LE COMITÉ SÉNATORIAL PERMANENT DES TRANSPORTS ET DES COMMUNICATIONS
TÉMOIGNAGES
OTTAWA, le mardi 16 octobre 2018
Le Comité sénatorial permanent des transports et des communications se réunit aujourd’hui, à 9 h 30, pour étudier la façon de moderniser les trois fédérales sur les télécommunications (la Loi sur les télécommunications, la Loi sur la radiodiffusion et la Loi sur la radiocommunication) pour tenir compte de l’évolution des secteurs de la radiodiffusion et des télécommunications durant les dernières décennies.
Le sénateur David Tkachuk (président) occupe le fauteuil.
[Traduction]
Le président : Bienvenue. Tout d’abord, un bref commentaire pour les sénateurs. Veuillez rester quelques minutes après la réunion pour approuver la liste des témoins et donner certaines directives à leur sujet. Nous ne pouvons pas agir en qualité de comité permanent actuellement parce que le Groupe des sénateurs indépendants ne nous a pas encore fait connaître le nom de celui ou de celle de ses membres qui se joindra à nous. Nous devons donc nous réunir en qualité de comité pour cela. Voilà où nous en sommes actuellement. Nous corrigerons la situation aujourd’hui; ce qui ne devrait pas prendre plus de 10 ou 15 minutes. Nous aurons alors certaines orientations pour notre travail.
En juin dernier, le Sénat a autorisé le comité à étudier la façon de moderniser les trois lois fédérales sur les communications — la Loi sur les télécommunications, la Loi sur la radiodiffusion et la Loi sur la radiocommunication.
Nous poursuivons notre étude cet avant-midi. J’aimerais souhaiter la bienvenue à nos témoins. Nous accueillons trois personnes du Commissariat à la protection de la vie privée : le commissaire lui-même, M. Daniel Therrien; M. Gregory Smolynec, sous-commissaire, Secteur des politiques et de la promotion; et M. Brent Homan, sous-commissaire, Secteur de la conformité. Merci d’assister à notre séance.
Êtes-vous parent avec la joueuse de curling?
M. Homan : Oui, c’est ma nièce.
Le président : Elle est très bonne.
M. Homan : Oui, elle l’est.
Le président : Vous êtes chanceux. Le Canada est un petit pays; tout le monde est parent d’une façon ou d’une autre.
Sur ce, voulez-vous commencer, monsieur Therrien? Avez-vous un exposé? Allez-y, je vous en prie.
[Français]
Daniel Therrien, commissaire à la protection de la vie privée, Commissariat à la protection de la vie privée du Canada : Monsieur le président et honorables sénateurs, je vous remercie de m’avoir invité à participer à votre étude sur la modernisation des lois fédérales sur les télécommunications. Le commissariat veille à la conformité de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), c’est-à-dire la loi fédérale sur la vie privée dans le secteur privé. Cette loi s’applique à la collecte, à l’utilisation et à la communication des renseignements personnels dans le cadre d’activités commerciales, y compris celles des entreprises de télécommunications. Donc, les entreprises de télécommunications, en matière de vie privée, sont assujetties principalement à la LPRPDE.
Le commissariat partage aussi les responsabilités de faire respecter la Loi canadienne anti-pourriel avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CTRC) et le Bureau de la concurrence du Canada.
Les Canadiens confient une grande quantité de leurs renseignements personnels sensibles aux fournisseurs de services de télécommunications afin d’avoir accès à Internet et aux communications sans fil.
[Traduction]
Le président : Excusez-moi une seconde. Entendez-vous tous clairement l’interprète? Entendez-vous l’interprète, sénateur Manning? Moi, je ne l’entends pas. C’est important, je crois, que j’entende ce que vous dites.
M. Therrien : Monsieur le président, j’expliquais que les compagnies de télécommunications sont régies, en ce qui concerne la protection des renseignements personnels, principalement — mais pas exclusivement — par la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale applicable à la protection de la vie privée dans le secteur privé et, naturellement, le commissariat doit également veiller à l’application de cette loi. Le commissariat partage aussi la responsabilité de faire respecter la Loi canadienne anti-pourriel avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau de la concurrence du Canada.
Le président : Je vais demander à l’interprète de me parler. Donnez-moi quelques secondes. Pourriez-vous me donner le score formidable de la partie de hockey d’hier à Ottawa? C’est mauvais. C’est mieux maintenant. Au moins, je n’ai pas d’interférence. Ottawa a gagné, soit dit en passant; l’équipe a très bien joué hier.
D’accord, s’il vous plaît.
[Français]
M. Therrien : J’expliquais que les Canadiens — et c’est un élément important de votre étude en matière de vie privée, ce qui n’était pas le cas lors de l’adoption des lois sur les télécommunications — confient une grande quantité de leurs renseignements personnels sensibles aux fournisseurs de services de télécommunications afin d’avoir accès à Internet et aux communications sans fil, téléphoniques et télévisuelles au Canada.
Les renseignements personnels ont non seulement une valeur commerciale importante, ils sont également d’un grand intérêt pour les organismes d’application de la loi, du renseignement et de la sécurité. Dans ce contexte, il faut garder à l’esprit le droit des Canadiens à la vie privée.
La décision de la Cour suprême dans l’affaire R. c. Spencer, il y a trois ou quatre ans, représente un progrès important pour la protection de la vie privée. Par sa décision unanime, la Cour suprême a jugé qu’il y a une attente raisonnable en matière de protection de la vie privée en ce qui concerne les renseignements de base sur les abonnés aux services de télécommunications. La Cour suprême a convenu que ces renseignements pouvaient révéler les données d’utilisation d’Internet et que, sans circonstances contraignantes, essentiellement l’urgence, ou en l’absence d’une loi raisonnable, les responsables de l’application de la loi doivent détenir au préalable une autorisation judiciaire, donc un mandat, pour obtenir de telles données de la part des compagnies de télécommunications.
[Traduction]
L’évolution des technologies de télécommunications a de graves répercussions sur la protection de la vie privée. Prenons l’exemple du boîtier décodeur, le dispositif qui transforme une télévision standard en une « télévision intelligente » en permettant aux utilisateurs d’accéder à un large éventail de contenus vidéo en ligne.
L’information émanant des boîtiers décodeurs peut renfermer des renseignements très précis sur les habitudes d’écoute des gens. Selon l’ampleur et la portée de l’information recueillie, celle-ci peut brosser des portraits très détaillés des gens et être de nature délicate.
Le commissariat a fourni des conseils au CRTC sur un programme destiné à mesurer les habitudes d’écoute du public afin de veiller à ce que les données des boîtiers décodeurs soient suffisamment anonymisées.
Or, les compagnies de télécommunications et les diffuseurs ne se contentent pas d’émettre des signaux, ils recueillent, utilisent et partagent aussi beaucoup d’informations, y compris des renseignements personnels. Telle est une réalité de l’ère moderne dans laquelle nous vivons et telle est une réalité fondamentale de votre étude, à mon avis.
D’autres pays sont aux prises avec les complexités réglementaires et juridiques des technologies de télécommunications.
L’Union européenne achève actuellement la rédaction du nouveau règlement sur la vie privée et les communications électroniques, qui complétera le Règlement général sur la protection des données (RGPD) entré en vigueur en mai, en traitant en détail de la confidentialité des communications électroniques ainsi que du suivi et du profilage des internautes.
Au sud de la frontière, une décision récente de la Cour suprême des États-Unis a souligné l’importance de protéger la vie privée au fur et à mesure des avancées technologiques.
Dans l’affaire Carpenter v. United States, la Cour suprême a jugé que le quatrième amendement, qui affirme le droit à la protection contre les fouilles, les perquisitions ou les saisies abusives, protège les données de localisation générées par les téléphones cellulaires. La Cour suprême a conclu que les citoyens ont des intérêts légitimes en matière de vie privée quant à leur position géographique et leurs déplacements, même si les données ont été générées à des fins commerciales et stockées par un tiers, car « une personne ne renonce pas à la protection assurée par le quatrième amendement en s’aventurant dans la sphère publique ».
La cause Carpenter est quelque peu semblable à la cause Spencer et à la décision rendue par notre Cour suprême.
Par ailleurs, le rôle réglementaire de la Commission fédérale des communications des États-Unis — un organisme un peu semblable au CRTC —, au regard de la protection de la vie privée des consommateurs sur les réseaux de communications, continue d’évoluer.
Aux États-Unis, la Commission fédérale des communications réglemente la protection de la vie privée avec la Commission fédérale du commerce — qui est plus ou moins l’équivalent de notre commissariat — et cette dernière commission constitue l’organisme chargé de la protection de la vie privée et des consommateurs dans ce pays.
En vertu de la Loi canadienne anti-pourriel (LCAP), le commissariat s’est vu confier un nouveau rôle pour contribuer à la lutte contre les pourriels et contrer certaines menaces en ligne, notamment les logiciels espions, propagées par l’intermédiaire des entreprises de télécommunications nationales.
Nous avons réalisé des progrès à cet égard, et nous participons activement avec le CRTC et le Bureau de la concurrence à la sensibilisation du public et aux enquêtes. Cependant, je tiens à préciser que l’échange de renseignements entre organismes se limite à des circonstances très précises, tous les organismes de réglementation étant assujettis à des dispositions de confidentialité. Lorsque nous procédons à des enquêtes, nous devons, chacun de notre côté, protéger la confidentialité de l’information que nous recevons. À moins d’une autorisation spéciale, nous ne pouvons donc pas communiquer l’information que nous recevons, ce qui restreint notre capacité de collaborer avec les autres organismes de réglementation. C’est un problème, et un problème qui a limité notre capacité de collaborer avec le CRTC et le Bureau de la concurrence dans certaines enquêtes.
Votre étude dépasse ce sujet; je serai donc heureux de répondre à toute question que vous jugerez pertinente pour votre travail. Merci.
Le président : Merci. C’est, je crois, un aspect important de notre étude. Les médias parlent encore des problèmes de protection de la vie privée et de l’utilisation des téléphones par les gens. Les signaux vous suivent partout où vous allez.
Comment prévenir cette intrusion dans nos vies personnelles, tout en permettant aux gens d’utiliser la technologie? La technologie est partout. Les gens en ont besoin au quotidien, mais en même temps, la collecte de renseignements effectuée par ces organismes, ces compagnies, menace assurément notre vie privée.
M. Therrien : Commençons par la géolocalisation. Les compagnies de télécommunications qui fournissent le service téléphonique ont évidemment besoin de savoir où vous êtes; autrement, le téléphone ne fonctionnerait pas.
Un des principes importants de la protection de la vie privée dans la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, tient à ce que les compagnies ou les organismes ont l’autorisation d’obtenir, d’utiliser et de partager de l’information lorsque celle-ci est directement liée au service offert. La compagnie doit savoir où vous êtes pour vous joindre et vous permettre d’utiliser votre téléphone. Le problème, c’est que, au-delà de l’information nécessaire pour fournir le service, elles partagent et divulguent pas mal de renseignements à d’autres intervenants, qui servent à d’autres fins. Voilà où le principe du consentement prévu dans la LPRPDE entre en jeu.
Vous n’avez pas le droit de refuser votre consentement si la compagnie a vraiment besoin de l’information pour fournir le service. Au-delà de cela, nous entrons dans le domaine du consentement en vertu des dispositions législatives canadiennes sur la protection de la vie privée et, évidemment, la question est de savoir si le consentement est obtenu de la bonne façon et s’il devrait être tacite ou exprès.
Les compagnies de télécommunications notamment — parce qu’il y en a beaucoup d’autres dans la même situation — recueillent des renseignements délicats sur vos faits et gestes, vos allées et venues, le nombre de fois où vous entrez dans un immeuble qui peut abriter un médecin, un psychologue, un lieu de culte, etc. Les compagnies obtiennent de l’information sensible.
Selon les dispositions législatives fédérales sur la protection de la vie privée, l’information de nature sensible, dont je viens de vous donner des exemples, devrait faire l’objet d’un consentement exprès. Toutefois, la loi laisse beaucoup de latitude pour le consentement tacite lorsqu’il s’agit des données moins sensibles, et c’est là une bonne partie du problème qui nous occupe.
Je vais m’arrêter ici.
Le président : Le consentement pour utiliser des renseignements et le consentement pour stocker des renseignements sont deux choses différentes. Je peux donner mon consentement pour pouvoir utiliser mon téléphone, mais la compagnie n’a pas à garder l’information dont elle a eu besoin pour la communication. Après un certain temps, elle peut l’effacer, mais elle ne le fait pas. Elle la garde. Voilà le problème.
M. Therrien : Selon la LPRPDE, les compagnies ne devraient conserver l’information que le temps nécessaire pour leurs activités légitimes. Telle est la règle générale. La durée de cette période dépend des circonstances.
Le président : Ces compagnies continuent-elles de recueillir des données lorsque vous mettez fin à la communication? Si vous fermez le téléphone, continuent-elles d’obtenir de l’information?
M. Therrien : Tout dépend de l’appareil utilisé. Cela varie.
Le président : L’iPhone ordinaire?
M. Therrien : Avons-nous examiné cette question? Je n’en suis pas certain. Normalement, lorsqu’on met fin à une communication, la compagnie ne devrait plus recueillir de l’information. Toutefois, nous avons vu des compagnies continuer de recueillir des données même si le service n’était plus fourni. Ce serait une violation de la loi, à moins que le consentement n’ait été donné. Les compagnies ont beaucoup de latitude pour faire beaucoup de choses en affirmant avoir reçu le consentement.
Le président : Oui, et le consentement ne tient habituellement pas en une seule ligne.
M. Therrien : En effet.
[Français]
Le sénateur Cormier : Dans votre Rapport annuel au Parlement de 2017-2018 concernant la Loi sur la protection des renseignements personnels et les documents électroniques, vous avez fait état de la crise de Facebook et de Cambridge Analytica en mentionnant entre autres dans votre introduction que « ces enjeux montrent aussi les lacunes des lois canadiennes sur la protection des renseignements personnels ». Pouvez-vous détailler certaines de ces lacunes qui touchent spécifiquement les entreprises de télécommunications et les entreprises assujetties à la Loi sur la radiodiffusion?
Dans le cadre de la modernisation de la législation canadienne en matière de télécommunication, le Canada devrait-il intégrer certaines dispositions des lois sur la protection de la vie privée ou certaines de vos recommandations directement dans le texte de la Loi sur les télécommunications?
M. Therrien : Pouvez-vous répéter votre deuxième question?
Le sénateur Cormier : Devrait-on intégrer certaines dispositions des lois sur la protection de la vie privée dans le texte de la Loi sur les télécommunications?
M. Therrien : Je vais commencer là. La dernière mouture des lois sur les télécommunications qui ont été adoptées, si je ne m’abuse, date environ des années 1990. Très peu de services technologiques étaient offerts à l’époque. C’était un monde complètement différent. Dans la Loi sur les télécommunications, mais pas dans la Loi sur la radiodiffusion, le CRTC a pour objectif et mandat de prendre des mesures pour assurer une protection de la vie privée. À cette époque, il n’y avait pas de loi générale sur la protection de la vie privée dans le secteur privé, la LPRPDE. C’était l’état des choses dans les années 1990.
En 2000, la loi générale, la LPRPDE a été adoptée, et cette loi est devenue la loi d’application générale pour la protection de la vie privée dans le secteur privé partout où des opérations, des activités commerciales ont lieu, y compris dans le secteur des communications et des télécommunications. La LPRPDE est la loi d’application générale, et l’une de ses vertus, c’est qu’elle est neutre. C’est une loi qui est fondée sur des principes, elle n’est pas prescriptive et, surtout, c’est une loi qui est neutre au niveau des technologies. Ce sont des principes d’application générale qui s’appliquent à toutes les technologies. On pense que cela est une vertu, parce que peu importe le secteur d’activité, peu importe la technologie utilisée, il y a des avantages importants à ce que toutes les compagnies qui utilisent différentes technologies soient assujetties aux mêmes règles en matière de vie privée.
Maintenant, la loi générale s’applique depuis 2000, et les dispositions de la Loi sur les télécommunications des années 1990 continuent de s’appliquer. Est-ce que ça fonctionne bien? J’en arrive à votre question d’intégration. En pratique, cela fonctionne bien. Il y a la loi d’application générale, et le CRTC, dans le cadre de son mandat en vertu de la Loi sur les télécommunications de prendre des mesures pour la protection de la vie privée, a pris certaines mesures de protection de la vie privée généralement, sinon toujours, après nous avoir consultés. Ces mesures rehaussent le niveau de protection de la vie privée dans le secteur auquel les compagnies de télécommunications sont assujetties.
Il reste que, en raison de la séquence dans laquelle les choses se sont passées, il y a une loi d’application générale et une loi d’application particulière à un secteur. Je n’ai pas de problème à ce qu’en matière de télécommunications, les standards soient légèrement plus élevés, ce qui est le résultat des deux lois actuelles. Je pense qu’il serait utile que vous vous demandiez ceci, et je réponds directement à votre question : est-ce qu’il est optimal, bon et souhaitable que les compagnies de télécommunications soient assujetties à un régime un peu différent? Elles sont assujetties au même régime général, mais elles sont aussi assujetties à un régime particulier. Est-ce que c’est souhaitable? Est-ce qu’il est juste que des compagnies — et je vais être très précis — comme Bell et Telus soient assujetties à un régime théoriquement un peu plus exigeant que Facebook et Google pour la réalisation d’activités semblables?
Alors, je n’ai pas de réponse. Vous amorcez votre étude, le gouvernement a donné un mandat au CRTC de faire une étude également. On examine ces questions. Je n’ai pas de réponse à vous donner, mais je pense que c’est une question sur laquelle vous devriez vous pencher.
En pratique, cela fonctionne bien. On s’entend bien avec le CRTC. Il n’y a pas de conflit entre les règles adoptées par le CRTC et celles de la LPRPDE, mais je pense que vous devriez vous poser la question suivante : quelle est la situation la plus juste entre compagnies qui peuvent être concurrentes et qui ne sont pas nécessairement assujetties tout à fait au même régime?
Le sénateur Cormier : Merci.
[Traduction]
Le président : En clair, vous dites que si les dispositions législatives sur la protection des renseignements personnels devaient s’appliquer...
M. Therrien : C’est le cas actuellement.
Le président : S’appliquent-elles à Google? Google est-elle assujettie à la LPRPDE?
Mr. Therrien : Oui, Google, Facebook, et cetera, mais ces sociétés ne sont pas assujetties à la Loi sur les télécommunications.
Netflix est un cas intéressant pour cette question de l’application des lois. Netflix est assujetti à la LPRPDE; la compagnie devrait-elle l’être également à la Loi sur les télécommunications?
La protection de la vie privée n’est qu’une des questions que vous étudiez, et mes commentaires ne portent que sur ce sujet. Toutefois, je sais pertinemment que vous cherchez à élaborer la meilleure loi pour le contenu canadien et étudiez toutes sortes d’autres questions. En ce qui concerne la protection des renseignements personnels, vous cherchez à déterminer, je crois, s’il vaut mieux tout régir par la loi d’application générale, soit la LPRPDE, peu importe le secteur, ou garder le régime actuel dans lequel les compagnies de télécommunications sont assujetties à la LPRPDE et également aux dispositions relatives au CRTC.
Le président : Merci beaucoup.
Le sénateur Manning : Merci à nos témoins.
Ma première question porte sur deux ou trois points que vous avez soulevés dans vos commentaires. Avez-vous vu ou trouvé ailleurs dans le monde des règlements qui pourraient être appliqués au Canada pour améliorer notre système?
Deuxièmement, quel genre de renseignements devez-vous communiquer au CRTC et au Bureau de la concurrence du Canada?
M. Therrien : Je vais d’abord répondre à la deuxième question, si vous le voulez bien.
Nous avons actuellement trois organismes de réglementation qui régissent en partie le même domaine : le CRTC, le Bureau de la concurrence du Canada et le Commissariat à la protection de la vie privée du Canada. Chacun peut enquêter sur un problème donné, et recueillir des renseignements sensibles de nature commerciale, personnelle et ainsi de suite. Les lois actuelles interdisent à tous les organismes de réglementation de partager de l’information avec d’autres, y compris des organismes homologues, ce qui les empêche parfois de mener certaines enquêtes à bonne fin. Nous pouvons discuter avec le CRTC et le Bureau de la concurrence des politiques générales, mais, lorsque nous enquêtons sur des plaintes précises, nous ne pouvons pas partager avec eux — même si cela serait très utile — le résultat de nos enquêtes parce que les lois nous l’interdisent. Alors, l’information pour laquelle j’aimerais avoir plus de latitude — et nos homologues sont du même avis, je crois — serait celle que nous recueillons dans le cours de nos enquêtes.
Pour ce qui est de votre première question : y a-t-il des lois ou des régimes ailleurs qu’il pourrait être utile d’importer au Canada? La question recoupe un peu celle posée par le sénateur Cormier, à laquelle je n’ai pas répondu, à savoir : avons-nous le meilleur régime pour la protection des renseignements personnels au Canada?
Je répondrais par une conclusion énoncée dans notre rapport annuel pour 2017-2018 : dans le monde technologique dans lequel nous vivons aujourd’hui, la collecte des renseignements et les procédés sont opaques. Les consommateurs ordinaires ne comprennent pas comment l’information est obtenue, utilisée et partagée. Les politiques sur la protection des renseignements personnels ou les documents qui nous sont présentés, parfois à l’écran, pour qu’on donne ou non notre consentement sont théoriquement destinés à informer les consommateurs sur la façon dont les renseignements les concernant seront utilisés, mais nous savons tous que ces mesures ne fonctionnent pas. Les textes présentés sont très longs, complexes, jargonneux et impossibles à comprendre.
Parce que les technologies et les procédés sont opaques, les consommateurs ne sont pas en mesure de savoir ce qu’il advient de leurs données personnelles. En conséquence, un des éléments cruciaux qu’il faudrait changer dans la loi — car nous avons certaines connaissances technologiques et connaissons certains procédés dans ce domaine —, c’est le pouvoir de procéder à des vérifications ou à des inspections sur l’utilisation de la technologie par les compagnies pour nous permettre d’assurer le respect des dispositions législatives sur la protection des renseignements personnels.
À l’heure actuelle, nous ne pouvons intervenir que lorsqu’il y a des motifs raisonnables de croire à une infraction à la loi, mais personne ne sait réellement s’il y a eu manquement ou non à la loi. Or, il serait utile, et je dirais même nécessaire, pour nous de pouvoir procéder à une inspection sans qu’il y ait des motifs de croire à une infraction.
L’analogie peut être bonne ou boiteuse, à vous de juger, mais dans le domaine de l’inspection de la qualité des aliments, par exemple, des gens se rendent dans les usines de transformation de la viande non pas parce qu’ils soupçonnent une violation de la loi, mais parce que la santé des gens et la qualité des aliments sont considérées, naturellement, comme importantes et parce que ces inspections rassurent la population en lui montrant que ces compagnies respectent la loi.
De la même manière, il serait utile, je crois, voire même nécessaire, pour nous de pouvoir lever le voile d’opacité qui recouvre les pratiques et de vérifier si la loi est respectée actuellement.
Le président : Ce serait le cas notamment d’un moteur de recherche comme Google qui accumule de l’information sur nous tous concernant la banque où nous allons, là où nous déposons nos économies et ce genre de renseignements. Nous ne savons pas exactement ce que ces gens font de nos données, n’est-ce pas? Autrement dit, des gens mal intentionnés aimeraient avoir cette information, évidemment, pour faciliter leur travail.
Vous dites que le Commissariat à la protection de la vie privée, ou votre organisme, pourrait se rendre dans les locaux de la compagnie sans s’annoncer pour voir si ces gens vendent peut-être cette information?
M. Therrien : Ou s’ils l’utilisent à des fins non conformes à la loi, non conformes, par exemple, au principe du consentement. Le consentement tacite est habituellement le premier argument invoqué par une compagnie pour utiliser ou partager de l’information avec d’autres. Les informations transmises sont de quel type? Sont-elles de nature délicate? A-t-on obtenu le consentement de façon appropriée? Aurait-il fallu un consentement exprès? Nous nous occuperions donc de vérifier si la loi a vraiment été respectée.
[Français]
La sénatrice Gagné : Je vous remercie de votre présentation. En fin de compte, vous avez donné beaucoup d’information et répondu à plusieurs questions. Vous avez parlé des défis à relever par le Commissariat à la protection de la vie privée du Canada. Vous avez dit qu’un des défis est de ne pas avoir l’autorité nécessaire pour faire des vérifications, des audits, pour intervenir et avoir la possibilité de faire des repérages. En existe-t-il d’autres auxquels vous devez faire face?
M. Therrien : On parle souvent de l’absence de pouvoir d’ordonnance. On a présentement le pouvoir, l’obligation de mener des enquêtes lorsqu’il y a des plaintes de la part des consommateurs. Le résultat ultime de ces enquêtes, lorsqu’on trouve que la loi n’a pas été respectée, c’est simplement d’émettre une recommandation à la compagnie en question. On ne peut rendre d’ordonnance et on ne peut imposer d’amendes non plus pour s’assurer que la loi sera respectée. Mon but premier n’est pas de rendre des ordonnances ni d’imposer des amendes, mais de m’assurer que la loi est respectée.
On a beaucoup de communications avec les compagnies. On a un rôle statutaire d’éducation du public, y compris des compagnies, pour s’assurer que leurs pratiques sont conformes à la loi. La façon privilégiée de s’assurer de la conformité à la loi est d’avoir des discussions avec les compagnies. Il ne faut pas être naïf, certaines compagnies ne vont pas faire l’effort de respecter la loi simplement parce que le commissaire leur recommande de le faire. Beaucoup de choses sont en jeu. Les compagnies font énormément d’argent avec la collecte et l’utilisation de renseignements personnels. Il peut parfois être nécessaire d’ordonner tout bonnement aux compagnies de respecter la loi et, dans certains cas, d’imposer des amendes pour veiller à ce que la loi soit respectée.
La sénatrice Gagné : Je vous remercie de cette information. À l’heure actuelle, la téléphonie, la télévision, toutes les différentes plateformes sont assez intégrées. Est-ce que cela amène d’autres défis? Comment peut-on assurer la protection de la vie privée du consommateur lorsqu’il y a une fluidité de tous les systèmes, comme c’est le cas maintenant?
M. Therrien : C’est tout à fait un problème, tout un défi. En vertu de la loi actuelle, la réponse devrait être le caractère informé ou non du consentement donné par le consommateur. Le consommateur fait face à une compagnie qui a des services intégrés. Il n’y a rien d’illégal comme tel à vouloir intégrer des services pour offrir de meilleurs services et faire des profits. Cela fait partie de l’économie de marché dans laquelle on fonctionne. Cependant, les dispositions de la LPRPDE exigent que ce soit fait avec le consentement éclairé des individus. Et c’est là où le bât blesse.
Je vais demander à mon collègue, Brent Homan, de donner des exemples précis de ce type d’intégration tirés d’une enquête que nous avons menée il y a deux ou trois ans sur Bell Canada qui avait lancé un programme de publicité fondé justement sur l’intégration de renseignements que la société avait collectés à différents titres.
[Traduction]
Brent Homan, sous-commissaire, Secteur de la conformité, Commissariat à la protection de la vie privée du Canada : L’enquête sur le Programme de publicité pertinente de Bell a porté sur deux ou trois points signalés ici. On s’est penché sur l’opacité de la collecte de l’information et de son utilisation par Bell; il s’agit notamment de données sur la démographie, le service fourni, les sites parcourus et peut-être les habitudes d’écoute effectuée au moyen de la suite intégrée horizontalement des services offerts par le fournisseur, allant du téléphone mobile à celui de la maison, à la télé et à Internet.
Lorsque la compagnie a mis en œuvre son Programme de publicité pertinente et l’a annoncé, elle a suscité toute une réaction au Canada. En fait, le programme a fait l’objet du plus grand nombre de plaintes jamais enregistré sur un sujet donné, à savoir que Bell cherchait à utiliser toute cette information pour cibler des publics donnés avec des messages publicitaires pertinents.
Au cœur du problème : grâce à l’intégration horizontale de ces services, toute l’information accumulée — dont Bell a l’exclusivité parce qu’elle fournit le service — pourrait lui donner un profil détaillé et multidimensionnel d’une personne et d’un consommateur. Il n’est donc pas étonnant que ce programme ait suscité un tollé.
Nous avons conclu que si les choses doivent prendre cette direction, il faut mettre en place un système dans lequel le consentement est facultatif et exprès. Les Canadiens doivent donner leur consentement pour que leurs données personnelles soient utilisées. En outre, certaines informations doivent demeurer secrètes, comme le dossier de crédit.
C’est une tendance que nous verrons avec les compagnies de télécommunications et les fournisseurs de services Internet et leur intégration. La position que ces sociétés occupent leur permet d’utiliser plus de renseignements que ceux auxquels d’autres sociétés peuvent avoir accès.
Le président : Exercez-vous une surveillance sur les organismes gouvernementaux et les sociétés d’État?
M. Therrien : Oui.
Le président : Aimeriez-vous avoir le même genre de pouvoirs pour suivre les agissements de l’Agence du revenu du Canada, ou peut-être CBC/Radio-Canada?
M. Therrien : Les organismes gouvernementaux sont assujettis à une loi différente. Certaines sociétés d’État se situent à mi-chemin entre la LPRPDE et la Loi sur la protection des renseignements personnels, mais les organismes gouvernementaux, comme l’Agence du revenu du Canada, sont carrément assujettis à la Loi sur la protection des renseignements personnels, et non pas à la LPRPDE. Nous pouvons mener des enquêtes à partir des plaintes reçues, mais, oui, nous aimerions avoir des pouvoirs semblables pour ces organismes.
[Français]
Le sénateur McIntyre : Merci, monsieur Therrien, de votre présentation. En règle générale, les accords de libre-échange protègent-ils adéquatement les données sur la vie privée? Autrement dit, sont-ils de bons instruments pour protéger la vie privée des gens?
M. Therrien : C’est une excellente question, qui est très difficile. C’est très difficile à dire. La récente entente indique que les pays signataires peuvent — ou même doivent — adopter des lois relatives à la protection de la vie privée. C’est un très bon point de départ. Ensuite, les accords précisent généralement que les pays ne peuvent pas exiger que les données soient traitées sur leur territoire. C’est une bonne chose, parce que les individus reçoivent ultimement de meilleurs services si les données peuvent traverser les frontières et si les consommateurs peuvent avoir accès aux meilleurs experts dans le traitement de leurs données. Cependant, dans différentes circonstances, par exemple, lorsqu’il s’agit de l’accès par les forces policières ou de sécurité aux données de Canadiens, il faut se demander si les accords permettent de bien protéger les données à cet égard. Les accords, y compris celui qui a été conclu récemment, contiennent une disposition assez générale à ce chapitre.
Cela m’amène à dire qu’il est assez difficile de comprendre le résultat ultime, soit la prohibition d’exiger que les données soient traitées sur son territoire comme principe, exception faite des données d’intérêt public. Si le Canada désirait adopter une loi pour exiger le traitement local des données d’un certain type parce qu’elles sont particulièrement sensibles, parce qu’elles touchent la sécurité nationale du Canada, par exemple, théoriquement, cela pourrait être adopté en fonction du critère de l’intérêt public, mais on ne le sait pas. Ces accords n’ont jamais été mis en application de sorte que nous puissions savoir comment ces dispositions seront interprétées. Le mécanisme de règlement des conflits pour interpréter ces accords a fait l’objet de discussions importantes entre le Canada, les États-Unis et le Mexique et, à ma connaissance, les mécanismes de résolution de conflits n’exigent pas qu’il y ait des experts en la matière et, en particulier, des experts en matière de vie privée.
Les dispositions peuvent potentiellement donner des protections au Canada pour protéger les renseignements personnels de ses citoyens, mais cela dépend de l’interprétation qui sera donnée à des dispositions rédigées de façon très large et appliquées selon un mécanisme de résolution de conflits qui reste à déterminer.
Le sénateur McIntyre : Votre bureau a-t-il été en communication avec le Groupe d’examen du cadre législatif en matière de radiodiffusion et de télécommunication? Comme vous le savez, il a récemment lancé son processus de consultation.
M. Therrien : Vous parlez du groupe d’experts ou des gens du CRTC?
Le sénateur McIntyre : Oui.
M. Therrien : Le groupe d’experts? Je ne sais pas. Je ne crois pas. On a certainement des discussions avec le CRTC et avec le ministère de l’Innovation, des Sciences et du Développement économique sur ces questions. Le processus s’amorce essentiellement. On est ici pour essayer de vous donner certaines pistes de renseignement qu’on espère utiles. On a très certainement l’intention de communiquer avec les autorités responsables de cet examen au sein du gouvernement.
Le sénateur McIntyre : Je comprends que le groupe d’examen doit présenter son rapport au gouvernement d’ici le 31 janvier 2020. Donc, vous avez suffisamment de temps.
M. Therrien : On a un peu de temps, oui.
Le sénateur McIntyre : Merci, monsieur Therrien.
[Traduction]
Le président : Ils sont payés à la journée, sénateur McIntyre. Cela prendra beaucoup de temps. Nous aurons terminé avant qu’ils n’aient commencé.
[Français]
La sénatrice Miville-Dechêne : Monsieur Therrien, j’aimerais revenir un peu en arrière, et je m’excuse si c’est une question de base. Vous avez bien dit que la LPRPDE s’applique aux entreprises de communication, mais que, dans le cas des entreprises canadiennes, si j’ai bien compris, comme Bell et Telus, elles sont assujetties à un plus grand nombre de lois parce qu’elles sont soumises à la Loi sur les télécommunications. On parle de vie privée. C’est ce que j’ai compris.
M. Therrien : Oui.
La sénatrice Miville-Dechêne : Que pouvez-vous faire à titre de commissaire face à des entreprises comme Bell et Telus que vous ne pouvez pas faire pour les entreprises comme Google et Facebook?
M. Therrien : J’ai les mêmes pouvoirs à l’égard des compagnies de télécommunications qu’à l’égard d’autres compagnies comme Google et Facebook. J’ai des pouvoirs d’enquête à la suite du dépôt de plaintes de la part de consommateurs. Ces enquêtes mènent à des recommandations et non pas à des ordonnances. J’ai exactement les mêmes pouvoirs par rapport aux compagnies de télécommunications que pour les autres compagnies.
La sénatrice Miville-Dechêne : Donc, quand vous parlez de renforcement de pouvoir, c’est pour toutes les compagnies?
M. Therrien : C’est pour toutes les compagnies.
La sénatrice Miville-Dechêne : Vous avez parlé de la possibilité d’enquêter même s’il n’y a pas de plainte, de la possibilité d’imposer des amendes ou de disposer d’un pouvoir d’imposition de décision. Est-ce qu’il y a autre chose dont vous auriez besoin dans le contexte dans lequel nous sommes pour être efficace? Est-ce qu’il y a par exemple des principes qui ont été adoptés en Europe qui vous semblent importants dont on pourrait s’inspirer, sans les copier, dans la formulation de recommandations sur des changements à faire?
M. Therrien : Il y a peut-être deux questions : le droit au déréférencement, qui est souvent connu comme le droit à l’oubli, et le transfert des données.
La sénatrice Miville-Dechêne : Je voulais justement aborder le droit à l’oubli, sujet qui m’intéresse particulièrement.
M. Therrien : Il y a un terme technique qui m’échappe pour l’instant, mais je vais parler de ces deux questions : le droit au déréférencement, ou le droit à l’oubli, et le droit du consommateur de transférer ses données. Commençons par le deuxième. Le droit européen, le Règlement général sur la protection des données (RGPD), qui a été adopté en mai, prévoit entre autres le droit pour les individus, essentiellement les consommateurs, de transférer leurs données d’un prestataire de services à un autre, le principe étant évidemment que les données n’appartiennent pas aux compagnies, mais à l’individu. Je crois que ce serait un principe utile sur lequel vous devriez vous pencher.
La sénatrice Miville-Dechêne : Cela n’existe pas?
M. Therrien : Cela n’existe pas ici comme tel et cela permettrait d’appuyer, je crois, une caractéristique importante du droit à la vie privée, à savoir le contrôle. C’est aux gens de contrôler leurs données, y compris en exigeant des compagnies avec lesquelles elles font affaire de les transférer à un autre prestataire de services s’ils le désirent à titre de consommateurs.
En ce qui a trait au droit au déréférencement ou au droit à l’oubli, la Cour européenne des droits de l’homme, l’équivalent de la Cour suprême au Canada, a rendu un jugement en 2014 en Europe dans une cause traitant d’un citoyen espagnol qui a reconnu un droit au déréférencement, c’est-à-dire que les compagnies qui font affaire en Europe, y compris les compagnies canadiennes, ont l’obligation de déréférencer, c’est-à-dire de rendre plus difficile l’accès aux documents ou aux renseignements que peut détenir une compagnie lorsque ces renseignements sont incorrects, inexacts ou désuets, autrement dit, des renseignements qui ne reflètent plus ce qu’est la personne au moment où on se parle.
La sénatrice Miville-Dechêne : Lorsqu’on songe notamment à des questions juridiques.
M. Therrien : Entre autres des questions juridiques, des pardons, par exemple. Ce droit a été reconnu en Europe en 2014. Au début de 2018, le commissariat que je dirige a publié une ébauche de position qui indique que quand on lit la LPRPDE, on arrive aux mêmes résultats qu’en Europe. Les compagnies canadiennes ont l’obligation de traiter seulement de renseignements qui sont exacts et à jour et les compagnies ont aussi l’obligation de donner aux consommateurs des procédures pour s’assurer que les renseignements que les compagnies traitent sont effectivement à jour et exacts.
La sénatrice Miville-Dechêne : Est-ce que vous l’avez déjà utilisé, si vous dites que ça existe?
M. Therrien : C’est un projet. On a reçu quelques plaintes de la part de consommateurs, mais il y a plusieurs compagnies, entre autres Google et d’autres moteurs de recherche, et aussi des entreprises de presse, qui sont en désaccord avec cette position, parce qu’elles sont d’avis que cette position met en péril la liberté de la presse et la liberté d’expression. Il s’agit de droits importants qui, à mon avis, doivent être pesés avec le droit à la réputation et à la vie privée. Je ne nie aucunement qu’il y ait des préoccupations au chapitre de la liberté d’expression et de la liberté de la presse, et plusieurs compagnies sont en désaccord.
Constatant ce fait, il y a quelques jours, le commissariat a décidé de faire un renvoi à la Cour fédérale pour qu’elle se prononce sur certaines questions préliminaires comme celle-ci : est-ce que les moteurs de recherche comme Google sont assujettis à la LPRPDE?
Il y a une exception dans la LPRPDE qui veut que si une entreprise traite de renseignements à des fins journalistiques la compagnie ne soit pas assujettie à la LPRPDE. Ça s’applique évidemment clairement aux entreprises de presse, mais Google invoque cette exception. L’une des questions qu’on pose à la Cour fédérale est la suivante : est-ce que Google a droit à cette exception à la LPRPDE? Est-ce qu’elle mène des activités journalistiques ou autres?
Donc, on a émis une position de façon préliminaire en janvier. On a constaté les objections sans enquêter et sans savoir de façon absolument certaine si notre position est bien fondée en droit. Au lieu de créer des attentes chez les gens, le commissaire va enquêter et va déréférencer les renseignements.
Je trouvais plus prudent de poser les questions à la cour et de tout mettre en suspens en attendant que la cour se prononce. La position préliminaire que j’ai prise est en suspens, de même que les enquêtes en cours en attendant que la cour se prononce. Une fois qu’elle se sera prononcée, on agira en conséquence.
La sénatrice Miville-Dechêne : C’est passionnant. Tenez-nous au courant.
[Traduction]
Le président : Monsieur Homan, le gouvernement a-t-il donné suite à la recommandation concernant Bell?
M. Homan : Nous avons demandé à Bell de s’engager à n’utiliser les données qu’avec le consentement des consommateurs; la société a accepté nos recommandations et s’y est conformée.
Le président : Pouvez-vous imposer des amendes?
M. Therrien : Vous devrions pouvoir le faire, mais nous ne le pouvons pas.
Le président : Je crois que vous devriez pouvoir le faire, également. Alors, si vous menez une enquête et imposez ensuite une amende, la compagnie peut chercher à se défendre en cour, ou par un autre moyen. C’est intéressant.
M. Therrien : Cette question est l’objet en fait d’un projet de loi d’initiative parlementaire, déposé par M. Erskine-Smith, un membre du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes. Un projet de loi d’initiative parlementaire portant précisément sur ce point est donc devant le Parlement actuellement.
Le président : C’est peut-être une question que le gouvernement pourrait examiner également. Nous le ferons certainement. C’est intéressant.
[Français]
Le sénateur Cormier : Concernant la relation entre le commissariat et le CRTC, vous avez parlé d’une certaine relation, dans le contexte de la modernisation des lois sur les télécommunications et de la radiodiffusion. Qu’est-ce que vous ne faites pas ensemble que vous devriez faire ensemble?
M. Therrien : Nous devrions échanger plus de renseignements sur les enquêtes pour qu’elles aient une assise factuelle plus solide lorsque nos enquêtes sont faites de façon indépendante. Cependant, l’interaction entre les agences de réglementation est une question secondaire. Je dirais que la question fondamentale sur laquelle vous devriez vous pencher est la suivante : est-ce que toutes les compagnies devraient être assujetties à une seule loi d’application générale? Ou, est-ce qu’il est utile et souhaitable de continuer le régime actuel où les compagnies de télécommunications font l’objet de mesures du CRTC qui peuvent aller au-delà des mesures d’application générale? À titre de commissaire à la vie privée, je n’ai pas de problème à ce que certaines compagnies soient assujetties à une norme plus élevée. C’est bien pour la vie privée.
Cependant, si je me mets à la place des compagnies qui ont des concurrents qui nagent dans les mêmes eaux, dont Facebook, Google et autres, qui sont des joueurs extrêmement importants au niveau de la concurrence et de l’équilibre des régimes juridiques applicables, je pense qu’il y a une question à examiner. Est-ce une bonne chose que, en matière de vie privée, les compagnies de télécommunications soient assujetties à un régime un peu plus élevé?
Le sénateur Cormier : Si je comprends ce que vous dites, c’est que les compagnies comme Google et Facebook, étant donné qu’elles relèvent seulement de la LPRPDE, posent un défi pour l’atteinte à la vie privée, car il y a moins d’exigence pour la protection de la vie privée.
M. Therrien : Oui, mais je le dirais différemment. Je pense qu’il y a une loi d’application générale qui, selon nous, a besoin d’être bonifiée, qui n’est pas parfaite, mais le ministre de l’Innovation, M. Bains, a déjà indiqué que le gouvernement se penche sur des améliorations à la LPRPDE. Alors, si on tient pour acquis que la loi d’application générale va être bonifiée dans ce scénario possible, est-ce qu’il est toujours nécessaire d’avoir des dispositions particulières en matière de télécommunication en ce qui a trait à la vie privée?
Il y a manifestement des questions, comme le contenu canadien et d’autres questions évoquées dans le cadre de votre étude qui relèvent exclusivement du CRTC et d’une loi sur les télécommunications. Ça n’a rien à voir avec la vie privée. Le CRTC a un rôle à jouer. Je ne dis pas qu’on ne pourrait pas s’entendre avec le CRTC une fois que les lois seront modifiées, la mienne et la leur. On pourrait s’entendre, mais la première question sur laquelle vous devriez vous pencher, c’est l’équilibre en matière de justice entre les secteurs d’opération pour ce qui est des questions liées à la vie privée. Ensuite, soit vous jugerez que les compagnies de télécommunications ne devraient être assujetties qu’à la loi d’application générale et qu’il n’y a pas de problème de collaboration avec le CRTC, soit vous jugerez que c’est toujours utile et qu’on devrait faire affaire avec le CRTC, collaborer avec lui et être en mesure d’échanger des renseignements.
Allons du côté américain. S’il y a deux agences de réglementation dont les mandats se chevauchent en partie, comme c’est le cas aux États-Unis entre la Federal Communications Commission et la Federal Trade Commission, dans le pire des cas, ça peut donner lieu à des conflits et à des décisions différentes. Ça a été le cas aux États-Unis. Récemment, les deux organismes se sont entendus et ont conclu une entente de collaboration où ils se partagent certains domaines d’intervention. Donc, ils ont réglé le problème de conflit potentiel. Par contre, s’il y a deux agences de réglementation, il faudra se poser des questions sur la façon dont les deux agences collaboreront. Est-ce qu’il y en a une qui a un rôle prépondérant par rapport à l’autre en matière de protection de la vie privée? Toutes ces questions se soulèvent.
Le sénateur Cormier : Merci.
[Traduction]
Le président : Le sénateur Manning a demandé plus tôt si nous pourrions nous inspirer d’autres gouvernements. Des organismes semblables aux nôtres dans d’autres pays ont-ils les pouvoirs disciplinaires dont nous avons parlé précédemment? Dans l’affirmative, pouvez-nous nous donner des exemples?
M. Therrien : Des pouvoirs disciplinaires, comme des ordres et des amendes?
Le président : Comme des amendes peut-être?
M. Therrien : Oui. C’est la règle générale. La Commission fédérale du commerce des États-Unis peut imposer des amendes. On parle d’accords de règlement, mais il s’agit en fait d’amendes, qui se chiffrent en millions de dollars. Telle est la situation au sud de notre frontière.
En Europe, en vertu du Règlement général sur la protection des données adopté en mai, nos homologues européens peuvent imposer des amendes extrêmement salées, représentant 4 p. 100 du volume d’affaires ou de la valeur d’une transaction financière d’une compagnie. Pour Google et Facebook, par exemple, l’amende peut être extrêmement lourde.
J’estime que le Commissariat à la protection de la vie privée devrait avoir le pouvoir de fixer et d’imposer des amendes. Nous n’avons pas demandé de pouvoir imposer un montant précis. À titre d’exemple au Canada, le Bureau de la concurrence peut imposer des amendes de l’ordre de 15 millions de dollars canadiens. Un tel montant devrait suffire à inciter les compagnies à ne pas considérer l’amende comme une dépense inhérente à l’exploitation d’une entreprise. Je n’ai pas d’opinion sur le montant exact auquel l’amende devrait s’élever.
Le président : Je sais de quoi vous parlez, toutefois. Qu’en est-il des organismes gouvernementaux? Que feriez-vous dans leur cas? Vous leur imposeriez des amendes particulières?
M. Therrien : Nous n’avons pas examiné cela de près, relativement au secteur privé. Ce que je vais dire est préliminaire.
Je ne suis pas certain que la situation soit exactement la même. Si un organisme de surveillance impose une amende à l’Agence du revenu du Canada, l’argent est transféré d’une enveloppe gouvernementale à une autre enveloppe gouvernementale. Atteint-on vraiment le but recherché? Je ne suis pas sûr que la situation soit exactement la même, mais nous n’avons tiré encore aucune conclusion à ce sujet.
Le président : Ce serait une question intéressante à examiner.
[Français]
La sénatrice Miville-Dechêne : Je veux simplement être sûre, parce que je suis un peu confuse entre la réponse que vous m’avez donnée et celle que vous avez donnée au sénateur Cormier sur la question suivante : est-ce qu’on devrait harmoniser les régimes et s’assurer qu’une seule loi s’applique, que ce soit Bell...
M. Therrien : Peu importe le secteur.
La sénatrice Miville-Dechêne : Vous avez dit que, en tant que commissaire, ça ne vous pose aucun problème, parce que vous avez à peu près les mêmes pouvoirs à l’égard de Facebook que de Bell. Toutefois, si vous avez les mêmes pouvoirs dans le statu quo, pourquoi sentez-vous le besoin de dire que tout le monde devrait faire face aux mêmes règles? Y a-t-il des règles importantes supplémentaires que Bell et Telus ont à respecter que Facebook et Google n’ont pas à respecter? Des règles importantes qui, même si elles n’ont pas d’influence sur votre propre action... Pouvez-vous me donner des exemples concrets pour que je puisse comprendre pourquoi il y a une nécessité d’harmoniser ou d’avoir les mêmes lois pour tout le monde?
M. Therrien : Dans l’état actuel des choses, le CRTC a comme objectif de voir à la protection de la vie privée. Il s’agit d’un mandat qu’il a reçu avant l’adoption de la loi d’application générale. Pour vous donner des exemples de mesures prises par le CRTC, on parle de nuances par rapport aux règles qui s’appliquent en vertu de la LPRPDE. Le CRTC, par le passé, a rendu des décisions qui exigent des compagnies de télécommunications qu’elles informent les consommateurs quant à leurs pratiques en matière de vie privée. Le CRTC a imposé comme exigence en matière de publicité que les fournisseurs de services de télécommunications obtiennent le consentement exprès des consommateurs avant d’utiliser leurs données à des fins publicitaires. Dans la LPRPDE, la règle est plus large, c’est-à-dire que le consentement du consommateur est obligatoire. Le consentement doit être exprès si les données recueillies sont sensibles ou si le consommateur a une attente raisonnable que ses renseignements ne seront pas utilisés sans son consentement exprès. Donc, la règle est d’application plus générale. Le CRTC lui a ajouté une précision en déterminant que, dans le cas des compagnies de télécommunications, si la compagnie veut utiliser des renseignements à des fins de publicité, le consentement exprès est nécessaire. Alors, on parle des mêmes principes avec une application un peu plus précise selon certaines décisions du CRTC.
La sénatrice Miville-Dechêne : Merci.
Le sénateur McIntyre : Ma question est dans la même veine que celle des sénateurs Manning et Tkachuk en ce qui concerne la situation mondiale. Dans votre mémoire, vous faites référence au règlement général sur les données de l’Union européenne. Selon vous, est-ce que ces données devraient être applicables à tous les niveaux de l’écologie des médias de communication axés sur les applications Internet et les services?
M. Therrien : Vous demandez si le contenu du règlement européen devrait s’appliquer aux compagnies canadiennes.
Le sénateur McIntyre : Oui.
M. Therrien : Il y a plusieurs bonnes choses dans le règlement général européen adopté en mai. C’est au Canada de déterminer quel est le meilleur régime qui devrait s’appliquer aux compagnies canadiennes et aux consommateurs canadiens. On fait affaire avec les États-Unis, qui n’ont pas de loi générale sur la protection de la vie privée, quoiqu’il y ait des discussions à l’heure actuelle pour élaborer une telle loi. L’Europe a un régime que certains disent très prescriptif. Au Canada, il y a une loi, la LPRPDE, qui est fondée sur des principes souples. Elle a besoin d’être bonifiée, mais elle n’est pas un mauvais point de départ. Donc, je ne pense pas qu’il faille essayer d’imiter le règlement européen dans tous ses aspects. Il y a plusieurs bonnes choses dans le règlement européen et vous devriez en examiner le contenu. Par contre, le but ne devrait pas être de le copier dans chacun de ces aspects.
Le sénateur McIntyre : Merci.
[Traduction]
Le président : Merci beaucoup à nos témoins. Nous vous sommes très reconnaissants d’avoir été des nôtres.
Nous allons suspendre notre séance pendant deux ou trois minutes pour un huis clos et nous pourrons ensuite remercier davantage nos témoins.
(La séance se poursuit à huis clos.)