Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule no 28 - Témoignages du 2 novembre 2017
OTTAWA, le jeudi 2 novembre 2017
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 10 h 30, afin d’étudier, pour en faire rapport, les questions et préoccupations relatives à la cybersécurité et à la cyberfraude.
[Traduction]
Le sénateur Tkachuk : Bonjour et bienvenue à mes collègues, à nos invités et aux membres du public en général qui suivent actuellement les délibérations du Comité des banques et du commerce dans la salle ou qui les écoutent par l’entremise du web.
Je suis David Tkachuk. Nous en sommes aujourd’hui à la cinquième réunion de notre étude concernant les questions et préoccupations sur les cybermenaces contre le secteur financier et le secteur commercial au Canada.
Je suis heureux d’accueillir Daniel Therrien, commissaire à la protection de la vie privée du Canada, et son personnel : Patricia Kosseim, avocate générale principale et directrice générale des Services juridiques, des politiques, de la recherche et de l’analyse des technologies; Brent Homan, directeur général des Enquêtes liées à la Loi sur la protection des renseignements personnels et les documents; Steven Johnston, analyste principal de recherche en TI.
Merci de vous joindre à nous aujourd’hui. Je vous cède la parole tout de suite pour votre allocution liminaire, puis nous passerons à une période de questions et réponses. Nous vous souhaitons la bienvenue et nous vous écoutons.
[Français]
Daniel Therrien, commissaire à la protection de la vie privée, Commissariat à la protection de la vie privée du Canada : Je vous remercie, monsieur le président et membres du comité, de nous avoir invités à parler des questions liées à la protection de la vie privée dans le contexte de la cybersécurité.
Les Canadiens sont préoccupés par la sécurité de leurs renseignements personnels. Selon notre plus récent sondage d’opinion publique publié en janvier, 92 p. 100 d’entre eux ont exprimé leur inquiétude au sujet de la protection de leur vie privée. De ce nombre, une nette majorité, soit 57 p. 100, s’est dite très préoccupée par cette question.
Comme la quantité de renseignements personnels traités en ligne augmente constamment, la protection de la vie privée repose de plus en plus sur la mise en œuvre de mesures de cybersécurité efficaces par les organisations pour protéger les données personnelles. Le secteur privé, entre autres, a une responsabilité importante en ce qui concerne la cybersécurité, car il contrôle une large part de l’infrastructure et de l’information dans le cyberespace. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), soit la loi qui traite de la protection de la vie privée dans le secteur privé au Canada, établit les règles de base qui régissent la collecte, l’utilisation, la communication et la protection des renseignements personnels par les organisations du secteur privé dans le cadre d’activités commerciales au Canada. Elle s’applique également aux renseignements personnels d’employés d’organisations sous réglementation fédérale, comme les banques, les transporteurs aériens et les sociétés de télécommunication.
Le commissariat veille aussi au respect de certains aspects de la Loi canadienne anti-pourriel, de concert avec le CRTC et le Bureau de la concurrence.
Les cyberattaques peuvent frapper des organisations de toute taille et donner lieu à de graves atteintes à la vie privée. Dans le cas des grandes organisations, les vastes banques de données sur leurs clients peuvent présenter un grand intérêt pour les criminels. L’économie numérique actuelle, les petites organisations et les micro-organisations peuvent, elles aussi, détenir de vastes quantités de renseignements personnels. Il se peut aussi qu’elles soient particulièrement vulnérables, car elles peuvent être ciblées par des criminels qui s’attaqueront ensuite à des organisations plus grandes ou partenaires. Nous savons qu’elles pourraient avoir particulièrement besoin d’aide, de ressources et de surveillance supplémentaires.
En vertu de la LPRPDE, toutes les organisations sont responsables de la protection des renseignements personnels dont elles ont la gestion. Elles doivent notamment déterminer les risques et mettre en œuvre les mesures de sécurité appropriées pour protéger les données qu’elles recueillent.
Le commissariat reçoit un grand nombre de déclarations d’atteintes à la sécurité des données qui sont déposées en vertu de la LPRPDE. Leur nombre a doublé depuis l’adoption de la Loi sur la protection des renseignements personnels numériques en 2015. Il s’agissait du projet de loi S-4. Le nombre de déclarations est demeuré élevé au cours des deux dernières années. Nous nous attendons à ce qu’il grimpe de façon significative lorsque la déclaration des atteintes à la vie privée deviendra obligatoire, au moment de l’entrée en vigueur d’un règlement qui est en cours d’élaboration par le ministère de l’Innovation, des Sciences et du Développement économique.
La capacité du commissariat à surveiller les atteintes à la vie privée est déjà sollicitée au maximum, et cette augmentation exercera encore plus de pression. À l’heure actuelle, notre capacité se limite à examiner uniquement les atteintes les plus importantes et les plus complexes qui sont portées à notre attention. Dans les exemples récents, il y a les cas d’Equifax, de l’Agence mondiale antidopage, d’Ashley Madison, ainsi que le système de paie Phénix.
[Traduction]
Le sénateur Tkachuk : Excusez-moi, mais qu’est-ce que l’AMA?
M. Therrien : C’est l’Agence mondiale antidopage, un organisme qui est rattaché au Comité international olympique et qui est établi à Montréal. Compte tenu des modifications récentes de la Loi sur la protection des renseignements personnels et les documents électroniques, qui régit le secteur privé, le Commissariat à la protection de la vie privée du Canada peut faire enquête sur l’AMA.
Le sénateur Tkachuk : Merci, mais pourriez-vous éviter d’employer des abréviations, car ce serait vraiment bien pour les gens qui nous regardent? Le sujet n’est déjà pas facile pour nous, alors pour les gens qui nous regardent, c’est encore plus difficile. Ce serait vraiment bien si vous pouviez employer le titre au long.
Le sénateur Black : Si je peux me permettre, pourriez-vous ralentir un peu? Vous nous donnez de l’information extrêmement importante, mais vous allez trop vite.
M. Therrien : Certainement.
Le sénateur Black : Merci.
[Français]
M. Therrien : Le règlement sur la déclaration obligatoire des atteintes à la vie privée dans le secteur privé n’a pas une portée aussi vaste que nous l’aurions espéré, mais il constituera un outil important pour améliorer les pratiques des organisations en matière de sécurité. Cela dit, nous avons fait des recommandations au gouvernement sur certains aspects de l’ébauche de règlement qui semblaient présenter des lacunes. Par exemple, dans un premier temps, il faut s’assurer que les déclarations des atteintes fournissent les renseignements nécessaires pour permettre d’évaluer la qualité des mesures de protection et le risque de préjudice pour les individus. Deuxièmement, il faut clarifier les exigences en matière de tenue de dossiers qui sont imposées aux organisations. Pourquoi avons-nous fait ces recommandations? Parce que ces renseignements sont essentiels. Cette information fournit les données de base qui permettent de dégager des tendances et de régler les questions systémiques de sorte à assurer une surveillance efficace.
La Loi sur la protection des renseignements personnels numériques a aussi donné lieu à plusieurs modifications importantes à la loi générale sur la protection de la vie privée, la LPRPDE, y compris l’adoption de la déclaration obligatoire des atteintes à la sécurité des données. Cette loi récente a aussi apporté plusieurs modifications autorisant la communication de renseignements personnels dans certaines situations où l’objectif est de combattre et de prévenir la fraude et l’exploitation financière. Certains témoins vous ont parlé de ces dispositions dans le cadre de vos travaux.
[Traduction]
Contrairement à la Loi sur la protection des renseignements personnels et les documents électroniques, qui vise à protéger la confidentialité dans le secteur privé au Canada, la Loi sur la protection des renseignements personnels n’oblige pas les institutions fédérales à protéger les renseignements personnels dont elles ont la gestion. Les organisations sont tenues de déclarer toute atteinte substantielle au Commissariat à la protection de la vie privée du Canada conformément à la politique du Conseil du Trésor, mais nous avons constaté des différences considérables entre les pratiques de déclaration des institutions. Par exemple, l’an dernier, le nombre d’atteintes déclarées au commissariat a diminué de 50 p. 100. Nous nous tournons actuellement vers les institutions pour déterminer les causes de cette diminution.
Nous avons aussi recommandé au Parlement de modifier la Loi sur la protection des renseignements personnels afin qu’elle oblige explicitement les institutions fédérales à déclarer au commissariat les atteintes substantielles à la vie privée, d’une part, et à protéger les renseignements personnels en prenant des mesures matérielles, organisationnelles et technologiques appropriées qui correspondent au niveau de sensibilité des données, d’autre part. Autrement dit, nous pensons que le secteur public fédéral devrait être soumis aux mêmes obligations que celles qui sont prévues à l’égard des entreprises et des autres organisations du secteur privé dans la Loi sur la protection des renseignements personnels et les documents électroniques.
Soulignons aussi que des normes, des directives et des politiques détaillées énoncent les exigences imposées aux institutions fédérales en matière de sécurité informatique et de protection de la vie privée. Toutefois, le gouvernement dispose en réalité de ressources limitées, ce qui peut l’amener à mettre en œuvre à la hâte de nouveaux systèmes sans avoir accordé suffisamment d’attention aux mesures de protection techniques et organisationnelles. Lorsqu’on tient à mettre en œuvre de nouveaux programmes ou de nouvelles mesures et qu’on est même pressé de le faire, certaines précautions importantes et prescrites dans les règles ne sont pas prises ou ne sont prises que très partiellement.
D’après des rapports récents, les systèmes informatiques du gouvernement du Canada sont la cible de milliers d’attaques chaque année. Heureusement, des organisations comme le Centre de la sécurité des télécommunications du Canada parviennent à déjouer la grande majorité de ces attaques. Toutefois, lorsque des mesures de protection insuffisantes aboutissent à des atteintes à la sécurité des données, il peut y avoir des répercussions bien réelles sur la vie privée.
C’est pourquoi le Commissariat à la protection de la vie privée du Canada a un rôle à jouer dans ce contexte, de concert avec les spécialistes de la cybersécurité. Nous pouvons apporter notre contribution en nous assurant que les organisations mettent en œuvre des mesures de sécurité et de protection de la vie privée dès la conception afin d’atténuer comme il se doit les risques pour les particuliers, en plus d’encourager les organisations à faire preuve de transparence quand des problèmes surviennent.
Par ailleurs, lorsque nous protégeons le cyberespace, c’est-à-dire l’information qui y réside et l’infrastructure sur laquelle il repose, nous protégeons en partie les renseignements personnels. C’est pourquoi je tiens à souligner que, dans le contexte de la protection des données, les objectifs de protection de la vie privée et les objectifs de sécurité ne sont pas incompatibles. Néanmoins, ils ne sont pas toujours faciles à concilier.
Les cybermenaces sont constantes. Elles frappent partout dans le monde et sont de plus en plus perfectionnées. Il est dès lors clair que l’État et le secteur privé doivent pouvoir échanger rapidement de l’information sur les systèmes informatiques vulnérables. Ainsi, les modifications législatives prévues dans le projet de loi C-59 permettraient au Centre de la sécurité des télécommunications du Canada de jouer un rôle à cet égard par des échanges de renseignements sur la cybersécurité avec d’autres organisations. Or, ces renseignements pourraient inclure des communications privées interceptées, selon le contexte de l’échange.
Nous savons que la protection de la cyberinfrastructure peut nécessiter une surveillance de tous les instants d’un réseau afin d’y détecter les anomalies et les dangers. Dans certains cas, ce type de surveillance peut exiger la collecte et l’analyse d’énormes quantités de renseignements personnels. Nous sommes conscients de la nécessité de recueillir toutes ces données pour surveiller efficacement les réseaux, mais il est tout aussi important que la conservation, l’utilisation et la communication des renseignements personnels soient limitées de façon appropriée.
D’autres intervenants avant moi ont indiqué au comité des mesures à prendre pour surmonter efficacement les difficultés de la cybersécurité, notamment par les partenariats et l’éducation. Je suis d’accord avec eux. L’éducation est un objectif central du Commissariat à la protection de la vie privée conformément au mandat que lui confère la Loi sur la protection des renseignements personnels et les documents électroniques. Nous concentrons nos efforts de sensibilisation sur les petites entreprises, car nombre d’entre elles disposent de ressources limitées.
De plus, le commissariat collabore activement avec l’Organisation internationale de normalisation dans l’élaboration de normes sur des sujets liés au cyberespace, par exemple la gestion de l’identité et de l’accès, et dans l’élaboration de codes de pratique pour la protection des renseignements personnels en général, et plus particulièrement dans le contexte des services d’infonuagique destinés au public. Nous continuons de donner notre avis sur les nouvelles normes ISO concernant la désidentification, l’Internet des objets, l’intelligence artificielle et la technologie des chaînes de blocs.
Dans notre nouveau blogue Savoir Techno, nous tentons de démystifier, à l’intention du public, la cybersécurité et d’autres questions touchant les technologies de l’information. Ce blogue se trouve dans notre site web. Nous avons publié récemment des billets portant sur des sujets comme les rançongiciels et les réseaux privés virtuels. Dans les billets à venir, nous expliquerons la technologie de cryptage et de registre distribué ou chaîne de blocs.
En 2014, nous avons publié un rapport de recherche sur la cybersécurité. Nous voulions susciter un dialogue sur le sujet, car la cybersécurité est un élément important de la protection de la vie privée en ligne. Cette année, le commissariat s’intéresse particulièrement au financement des projets de recherche indépendante et d’application des connaissances dans le cadre de son programme de contributions, qui vise à promouvoir le développement et l’adoption de technologies renforçant la protection de la vie privée.
En terminant, je dirais que les Canadiens s’attendent à un niveau de protection élevé afin de pouvoir faire confiance à l’économie numérique. Dans ce contexte, les spécialistes de la cybersécurité et les autorités de protection des données comme le Commissariat à la protection de la vie privée doivent absolument travailler encore plus étroitement pour améliorer les mécanismes de défense de la cyberinfrastructure et de faire de la protection de la vie privée un principe directeur des efforts en matière de cybersécurité.
Je vous remercie de votre attention. Mes collègues et moi nous ferons un plaisir de répondre à vos questions.
[Français]
La sénatrice Moncion : Ma question concerne Equifax — et vous deviez vous y attendre. La semaine dernière, nous avons rencontré des représentants de l’Association des banquiers canadiens. J’avais alors posé la question à savoir à qui appartenait la relation entre Equifax et les banques canadiennes, par exemple, et à qui appartenait la responsabilité de l’information. L’Association des banquiers canadiens semblait dire que les renseignements privés appartenaient à Equifax, alors que, de mon point de vue, je présume que la relation s’exerce entre les banques canadiennes, les institutions financières et Equifax. La responsabilité de l’accès à la vie privée appartient à la partie qui a signé l’entente.
J’ai donc deux questions au sujet d’Equifax. Mettons un peu les choses en contexte. On a entendu dire aux informations, récemment, que les actionnaires ou les dirigeants d’Equifax connaissaient l’existence d’un bris en mars ou en mai dernier. Or, ils ont attendu plusieurs mois avant de le mentionner. Dans les jours qui ont suivi le bris, ils ont vendu leurs parts pour aller chercher le maximum de revenus. Quelque mois plus tard, ils ont annoncé le bris.
Ma deuxième question est reliée au choix du moment de la déclaration d’un bris. À quel moment doit-on déclarer un bris d’information?
M. Therrien : En effet, nous nous attendions à des questions sur Equifax. J’espère que ma réponse sera utile, mais je vais commencer avec un aspect qui le sera peut-être moins.
Nous sommes en train d’enquêter, à la suite de plaintes qui ont été déposées au commissariat au sujet de l’atteinte à la vie privée dans le cas d’Equifax. Nous devons enquêter et, à la suite d’un processus légal qui concerne la compagnie, arriver à des conclusions. Je ne serai pas en mesure de vous donner beaucoup d’information sur notre évaluation de cette situation en particulier.
Je passerais de cette question au sujet d’Equifax à la situation en général. Il y a ce que vous appelez des bris, des atteintes à la vie privée, du piratage. On entend ces histoires constamment, car cela arrive trop fréquemment. Je vais essayer de répondre à vos questions en ce qui concerne les atteintes en général. Pour ce qui est de la relation entre une compagnie qui ferait l’objet d’une fuite ou d’une perte d’information et d’autres compagnies, la Loi sur la protection des renseignements personnels et les documents électroniques, dans le secteur privé au Canada, indique que, lorsqu’une compagnie gère, recueille et utilise les renseignements d’un consommateur et que cette compagnie, comme c’est généralement le cas, est en relation d’affaires avec d’autres compagnies, la compagnie qui recueille les renseignements doit s’assurer que, dans l’ensemble de la chaîne, les renseignements sont gérés de façon conforme à la loi. C’est le cas en ce qui concerne la relation entre la compagnie avec qui la personne fait affaire directement et d’autres compagnies, dans ce que certains appellent un « écosystème ».
Pour ce qui est de la rapidité avec laquelle les compagnies victimes de piratage, de bris ou d’atteintes devraient les signaler à leurs clients ou à l’agence de réglementation — c’est-à-dire, nous — cela devrait évidemment se faire le plus rapidement possible. Le plus rapidement possible ne veut pas nécessairement dire le lendemain, car il doit y avoir une certaine évaluation de la part de l’entreprise quant aux circonstances et quant à l’impact de l’atteinte pour ses clients. On sait que cela peut prendre un peu de temps, mais on parle de jours, on ne parle pas de mois.
Il y a une certaine évaluation qui doit être faite, et cela prend quelques jours. On s’attend à ce que l’atteinte nous soit signalée le plus rapidement possible lorsqu’il y a un impact vraisemblable pour les clients.
La sénatrice Moncion : Dans le cas d’Equifax, en combien de temps avez-vous été informé?
M. Therrien : Selon les faits publics, cela a pris des mois.
[Traduction]
La sénatrice Wallin : J’ai deux questions sur des sujets assez préoccupants. Dans votre présentation, vous affirmez reconnaître que le recueil de données est nécessaire pour surveiller les réseaux. Vous semblez dire que les protections législatives posent un plus gros problème que l’activité criminelle elle-même puisqu’au bout du compte, on se retrouve à administrer toutes sortes de données qui, forcément, pourront elles aussi être compromises. Est-ce bien ce que vous êtes en train de dire? Que l’on crée une nouvelle faille?
M. Therrien : Ce n’est pas exactement ce que je disais, mais ce peut effectivement présenter un risque. Je doute, cependant, que ce soit le risque principal.
Le phénomène que je cherche à décrire, c’est qu’afin d’être en mesure de détecter les cybermenaces et d’y remédier, il faut avoir une capacité de surveillance en continu, et il faut également que les divers acteurs — les gouvernements et les sociétés — communiquent et échangent les données à un haut niveau pour savoir ce qui se passe sur les réseaux. Cela suppose le recueil d’un volume important de données et un partage minimum d’information entre les divers acteurs. Parmi ces données, il peut y avoir des renseignements personnels et le contenu de certaines correspondances. Ce sont naturellement des sujets d’intérêt pour la protection de la vie privée. C’est nécessaire afin d’assurer la sécurité du réseau. Nous le savons.
Lorsque je dis que j’approuve du recueil d’information mais que les gouvernements et organisations doivent faire attention dans quelles circonstances ils s’en servent et la partagent, j’entends par là qu’il ne faut pas utiliser pour n’importe quelle raison les données recueillies aux fins de surveillance et de détection des menaces. C’est plutôt cela que j’essayais de dire.
Plus il y a de données recueillies et partagées entre les divers acteurs, cependant, plus le risque est grand qu’elles soient piratées. Ce n’est pas tellement une question juridique ou législative en ce qui touche au secteur privé, même s’il se peut qu’elle apparaisse dans ma recommandation concernant le secteur privé et la Loi sur la protection des renseignements personnels, mais quoi qu’il en soit, il faudrait que tous les acteurs du système répondent à une norme élevée de protection de l’information afin d’éviter de se faire pirater, tout en sachant que le risque ne pourra jamais être éliminé entièrement, seulement géré et atténué.
La sénatrice Wallin : Vous affirmez également avoir constaté une réduction de 50 p. 100 du nombre d’atteintes à la sécurité de l’information l’année dernière; vous vous penchez actuellement sur la question. Quelle est votre théorie quant à la cause d’une telle réduction? Soit il s’agit d’une excellente nouvelle technologie…
M. Therrien : Cela m’étonnerait.
La sénatrice Wallin : Exactement.
M. Therrien : Il nous semble peu probable que le nombre d’atteintes ait réellement diminué. Nous ne savons pas exactement pourquoi le nombre d’atteintes signalées a diminué.
La politique du Conseil du Trésor sur le signalement précise entre autres que les atteintes à signaler doivent être substantielles, il se peut donc que les ministères aient commencé à appliquer une nouvelle définition du mot « substantiel ». C’est peut-être le cas, mais il demeure très peu probable que la situation s’améliore au chapitre de la vulnérabilité.
La sénatrice Wallin : Il faut donc en conclure qu’il y a des atteintes qui ne sont pas signalées parce que les définitions auraient changé.
M. Therrien : Probablement, mais nous faisons encore le suivi auprès des ministères.
[Français]
Le sénateur Massicotte : Merci à vous, monsieur Therrien, et à vos collègues d’être parmi nous ce matin. Ce sujet est très intéressant pour les Canadiens. Je fais partie des gens qui sont inquiets du piratage de nos renseignements personnels.
J’ai l’impression qu’en tant que Canadiens, il n’y a pas grand-chose qu’on peut faire. Ce n’est pas illégal, personne n’ira en prison pour du piratage. On ne sait pas trop si on a un recours personnel pour poursuivre les gens à qui on a fait confiance en leur transmettant des renseignements. C’est vrai qu’on signe beaucoup de formulaires et que, par ces signatures, on autorise des organismes, des banques, entre autres, à transmettre des renseignements, comme les cotes de crédit, à d’autres personnes.
Même si je sais que vous faites de bonnes recommandations sur la façon de rapporter l’information dans les cas d’atteintes à la vie privée, on dirait qu’on ne va nulle part. La procédure est longue, et si on compare la situation avec celle des États-Unis, on n’entend pas beaucoup parler de ces cas. En tant que consommateurs, nous n’avons pas l’impression qu’il existe des recours à notre disposition. Est-ce que je me trompe? Est-ce qu’il y a quelque chose que nous pouvons faire, une poursuite personnelle, par exemple? On dirait que, lorsque ces cas arrivent, nous n’en parlons pas, et nous en sommes frustrés.
M. Therrien : Pour ce qui est des conséquences criminelles, je ne suis pas un expert dans le domaine, mais je pense qu’il y a des infractions criminelles qui existent. Est-ce que nous avons les preuves nécessaires? Est-ce que les ressources policières sont disponibles pour enquêter ces crimes? Je ne peux répondre à ces questions. Cependant, je vais aborder votre question au sujet des recours au civil, en particulier par rapport à la compagnie avec qui on traite et qui a été victime d’un piratage.
La compagnie est victime d’un piratage. Elle est victime, mais elle a une obligation légale de prendre des mesures adéquates pour protéger les renseignements. Qu’est-ce qui arrive si la compagnie ne satisfait pas à cette obligation? Dans l’état actuel des choses, l’individu peut porter plainte au commissariat et on peut faire enquête. Dans certains cas, on l’a fait, et le cas d’Ashley Madison en est un exemple récent.
Ce système a tout de même certains avantages pour la société en général. Par exemple, le fait d’enquêter sur Ashley Madison a fait en sorte qu’on puisse constater la déficience des mesures de sécurité qui étaient en place au sein de cette compagnie. On pense que cela existe ailleurs, et on a été en mesure de donner de l’information à beaucoup d’autres compagnies, dans plusieurs autres secteurs, sur ce qu’on a appris dans l’affaire d’Ashley Madison. Il y a certains avantages concrets au système actuel.
Cela dit, ce qui manque, c’est la possibilité, pour les individus, d’intenter un recours civil contre la compagnie, si cette dernière n’a pas pris les mesures adéquates pour protéger les renseignements de ses clients. C’est l’une des raisons pour lesquelles notre rapport annuel de septembre 2017 recommande que la LPRPDE soit modifiée afin de conférer au commissariat le pouvoir de prendre des ordonnances, comme cela se fait dans plusieurs autres pays, comme aux États-Unis, en Europe et ailleurs, ainsi que le pouvoir d’imposer des amendes conséquentes aux conséquences de la violation juridique. Selon moi, il s’agit là d’une lacune importante.
Le sénateur Massicotte : Je vais reprendre votre exemple pour m’assurer de bien comprendre.
Si je donne à la banque l’information typique relative aux services financiers — et, au Canada, il n’y a pas une tonne de banques —, cette information à laquelle j’ai probablement donné mon consentement a été transmise à Equifax, étant donné que la banque partage beaucoup d’information avec cette compagnie. Comme vous le savez, la compagnie Equifax a été la cible de piratage informatique, et de nombreux renseignements ont été touchés, ainsi que 10 000 Canadiens et des centaines de milliers de personnes ailleurs, dont l’information personnelle est devenue publique pour ceux qui ont commis le piratage sur ce site.
La banque canadienne, avant de transférer l’information à la société Equifax, avait-elle la responsabilité de s’assurer que le système informatique de la société Equifax offrait une sécurité de niveau élevé afin d’avoir la certitude que le partage des renseignements personnels était fait de façon sécurisée? La banque avait-elle une responsabilité à cet égard? La banque a-t-elle plutôt simplement tenu compte des mesures liées à ses propres besoins bancaires, et partagé l’information comme si c’était normal et comme s’il n’y avait pas de raison de faire d’autres vérifications afin de s’assurer qu’il n’y ait pas de risque de fuite d’information pour la société Equifax?
M. Therrien : Encore une fois, je ne peux pas parler de la situation de la société Equifax, étant donné l’enquête en cours.
Toutefois, je peux répondre à votre question en vous parlant des relations générales entre les compagnies qui colligent des renseignements appartenant à des consommateurs.
Comme je le disais, la législation actuelle présente une lacune, à savoir que l’on ne peut pas ordonner aux compagnies de rehausser leur niveau de sécurité et que l’on ne peut pas imposer d’amende. Il existe présumément des recours en vertu de la common law ou du Code civil, mais il n’y a pas de droit privé d’actions pour les individus qui veulent intenter des recours contre les compagnies fautives.
Selon moi, un système complet offrirait la possibilité de déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada, comme c’est le cas à l’heure actuelle, mais le commissariat aurait aussi le pouvoir de rendre des ordonnances et d’imposer des amendes. Finalement, un droit direct pourrait être utilisé par les citoyens s’ils sont d’avis que les compagnies avec qui ils transigent ne respectent pas leurs obligations.
Le but de ces différents recours n’est pas de punir, mais plutôt de s’assurer que les conséquences donnent lieu à une indemnisation adéquate et, surtout, de s’assurer que les compagnies en question prennent cela au sérieux. Le fait que les conséquences pour les compagnies ne soient pas assorties de conséquences pécuniaires — sauf la perte de clientèle, qui est une conséquence réelle et très tangible — ni de conséquences juridiques en vertu de recours précis représente un problème. Je ne dis pas que les banques et les compagnies ne prennent pas certaines mesures, mais le fait de pouvoir faire l’objet de recours juridiques qui pourraient donner lieu à des amendes conséquentes ferait en sorte, selon moi, que les dirigeants corporatifs accordent une attention particulière au phénomène, entre autres pour s’assurer que leurs risques juridiques demeurent à un juste niveau.
[Traduction]
Le sénateur Tkachuk : Pourriez-vous m’aider à comprendre qui est responsable? J’ai utilisé ma carte de crédit quand je visitais de la famille aux États-Unis. Une semaine ou deux plus tard, je reçois un appel sur mon cellulaire la nuit; on m’apprend qu’on utilisait ma carte de crédit dans un dépanneur en Floride. Ce sont des petites transactions — 20 $ par-ci, 20 $ par là. On me demande si je suis en Floride, je réponds que non; il y a quelque chose qui cloche. Je n’ai plus eu de nouvelles après ça. J’ignore quelle compagnie a divulgué l’information sur ma carte. J’ignore ce qui est advenu de l’enquête. Je ne connais pas l’identité de la personne qui a utilisé ma carte. C’est comme si une porte s’était fermée. Tout ce qu’on sait, c’est que VISA va nous rembourser parce qu’ils sont assurés. C’était de petits montants. On prenait 20 $ à la fois, pour un total de peut-être 60 $ ou 80 $ sur quelques jours. Si on m’avait pris des sommes plus importantes, cependant, ne devrais-je pas pouvoir poursuivre les personnes qui se sont mal occupées de mon information? Ne devrais-je pas, en tant que consommateur, pouvoir poursuivre ces gens et aussi savoir qui a divulgué mon information? Il n’y a pas que les grandes sociétés qui gèrent notre information; je donne aussi ma carte de crédit au livreur de pizza. Y a-t-il moyen pour nous, en tant que consommateurs, d’obtenir réparation lorsque quelqu’un manque à son obligation de protéger nos renseignements?
M. Therrien : Je pense que cela touche à la réponse que j’ai donnée à la question du sénateur Massicotte, mais pour que ce soit clair, nous ne nous sommes pas vraiment penchés sur ce genre de situation. À savoir si vous, en tant que citoyen, devriez pouvoir poursuivre une entreprise qui n’a pas pris les précautions nécessaires pour protéger votre information, ma réponse est oui. Je pense qu’à cet égard, il y aurait moyen d’apporter des améliorations à la loi, autant en renforçant l’autorité du commissariat en matière d’ordonnances et d’amendes qu’en prévoyant un droit de recours privé dont les citoyens pourraient se prévaloir directement. Dans le cas qui vous concerne, il se peut que plusieurs acteurs aient fait preuve de négligence à l’égard de votre information.
Le sénateur Tkachuk : C’est évident.
M. Therrien : Il semble en l’occurrence que la banque se soit acquittée de sa responsabilité financière à votre égard; elle vous a remboursé, mais il se peut que d’autres acteurs soient également en cause. Les améliorations auxquelles j’ai fait allusion seraient utiles à cet égard. Il devrait exister un droit de recours contre toute entreprise qui a une obligation à l’égard de la protection de l’information. Dans l’exemple qui vous concerne, je pense que la banque vous a traité convenablement, mais il se peut que d’autres acteurs soient impliqués.
Le sénateur Tkachuk : Je pourrais très bien me retrouver au même restaurant où j’étais allé la dernière fois, celui qui a divulgué mon information, sans connaître l’identité de la personne responsable.
M. Therrien : J’y arrivais.
Le sénateur Tkachuk : D’accord.
M. Therrien : C’est plutôt une question de protection de la vie privée. Dans les circonstances, la loi vous donne le droit d’accéder à l’information que détient une entreprise à votre sujet. Vous avez le droit de demander à connaître cette information. Il y a des exemptions visant certaines entités, comme les organisations d’application de la loi, par exemple, qui ne sont pas tenues de vous communiquer toute l’information demandée, mais en principe, vous avez le droit d’accéder à l’information qu’une organisation détient à votre sujet. Vous pourrez ainsi éventuellement trouver certains des renseignements que vous cherchez; je ne dis pas que c’est chose certaine, mais il y a des chances.
Patricia Kosseim, avocate générale principale et directrice générale, Direction des services juridiques, des politiques, de la recherche et de l’analyse des technologies, Commissariat à la protection de la vie privée Canada : J’ajouterais aussi que le scénario qui vous concerne évoque également le spectre du vol d’identité. Nous maintenons depuis longtemps que le vol d’identité est un enjeu commun qui interpelle autant le Commissariat à la protection de la vie privée que les forces de l’ordre. Toutes sortes d’acteurs sont concernés. Cela fait des années que nous disons qu’il nous faut une stratégie coordonnée pour lutter contre le vol d’identité qui, comme je le disais, est un enjeu trop vaste pour le commissariat seul, mais nous devons travailler en collaboration avec les organisations d’application de la loi et les autres intervenants susceptibles d’avoir compétence, notamment dans les cas où un particulier et non une organisation est en cause. On a encore moins de recours lorsqu’on se fait voler son identité par un particulier. C’est donc une question très vaste qui intéresse de nombreux acteurs.
Le sénateur Wetston : Ce genre de débat me rend nostalgique.
Le sénateur Tkachuk : L’argent est toujours roi, pas vrai?
Le sénateur Wetston : Il n’y a rien de tel que l’argent en main, effectivement.
Merci d’être venu aujourd’hui. J’aimerais en savoir plus sur Internet, son évolution et votre rôle dans la gestion des questions de protection de la vie privée. De mon point de vue, on ne se souciait pas particulièrement des questions de sécurité et de vie privée lorsqu’Internet a été mis au point. Il a été mis au point pour des raisons tout autres. Nous savons aujourd’hui ce qu’elles sont.
Vous conviendrez sûrement avec moi pour dire qu’aujourd’hui, les données constituent un actif. C’est un produit qui peut être vendu. L’accès à ces données a toutes sortes d’implications financières, et pas seulement quand on parle des problèmes habituels de piratage. Au final, les entreprises, les gouvernements et les particuliers se retrouvent à la convergence de tout un paquet de problèmes assez complexes, et c’est un peu le fouillis.
Quand je regarde le cadre stratégique — un certain nombre de représentants nous en ont parlé —, c’est un peu un fouillis, car il exige une pléthore de relations et beaucoup de coordination. J’en suis arrivé à la conclusion que le cadre était comme cela parce que notre monde est plus ou moins comme cela. Étant donné vos observations, je présume que vous pourriez être d’accord avec moi à ce sujet.
Cela dit, comment voyez-vous votre rôle? De toute évidence, je comprends en quoi consistent vos responsabilités, mais comment percevez-vous votre rôle? Comment envisagez-vous cette question? Est-ce une question de risque? Est-ce une crise? Est-ce une question de protection de la vie privée? D’après le travail que vous faites et vos représentations auprès de Sécurité publique Canada, je peux voir que les choses ne se limitent pas à cela pour vous. Pouvez-vous me donner des précisions à ce sujet?
M. Therrien : Je vais tenter de le faire.
Vous avez raison de dire que les données sont un actif d’une valeur énorme sur le plan financier. On n’a qu’à regarder quelles sont les 10 plus grandes sociétés à la Bourse de New York pour voir que c’est effectivement le cas. Certaines de ces données sont des renseignements personnels qui doivent être protégés. Beaucoup de gens s’intéressent aux données pour des raisons commerciales, mais aussi à des fins d’intérêt public très louables comme la santé, la recherche, et cetera.
La situation actuelle est effectivement désordonnée. Il existe un certain nombre de lois, mais peu d’entre elles parviennent à répondre aux préoccupations. Il y a certaines questions qui ne font pas vraiment l’objet de lois, dont la cybersécurité. Que faut-il faire? Parmi les possibilités que vous me présentez, la description qui me convient le mieux serait de dire qu’il s’agit d’un risque à multiples facettes, et que l’une de ces facettes est la protection de la vie privée.
Dans une perspective plus large, il est important de dire que l’Internet et l’économie numérique sont la voie de l’avenir. Notre croissance économique en dépend. Le développement de l’Internet offre de nombreux avantages aux particuliers en tant que consommateurs, en tant que citoyens. Dans l’ensemble, je pense que la révolution numérique est une bonne chose, mais elle crée de nombreux risques, dont ceux qui menacent la protection de la vie privée.
Pour ce qui est de la façon dont je perçois mon rôle et mes responsabilités, outre le fait de voir à l’application de tous les aspects des lois que nous devons faire appliquer, je crois que je dois veiller à ce que la somme totale des lois et pratiques des entreprises et des ministères en matière de protection de la vie privée et du comportement des particuliers ne nous empêche pas de bénéficier des nombreux avantages de l’Internet, tout en m’assurant que les risques en matière de vie privée et autre soient maintenus au minimum.
Le sénateur Wetston : Je comprends ce que vous dites. Évidemment, il est difficile de ne pas être d’accord avec vous. J’ai l’impression que ce que vous nous dites, c’est qu’il est possible de gérer les problèmes relatifs à la protection de la vie privée, mais qu’on n’arrivera certainement pas à les régler.
Je voudrais vous poser des questions sur les instruments qui pourraient vous aider à vous acquitter de votre rôle et de vos responsabilités, car en tant qu’institution responsable, vous devez disposer des outils idoines pour faire votre travail. Ce que vous semblez dire, c’est qu’il vous manque des sanctions administratives pour être en mesure d’assumer certains aspects de vos rôles et responsabilités, et ce n’est pas moi qui vais vous contredire là-dessus. Si l’on vous confie une responsabilité, vous devez disposer des outils nécessaires pour vous en acquitter et faire votre travail. Quels sont les instruments que vous avez actuellement et qui semblent fonctionner, et quels sont ceux qu’il vous faudrait? Je pense que vous avez déjà indiqué que les sanctions administratives seraient un instrument utile pour vous aider à vous acquitter de vos responsabilités.
M. Therrien : Une façon de répondre à votre question serait de vous aiguiller sur notre rapport annuel de septembre de cette année et sur la conclusion finale de notre examen sur la question du consentement, c’est-à-dire sur l’efficacité du consentement en ce qui concerne la protection de la vie privée au Canada.
Dans ce rapport, nous affirmons que le consentement reste un outil très important, un outil de premier plan pour la protection de la vie privée, car il laisse de la place à l’autonomie personnelle. Les gens ont le choix de donner ou de ne pas donner leur consentement à certaines choses. C’est très important. Toutefois, le consentement doit pouvoir s’appuyer sur de nombreux autres éléments, dont, avant tout, la présence d’un organisme de réglementation indépendant. En d’autres mots, je veux parler de mon bureau, mais aussi des instances provinciales équivalentes ou d’autres entités fédérales qui ont quelque chose à voir avec la protection de la vie privée, comme le CRTC, des organismes de réglementation qui disposent des ressources et des outils nécessaires pour informer les citoyens au sujet des risques, pour conseiller les entreprises et les organisations quant à leurs obligations, et pour sanctionner les actes illégaux. Assurément, ce qui manque au Canada, c’est ce dernier aspect. Comme vous l’avez dit dans votre question, les sanctions ne sont pas proportionnelles aux risques en matière de vie privée et autres.
Les renseignements personnels sont des données, et ce sont des données dont on peut tirer d’énormes profits. L’exploitation de ces données suscite donc un très grand intérêt. Puisqu’il en est ainsi, les conséquences d’actes inappropriés ou illégaux devraient être proportionnelles aux avantages potentiels associés à l’exploitation de ces données. C’est l’une des raisons pour lesquelles nous réclamons le pouvoir de rendre des ordonnances, d’imposer des amendes.
Le sénateur Wetston : Les raisons qui motivent votre demande sont évidentes. Je crois que c’est ce que vous êtes en train de nous dire.
M. Therrien : Oui, c’est ce que je dis.
La sénatrice Ringuette : Mes questions vont aussi dans ce sens. Lorsque vous dites que vous recevez des plaintes et que vous faites enquête — comme dans l’exemple d’Equifax —, votre enquête se limite au territoire canadien. Par conséquent, votre rapport est lui aussi limité au territoire canadien.
Il y a quelques semaines, nous avons reçu l’unité spéciale de la GRC, et ses membres nous ont dit que, selon eux, c’est Equifax qui avait été la victime. Aux termes de votre mécanisme de plainte, je présume que ce sont les personnes qui sont les victimes.
M. Therrien : Oui, les personnes sont les victimes.
La sénatrice Ringuette : Lors de vos enquêtes, dans quelle mesure échangez-vous des renseignements avec l’unité spéciale de la GRC?
M. Therrien : Je vais commencer en répondant à votre question sur le fait que nos enquêtes soient limitées au Canada.
Tout d’abord, notre pouvoir d’enquête est limité par le fait que nous ne sommes pas autorisés à rendre des ordonnances. Notre pouvoir est limité à la formulation de recommandations à l’intention de la société qui fait l’objet de l’enquête.
Deuxièmement, la portée de nos enquêtes est-elle limitée au Canada? Officiellement, la réponse est oui, mais pas complètement. Comme vous le savez, les données traversent les frontières. Des plaintes ont été formulées à l’endroit d’Equifax pas seulement au Canada, mais aussi aux États-Unis, au Royaume-Uni et, je crois, dans d’autres pays. C’est une conséquence du fait que les données traversent les frontières.
La compétence du commissariat s’applique au Canada, mais étant donné que les données traversent les frontières, il nous arrive d’échanger des renseignements avec nos homologues d’autres pays pour veiller à ce que, de façon générale, les comportements potentiellement répréhensibles en matière de protection de la vie privée soient pris en compte par chaque administration, mais aussi à l’échelle mondiale. Les résultats ne sont pas parfaits, mais nous réussissons à faire beaucoup.
Au Canada, l’échange d’informations avec les organismes d’application de la loi comme la GRC est assujetti à des restrictions. Selon la loi qui nous régit, la première de ces restrictions est que les renseignements que nous recevons dans le cadre de nos enquêtes sont confidentiels entre nous, le plaignant et l’intimé — dans ce cas-ci, Equifax. La raison de cela est que nous voulons nous assurer de la coopération des organisations sur lesquelles nous enquêtons aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques ou des ministères sur lesquels nous enquêtons aux termes de la Loi sur la protection des renseignements personnels. Nous voulons en outre éviter qu’ils croient que les renseignements de nature délicate qu’ils pourraient nous donner au sujet de leurs pratiques seront automatiquement rendus publics. La règle est la confidentialité, mais l’exception est la publicité, c’est-à-dire si, dans une affaire donnée, je crois qu’il est dans l’intérêt public de divulguer certains renseignements. Voilà de quoi il retourne. Dans cette optique, l’échange d’informations avec des instances comme la GRC est limité.
Une autre exception à la confidentialité est décrite dans une disposition qui figure au paragraphe 20(5) de la Loi sur la protection des renseignements personnels et les documents électroniques, disposition selon laquelle, dans certains cas, je suis autorisé à communiquer des renseignements au procureur général. Néanmoins, la règle est la confidentialité. Par conséquent, les échanges avec la GRC sont rares, mais il y a des exceptions.
La sénatrice Ringuette : J’ai été surprise d’apprendre, comme vous l’avez dit dans votre exposé, qu’un organisme comme le vôtre finance des projets de recherche. Je m’étonne que cela fasse partie de votre mandat, attendu que votre raison d’être est de recevoir les plaintes en matière de protection de la vie privée.
M. Therrien : Nous avons une enveloppe limitée de 500 000 $.
La sénatrice Ringuette : Mais est-ce que cela fait partie de votre mandat?
M. Therrien : Oui, c’est inscrit dans le mandat qui nous est conféré par la loi. Cela fait partie de l’aspect de notre mandat qui consiste à sensibiliser le public, et ce programme de contribution est l’un des moyens d’y arriver. La raison première de cela, c’est que les gens ne savent pas grand-chose sur les droits en matière de protection des renseignements personnels. Nous voulons que la population — et pas seulement les citoyens, mais aussi les entreprises et les organismes — connaisse mieux ses droits et ses obligations à cet égard. L’un des moyens que nous utilisons pour y arriver, c’est ce programme de contribution, grâce auquel nous développons et nous disséminons les connaissances à ce sujet.
La sénatrice Ringuette : Vous ne vous en servez pas pour mettre au point des programmes de sécurité?
M. Therrien : Non, pas du tout.
Le sénateur Black : Nous savons qu’une initiative intergouvernementale est en cours pour s’attaquer aux problèmes de cybersécurité. Votre bureau participe-t-il à cela?
Mme Kosseim : Pourriez-vous être plus précis au sujet de ce programme?
Le sénateur Black : Je ne fais que répéter ce que nous avons entendu ici. J’ai cru comprendre que divers organismes gouvernementaux coordonnent actuellement leurs efforts pour élaborer une stratégie nationale de cybersécurité pour le Canada. Votre commissariat participe-t-il à ces discussions?
M. Therrien : Nous ne participons pas activement à l’élaboration de stratégies, car nous sommes un agent indépendant du Parlement, nous sommes indépendants du pouvoir exécutif. C’est pour cette raison que notre engagement quant à l’élaboration de politiques étatiques est limité. Toutefois, sur le plan opérationnel, nous contribuons dans une certaine mesure aux échanges de renseignements. Steven pourrait nous dire un mot là-dessus.
Steven Johnston, analyste principal de recherche en TI, Commissariat à la protection de la vie privée du Canada : Je sais qu’il y a présentement une initiative pour revoir et mettre à jour la stratégie de cybersécurité qui a été mise en place il y a quelques années. Notre bureau a présenté des mémoires pour étayer la révision de la stratégie de sécurité nationale et de la stratégie de cybersécurité connexe. Toutefois, en règle générale, nous ne participons pas directement à ces délibérations.
Le sénateur Black : Devriez-vous en faire partie?
M. Therrien : Je crois que notre statut d’agent du Parlement nous empêche d’y participer pleinement. Nous savons que la meilleure façon pour nous de savoir que les facteurs porteurs seront pris en compte par le pouvoir exécutif dans l’élaboration de ces politiques, c’est de présenter un mémoire — et c’est aussi ce que nous avons fait ici. C’est une façon d’y arriver. S’agit-il d’une solution parfaite? Non. Étant donné la relation qui existe entre nous — un agent du Parlement — et le pouvoir exécutif, je ne crois pas que nous devrions arriver à l’étape où nous serions engagés dans le processus gouvernemental d’élaboration des politiques. La recherche de ce qui serait le moyen optimal de faire cela pourrait demander une certaine dose de réflexion, mais je ne crois pas qu’une participation intégrale de notre part serait appropriée.
Le sénateur Black : Je vous exhorte à trouver un moyen de contribuer à ce processus, car ce que vous nous dites est extrêmement important et les Canadiens s’attendent à ce que leur vie privée soit protégée. La plupart des gens, y compris les organismes gouvernementaux, ne comprennent pas parfaitement l’équilibre entre la sécurité et la vie privée. Ma suggestion serait qu’une partie de votre mandat consiste à faire en sorte que toute initiative intergouvernementale tienne compte de votre point de vue.
M. Therrien : Oui. C’est vraiment dans cette optique que nous avons présenté notre mémoire. Si cela vous intéresse, nous pouvons vous en fournir un exemplaire.
Le sénateur Black : Non, ce ne sera pas nécessaire.
M. Therrien : Nous allons assurément y réfléchir.
Le sénateur Enverga : Merci de votre présence. Le commissariat a-t-il pris part à des enquêtes au sujet de menaces commanditées par des États? Avez-vous eu vent de telles menaces?
Le sénateur Tkachuk : Sénateur Enverga, pourriez-vous clarifier votre question?
Le sénateur Enverga : Je veux parler de cybermenaces en matière de vie privée, qui auraient été commanditées par des États. Avez-vous été témoin de telles menaces?
M. Therrien : Votre question concerne les enquêtes. Comme je l’ai dit, les enquêtes sont confidentielles, alors je ne peux pas vous donner de détails sur ce que nous avons trouvé. Je ne dirai rien d’autre à ce sujet.
Je crois que la question de l’implication de puissances étrangères relève davantage d’organismes comme le Centre de la sécurité des télécommunications. Ce sont les spécialistes dans ce domaine. Il se peut très bien qu’une atteinte à la sécurité des données donnant lieu à une plainte ait été causée par l’intervention d’un État étranger. Cela est tout à fait concevable. Cependant, la première ligne de défense dans ces cas-là, c’est le CST, le Centre de la sécurité des télécommunications.
Le sénateur Enverga : Récemment, une entreprise chinoise a fait l’acquisition de Norsat, une société de transmission par satellite. Avez-vous participé à ces enquêtes de quelque façon que ce soit?
M. Therrien : Non, ce qui est en grande partie attribuable à la séparation qui existe entre le pouvoir exécutif et notre organisme, qui est un agent du Parlement.
Le sénateur Day : Monsieur Therrien, j’aimerais savoir ce que vous pensez de votre rôle au sein de l’Organisation internationale de normalisation, l’ISO. Est-ce que l’intégration des normes de l’ISO aux lois canadiennes se fait par renvoi? Pouvez-vous nous expliquer comment cela fonctionne?
M. Therrien : Oui. Je vais demander à Mme Kosseim de répondre à cela en premier. M. Johnston pourra ajouter quelque chose, s’il le souhaite.
Mme Kosseim : Pendant un certain nombre d’années, nous avons investi des ressources du bureau, sous la forme de Steven. Je vais donc lui laisser le soin de vous répondre, étant donné son engagement auprès des groupes de travail de l’ISO et le fait qu’il est le délégué canadien engagé dans l’élaboration des normes que nous finissons par adopter.
Steve, pourriez-vous nous décrire ce processus?
M. Johnston : Avec joie.
Une fois qu’une norme ISO est publiée, une fois que la rédaction est terminée et que tous conviennent qu’elle est prête à être publiée, elle peut être adoptée par les organismes nationaux des pays qui prennent part au processus d’élaboration de ces normes. Au Canada, cela se fait par des organismes comme le Conseil canadien des normes et l’Association canadienne de normalisation. Ces normes deviennent dès lors des normes nationales canadiennes.
Qu’elles soient intégrées ou non à la loi, les seules dont j’ai eu vent sont les principes de l’Association canadienne de normalisation qui forment l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques. À ma connaissance, c’est la seule fois qu’une norme nationale a été dûment inscrite dans la loi.
Cela dit, nous encourageons les organisations à tenir compte des normes ISO, entre autres, pour les pratiques exemplaires qu’elles décrivent. Nous les utilisons comme cadre lorsque nous enquêtons sur des violations impliquant un défaut de sécurité.
J’espère que cela répond à votre question.
Le sénateur Day : En dernier lieu à ce sujet, vous avez bel et bien dit qu’un enjeu comme la « gestion de l’identité » faisait partie des normes ISO. Je peux voir comment cela pourrait être une source importante de renseignements et de points de repère.
M. Johnston : Oui, le groupe de travail dans lequel j’ai été le plus actif est chargé d’élaborer des normes dans le domaine de la gestion de l’identité. Plusieurs normes ont été adoptées à l’échelle internationale et sont en train de s’incruster dans les normes nationales. Le Conseil du Trésor est conscient de ce travail et en tient compte lorsqu’il élabore des normes et des politiques gouvernementales.
M. Therrien : Pour ajouter à ce que vient de dire M. Johnston, nous avons joint un certain nombre de groupes de travail piloté par l’ISO — soit en tant que bureau ou à titre personnel par l’intermédiaire de Steven —, de sorte que nous participons directement au développement de certaines de ces normes. Comment ces normes seront concrétisées au Canada dépend d’un certain nombre de choses. Comme on l’a dit tout à l’heure, certaines de ces normes déboucheront sur des codes de pratiques exemplaires.
L’une des vertus de la Loi sur la protection des renseignements personnels qui régit le secteur privé, la LPRPDE, c’est le fait qu’elle établit des normes générales. Par exemple, en ce qui concerne la sécurité, la norme est générale. Les entreprises et les organisations doivent adopter des normes de sécurité adéquates ou appropriées en fonction du caractère délicat de l’information. Ensuite, une norme de l’ISO pourrait être intégrée dans une norme générale comme celle-ci de manière à ce qu’on puisse dire qu’une norme ou un libellé approprié est éclairé par des normes techniques telles que celles élaborées par l’ISO.
Le sénateur Day : Merci. Ces renseignements sont utiles.
L’autre question que je souhaitais vous poser est liée à la déclaration obligatoire des atteintes à la vie privée. Il y a quelques années, vous avez fait allusion à la Loi sur la protection des renseignements personnels numériques, et vous avez déclaré au cours de vos observations que le règlement régissant le secteur privé n’avait « pas une portée aussi vaste que nous l’aurions espéré ». Vous avez ensuite signalé quelques domaines où, selon vous, des mesures supplémentaires pourraient être prises. Avez-vous présenté un mémoire au gouvernement à ce sujet, et, le cas échéant, est-il disponible?
M. Therrien : Oui, le mémoire est affiché sur notre site web, et nous pouvons le mettre directement à la disposition du comité.
Le sénateur Tannas : Je vous remercie d’être venu aujourd’hui.
J’ai quelques questions à vous poser à propos de votre organisation. Monsieur le commissaire, combien de travailleurs le commissariat emploie-t-il au total, et combien d’entre eux se penchent précisément sur la cybersécurité, les atteintes à la vie privée, les enquêtes, et cetera?
M. Therrien : Nos effectifs comptent approximativement 180 employés.
Il est très difficile de dire combien de personnes s’occupent des questions liées à la cybersécurité en tant que telle parce que nous sommes répartis en fonction des diverses directions des enquêtes. Puis il y a la direction des politiques et des technologies que Mme Kosseim dirige. Une question liée à la cybersécurité peut, dans la plupart des cas, prendre la forme d’une déclaration d’une atteinte à la vie privée provenant du secteur privé ou du secteur public. Par conséquent, elle sera traitée par les gens qui travaillent dans les directions des enquêtes.
Il y a seulement un petit groupe de gens qui s’occupent de ces questions. Il y a essentiellement de nombreux enjeux liés à la protection de la vie privée. Les atteintes à la vie privée représentent une importante facette de cette protection, mais ce n’est pas la seule et, en général, nous manquons de ressources. Par conséquent, il n’y a qu’une poignée de gens qui jouent un rôle dans ce domaine.
Combien d’employés y a-t-il dans votre direction ?
Brent Homan, directeur général, Direction des enquêtes liées à la Loi sur la protection des renseignements personnels et les documents électroniques, Commissariat à la protection de la vie privée du Canada : Les enquêteurs de la direction sont au nombre de 20 à 25. En ce qui concerne les atteintes à la vie privée, un service spécialisé composé d’environ deux personnes et demie à trois personnes est responsable de leur réception. Cela dit, il revient à ces gens de recevoir les déclarations d’atteintes à la vie privée et de procéder à leur évaluation préliminaire. Toutefois, pour entreprendre des poursuites, ils doivent travailler avec des analystes, tels que Steve, ainsi que la direction des services juridiques. Lorsque nous intentons des poursuites liées à des atteintes à la vie privée, nous utilisons un plus grand nombre de ressources, d’analystes et d’avocats de l’organisation.
M. Therrien : Nous disposons d’une poignée d’enquêteurs et, de temps en temps, lorsque nous sommes appelés, entre autres, à préparer des mémoires et à participer à des groupes de travail, nous faisons appel à des employés responsables des politiques. Il est difficile de les quantifier, mais ils sont certes moins de 10 au total.
Le sénateur Tannas : Alors, voici ma prochaine question : pensez-vous avoir suffisamment de ressources pour remplir votre mandat et pour faire tout ce qui est nécessaire pour assurer la protection de la vie privée des Canadiens?
M. Therrien : En bref, la réponse est non. L’une des principales raisons pour lesquelles nous croyons que nous pourrions accroître notre valeur si nos effectifs étaient plus importants, c’est que nous recevons des centaines de déclarations d’atteintes à la vie privée, par exemple, et nous enquêtons seulement sur un minuscule pourcentage d’entre elles, ce qui veut dire que nous sommes incapables de déceler les problèmes ou les menaces systémiques. En ayant accès à un plus grand nombre de ressources, nous comprendrions mieux l’environnement. Nous comprenons assez bien l’environnement, mais nous pourrions en avoir une compréhension meilleure et plus nuancée pour pouvoir prodiguer des conseils plus utiles et atténuer les menaces.
Le sénateur Tannas : Merci.
M. Homan : L’environnement auquel le commissaire fait allusion devient de plus en plus difficile et complexe. Cela n’est pas nécessairement dû simplement à la nature des atteintes à la vie privée, mais aussi au fait que dès qu’il a été annoncé que la déclaration de ces atteintes allait bientôt devenir obligatoire, le nombre de déclarations d’atteintes à la vie privée a doublé par rapport à 2012-2013, et cela même avant que la déclaration obligatoire entre en vigueur.
Si notre expérience a quelque chose en commun avec celle de certains de nos homologues provinciaux, comme ceux de l’Alberta, et je soupçonne qu’il n’y a aucune raison qu’il en soit autrement, lorsque la déclaration obligatoire est entrée en vigueur dans leur territoire, je crois qu’ils ont observé une hausse du nombre de déclarations reçues de 200 p. 100. Nous nous attendons à en recevoir encore plus alors que nos ressources sont déjà limitées.
M. Therrien : Le dernier argument que j’aimerais faire valoir à ce sujet, c’est que, lorsque le projet de loi S-4 a été adopté, nous n’avons reçu aucune ressource pour traiter ces déclarations d’atteintes à la vie privée. Les ressources que nous consacrons en ce moment à cet enjeu ont été libérées au cours d’une réaffectation interne des ressources. On nous a confié une nouvelle responsabilité importante sans nous fournir de ressources supplémentaires pour nous en acquitter.
[Français]
La sénatrice Moncion : Ma question a trait à la loi sur les renseignements personnels. Il y a deux aspects. L’un des aspects, c’est qu’il y a beaucoup de gens qui divulguent des renseignements personnels quand ils vont dans les magasins. Souvent, on va donner son adresse, son numéro de téléphone, son code postal. Il y a la question de la sécurité liée à de l’information qui est donnée volontairement par les personnes lorsqu’elles vont magasiner. Je crois que les gens ne pensent pas aux violations de la confidentialité qui pourraient survenir quant à leurs renseignements personnels. Les gens ne donnent pas nécessairement leur date de naissance ni leur numéro d’assurance sociale, mais cela suppose tout de même un niveau de sécurité qui est sans doute moindre que celui des institutions financières. Quelles sont les règles qui entourent l’information qui est donnée volontairement dans les magasins, et jusqu’à quel point ces commerces ont-ils le droit de demander cette information?
Ma deuxième question est liée aux renseignements personnels, cette fois-ci en ce qui a trait aux institutions financières. J’ai travaillé dans ce milieu pendant plusieurs années et, lorsque la loi sur les renseignements personnels est entrée en vigueur, un problème s’est développé du côté de la sécurité de l’information. Les institutions financières sont tenues de garder confidentielle l’information concernant la clientèle, même si elles savent qu’un ou quelques-uns de leurs clients font des choses qui ne sont pas toujours légales. On ne peut pas transmettre cette information. À un moment donné, nous trouvions que la loi sur les renseignements personnels était beaucoup trop restrictive de ce point de vue.
J’aimerais entendre votre opinion sur cette situation que j’ai vécue, pas de façon quotidienne, mais dans laquelle, à un moment donné, un corps policier est venu nous voir afin d’enquêter un cas. Nous ne pouvions pas donner d’information. Ou encore, il y avait des cas où nous voyions qu’il y aurait dû y avoir enquête et où ne pouvions rien faire.
M. Therrien : Il n’y a pas de différence entre les magasins et les institutions financières quant aux obligations légales en vertu de la LPRPDE. Cette loi ne fait pas de distinction entre les secteurs d’activité au niveau commercial, entre les banques ou toute autre activité commerciale. Les magasins sont, au niveau juridique, astreints aux mêmes obligations.
Quant à votre question à savoir si les gens peuvent avoir accès aux renseignements détenus par ces compagnies, la réponse est oui.
Je vais passer à la question de la divulgation aux forces policières à des fins de détection de la fraude. Je dirais que, certes, les magasins sont soumis aux mêmes obligations, mais que les organisations ont différentes tailles. Les grandes organisations, même si elles n’ont pas mis en oeuvre des mesures parfaites, offrent généralement une meilleure protection que les plus petites organisations. Je vais demander à mon collègue, Brent Homan, qui a parlé beaucoup avec les PME de ces différentes questions, de compléter cette réponse.
[Traduction]
M. Homan : En ce qui concerne les PME, les petites et moyennes entreprises, nous avons découvert qu’elles sont particulièrement vulnérables à la fraude parce qu’elles n’ont souvent pas conscience de leurs obligations en matière de protection de la vie privée. Nous travaillons en ce moment à la sensibilisation de ce groupe particulier d’organisations afin de leur faire prendre conscience non seulement de leurs obligations en matière de protection de la vie privée, mais aussi de quelques-unes des mesures qu’elles peuvent prendre pour accroître leurs infrastructures de sécurité. Pour certaines de ces entreprises, ces mesures peuvent être très rudimentaires — il suffit qu’elles soient conscientes des menaces qui peuvent peser sur leur propre organisation ou sur leur secteur et qu’elles se rendent compte que, si l’un de leurs partenaires de secteur est attaqué ou vulnérable à une certaine atteinte à la sécurité, elles pourraient être les suivantes. Une partie du travail consiste simplement à discuter avec les PME et à leur faire savoir qu’elles ont des obligations et qu’elles courent des risques.
Les mesures à prendre pourraient être aussi simples et aussi rudimentaires que le fait de s’assurer que les documents et les classeurs sont sous clé, que les données sont stockées sur des systèmes sécurisés et qu’elles sont chiffrées. Si leur entreprise compte une ou deux personnes, les propriétaires n’ont pas nécessairement besoin de disposer d’un service complet de TI ou même de pouvoir s’en payer un, mais ils doivent assurément avoir les moyens de prendre certaines précautions pour faire en sorte que les renseignements qu’ils détiennent et partagent sont en sécurité. Une partie de ce travail consiste, dans l’intervalle, à faire l’inventaire des renseignements en leur possession de manière à s’assurer qu’ils sont encore nécessaires. S’ils n’en ont plus besoin, ils doivent s’en débarrasser, ou s’ils ont le sentiment qu’ils ont besoin des renseignements à une certaine fin, ils doivent déterminer quand ils les supprimeront.
Voilà les genres de leçons que nous nous sommes souciés de donner aux petites entreprises au cours de la dernière année et demie, parce que nous avons déterminé qu’elles faisaient partie d’un groupe particulier ayant besoin de ces enseignements et de cette sensibilisation.
[Français]
M. Therrien : Pour ce qui est de la divulgation par les compagnies, au-delà de la compagnie en question, à des fins de détection de criminalité ou de fraude, il y a des dispositions de la loi qui le permettent. Je sais que certaines compagnies trouvent qu’elles sont trop restrictives. Je vais demander à Mme Kosseim de décrire les dispositions en question.
Mme Kosseim : Je vais répondre à la question en trois temps. Premièrement, pour ce qui est de la possibilité, pour les banques ou d’autres organismes, de partager de l’information entre elles, à des fins de partager des renseignements ou des faits ou circonstances qui pourraient détecter la fraude, il y a de nouvelles dispositions qui le permettent maintenant, sans le consentement sous certaines conditions, en vertu des amendements au projet de loi S-4 qui ont été adoptés. À cet égard, nous avons énoncé des lignes directrices qui, en général, conseillent le gros bon sens, en ce sens qu’il faut quand même que les organisations partagent l’information, de façon raisonnable, et respectent les conditions permises par la loi.
Deuxièmement, on parle du partage des renseignements avec les forces policières, d’une part, lorsque celles-ci en font la demande ou lorsqu’elles veulent les partager d’elles-mêmes. Lorsqu’il s’agit d’une demande des forces policières auprès des banques ou d’autres institutions, que ce soit des organisations, des magasins ou des compagnies de télécommunication, la Cour suprême a dicté des conditions très claires dans l’arrêt R. c. Spencer : des circonstances contraignantes qui permettraient aux forces policières de demander ces renseignements personnels sans le consentement, une loi raisonnable qui l’autoriserait ou lorsque les données ne créent pas une attente raisonnable en matière de respect de la vie privée. C’est là où la Cour suprême nous a laissé une zone grise à interpréter.
Pour ce qui est des compagnies qui veulent d’elles-mêmes partager les renseignements avec les forces policières quand elles détectent, sentent ou soupçonnent qu’il y a un problème ou potentiellement un crime, la Cour suprême a laissé la porte ouverte à ce partage qui est fait sur une base volontaire. Il y a une disposition d’immunité qui permet de le faire, sous certaines conditions, tout en respectant les circonstances énoncées par la Cour suprême dans l’arrêt Spencer, mais il ne faut pas qu’il y ait collusion avec les forces policières et il ne faut pas que ce soit de façon systématique sans que l’organisation y réfléchisse. Il y a justement une décision de la Cour d’appel, au Québec, qui a trouvé que cette pratique systématique de partager des renseignements avec les forces policières — pas dans les cas exceptionnels, mais dans tous les cas — était non conforme à la Charte.
La sénatrice Ringuette : Pouvez-vous me donner une idée du nombre de plaintes que vous avez reçues et du nombre d’enquêtes que vous avez faites?
M. Therrien : Je vais demander à M. Homan de vous donner les détails. Nous recevons environ 3 000 plaintes par année des secteurs privé et public. Nous les réglons presque toutes en utilisant, entre autres, des mécanismes de résolution de conflit rapides. Toutefois, on n’arrive pas tout à fait à enquêter toutes les plaintes déposées.
M. Homan : En ce qui concerne les plaintes reçues, le nombre était d’environ 150. Toutefois, on ne parle pas des attentes. Pour ce qui est des avis relatifs aux attentes, le nombre se situe entre 90 et 95.
M. Therrien : Pour le secteur privé.
M. Homan : Seulement pour le secteur privé.
La sénatrice Ringuette : Commençons par le secteur privé.
M. Therrien : On parle de quelques centaines de plaintes.
La sénatrice Ringuette : Vous avez dit environ 150?
M. Homan : J’ai mentionné 150 plaintes.
La sénatrice Ringuette : Vous avez fait enquête sur combien de ces 150 plaintes?
M. Homan : Il y a différents types d’enquêtes. Il y a les enquêtes formelles et non formelles. On parle d’environ 80 enquêtes.
M. Therrien : Formelles.
M. Homan : Formelles.
M. Therrien : On essaie de régler les cas rapidement, dans la mesure du possible, lorsque le litige entre le plaignant et la compagnie n’est pas très important. On arrive à régler environ la moitié des plaintes de cette façon, et l’autre moitié fera l’objet d’enquêtes formelles.
La sénatrice Ringuette : Pouvez-vous nous donner un exemple du genre de règlement auquel vous arrivez avec une entreprise privée dans le cas d’une plainte?
M. Therrien : Vous voulez dire un règlement rapide?
La sénatrice Ringuette : Oui.
M. Therrien : M. Homan va compléter ma réponse. Il se peut que la plainte ne soit pas tout à fait fondée. Nous aurons alors une communication avec le plaignant. Il se peut aussi que la violation soit évidente et que la compagnie n’ait pas beaucoup réfléchi à la question. Lorsqu’on lui démontre que ses agissements n’étaient pas appropriés en ce qui concerne la vie privée, la compagnie accepte de se conformer rapidement.
M. Homan : Souvent, il y a médiation entre l’organisation et le plaignant. Si le problème n’est pas systémique ou qu’il s’agit d’un problème qui comporte un risque important, c’est l’occasion de résoudre la plainte sans mobiliser beaucoup de ressources.
M. Therrien : Cela étant dit, pour revenir au thème de la cybersécurité et de la technologie, à cause de l’évolution technologique, de plus en plus de plaintes soulèvent des questions complexes en matière de technologie. Dans ces cas, on ne parle pas du tout de résolution rapide. On a besoin non seulement d’enquêteurs, mais de technologues pour aider les enquêteurs.
[Traduction]
Le sénateur Wetston : Comme vous avez pu le constater en entendant ma question précédente, mon opinion particulière est qu’Internet et la numérisation sont rapidement en train de devenir la scène des crimes du XXIe siècle, et je me demande si nous sommes prêts à combattre ces crimes.
M. Therrien : Avez-vous dit « l’ascendant »?
Le sénateur Wetston : La scène des crimes ou la nouvelle délinquance juvénile, selon votre optique. En vous en tenant uniquement à l’opinion que vous avez acquise en travaillant au commissariat, qui, selon vous, est le plus vulnérable aux atteintes à la protection des données? Le gouvernement ou le secteur privé?
M. Therrien : Je ne crois pas qu’il soit possible de le dire. Ils courent tous les deux de grands risques : le gouvernement parce qu’il détient évidemment une énorme quantité de renseignements de nature délicate et de renseignements personnels sur les contribuables et les personnes qui reçoivent des soins de santé, ainsi que toutes sortes de renseignements très confidentiels; et les entreprises parce qu’elles détiennent également un nombre incroyable de renseignements personnels sur des communications, des intérêts personnels, et cetera. J’estime que le degré de risque est élevé tant pour le secteur public que pour le secteur privé.
Le sénateur Wetston : Nous avons entendu les témoignages des représentants officiels, mais je m’interroge à propos de l’état de préparation au chapitre de la protection de la vie privée. Je sais que c’est une question à laquelle il est difficile de répondre, mais je pense qu’il est vraiment important de le comprendre compte tenu des possibilités qui existent et des protections qui sont requises pour le public, qu’il s’agisse d’atteintes aux données commerciales, d’atteintes aux données criminelles ou de tentatives de piratage du genre dont nous avons parlé. Il vous est peut-être difficile de nous faire part de votre opinion à ce sujet, mais il me semble que nous disposons de certaines déclarations. Je pense, par exemple, au fait que l’Alberta met en œuvre la déclaration obligatoire des atteintes à la vie privée, contrairement à ce qui se passe à l’échelle fédérale. Je m’interroge un peu sur la question de savoir si ces types d’exigences contribuent à notre capacité de nous attaquer au moins à la question des vulnérabilités.
M. Therrien : Oui, l’expérience des autres provinces — de l’Alberta, entre autres — est utile.
En ce qui concerne la question de l’état de préparation, je dirais que le gouvernement et les grandes entreprises se trouvent dans une situation plus semblable parce que ce sont de grandes organisations dotées des ressources nécessaires pour gérer ces enjeux. Les entreprises de taille inférieure n’ont pas le même degré de préparation. Cela dit, les grandes entreprises possèdent d’importantes bases de données qui présentent un attrait particulier pour les pirates ingénieux. C’est très difficile à dire.
Le sénateur Tkachuk : J’ai quelques questions à vous poser. Comment pouvons-nous gérer des systèmes d’exploitation comme ceux d’Apple et de Windows? Ces entreprises disposent de ce qu’elles appellent le nuage. Je ne sais pas si les gens savent exactement où tous leurs renseignements sont acheminés, mais il est évident qu’il s’agit d’une source centrale d’information. Apple a essentiellement accès à tout ce qui se trouve sur mon ordinateur, afin que je puisse y avoir accès à partir d’un autre ordinateur situé ailleurs. Cela représente une foule d’informations. Cette entreprise dispose de tout ce qui se trouve sur mon ordinateur. Comment peut-on assurer la sécurité de systèmes de ce genre? Quelles responsabilités ces entreprises assument-elles? Des personnes peuvent maintenant accéder à une source centrale d’information et recueillir essentiellement des renseignements sur tous les gens.
M. Therrien : Le fait que des gouvernements ou des sociétés extrêmement importantes détiennent d’énormes quantités de renseignements, voire tous nos renseignements personnels, est assurément préoccupant du point de vue de la protection de la vie privée parce que…
Le sénateur Tkachuk : Apple détient cette information.
M. Therrien : … ces organisations nous connaissent mieux que nous nous connaissons nous-mêmes. Du point de vue de la protection de la vie privée, c’est extrêmement inquiétant.
Du point de vue de la sécurité, le fait qu’il y ait un « nuage » où l’information est stockée et que ce nuage comprenne un dépôt central qui réside sur des réseaux, dont certains peuvent certainement se trouver à l’extérieur du Canada et d’autres à l’intérieur, n’est pas nécessairement un problème, parce que ces énormes entreprises connaissent leur domaine et disposent habituellement de systèmes de sécurité meilleurs que ceux des petites entreprises. Je ne soutiens pas que le nuage ne constitue pas un problème du point de vue de la sécurité, mais, habituellement, les entreprises qui interviennent dans ce secteur prennent de meilleures mesures de sécurité que les petites entreprises. Cependant, du point de vue de la protection de la vie privée, c’est-à-dire le point de vue que j’ai expliqué, ces entreprises savent tout sur nous, et c’est extrêmement préoccupant.
Le sénateur Massicotte : Il y a quelques années, votre prédécesseur, je crois, a prévenu notre comité que les Canadiens partageaient la plus grande quantité de renseignements privés sur les réseaux sociaux et étaient les plus exposés aux atteintes à la vie privée. En d’autres termes, nous sommes plus confiants que les autres nations. Est-ce bien ou mal? Je présume que cela accroît les risques de vol d’identité, et cetera. Comment gérez-vous cette situation?
M. Therrien : Sur les médias sociaux?
Le sénateur Massicotte : Oui.
M. Therrien : Il est toujours vrai que les Canadiens utilisent Internet plus fréquemment que la plupart des autres citoyens du monde entier. Je ne sais pas si nous occupons toujours le premier rang, mais nous sommes parmi ses plus fervents utilisateurs.
En ce qui concerne les médias sociaux, nous nous efforçons d’afficher sur notre site web certains documents d’orientation et certains conseils sur la façon de protéger vos renseignements personnels. Les gens sont très confiants et, en général, ils ont l’impression que, lorsqu’ils diffusent des renseignements sur les médias sociaux, seul un cercle d’amis connus y a accès. Eh bien, je vous conseillerais de vérifier vos paramètres de protection des renseignements personnels, car ce pourrait ne pas être le cas. Il se peut que ces renseignements soient transmis à bon nombre de gens auxquels vous ne vous attendez pas.
C’est dans ces situations que l’éducation du public revêt une grande importance. Les médias sociaux offrent des façons amusantes et utiles de communiquer pour certaines personnes. Je le comprends, mais cela entraîne des risques. Notre responsabilité consiste en grande partie à tenter d’éduquer le public de la meilleure façon possible, et notre outil le plus important est notre site web, que les gens peuvent consulter. Nous n’avons pas les fonds nécessaires pour faire de la publicité, par exemple, mais, pour ce qui est des ressources, nous estimons que notre site web est un merveilleux outil à notre disposition. Mais est-ce que les gens le consultent pour obtenir les renseignements qu’ils recherchent? Nous n’avons pas d’argent pour faire de la publicité. Il serait peut-être utile que nous en ayons.
Le sénateur Tkachuk : Donc, si je deviens un homme des cavernes et que je déclare ne plus vouloir enregistrer mes renseignements dans le nuage et préférer utiliser, pour les sauvegarder, un disque dur que je peux débrancher à la fin de la journée, comment puis-je m’assurer que l’entreprise Apple supprimera les données qu’elle a obtenues à mon sujet?
Le sénateur Massicotte : Lorsque vous supprimez les données.
Le sénateur Tkachuk : Lorsque je déclare que « je ne veux plus me prévaloir de ce service » et que je n’utiliserai plus le nuage Apple ou Windows, mais plutôt une sauvegarde de données, comment puis-je m’assurer que l’entreprise Apple ou Windows se débarrassera des renseignements qu’elle a recueillis à mon sujet?
M. Therrien : C’est un énorme problème. La première réponse que je peux vous donner facilement, c’est que la loi stipule que les organisations peuvent conserver l’information tant qu’elle est nécessaire et que, si la personne retire son consentement, les organisations ne devraient plus conserver les renseignements. Cependant, pendant la période où les organisations détenaient ces renseignements, elles peuvent les avoir communiqués à d’autres personnes.
Le sénateur Tkachuk : C’est ce qui est alarmant.
Merci beaucoup. Cette séance a été très instructive.
(La séance est levée.)