Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule no 41 - Témoignages du 22 mai 2018
OTTAWA, le mardi 22 mai 2018
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 14 h 29, pour étudier la teneur des éléments des sections 2, 4, 5, 6, 7, 12, 16 et 19 de la partie 6 du projet de loi C-74, Loi portant exécution de certaines dispositions du budget déposé au Parlement le 27 février 2018 et mettant en œuvre d’autres mesures.
Lynn Gordon, greffière du comité : Mesdames et messieurs, en tant que greffière de votre comité, il est de mon devoir de vous informer de l’absence inévitable du président et de la vice-présidente et de présider à l’élection d’un président suppléant.
[Français]
Je suis prête à recevoir une motion à cet effet. Y a-t-il des nominations?
[Traduction]
Le sénateur Marwah : J’aimerais proposer le sénateur Wetston.
Mme Gordon : Est-ce qu’il y a d’autres propositions?
L’honorable sénateur Marwah propose que l’honorable sénateur Wetston soit élu président du comité.
Vous plaît-il, mesdames et messieurs, d’adopter cette motion?
Des voix : D’accord.
Le sénateur Howard Wetston (président suppléant) occupe le fauteuil.
Le président suppléant : Bonjour et bienvenue à mes collègues ainsi qu’aux membres du public qui suivent aujourd’hui les délibérations du Comité sénatorial permanent des banques et du commerce, que ce soit sur place ou sur le Web. Je suis Howard Wetston, sénateur de Toronto, en Ontario. Pour commencer, j’invite les sénateurs à bien vouloir se présenter.
[Français]
La sénatrice Ringuette : Sénatrice Pierrette Ringuette, du Nouveau-Brunswick.
[Traduction]
Le sénateur Marwah : Sabi Marwah, de l’Ontario.
La sénatrice Unger : Betty Unger, de l’Alberta.
[Français]
Le sénateur Dagenais : Jean-Guy Dagenais, du Québec.
[Traduction]
Le président suppléant : Merci beaucoup.
Aujourd’hui, nous poursuivons notre étude de la teneur des éléments de diverses sections de la partie 6 du projet de loi C-74 visant l’exécution du budget de 2018, no 1, et nous allons nous pencher en particulier sur la section 16, comportant des modifications à certaines lois régissant les institutions financières fédérales, et la subdivision A, concernant les activités liées à la technologie financière.
J’ai le plaisir d’accueillir le commissaire à la protection de la vie privée, Daniel Therrien, qui est accompagné de Barbara Bucknell, directrice des politiques, de la recherche et des affaires parlementaires.
Monsieur le commissaire, vous pouvez prononcer votre déclaration liminaire, après quoi nous passerons aux questions et réponses.
[Français]
Daniel Therrien, commissaire à la protection de la vie privée, Commissariat à la protection de la vie privée du Canada : Merci, monsieur le président. Bon après-midi, honorables sénateurs. Je vous remercie de me donner l’occasion de m’exprimer au sujet de la section 16 du projet de loi C-74, Loi portant exécution de certaines dispositions du budget déposé au Parlement le 27 février 2018 et mettant en œuvre d’autres mesures.
Les modifications proposées à la section 16 du projet de loi C-74 éliminent les obstacles dans la loi afin de faciliter les relations d’affaires et la coopération entre les institutions financières fédérales et les organisations du secteur des technologies financières. À l’heure actuelle, tel que je le comprends, les institutions financières ne peuvent traiter qu’avec les organisations qui prennent part à des activités principalement financières.
Toute entreprise qui commercialise de nouvelles technologies financières peut être considérée comme une entreprise de technologie financière. Les entreprises de technologie financière ne sont peut-être pas réglementées dans le secteur financier, mais la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique à toutes les organisations qui recueillent, utilisent et divulguent des renseignements personnels dans le cadre de leurs activités commerciales. Cela comprend les entreprises de technologie financière et les institutions financières comme telles.
Nous croyons comprendre que ces modifications visent à offrir de nouvelles possibilités au secteur financier et à ses clients afin de leur permettre de tirer avantage des nouvelles technologies. Toutefois, les amendements élargissent aussi le type d’organisation qui peut recevoir des renseignements personnels de la part des institutions financières, ce qui soulève des enjeux en matière de vie privée.
Bien que les avancées liées aux technologies et à l’innovation soient souhaitables et puissent offrir de nombreux avantages aux Canadiens, ces objectifs doivent être compensés par des mesures de protection de la vie privée étoffées. L’innovation et la protection de la vie privée devraient être recherchées simultanément. L’atteinte de cet objectif par le projet de loi C-74 dépendra en grande partie de la façon dont la LPRPDE est appliquée par les organisations, et peut-être en partie du contenu des règlements que le gouvernement a annoncés, bien que ce contenu ne soit pas connu.
Le gouvernement ne m’a pas consulté quant aux détails de ces modifications et, en particulier, des règlements. Il m’est donc difficile de dire si un juste équilibre a été trouvé. D’après l’information dont je dispose, je dirais que les efforts du gouvernement ont porté vers la recherche de l’innovation et qu’il ne semble pas s’être soucié de la protection de la vie privée. L’approche « Privacy by Design » ne semble donc pas avoir été appliquée.
[Traduction]
Les Canadiens sont préoccupés par la façon dont leurs renseignements personnels sont traités. Le consentement est un élément central de l’autonomie personnelle et est au cœur même de la LPRPDE. La loi oblige les institutions financières et les entreprises de technologie financière à obtenir un consentement valable auprès de leurs clients afin de recueillir, d’utiliser ou de divulguer des renseignements personnels.
Aux termes de cette loi, le consentement n’est valable que si un individu comprend la nature, les fins et les conséquences de ce à quoi il consent.
La LPRPDE permet différentes formes de consentement, à savoir le consentement explicite et le consentement implicite. Lorsque des renseignements personnels sont considérés comme étant sensibles, un consentement explicite est nécessaire. La Cour suprême du Canada statue généralement que l’information financière est de nature extrêmement sensible. Par conséquent, on s’attend à ce que les institutions financières et les entreprises de technologie financière obtiennent le consentement explicite de leurs clients.
On parle énormément des défis liés au modèle de consentement comme méthode de protection de la vie privée. Il est reconnu que les politiques de confidentialité des organisations et les contrats qu’elles font signer aux clients sont longs, complexes et très difficiles à comprendre. Au cours des dernières années, le commissariat a examiné les améliorations qui pourraient être apportées au modèle de consentement actuel. À la suite de ce travail, nous sommes en train de terminer nos lignes directrices en matière de consentement, qui seront publiées très prochainement et entreront en vigueur en janvier 2019. Ces lignes directrices définiront une orientation pratique en ce qui a trait aux mesures que devraient prendre les organisations pour s’assurer d’obtenir un consentement valable. Par exemple, les organisations doivent mettre davantage l’accent sur les éléments clés suivants. Premièrement, indiquer les renseignements personnels des individus qui sont recueillis ou qui sont susceptibles de l’être. Deuxièmement, expliquer clairement toute communication de renseignements personnels à des tiers, en précisant entre autres le type de renseignements communiqués et en énumérant ces tiers le plus précisément possible. Pour les institutions financières, les tiers comprendraient les entreprises de technologie financière. Troisièmement, informer les personnes de toutes les fins auxquelles les renseignements seront recueillis, utilisés ou communiqués, en énonçant ces fins dans un langage clair et, en particulier, en soulignant toute fin qui ne serait pas évidente pour la personne — comme l’analyse des mégadonnées, le profilage ou toute autre activité qui n’est pas liée au service financier demandé par le client —, ou à laquelle elle pourrait raisonnablement ne pas s’attendre dans le contexte. Et quatrièmement, informer les personnes des risques importants de préjudices graves et des autres conséquences.
J’en arrive maintenant au cœur de la question. Si le secteur financier obtient un consentement explicite et éclairé tel que le recommandent nos lignes directrices, j’estime qu’on parviendra à un degré raisonnable de protection de la vie privée. Par contre, j’ai des raisons de croire que les institutions financières et les entreprises de technologie financière voudront procéder différemment, et en vertu de la loi actuelle, je n’ai pas le pouvoir d’obliger les organisations à appliquer ce qui me semble constituer des mesures raisonnables. Les consommateurs concernés devront consacrer plusieurs années à faire valoir leurs droits devant les tribunaux.
Je suis donc préoccupé par les modifications incluses dans le projet de loi. Pour rétablir l’équilibre, le moyen le plus direct serait de donner au commissariat le pouvoir d’ordonner au secteur financier d’obtenir le consentement explicite et véritablement éclairé de leurs clients.
En conclusion, des mesures efficaces de protection de la vie privée sont essentielles à la confiance des consommateurs à l’égard des technologies émergentes. Tout transfert de renseignements personnels qui serait facilité par suite des amendements apportés au projet de loi C-74 doit être envisagé compte tenu de toutes les obligations en matière de protection de la vie privée, de la façon dont les organisations s’acquitteront de ces obligations, et de toute disposition des règlements à venir qui pourrait avoir des répercussions sur la vie privée.
Pour le moment, je n’ai pas l’assurance qu’un bon équilibre a été atteint entre l’innovation et le respect de la vie privée ni que les principes de « Privacy by Design » , ou de protection intégrée de la vie privée, ont été appliqués dans l’élaboration de ce projet de loi.
Je vous remercie, monsieur le président, et je serai heureux de répondre à vos questions.
Le président suppléant : Merci, commissaire.
Avez-vous quelque chose à ajouter, madame Bucknell? Vous allez plutôt participer en répondant aux questions?
Barbara Bucknell, directrice des politiques, de la recherche et des affaires parlementaires, Commissariat à la protection de la vie privée du Canada : Oui.
Le sénateur Marwah : Je vous remercie de votre exposé. Je suis ravi que vous mettiez à jour vos lignes directrices relatives au consentement, mais il s’agit quand même toujours de lignes directrices, n’est-ce pas? Les institutions sont-elles obligées de s’y soumettre?
M. Therrien : Elles n’ont pas force de loi.
Le sénateur Marwah : Est-ce que les lignes directrices qui seront émises s’appliqueront à toutes les organisations? Vous suggérez que les entreprises de technologie financière et en particulier les banques vous donnent le pouvoir de le faire. Qu’en est-il des assureurs, des détaillants, des épiceries et de La Baie? Toutes les sociétés fournissent maintenant des données — pas seulement les entreprises de technologie financière, mais il y d’autres sociétés technologiques. L’innovation se fonde essentiellement sur les données, et tout le monde fournit plus de données pour obtenir plus de connaissances et d’information. Vous ne parlez que d’un petit secteur. Qu’en est-il des autres secteurs qui font essentiellement la même chose?
M. Therrien : Je ne me suis peut-être pas exprimé clairement. Je me concentrais sur ce secteur en particulier, car c’est au cœur des dispositions en question. Ce que je recommande, c’est que j’aie le pouvoir de rendre des ordonnances à l’encontre d’organisations en vertu de la LPRPDE, y compris les institutions financières et les entreprises de technologie financière, entre autres organisations.
Je me concentrais sur les institutions financières et les entreprises de technologie financière, dans ma déclaration, parce que je pense que c’est ce qui se trouve au cœur du projet de loi C-74. Cependant, ma recommandation ne se limite pas à ces deux types d’institutions.
Le sénateur Marwah : Comment vous occupez-vous en ce moment des autres organisations? Prenons l’exemple des détaillants qui font déjà cela. Sont-ils soumis à la LPRPDE en ce moment?
M. Therrien : Oui.
Le sénateur Marwah : Ils le sont. Vous dites que cela devrait également relever de ces dispositions et que vous devriez avoir le pouvoir de vous occuper de tout?
M. Therrien : Oui.
Le sénateur Marwah : C’est intéressant. D’accord. Merci.
La sénatrice Ringuette : Je vous remercie de votre présence, monsieur Therrien, et je remercie les membres du comité d’avoir accepté de vous faire témoigner.
Il y a quelques semaines, quand les représentants du ministère comparaissaient devant nous, j’ai dû leur demander trois fois s’ils vous avaient consulté au sujet de la protection de la vie privée des clients. Au bout du compte, j’ai bien compris qu’ils n’avaient pas eu de rencontre avec vous.
Je regarde votre recommandation — probablement préparée après que nous vous ayons demandé de comparaître devant nous pour nous parler des détails. Vous dites essentiellement que vous n’avez pas été consulté. Vous avez des préoccupations pour lesquelles vous souhaitez des solutions concernant les mécanismes vous permettant de rendre des ordonnances à l’encontre des institutions financières et des entreprises de technologie financière au sujet de l’obtention du consentement.
M. Therrien : Et cela vaudrait pour les autres organisations aussi, comme l’a précisé le sénateur Marwah.
La sénatrice Ringuette : Je veux que nous comprenions tous bien : quand les représentants du ministère ont comparu devant nous, ils ont dit que les préoccupations relatives à la protection de la vie privée de la Loi sur les banques — nos préoccupations, ou mes préoccupations en matière de protection de la vie privée, dans la Loi sur les banques — étaient telles que nous devrions adopter cette partie de la Loi d’exécution du budget sans nous en faire. Ce n’est cependant pas ce que vous dites.
M. Therrien : Permettez-moi de vous expliquer mieux ma position, tout en demeurant concis.
Je crois que les représentants du ministère des Finances sont d’avis que la LPRPDE, la loi dont j’assure l’application et qui ne s’applique pas qu’aux institutions financières, comporte certaines mesures de protection de la vie privée qu’ils estiment peut-être suffisantes.
Je vais vous expliquer d’où je viens : étant donné l’évolution de la technologie, le projet de loi C-74 offre aux institutions financières de plus grandes possibilités d’interagir avec les entreprises de technologie financière, qui ne sont pas soumises à la réglementation visant le secteur financier, dans le but d’améliorer leurs affaires et, au bout du compte je le présume, d’offrir de meilleurs services à leurs clients. Je n’ai absolument rien contre l’innovation.
La sénatrice Ringuette : Personne n’est contre l’innovation.
M. Therrien : Cependant, le fait est que ce projet de loi facilite encore plus l’innovation sans pour autant tenir pleinement compte des répercussions sur la vie privée. J’affirme qu’un instrument législatif équilibré donnerait naturellement plus de flexibilité à l’industrie pour qu’elle puisse profiter des nouvelles technologies, mais ce, d’une façon qui assure la protection de la vie privée. D’après moi, cela mène aux lignes directrices que nous allons très prochainement rendre publiques et qui devraient, si elles sont mises en œuvre, assurer un degré de protection raisonnable.
Cependant, comme le sénateur Marwah l’a indiqué, il ne s’agit que de lignes directrices et non de lois. Rien ne garantit le respect de ces lignes directrices. Donc, si nous voulons veiller non seulement à ce que la loi soit applicable en théorie, mais qu’elle assure aussi une véritable protection des consommateurs, il faut que j’aie le pouvoir d’obliger les sociétés à mettre en application les mesures de protection de la vie privée.
La sénatrice Ringuette : Permettez-moi de vous lire l’alinéa 310(5)c), dans lequel il y a des pouvoirs de réglementation visant à prévoir les circonstances dans lesquelles la société peut exercer les activités liées aux services financiers, au traitement de l’information et à la technologie, notamment en ce qui a trait à « la collecte, la manipulation et la transmission » de l’information dont il est question.
Il est question des services financiers, mais cela va plus loin. On parle aussi des dispositions applicables « au traitement de l’information et aux technologies de l’information ».
C’est une nouvelle liste complète d’activités bancaires. Il est clair dans la loi qu’il est possible de procéder à « la collecte, la manipulation et la transmission d’information ». Eh bien, « information » signifie « données », et les données des institutions financières sont l’information de leurs clients.
M. Therrien : Cela met en évidence l’autre difficulté relative à la structure de ce projet de loi en ce qui concerne la transmission d’information aux entreprises de technologie financière — nous ne connaissons pas la teneur de la réglementation. Dans un scénario positif, la réglementation va rehausser les mesures de protection de la vie privée. Dans un scénario négatif, elle donnera plus de flexibilité et permettra la transmission d’information sans protection de la vie privée. Nous ne savons pas en ce moment ce que les mesures réglementaires diront.
La sénatrice Ringuette : Qu’est-ce que vous verriez précisément comme modifications à ces articles?
M. Therrien : Selon ce projet de loi, la protection de la vie privée pourrait prendre la forme de mesures réglementaires qui amélioreraient véritablement la protection de la vie privée, mais nous ne le savons pas. C’est une possibilité.
Revenons en arrière. Je pars du principe que l’innovation est une bonne chose, mais qu’elle doit être contrebalancée par des mesures de protection de la vie privée. Quelle forme cette protection de la vie privée devrait-elle prendre? Cela reste à voir. Elle pourrait prendre la forme de mesures réglementaires dont la teneur n’a pas encore été annoncée. Il pourrait s’agir de mesures réglementaires s’appliquant précisément à cette industrie, aux institutions financières et aux entreprises de technologie financière, ou ce pourrait être l’application correcte de la LPRPDE, la loi d’application générale couvrant toutes les organisations, y compris le secteur financier.
J’ai une préférence pour la dernière de ces deux solutions, franchement, parce que la protection de la vie privée est soumise à la LPRPDE pour les institutions financières ainsi que pour les organisations de tous les autres secteurs. C’est la façon la plus directe de s’attaquer à la question.
La sénatrice Ringuette : En application de la LPRPDE, comment peut-on arrêter cela, si une institution financière fournit des renseignements personnels à une filiale d’une société d’assurance? Comment peut-on éliminer ce type de concurrence injuste fondée sur la transmission de données?
M. Therrien : Du point de vue de la protection de la vie privée, il pourrait y avoir des problèmes entourant la réglementation du secteur financier et la question de savoir si les relations entre les institutions financières et les sociétés d’assurance devraient être réglementées. Ce n’est pas mon domaine, mais je sais que ces problèmes existent.
Du point de vue de la protection de la vie privée, je pense que des mesures réglementaires convenables garantiraient que le consentement accordé par le consommateur, le client de la banque, est réellement éclairé avant que l’information soit donnée à la filiale de la société d’assurance, dans le cas que vous avez donné en exemple. Dans ce cas-ci, les lignes directrices que nous sommes sur le point de rendre publiques sont pertinentes.
[Français]
Le sénateur Dagenais : Merci, monsieur Therrien, de votre présentation, dont je retiens deux choses. À la deuxième page, vous dites que le gouvernement ne vous a pas consulté quant aux détails de ces modifications, et je n’en suis pas surpris. Je siège à plusieurs comités, et je me rends compte que le gouvernement ne consulte pas toujours les principaux intéressés.
Une autre chose que je retiens, c’est que, à la troisième page, vous dites ceci : « Je suis [...] inquiet que le projet de loi ne protège pas suffisamment la vie privée des consommateurs. »
Lorsqu’on veut faire affaire avec une banque, on est obligé de consentir à partager certains renseignements avec l’institution, surtout s’il s’agit d’ouvrir un compte bancaire. On doit partager certains renseignements personnels avec la banque, comme les noms, l’adresse, et cetera. Pouvez-vous nous parler de cet élément et des risques que cela implique pour les Canadiens de transmettre leurs renseignements personnels aux banques, qui peuvent en faire ce qu’elles veulent après? Elles peuvent transférer ces renseignements à des compagnies d’assurance, dont elles sont quelquefois actionnaires, et je pense à La Personnelle, à la CIBC et au Mouvement des caisses Desjardins. Est-il plus dangereux de donner nos renseignements personnels aux banques, qui peuvent les rendre publiques, que de les divulguer sur Facebook?
M. Therrien : Sur la question des conditions en vertu desquelles les banques devraient être en mesure de divulguer des renseignements à d’autres entités commerciales, je suis absolument neutre à ce sujet, pourvu que le client donne un consentement éclairé. L’individu ou le consommateur peut voir un avantage personnel à ce que sa banque fasse affaire avec d’autres institutions, ce qui fait que le service en général sera de meilleure qualité. Dans ce cas, si le consommateur se voit décrire les avantages, mais aussi les risques, et qu’il décide de façon éclairée qu’il veut entretenir ce genre de relation avec sa banque, je n’ai aucun problème avec cela.
Cependant, il faut s’assurer que le consentement soit véritablement éclairé. Il se peut que des organisations commerciales — les banques ne sont pas pires que d’autres — obtiennent un consentement sur la base de documents qui sont extrêmement longs et à peu près impossibles à comprendre. Dans ce cas, j’y vois un problème, d’où les lignes directrices que nous prévoyons de publier qui visent à faire en sorte que les consommateurs puissent mieux comprendre la nature de la relation à laquelle ils sont conviés et ce que l’institution compte faire avec les renseignements qu’ils lui fourniront.
Le sénateur Dagenais : Vous mentionnez le mot « éclairé ». Si je me mets dans la peau d’un consommateur qui va à la banque, je sais que les banquiers ont un travail à faire, et c’est d’aller chercher la clientèle et de la faire produire pour qu’elle ait des impacts positifs sur leur institution. Quand ils acceptent de vous ouvrir un compte bancaire, ils vous offrent des cartes de crédit pour attirer votre clientèle et aller chercher des profits.
Cela dit, si l’on devait apporter rapidement des amendements à ce projet de loi pour tenter d’en amoindrir l’impact négatif sur la protection de la vie privée des Canadiens, auriez-vous des suggestions à nous faire?
M. Therrien : Le cœur de la question qui améliorerait beaucoup la situation est lié à l’obligation légale pour les institutions financières d’obtenir un consentement généralement explicite de la part du consommateur et de l’informer, un peu de la façon dont nous l’expliquons dans nos lignes directrices. Cette obligation devrait normalement faire partie de la LPRPDE, la loi générale en matière de vie privée dans le secteur privé, mais on pourrait concevoir qu’il y ait une règle particulière qui découlerait du projet de loi C-74 et qui s’appliquerait aux institutions qui y sont principalement visées. Vous pourriez apporter un amendement qui ferait en sorte que cette protection fasse partie du projet de loi C-74, soit dans la LPRPDE, soit dans la Loi sur les banques.
Le sénateur Dagenais : J’aimerais revenir sur une question que je vous ai posée. Quand vous parlez du consentement éclairé, que voulez-vous dire par le « consentement éclairé de la part du consommateur »?
M. Therrien : Grande question. La loi que j’applique, la LPRPDE, ne définit pas ce qu’est un consentement éclairé. Elle dit que lorsqu’une organisation commerciale obtient des renseignements de la part d’un consommateur et qu’elle veut les utiliser, elle doit obtenir un consentement éclairé de sa part. Cela veut dire, entre autres — c’est indiqué dans la loi expressément —, que l’individu doit comprendre les conséquences de la permission qu’il donne à l’organisation commerciale d’utiliser ses renseignements.
On est au niveau des grandes généralités. Il y a certains avantages à parler des principes en ce qui a trait aux généralités, parce que la LPRPDE s’applique à toutes les organisations commerciales et, de ce fait, elle doit être rédigée en des termes relativement généraux, des principes généraux qui peuvent être pertinents, peu importe le secteur d’activité. Cependant, la vertu de cela comporte aussi des désavantages, car il n’y a pas de définition législative, légale, statutaire, de ce qu’est un consentement éclairé. Cela nous amène à des instruments secondaires comme les lignes directrices qu’on s’apprête à divulguer qui n’ont pas force de loi et qui visent à définir de façon plus précise ce qu’est un consentement éclairé.
Alors, ma réponse directe à votre question, c’est qu’il faudrait lire nos lignes directrices, parce que la loi donne des principes extrêmement généraux. Si vous voulez avoir une définition plus précise de ce que peut être un consentement éclairé, vous la trouverez dans nos lignes directrices.
Le sénateur Dagenais : J’ose espérer que le client qui veut ouvrir un compte bancaire ne sera pas obligé de lire tout cela.
M. Therrien : Ce que nous proposons, pour essayer d’être pratiques à ce sujet, dans nos lignes directrices qui, encore une fois, sont imminentes et que je décris un peu dans ma déclaration, c’est que l’institution qui reçoit les renseignements — donc les institutions financières dans le cas qui nous occupe — devrait mettre l’accent sur quatre éléments; pas 50 pages de texte, mais quatre éléments clés.
Il va probablement y avoir un long contrat de toute façon, mais l’institution commerciale doit mettre l’accent sur quatre éléments : les renseignements qui sont en jeu, à quelles fins ils seront utilisés, avec qui ils seront partagés et le risque possible pour l’individu de les divulguer. Par exemple, lorsque le client consulte les renseignements sur son appareil technologique, si une fenêtre flash apparaissait afin d’énoncer ces quatre éléments, je pense qu’on avancerait vers une façon plus pratique et moderne d’obtenir un consentement éclairé.
Le sénateur Dagenais : Merci beaucoup, monsieur Therrien.
[Traduction]
La sénatrice Unger : Je vous remercie de votre exposé. Je m’interroge à propos des règles internationales en matière de protection de la vie privée. Sont-elles applicables dans ce contexte? Faudrait-il plutôt intégrer les mesures internationales de protection de la vie privée dans la loi?
M. Therrien : Il n’existe pas de pacte ou de traité international régissant la protection de la vie privée. Cela pourrait se faire encore attendre, je crois. Il n’y a peut-être pas de consensus sur ce que devraient être les règles de protection de la vie privée.
Cela dit, la LPRPDE, la loi fédérale visant le secteur privé au Canada, s’est inspirée des lignes directrices adoptées par l’OCDE dans les années 1980. Ces lignes directrices ont inspiré beaucoup de lois nationales sur la protection de la vie privée à l’échelle mondiale.
Ces lignes directrices de l’OCDE qui remontent aux années 1980 représentent ce qui correspond le plus à des règles internationales, d’après moi.
La sénatrice Unger : C’est incroyable.
M. Therrien : De toute évidence, bien des choses ont changé depuis 1980.
La sénatrice Unger : Oui. J’ai aussi peine à croire ce que vous avez dit, que le gouvernement ne vous a pas consulté et que vous n’avez que des lignes directrices. Pour moi, cela devrait aller ensemble, mais ce n’est pas le cas.
M. Therrien : C’est mon point le plus important. Je le répète : je ne suis pas contre l’innovation, mais elle devrait aller de pair avec la protection des consommateurs et avec la protection de la vie privée, soit l’aspect qui m’intéresse. On devrait chercher à accomplir ces deux choses en même temps. Ma principale préoccupation concernant ce projet de loi, c’est que, selon moi, il est à sens unique. Il favorise l’innovation et oublie la protection de la vie privée.
La sénatrice Unger : Merci beaucoup.
Le sénateur Marwah : Je crois que vous avez soutenu que la LPRPDE se trouve partout dans les pays de l’OCDE et qu’elle a fait l’objet de comparaisons à l’OCDE à l’époque où elle a été mise en vigueur. Depuis, est-ce qu’il existe des pays où l’on a accordé à l’équivalent de votre commissariat le type de pouvoirs législatifs que vous demandez maintenant?
M. Therrien : Absolument.
Le sénateur Marwah : Quels sont ces pays de l’OCDE?
M. Therrien : Les pays de l’Union européenne seraient le principal exemple. Vers la fin de la semaine, il y aura une nouvelle loi visant la protection de la vie privée et appelée RGPD, le…
Mme Bucknell : Règlement général sur la protection des données.
M. Therrien : Le RGPD prendra effet mercredi, soit le 25 mai, dans l’Union européenne. Les autorités de protection des données — ce qui correspond à mon rôle dans de nombreux pays d’Europe — n’auront pas seulement le pouvoir de donner des ordres, mais elles auront aussi le pouvoir d’imposer de lourdes sanctions pécuniaires pouvant atteindre 4 p. 100 des recettes ou des profits des sociétés à l’échelle mondiale. C’est le principal exemple.
Même en ce moment, alors que le RGPD n’est pas encore en vigueur, de nombreuses autorités européennes de protection des données ont le pouvoir d’émettre des ordonnances à l’encontre des sociétés qui ne se conforment pas aux lois nationales. Pour ce qui est de la comparaison avec les États-Unis, nos voisins immédiats, il n’existe pas de loi détaillée visant la protection des données. L’organisme correspondant à peu près au commissariat aux États-Unis est la Federal Trade Commission. Elle peut faire enquête sur les infractions à la Federal Trade Commission Act, ce qui équivaut essentiellement à la Loi sur la concurrence, et arriver avec les sociétés à des règlements comportant des amendes s’élevant à des millions de dollars. Dans ces deux exemples, soit l’Union européenne et les États-Unis — nos plus importants partenaires commerciaux —, ce que je recommande fait déjà l’objet de mesures législatives. Cela fait dire à certains commentateurs que les lois du Canada tirent de l’arrière.
La sénatrice Unger : Les organismes équivalents à votre commissariat dans l’Union européenne et aux États-Unis peuvent-ils imposer des amendes ou des sanctions?
M. Therrien : Aux États-Unis, ce n’est pas vraiment des amendes, mais l’effet est le même. La Federal Trade Commission enquête sur de possibles violations de la loi qu’elle administre. Si une infraction est commise, l’organisme peut conclure des ententes avec les entreprises, et ces ententes entraînent souvent l’imposition d’amendes ou de sanctions salées qui peuvent atteindre des millions de dollars.
La sénatrice Unger : Merci.
La sénatrice Ringuette : C’est une question complémentaire à la précédente question concernant ce qui se passe dans l’Union européenne et aux États-Unis. Selon ma compréhension du projet de loi dont nous sommes saisis, cela ne se limite pas aux services financiers, aux entreprises de technologie financière et aux activités liées au traitement de l’information et aux technologies de l’information au Canada. Je ne crois pas que l’intention était d’empêcher notre secteur bancaire de souscrire aux technologiques novatrices ailleurs. En ce qui a trait à ce qui se fait à l’extérieur de nos frontières, nous n’en avons pas le contrôle. Les États-Unis s’occuperont de leurs citoyens américains et de leurs renseignements, et l’Union européenne fera de même de son côté. Il ne vous incombe pas de protéger aux États-Unis nos renseignements qui ont peut-être été fournis à une entreprise de technologie financière américaine qui les a remis à une autre, puis à une autre...
M. Therrien : C’est une question intéressante. Évidemment, les données traversent les frontières, y compris les données financières.
Commençons par la Loi sur la protection des renseignements personnels et les documents électroniques. Il y a un principe dans cette loi : le principe de responsabilité. Ce principe s’applique clairement notamment aux institutions financières et aux entreprises de technologie financière au Canada. Ce principe prévoit qu’une organisation qui obtient des renseignements, comme une banque canadienne, demeure responsable des renseignements personnels qui ont été transférés à une tierce partie aux fins de traitement, comme une société étrangère. L’organisation, soit la banque canadienne, doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie, soit une société étrangère.
Le droit canadien, c’est-à-dire le principe de responsabilité en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, demande aux organisations qui ont des activités au Canada, comme une banque canadienne dans mon exemple, de conclure des ententes contractuelles avec des entités étrangères pour s’assurer que les obligations qu’a l’institution canadienne au Canada continuent d’être respectées à un degré comparable de protection même si les données quittent le pays. C’est le degré de protection que prévoit la Loi sur la protection des renseignements personnels et les documents électroniques.
Il y a un autre degré de protection. Si des données quittent le Canada et sont envoyées dans l’Union européenne ou aux États-Unis, tout ce qui contreviendrait à la loi canadienne peut aussi contrevenir à la loi dans un autre pays. Je peux coopérer avec mes homologues des autres pays en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques pour mener de concert des enquêtes. De ce point de vue, notre loi n’est pas mauvaise. Je peux coopérer, comme nous l’avons fait à de nombreuses reprises, avec les autorités chargées de la protection des données à l’extérieur du Canada. Ainsi, nous pouvons intervenir de manière concertée dans le cas d’une infraction aux lois canadiennes et aux lois dans un autre pays, et il y a une sanction en fin de compte. En ce qui concerne les enquêtes, cela ne me préoccupe pas.
La sénatrice Ringuette : Lorsque vous parliez, je voyais dans ma tête un grand panneau d’affichage sur lequel était écrit Equifax. Avez-vous réalisé une enquête à ce sujet et une quelconque amende a-t-elle été imposée? Les renseignements ont été fournis par des institutions financières canadiennes. Des représentants étaient devant nous et ils nous ont affirmé que non, mais c’est la seule source. Donc...
M. Therrien : Une enquête est en cours.
La sénatrice Ringuette : Votre enquête est encore en cours.
M. Therrien : Une enquête est en cours. Le problème que j’ai avec la loi actuelle est que, si nous concluons qu’Equifax Canada a enfreint la Loi sur la protection des renseignements personnels et les documents électroniques, nous recommanderons que l’entreprise change ses pratiques, ce qu’elle peut ou non accepter de faire.
La sénatrice Ringuette : Vous êtes un tigre de papier.
M. Therrien : Pour ainsi dire. Dans le cas en question, mes homologues américains de la Federal Trade Commission enquêtent aussi sur une violation semblable par la société mère d’Equifax. Lorsque cette enquête sera terminée, cela mènera peut-être à des sanctions plus concrètes. À l’heure actuelle, nous menons une enquête, et la Federal Trade Commission mène aussi une enquête, mais aucune conclusion n’a encore été tirée.
La sénatrice Ringuette : Après cette discussion, votre exposé, et cetera, j’ai des réserves, et vous semblez avoir plusieurs réserves au sujet de la mesure législative dont il est question dans le projet de loi. Vous semblez bien entourés par une force juridique.
Pouvez-vous me rédiger un amendement que nous pourrions adopter concernant cette section pour nous assurer que les consommateurs doivent donner leur consentement avant que leurs renseignements personnels soient recueillis et distribués?
M. Therrien : Nous pouvons certainement le faire.
La sénatrice Ringuette : Merci beaucoup, monsieur.
Le président suppléant : Merci, sénatrice. J’ai une petite question complémentaire.
Le Règlement général sur la protection des données a beaucoup retenu l’attention au cours des derniers mois et il ne se limite évidemment pas seulement aux renseignements personnels. Il vise vraiment les données et la protection des données, mais cela touche un grand nombre de domaines. Comme vous n’êtes pas sans le savoir, les débouchés en Europe, surtout en ce qui concerne les entreprises de technologie financière, sont meilleurs qu’au Canada. Compte tenu de ce contexte, je crois qu’il était certainement nécessaire en Europe de créer un règlement ou un cadre juridique pour encadrer le transfert et l’examen des données.
Au Canada, lorsque nous réfléchissons aux enjeux liés aux entreprises de technologie financière à la section 16, par exemple — et nous en avons discuté —, il y a actuellement des entreprises de technologie financière au Canada, et ces entreprises continuent de croître dans divers secteurs. Avez-vous eu l’occasion d’examiner le cadre réglementaire en ce qui a trait, par exemple, aux robots-conseillers et aux autres entreprises de technologie financière qui sont actives dans le secteur privé? Avez-vous réfléchi aux considérations liées à la protection des renseignements personnels relativement à ces entités? Ces entreprises sont très actives.
Par ailleurs, quelle relation entretenez-vous avec vos collègues provinciaux dans ces domaines? Collaborez-vous avec eux en la matière? Il est évident qu’il y a beaucoup d’enjeux liés à la protection des renseignements personnels non seulement sur la scène fédérale, mais aussi dans les provinces.
Monsieur Therrien, pouvez-vous m’aider à répondre à ces deux questions, s’il vous plaît?
M. Therrien : Je vais d’abord aborder la question du Règlement général sur la protection des données et du cadre réglementaire en Europe.
Le cadre réglementaire en Europe inclut le Règlement général sur la protection des données pour les entreprises de technologie financière. Je crois comprendre qu’il y a aussi certains règlements qui traitent du système bancaire ouvert, par exemple, ce que nous n’avons pas au Canada. Pour ce qui est de comparer le cadre réglementaire au Canada à celui en Europe, l’Europe semble comprendre que la réglementation de ces activités, c’est-à-dire les innovations en matière de technologie financière, ne va pas à l’encontre de la poursuite des activités de ces entreprises.
J’avance que cela permet de mettre en place de nouvelles technologies et de stimuler la confiance des consommateurs par l’adoption de règlements adéquats, notamment le Règlement général sur la protection des données en Europe et le genre de recommandations que je formule aujourd’hui. Je crois que cela aidera les consommateurs à comprendre que c’est peut-être dans leur intérêt et que l’État les protège contre de possibles conséquences néfastes de ces nouvelles activités, qui offrent vraiment des avantages.
Je ne crois pas que nous nous soyons penchés sur le recours aux robots dans ces milieux.
Le président suppléant : Ce n’est pas une question de robots, mais bien de robots-conseillers, et c’est réglementé dans une certaine mesure.
Voici ce que je fais valoir. Lorsque nous examinons la façon dont les données sont utilisées, la manière dont les données sont transmises et le consentement que donnent les investisseurs, par exemple, il serait peut-être pertinent de nous pencher sur ce milieu, parce que c’est un secteur très actif actuellement. Je ne dis pas que c’est bon ou mauvais, mais ce secteur est assurément très actif. Je suis persuadé que bon nombre d’investisseurs tirent avantage de ces entités.
Je comprends que l’autre étape est que ce sont principalement les provinces qui réglementent ces entités, et ma question porte donc sur votre relation par rapport à ces activités qui relèvent des provinces dans ce secteur important. Je crois que cela devient de plus en plus important, compte tenu de l’importance que nous accordons aux données et à leur utilisation du point de vue de la protection des renseignements personnels et des préoccupations d’ordre commercial.
M. Therrien : Voici ce que je vous répondrai. Nous suivons certainement de très près la question de l’intelligence artificielle que peuvent utiliser des institutions financières et d’autres en vue d’analyser des données, comme vous le décrivez. Avec des ressources limitées, nous voulons collaborer avec des entreprises et peut-être des secteurs pour nous assurer que le recours à l’intelligence artificielle tient compte de la protection des renseignements personnels.
Je ne peux pas m’engager à le faire pour le secteur financier, parce que notre mandat porte sur l’ensemble des organisations. L’intelligence artificielle est assurément au centre de nos préoccupations. En fonction des ressources, nous collaborerons avec les institutions financières ou les autres secteurs de l’industrie.
En ce qui a trait à l’échange de points de vue et de renseignements sur les avancées dans le secteur technologique avec mes collègues provinciaux — par exemple, les commissions des valeurs mobilières —, nous entretenons assurément des liens étroits avec les autres commissaires à la protection de la vie privée au Canada. Je dirais que ce serait souhaitable. Nous nous appliquerons à maintenir des relations efficaces avec les organismes de réglementation provinciaux peut-être par l’entremise de nos collègues provinciaux des commissariats à la protection de la vie privée, qui entretiennent des liens plus directs avec les organismes de réglementation provinciaux.
Le président suppléant : La raison pour laquelle je mentionne ce point — et je sais que vous le savez —, c’est que les provinces réglementent une partie très importante des services financiers; ce n’est pas seulement le gouvernement fédéral. Toutes les banques jouent vraiment un nombre de rôles importants dans nos marchés financiers, mais les activités des banques sont en grande partie réglementées par des organismes de réglementation et pas nécessairement simplement par le Bureau du surintendant des institutions financières et les responsabilités financières fédérales, surtout les activités concernant les valeurs mobilières, les services bancaires d’investissement et d’autres activités connexes.
Le point que je veux faire valoir ici — je sais que vous le comprendrez —, c’est que les marchés financiers relèvent en grande partie plus directement des gouvernements provinciaux que du gouvernement fédéral. Cette relation est importante, parce que les gens font des investissements sans trop se soucier de savoir si cela relève du gouvernement fédéral ou des provinces. Je crois que vous comprenez mon point.
M. Therrien : Merci de votre commentaire. Ces règlements existent pour diverses raisons d’intérêt public qui ne mettent peut-être pas l’accent sur la protection des renseignements personnels, mais cela peut tout de même avoir comme effet de renforcer cette protection dans certains cas. Il est vrai qu’il est important de savoir ce que les organismes de réglementation dans d’autres secteurs font, parce que cela peut être utile à la protection des renseignements personnels, mais ce n’est pas la principale raison d’être de ces cadres réglementaires. J’avance qu’il y a des lacunes ou, du moins, que la Loi sur la protection des renseignements personnels et les documents électroniques doit continuer d’être appliquée rigoureusement.
Le président suppléant : Les sénateurs ont-ils d’autres questions à ce sujet?
Comme il n’y en a pas, je vous remercie énormément, monsieur Therrien, de votre témoignage et de votre présence aujourd’hui.
(La séance est levée.)