lumière à la fin de mon exposé. Il y a un manque de transparence total quant aux approches que les entreprises de télécommunications et les autres organisations adoptent en matière de renseignements personnels. Si les gens étaient avisés comme il se doit, le nombre de demandes d'information pourrait diminuer. Les demandeurs y penseraient à deux fois en sachant que les clients seraient avisés. Les entreprises devraient aussi publier des rapports trimestriels sur les renseignements divulgués, comme le font les grandes entreprises de télécommunications aux États-Unis telles qu'AT&T et Verizon.
L'information que les compagnies de télécommunications ont fournie en réponse au 1,2 million de demandes présentées en 2011 porte sur 750 000 comptes d'utilisateurs et constitue des données regroupées. Ces entreprises ont refusé d'indiquer quel genre de renseignements elles ont divulgués. Elles ont déclaré qu'elles ne communiquaient que les données regroupées. Lorsque la question leur a été posée, les 11 entreprises ont toutes indiqué qu'elles n'avisaient pas les abonnés concernant les renseignements divulgués.
Le président : Je veux m'assurer que nous maintenons la cadence.
Le sénateur Mercer : Maître Crystal, pouvez-vous clarifier ce que vous avez dit à propos de la vente d'information sur de nouvelles mères dans un hôpital de Scarborough? Je veux être certain que ce sont des travailleurs de l'hôpital qui ont vendu l'information et qu'il ne s'agit pas d'une initiative de l'hôpital.
M. Crystal : Certainement pas, mais c'est une nouvelle de dernière minute. C'est ce qui ressort de notre entretien avec le journaliste qui a rédigé l'article.
Le sénateur Mercer : Merci beaucoup.
Le sénateur Plett : J'espérais poser la question avant le sénateur Mercer, qui m'a refait le coup. Je m'efforce pourtant de ne pas lire le Toronto Star. En temps normal, je n'aurais jamais lu cet article.
Je précise que cette histoire n'a rien à voir avec le projet de loi. La personne qui a vendu des renseignements personnels a commis un crime manifeste. Les mères vont d'ailleurs intenter un recours collectif. Je suis certain que vous laissez entendre qu'on a perpétré un acte criminel.
M. Crystal : Je ne connais pas les détails de l'affaire. C'est une nouvelle publiée dans le journal d'aujourd'hui.
Le sénateur Plett : Je répète que je ne lis pas le Toronto Star.
M. Crystal : Je pense que le journaliste m'a demandé dès le départ aujourd'hui, si des accusations criminelles seraient déposées. Des dispositions du Code criminel portent sur ce type d'activités, mais je ne sais pas ce que la police va décider. Lorsque je parle à des patients dont les renseignements personnels ont été communiqués illégalement, je me sens parfois comme un politicien qui s'adresse à ses électeurs, parce que je parle à beaucoup de personnes en même temps.
Si on se questionne sur la pertinence de signaler certaines atteintes, c'est comme si on pensait qu'il est inutile de signaler certains crimes mineurs. Les citoyens canadiens dont les renseignements médicaux ont été violés ont le cœur brisé et sont dévastés, parce que c'était tout à fait inattendu. Un inconnu a utilisé une technologie qu'ils ne comprennent pas. Ces gens ont beaucoup de mal à concevoir ce qui s'est passé.
Nous parlons de la rentabilité liée à la gestion de l'information, de ce qui fonctionne et de ce qui ne fonctionne pas. Mais au départ, la personne dont les renseignements ont été divulgués n'a aucune tolérance. Tout le monde à qui je parle estime qu'il est très important d'aviser les gens dont les renseignements personnels sont communiqués.
Le sénateur Plett : Merci.
Je veux obtenir des précisions sur le paragraphe 10.1(6). Est-ce que des éléments de ce paragraphe ou le paragraphe en entier vous préoccupent? Faudrait-il remplacer « le plus tôt possible » par « dès que l'atteinte est constatée »? Le paragraphe serait-il meilleur si aucun retard n'était permis en matière d'avis?
M. Crystal : Sénateur Plett, permettez-moi de dire tout d'abord que les tribunaux civils ont conclu dans cette affaire en particulier que le comportement des policiers était inacceptable. Du point de vue de la protection des renseignements personnels, il est tout à fait injustifié de ne pas aviser la personne que son compte en banque a été vidé ou que son nom ou son identité a été vendu à des fins malveillantes.
Il me semble qu'on a tendance à demander à un fonctionnaire judiciaire d'établir si la personne doit être avisée, mais le processus peut être fastidieux. Je vous indique simplement que les tribunaux canadiens ont déclaré cette position intenable. La police ne peut pas omettre d'aviser les gens, parce qu'elle mène une enquête.
Le sénateur Plett : C'est seulement la fin du paragraphe qui vous préoccupe.
M. Crystal : Ce sont les délais liés à l'avis qui me préoccupent.
Le sénateur Plett : Le paragraphe pourrait se limiter à la phrase suivante : « L'avis est donné dès que l'organisation conclut qu'il y a eu atteinte. »
M. Crystal : Oui.
Le sénateur Plett : Cette version vous paraît-elle acceptable?
M. Crystal : Oui.
La sénatrice Merchant : La collecte de toutes ces données m'inquiète beaucoup. Un article que j'ai lu ce matin m'a rappelé la lutte que nous avons menée concernant le questionnaire détaillé de recensement. On s'opposait à la collecte d'information que les gens consentaient à communiquer. C'est maintenant l'inverse qui se produit.
Nous recueillons toutes sortes d'information sur les gens sans qu'ils le sachent. Je trouve cela très inquiétant.
Concernant le témoin précédent du Commissariat à la protection de la vie privée du Canada, j'ai soulevé l'exemple de la mise sur écoute et j'ai précisé que nous devons la déclarer à la personne après 90 jours. Maître Geist, je crois que vous avez proposé 60 jours. Il faut apporter un changement. On ne peut pas conserver l'information indéfiniment sans aviser la personne. Avez-vous d'autres commentaires là-dessus?
M. Crystal : J'ai proposé un délai de 60 jours, mais je n'y tiens pas à tout prix. Il en a été question lorsque j'ai témoigné sur le projet de loi C-13 devant le Comité de la justice de la Chambre des communes. Des députés du gouvernement et du NPD craignaient que l'avis nuise à l'enquête en cours. Je précise que ce n'est pas l'objectif. Le délai relatif à l'avis obligatoire doit tenir compte du bon déroulement de l'enquête ou permettre aux forces de l'ordre d'obtenir une ordonnance imposant le silence pour différer l'avis, si l'enquête n'est pas entamée.
Il s'agit d'un compromis clair qui permet d'aviser les gens, sans compromettre le travail nécessaire des forces de l'ordre. La disposition qui a été beaucoup discutée déjà devant le comité permet bien sûr de communiquer les renseignements personnels sans mandat et sans avis à bien d'autres organisations que les seules forces de l'ordre. Ne perdons pas de vue la question des délais.
Il faut très peu de temps pour vider un compte bancaire, quel qu'il soit. Concernant les délais raisonnables liés à la mise sur écoute, il faut comprendre que les forces de l'ordre doivent convaincre un fonctionnaire judiciaire qu'un crime a été commis.
Tandis que nous parlons des délais relatifs à l'avis, les victimes dont vous avez parlé se font voler leur argent et ne reçoivent aucune compensation. Selon l'établissement financier, ces gens n'ont aucun recours pour se faire rembourser. Ils ne peuvent que collaborer de bon gré à l'enquête policière, menée en bonne et due forme.
Si les enquêteurs ne découvrent rien ou suivent une fausse piste, les victimes qui ont perdu leurs économies et leur identité se retrouvent complètement démunies. Il faut une éternité pour reprendre possession de son identité. Les tribunaux n'offrent aucun recours pour redresser la situation, parce que la loi accorde l'immunité aux forces de l'ordre. Les victimes passent à travers les mailles du filet et doivent encaisser le coup. Les gens s'en remettent aux dépositaires qui doivent protéger les renseignements personnels qu'ils leur confient. Ils ne devraient pas avoir à assumer les coûts liés aux accidents, à la négligence ou à toute autre cause.
Je répète que je me sens comme un politicien qui s'adresse à ses électeurs lorsque je vais à Peterborough ou à Sault Ste. Marie...
Le sénateur Plett : Nous pourrions peut-être vous trouver une circonscription.
M. Crystal : Sans commentaire.
Le président : Ce genre de question se négocie, mais je ne travaille pour aucun parti politique. Je ne peux donc pas participer aux négociations.
La sénatrice Merchant : Les sondages montrent que les gens sont très préoccupés et qu'ils ne veulent pas qu'on recueille toutes ces informations. Les gouvernements abusent très souvent de leur pouvoir. Ils pensent adopter des mesures positives, mais les suites de l'attentat du 11 septembre, l'absence de mandats et tous les pouvoirs supplémentaires qui ont été accordés constituent un bon exemple. Si je me souviens bien, plus de 90 p. 100 de tous les renseignements recueillis ne concernaient pas le terrorisme et de telles activités. Ces méthodes sont inquiétantes. Avez-vous des commentaires là-dessus?
M. Crystal : Je dirai simplement que nous légiférons parfois en tenant compte du traitement qui était réservé à certains partis politiques ou aux gens d'origine japonaise durant des événements comme l'attentat du 11 septembre et la Seconde Guerre mondiale.
Lorsque nous parlons de technologie, il ne faut jamais oublier que les gens ont confié leurs renseignements personnels en faisant confiance au gouvernement, aux banques, aux compagnies d'assurances et aux autres établissements.
Je conseille simplement de ne pas oublier que, même si divers groupes de défense des renseignements personnels existent, les gens constituent les principaux intéressés. Ce principe peut orienter l'élaboration du projet de loi S-4, qui contient de bonnes mesures comme l'a dit le professeur Geist. Si le projet de loi se fonde sur ce principe, les gens vont en bénéficier. Je ne suis pas ici pour attaquer le projet de loi tous azimuts; j'ai simplement soulevé deux préoccupations.
Le président : Mardi prochain, nous allons étudier le projet de loi S-4 article par article. Mercredi, nous entendrons Tony Manera, ancien président de CBC, qui témoignera dans notre étude sur la Société Radio-Canada.
Nos travaux sont suspendus jusqu'à mardi matin.
(La séance est levée.)