INDU Réunion de comité

    Bon après-midi, mesdames et messieurs.

    Bienvenue à la 35^e séance du Comité permanent de l'industrie, des sciences et de la technologie.

    J'ai un pressentiment concernant les votes. Je pense que nous serons appelés à voter à nouveau. Je pense donc que le plus urgent, c'est d'entendre vos déclarations, car nous risquons d'être interrompus.

    Je crois savoir, madame Nelson, que vous devez partir avant midi, n'est-ce pas?

    Oui. Merci.

    Commençons avec l'Association du Barreau canadien.

    Nous sommes prêts à entendre vos remarques liminaires.

    Merci beaucoup, mesdames et messieurs les membres du comité. Je m'appelle Jean Nelson, et je suis membre de l'exécutif de la Section nationale du droit de la vie privée et de l'accès à l'information de l'Association du Barreau canadien. Je suis également membre du comité consultatif de l'Association canadienne des conseillers juridiques.

    Je suis accompagnée de Suzanne Morin, qui est également membre de la Section nationale du droit de la vie privée.

    Merci infiniment de prendre le temps de nous entendre aujourd'hui, surtout que vous avez une journée très occupée. Comme vous le savez, l'ABC est une association professionnelle qui regroupe 36 000 avocats. Nous représentons diverses organisations, des organismes à but non lucratif, des avocats du secteur privé et des conseillers juridiques. Notre mandat consiste notamment à faire respecter la primauté du droit dans l'administration de la justice. C'est dans cette optique que nous sommes venus témoigner devant vous aujourd'hui.

    Nous voulons nous prononcer en faveur des objectifs du projet de loi S-4, mais nous souhaitons également faire quelques recommandations. Elles visent à apporter des éclaircissements pour les citoyens, les entreprises et les organismes canadiens. Je sais que je dois respecter le temps qui m'est alloué, alors je vais mettre en relief deux aspects de notre mémoire écrit, que vous devriez avoir sous les yeux. Je vais aborder la communication sans consentement, et ma collègue, Mme Morin, parlera du signalement des atteintes. Nous nous ferons un plaisir de répondre à vos questions sur notre mémoire.

    Je vais d'abord parler de la communication sans consentement. Nous croyons essentiellement que cette disposition devrait faire l'objet d'une analyse plus poussée en vue d'envisager de restreindre sa portée. Nous craignons que, dans sa forme actuelle, la disposition est inutilement vaste et permettra la communication de renseignements sans consentement dans toutes sortes de circonstances inappropriées.

    Ces nouvelles dispositions semblent liées au retrait de la notion des organismes d'enquête dans la LPRPDE. Vous vous souviendrez peut-être que dans le cadre du régime des organismes d'enquête, le gouverneur en conseil pourrait approuver par voie réglementaire que des organismes de réglementation ou des catégories d'organismes puissent communiquer des renseignements personnels. Ces nouvelles dispositions proposées sont conformes à la position de l'ABC sur le sujet que nous avons exprimée plus tôt, lorsque nous avons exhorté le gouvernement à envisager les modèles utilisés en Alberta et en Colombie-Britannique. Toutefois, de notre point de vue, ces dispositions n'atteignent pas tout à fait l'objectif visé. Nous estimons que ces dispositions doivent être peaufinées, comme nous l'avons indiqué dans notre mémoire écrit. Nous serions ravis de collaborer avec Industrie Canada et d'autres intervenants pour atteindre l'équilibre approprié.

    Nous comprenons pourquoi les nouvelles dispositions sont nécessaires, puisque les grandes industries au Canada, telles que les banques, les services financiers et d'autres organismes du secteur privé, doivent communiquer des renseignements pour détecter et prévenir les fraudes et enquêter sur les cas de fraude. Nous sommes d'avis que cette disposition pourrait être mieux adaptée à l'objectif de prévenir les abus en modifiant son libellé vague.

    Monsieur le président, et mesdames et messieurs les membres du comité, voilà qui conclut mes remarques. Avec votre permission, j'aimerais maintenant inviter Mme Morin à vous en dire plus sur la perspective de l'ABC sur les dispositions relatives au signalement des atteintes dans le projet de loi S-4.

    Merci, Jean.

    Je vais seulement aborder deux aspects du régime de notification des atteintes dans mes remarques liminaires. Il y a, premièrement, les seuils pour faire des signalements au commissaire à la protection de la vie privée et, deuxièmement, la tenue de registres.

    Comme vous le savez peut-être, contrairement à son prédécesseur, le projet de loi C-12, l'article 10 du projet de loi S-4 établit un critère ou un seuil pour signaler une atteinte à des gens et au commissaire à la protection de la vie privée. En effet, chaque atteinte qui doit être signalée à une personne sera également déclarée au commissaire à la protection de la vie privée, ce qui fera en sorte que les entreprises devront changer leurs pratiques actuelles. Le but de ces signalements au commissaire consiste à surveiller le volume et la nature des atteintes pour relever s'il y a des tendances et permettre au commissaire de travailler avec des organisations de petite et de moyenne taille qui pourraient avoir besoin d'aide.

    Cet objectif est très, très différent de celui de signaler les atteintes aux personnes pour qu'elles puissent atténuer les préjudices causés. L'industrie et le Commissariat à la protection de la vie privée comprennent très bien la distinction. En fait, les intervenants de l'industrie suivent depuis des années les lignes directrices dans le document « Key Steps in Responding to Privacy Breaches », qui ont été conjointement publiées par la commissaire à la protection de la vie privée et ses homologues en Colombie-Britannique et en Alberta. Ces lignes directrices existent depuis plusieurs années et sont bien respectées par l'industrie. Tandis que le seuil pour le signalement aux personnes devrait être fondé sur l'existence d'un risque véritable de préjudice grave, et c'est ce que le projet de loi S-4 prévoit à l'heure actuelle, le signalement au commissaire à la protection de la vie privée devrait se fonder sur l'existence d'une atteinte majeure.

    Deuxièmement, en ce qui concerne la tenue de registres, nous estimons que la consignation obligatoire de toutes les atteintes aux mesures de sécurité, quelle que soit leur gravité, est impossible, irréalisable, et impose un fardeau trop lourd sur toutes les organisations, peu importe leur taille, ou sur l'industrie, sans assurer une meilleure protection aux Canadiens. Ce qui nous inquiète surtout, c'est que ces obligations de tenue de registres soient considérées à la lumière des nouvelles infractions proposées, ce qui ébranle l'équilibre délicat dans la LPRPDE, à notre avis. Un défaut de consigner une atteinte ne devrait en aucun cas être une infraction.

    Dans sa forme actuelle, et compte tenu de l'absence d'un seuil pour signaler les atteintes au commissaire à la protection de la vie privée dont je viens de parler, toute atteinte aux mesures de sécurité, si banale soit-elle, doit être diligemment consignée puisque ce sera une infraction de le faire de façon inadéquate ou imparfaite.

    Pour terminer, nous devrions nous concentrer sur les atteintes aux mesures de sécurité qui risquent d'être les plus lourdes de conséquences pour les Canadiens.

    Je répète que ma collègue et moi-même vous remercions de nous donner l'occasion de vous rencontrer aujourd'hui. Nous sommes disposées à répondre à vos questions.

    Merci infiniment, madame Morin.

    Nous entendrons maintenant M. Israel.

    Bonjour, monsieur le président, et bonjour à vous, mesdames et messieurs les membres du comité.

    Je m'appelle Tamir Israel, et je suis avocat à la Clinique d'intérêt public et de politique d'Internet du Canada Samuelson-Glushko, ou CIPPIC, à l'Université d'Ottawa. La CIPPIC s'emploie à promouvoir l'intérêt public dans les débats politiques où le droit et la technologie s'opposent. Nous sommes très reconnaissants de cette occasion de vous faire part de notre opinion sur le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, qui apportera des modifications importantes à la LPRPDE, la loi canadienne qui régit la protection des renseignements personnels dans le secteur commercial.

    La protection de la vie privée et le manque de confiance dans les pratiques des organisations sont une source de préoccupation constante pour de nombreux Canadiens. Un récent sondage commandé par la commissaire à la protection de la vie privée a révélé que plus de 75 % des Canadiens ont évité d'utiliser une application mobile en raison des renseignements que l'on demande, et près de 60 % ont désactivé le repérage de l'emplacement sur leur appareil mobile parce qu'ils s'inquiétaient que des gens puissent avoir accès à leurs renseignements. Ces statistiques sont éloquentes et montrent que les Canadiens demeurent inquiets concernant le contenu numérique et prennent des mesures en conséquence.

    Même si les préoccupations augmentent, il est de plus en plus difficile d'éviter ces pratiques qui portent atteinte à la vie privée. Tous les dispositifs, que ce soient les cellulaires, les appareils dans notre voiture ou notre télévision à la maison, sont maintenant une source de préoccupation pour ceux qui souhaitent préserver leur vie privée. Il faut beaucoup de temps pour se tenir à jour avec les paramètres de confidentialité et les politiques sur le respect de la vie privée sur ces dispositifs, et de nombreux groupes de la population n'y arrivent pas.

    Dans ce contexte, le projet de loi S-4 propose des améliorations bien nécessaires à la LPRPDE, tout en soulevant certaines préoccupations. Nous sommes particulièrement ravis que le projet de loi inclut des accords de conformité et une période d'appel prolongée, puisque ce sont des mesures initiales importantes pour régler les problèmes de longue date liés au mécanisme de traitement des plaintes de la LPRPDE. Nous espérons que d'autres modifications seront envisagées dans le cadre du prochain examen législatif du projet de loi, qui aura lieu au cours des prochaines années. Nous estimons qu'il reste des problèmes de longue date à régler concernant l'absence de mesures incitatives proactives à la conformité.

    J'aimerais aborder très brièvement trois sections du projet de loi S-4: la nouvelle exigence relative au consentement, le régime de notification des atteintes et quelques-unes des exceptions en matière d'échange d'information.

    L'article 5 du projet de loi S-4 édictera l'article 6.1 proposée de la LPRPDE, qui vise à renforcer les exigences relatives au consentement pour que les gens connaissent la nature, l'objectif et les conséquences de ce qu'une organisation compte faire avec leurs renseignements. De façon générale, cela signifie que si une organisation cible des personnes vulnérables et apprend qu'elle traite avec des personnes vulnérables telles que les jeunes, des mesures additionnelles seront prises pour faire en sorte que les pratiques de protection de la vie privée soient comprises.

    Lorsque l'on traite avec des jeunes, il peut être impossible de leur faire comprendre les conséquences de leurs actes, et le consentement parental vérifiable peut être requis. Cela est conforme aux pratiques de l'industrie pour les sites qui interagissent avec les jeunes enfants. Il y a déjà des obligations légales dans certains pays, notamment aux États-Unis, en vertu de la COPPA.

    La disposition sur le consentement aura également une incidence positive dans d'autres contextes. Renforcer l'obligation des organisations de s'assurer que les clients connaissent la nature et les conséquences des pratiques relatives aux données aidera les gens à faire des choix plus éclairés en ce qui concerne leur vie privée en général.

    Nous sommes un peu inquiets que les récents changements au projet de loi détournent l'attention vers ceux qui sont visés par les activités, plutôt que de porter l'attention sur ceux avec qui l'organisation traite. Nous craignons plus particulièrement qu'il devienne monnaie courante d'intégrer dans une politique de protection de la vie privée une disposition selon laquelle aucun enfant de moins de 13 ans puisse utiliser le service. Puis, lorsqu'on se rendra compte que beaucoup d'enfants de moins de 13 ans utilisent le service, la façon dont le consentement est formulé peut être interprétée de manière à exclure les obligations additionnelles qui devraient normalement s'appliquer dans ce contexte.

    En ce qui concerne l'obligation de signaler les atteintes prévue dans le projet de loi S-4, nous sommes très reconnaissants que cette obligation entre en vigueur. Elle a été longuement attendue et est fort nécessaire. Les obligations relatives à la notification des atteintes est devenue une norme dans 47 États américains, et la Maison-Blanche a récemment annoncé un projet de loi fédéral sur la notification des atteintes.

    Le régime de notification des atteintes que le projet de loi S-4 instaurerait exige que les personnes et le commissaire à la protection de la vie privée soient informés lorsque des atteintes aux mesures de sécurité créent un risque réel de préjudice grave. À l'instar de mes collègues de l'Association du Barreau canadien, nous nous inquiétons que la norme pour signaler les atteintes au commissaire à la protection de la vie privée soit trop élevée. De plus, nous avons constaté qu'il est très utile de signaler directement au commissaire à la protection de la vie privée une majorité d'atteintes pour assurer un suivi et pour améliorer de façon générale les incitatifs pour adopter des mécanismes de protection rigoureux.

    Même une atteinte aux mesures de sécurité où il n'y a pas de risque de préjudice grave peut indiquer un relâchement général au niveau des mesures de protection que l'on devrait régler. Nous estimons qu'il est bon d'avoir une exigence de signalement au commissaire à la protection de la vie privée qui est plus exhaustive, même s'il n'y a pas de risque réel de préjudice grave à l'endroit de certaines personnes.

    Nous sommes très reconnaissants d'avoir un régime de sanctions dans les cas où les exigences en matière de signalement des atteintes ne sont délibérément pas respectées. Nous pensons qu'avec le temps à tout le moins, il serait bon d'améliorer le régime pour qu'il devienne un régime de sanctions administratives pécuniaires plus général. Les amendes prévues dans la LPRPDE actuellement sont des sanctions imposées dans les cas d'infractions très flagrantes. Un régime de sanctions administratives pécuniaires sera plus approprié puisqu'il viserait à assurer la conformité. Il donne aux entreprises une plus grande marge de manoeuvre où des erreurs peuvent être commises sans mauvaise intention, d'une part, et où elles peuvent avoir plus de pouvoirs lorsque des infractions répétées sont commises et où il n'est pas nécessaire d'assurer la conformité, d'autre part. Je pense que cela améliorerait la rigueur de la loi, du régime de notification des atteintes.

    Je vais parler brièvement des dispositions relatives à l'échange d'information dans le projet de loi. Nous jugeons certaines d'entre elles problématiques. Elles présentent des problèmes potentiels, surtout du côté du secteur privé, mais nous avons également des préoccupations du côté du secteur public également. Le paragraphe 6(10) du projet de loi S-4 remplace l'exception actuelle visant les organismes d'enquête, qui permet à une liste exhaustive d'organismes de réglementation non gouvernementaux tels que le Barreau du Haut-Canada de recevoir de l'information concernant une enquête.

    Ce que l'on veut régler, ce sont les difficultés à se faire désigner comme étant un organisme d'enquête. De nouveaux organismes sont créés à l'occasion, le nom d'entités existantes change, et chaque fois que cela se produit, des règlements doivent être adoptés. C'est un processus qui est lourd. Nous sommes favorables à l'idée de régler ce problème.

    Nous craignons un peu que la solution adoptée pour cette exception ouvre la porte à un échange d'information non désiré, surtout dans le cadre de poursuites ou lorsqu'une entreprise privée veut enquêter sur le client d'une autre entreprise. Les dispositions adoptées dans le projet de loi S-4 constituent une amélioration par rapport à celles dans le projet de loi C-12, car elles limitent les situations où une entreprise peut communiquer les renseignements de leurs clients à une autre entreprise aux situations où l'on peut raisonnablement s'attendre que si le client était au courant, cela compromettrait l'enquête ou la poursuite judiciaire en cours.

    Toutefois, nous craignons toujours que cela ouvrira la porte à l'échange de renseignements sur les clients dans un cadre où les tribunaux ont déclaré très précisément qu'il y a un processus précis à suivre pour intenter une action contre quelqu'un. Ce que vous devriez faire, c'est de présenter une demande d'instance et de passer par des procédures de divulgation indépendantes, qui comportent des mesures de protection de la vie privée.

    Nous craignons que cette exception donnera à tout le moins à certaines entreprises l'impression de pouvoir communiquer les renseignements de leurs clients. Nous en avons des exemples assez flagrants au Canada. On a demandé à certains fournisseurs de services Internet, dans les tribunaux jusqu'à présent... car la Cour d'appel fédérale a dit jusqu'à présent que vous ne pouvez pas communiquer les renseignements de votre entreprise à un plaignant potentiel sans ordonnance du tribunal.

    Certaines affaires ont été portées devant les tribunaux et ont même été problématiques en cour. Des trolls de droits d'auteurs ont demandé l'identité de milliers de clients de fournisseurs de services Internet. Nous avons vu d'autres exemples où ce genre de pratiques pourraient être problématiques, alors nous aimerions que vous précisiez que cette exception n'est pas conçue pour faciliter ce type de demandes qui visent essentiellement à faciliter les poursuites.

    Nous avons également quelques petites préoccupations liées à l'article 10.2 proposé, qui fait partie du régime de notification des atteintes et qui vise les entreprises qui signalent déjà aux personnes et au commissaire à la protection de la vie privée lorsqu'une atteinte aux mesures de sécurité a été commise. Ces entreprises seront également tenues de signaler les atteintes à une liste non limitative d'entreprises et d'organismes gouvernementaux qui, d'après elles, pourraient contribuer à la réduction du préjudice.

    En principe, cette exception est sensée. Nous aimerions toutefois qu'il y ait plus de mesures de protection.

    Le problème vient en partie du fait que de nombreux organismes qui s'occupent de la sécurité, surtout dans le contexte du cyberespace, sont les mêmes organismes qui mènent des enquêtes sur une foule d'autres enjeux, et une atteinte à la sécurité peut compromettre les renseignements personnels de plusieurs milliers, voire des dizaines de milliers, de personnes. Nous sommes inquiets que l'on communique plus de renseignements que nécessaire dans le cadre de ces échanges.

    Monsieur Lawford.

    Merci beaucoup, monsieur le président.

    Mesdames et messieurs les députés, je m'appelle John Lawford et je suis directeur exécutif et avocat général du Centre pour la défense de l'intérêt public, ou CDIP, un organisme national sans but lucratif, constitué sous le régime de la loi fédérale en 1976. Le centre offre des services juridiques et de recherche au nom des consommateurs et, plus particulièrement, de ceux qui sont les plus vulnérables.

    Comme je n'ai pas beaucoup de temps, je ne m'attarderai aujourd'hui que sur les modifications relatives à la notification des atteintes. Toutefois, je serai heureux de répondre aux questions ayant trait à d'autres aspects du projet de loi.

    Le CDIP estime que l'objectif d'une loi efficace sur la notification des atteintes à la sécurité des données consiste à informer les particuliers de la perte ou du vol de leurs renseignements personnels auprès d'une organisation ou encore, de l'accès non autorisé à ces données, lorsqu'il est possible pour la personne de prendre des mesures afin d'éviter un dommage financier, un tort à la réputation ou tout autre préjudice, ou de réduire ces répercussions au strict minimum. Selon nous, il y a lieu d'atteindre cet objectif d'une manière qui permet aussi d'éliminer les conflits d'intérêts liés à la déclaration des atteintes; de réduire les coûts de conformité et les risques pour les entreprises, surtout les petites entreprises; de produire des données nécessaires à l'obtention de meilleurs résultats stratégiques; de faire intervenir, d'améliorer et de mettre à profit l'expertise du Commissariat à la protection de la vie privée, ou CPVP, en cas d'atteintes; et enfin, d'encourager les entreprises et les consommateurs à investir dans la sécurité des données.

    Malheureusement, le projet de loi S-4, dans sa version actuelle, risque fort d'entraîner une réduction du nombre d'atteintes signalées et de donner des résultats opposés. En effet, il créera une culture de la peur, de la récrimination et de la non-déclaration. Le projet de loi S-4 encourage la non-déclaration des atteintes à la sécurité des données, car il laisse à l'organisation ayant subi une atteinte le soin de déterminer si l'atteinte présente un risque réel de grave préjudice à l'endroit d'un individu. Il s'agit là d'un conflit d'intérêts évident, ce qui porte un coup fatal à l'objet du projet de loi, car les entreprises ne verraient aucun avantage à signaler une atteinte à la sécurité des données.

    Il se crée donc un conflit d'intérêts lorsqu'on demande à une entreprise de déterminer si une personne fait face à un risque réel de préjudice grave à la suite d'une atteinte à la sécurité des données puisque, dans les cas ambigus et dans certains cas flagrants, l'entreprise conclura qu'un tel risque n'existe pas. L'entreprise évite ainsi les coûts, les dommages à la réputation et les inconvénients. Du coup, elle évite aussi d'être dans la mire du CPVP et de faire l'objet d'une vérification ou d'une enquête.

    Il est vrai que l'entreprise risque d'être poursuivie aux termes de l'article 28 modifié de la LPRPDE, en plus d'être passible d'une amende maximale de 100 000 $, parfois même pour chaque document en cause, mais cette infraction repose sur l'hypothèse que l'atteinte n'a pas été déclarée en connaissance de cause. Toute organisation qui met en place un processus, aussi élémentaire soit-il, pour en arriver à la conclusion que l'atteinte ne présente aucun risque réel de préjudice grave aurait un argument de défense très solide. Cette lacune est exacerbée par le fait que le projet de loi exige que toutes les atteintes comportant un risque réel de préjudice grave soient déclarées simultanément et presque instantanément au CPVP, lequel joue essentiellement un rôle d'observateur, ainsi qu'aux personnes touchées et à des tiers non précisés qui pourraient être d'un secours quelconque. Quant à savoir quelles personnes devront être avisées, cette décision appartiendra exclusivement à l'entreprise concernée, qui devra composer avec plusieurs exigences de déclaration, d'où une situation chaotique. Bien franchement, cette structure ne tient pas debout. Là encore, cela incitera les entreprises à déclarer le moins de cas possible aux particuliers. Maintenant, comparons cela à notre vision du projet de loi S-4.

    Première étape: remplacez l'obligation de déclarer un risque réel de préjudice grave à toutes les parties par l'exigence de signaler immédiatement, au CPVP seulement, toute atteinte importante aux mesures de sécurité mettant en cause des renseignements personnels. Le projet de loi C-12, présenté au cours de la législature précédente, plus précisément son article 10.1, proposait un libellé très efficace, à une exception près. À cet égard, nous recommandons de supprimer la disposition du projet de loi concernant l'évaluation des problèmes systémiques, puisqu'il s'agit là d'un autre facteur qui décourage les entreprises de signaler des atteintes.

    Deuxième étape: laissez au CPVP le soin de décider s'il faut ordonner — oui, j'ai bien dit « ordonner » — à une entreprise de déclarer aux particuliers toute atteinte à la sécurité des données. L'entreprise n'aurait ainsi pas son mot à dire. Le CPVP serait un arbitre externe et impartial, chargé de trancher la question de savoir si une atteinte constitue un risque réel de préjudice grave pour les personnes touchées. À force d'évaluer les atteintes, le CPVP finirait par acquérir de l'expérience, des connaissances et une autorité en la matière. Par ailleurs, les décisions du CPVP seraient rendues publiques; autrement dit, les Canadiens sauraient enfin quelles entreprises ont subi des atteintes. À l'heure actuelle, cette information fait parfois défaut dans le cadre du régime de déclaration volontaire, et les gens ne sont pas au courant des conversations privées qui ont lieu, comme nous le savons, entre le Commissariat à la protection de la vie privée et les entreprises.

    Enfin, la collecte de renseignements sur les atteintes à la sécurité permet de produire des données qui pourraient aider à obtenir de meilleurs résultats stratégiques, car cela encouragerait les entreprises à investir dans la sécurité améliorée des données.

    Cette approche profiterait également aux entreprises, surtout à celles de petite taille. Si la décision de la notification revenait au CPVP, les entreprises n'auraient plus à assumer des coûts de conformité pour l'embauche d'experts-conseils chargés de gérer leur réponse à une atteinte, puisque le CPVP préciserait quand, comment et à quel point la notification s'imposerait. Cela éliminerait presque totalement le risque de responsabilité civile en cas d'atteinte à la sécurité des données. Le CPVP pourrait fournir des directives et préparer des documents détaillés sur la notification des atteintes pour faciliter le processus de déclaration à l'intention des entreprises qui doivent composer avec le stress causé par un tel incident.

    Pour en revenir à la deuxième étape, votre comité pourrait économiser du temps et de l'énergie en reprenant essentiellement l'article pertinent de la Personal Information Protection Act de l'Alberta, à savoir l'article 37.1.

    Enfin, une nouvelle version du projet de loi S-4, comme je l'ai proposé, devrait encourager à la fois les entreprises et les consommateurs à prendre plus au sérieux la sécurité des renseignements personnels et les mesures de prévention à cet égard. Pour les entreprises, l'exigence de déclarer les atteintes à la sécurité au CPVP, selon la première étape, entraînerait des investissements dans l'amélioration des systèmes afin d'éviter d'avoir à signaler de tels incidents. Pour les consommateurs, selon la deuxième étape, une notification pourrait être traitée comme une confirmation péremptoire, sérieuse, impartiale et approuvée par le CPVP, ce qui encouragerait les gens à prendre des mesures pour réagir comme il se doit à la notification des atteintes et, enfin, pour exprimer aux entreprises leur avis sur les pratiques de traitement de renseignements.

    Merci beaucoup. J'attends vos questions.

    Merci, monsieur Lawford.

    J'ai ici un mémoire, mais s'il y a d'autres renseignements que les témoins souhaitent présenter par écrit au greffier, surtout en raison de la situation actuelle, nous les considérerons comme des témoignages réguliers.

    Chers collègues, mon devoir consiste à être aussi juste que possible, et nous savons que le vote aura lieu vers 12 h 2. J'ai donc le choix d'ajourner nos travaux tout de suite par souci d'équité ou, selon les calculs que je peux faire, de diviser notre temps en interventions de six, quatre et demie, et trois minutes. C'est là un calcul rapide, mais je pense que ce serait représentatif du pourcentage de personnes. Nous dépasserions d'environ sept ou huit minutes la période après l'appel de la sonnerie. Toutefois, j'ai besoin d'un consentement unanime si nous choisissons de procéder ainsi.

    Des voix: D'accord.

    Le président: Très bien. Nous aurons donc droit à des interventions de six, quatre et demie, et trois minutes.

    Allez-y, monsieur Lake.

    Merci, monsieur le président, et merci aux témoins de leur présence.

    C'est parfois un bien étrange lieu pour ce qui est de la planification des travaux. Nous allons donc faire de notre mieux avec ce que nous avons.

    Monsieur Lawford, j'aimerais connaître votre opinion parce qu'hier, à la dernière réunion, les témoins que nous avons reçus ont insisté sur le trop lourd fardeau qui serait imposé aux organisations si elles devaient faire le suivi des atteintes. D'ailleurs, je pense que la même question a été soulevée aujourd'hui aussi. Par contre, vous semblez aller encore plus loin, en disant que presque toutes les atteintes devraient être déclarées au Commissariat à la protection de la vie privée; c'est, me semble-t-il, une approche vraiment à l'autre extrémité du spectre. Cela signifie peut-être que nous avons trouvé le juste milieu ici.

    Je ne suis pas d'accord. Je pense que, dans la version précédente, soit le projet de loi C-12, on avait fait l'effort d'établir une norme pour ce qui est de déclarer au CPVP les atteintes importantes, selon la gravité de la perte de renseignements et le nombre de personnes concernées. Comme je l'ai dit, cette mesure législative comportait aussi une disposition relative aux problèmes systémiques, ce qui complique les choses, selon moi. Cela voudrait dire que le nombre d'atteintes importantes déclarées au commissaire à la protection de la vie privée ne serait pas trop écrasant, parce qu'il s'agirait d'atteintes de grande envergure et lourdes de conséquences pour les personnes touchées.

    Monsieur Israel, dans vos observations, vous semblez être d'accord avec l'Association du Barreau canadien — je l'ai noté ici —, pour dire que le seuil pour la notification des atteintes au Commissariat à la protection de la vie privée est trop élevé. Vous ai-je bien compris? J'ai pris note de ce que vous avez dit presque sur le coup. Cependant, j'ai l'impression que l'Association du Barreau canadien disait quelque chose d'un peu différent et que vous n'êtes probablement pas sur la même longueur d'onde.

    Je vais peut-être m'adresser à vous, madame Morin, pour connaître votre avis là-dessus. Abondez-vous dans le sens de M. Israel?

     Non, vous avez raison. Quand M. Israel parlait des différents seuils, je pense que la seule chose sur laquelle nous sommes d'accord, c'est qu'il devrait y avoir deux seuils de déclaration au CPVP, mais pas plus.

    D'accord. Monsieur Israel, histoire de m'assurer d'avoir bien compris ce que vous vouliez dire, au fond...

    Pardon, je conviens qu'il faudrait deux seuils, mais le deuxième devrait être un seuil de déclaration au CPVP. Là où je voulais en venir, comme ma collègue l'a mentionné, c'est que les entreprises comprennent clairement à quoi servent les deux seuils. Le premier permet de surveiller les types d'atteintes qui surviennent et l'autre, de veiller à ce que les gens puissent obtenir réparation de tout tort qu'ils pourraient subir à la suite de la divulgation.

    Selon nous, la surveillance doit se faire à l'échelon du commissaire à la protection de la vie privée, si nous tenons à avoir une compréhension globale et systémique des types d'atteintes qui se produisent et si nous voulons vraiment commencer à régler ces atteintes de façon systémique et à améliorer les mesures de protection techniques dans l'ensemble de nos services. Voilà ce que nous devons vraiment viser. C'est la seule façon de résoudre le problème en général. Bref, c'est ce que je voulais dire.

    Étant donné le peu de temps dont nous disposons, je me contenterai de poser la même question à vous trois. Le projet de loi S-4, dans sa forme actuelle, améliorera-t-il la situation actuelle? Si nous adoptons le projet de loi S-4, tel qu'il est formulé, serons-nous en meilleure posture qu'avant, du point de vue de notre loi sur la protection des renseignements personnels?

    Je me permettrai de dire que si jamais le projet de loi n'était pas adopté, ce ne serait pas la fin du monde, parce qu'on obtient quand même des résultats dans l'état actuel des choses grâce aux lignes directrices sur la notification volontaire des cas d'atteinte. Je crois que vous vous retrouverez probablement avec moins de notifications d'atteintes après l'adoption du projet de loi. C'est notre avis.

    Monsieur Israel.

    Nous aimerions que le projet de loi soit adopté, moyennant quelques amendements mineurs.

    Madame Morin.

    En fait, d'une certaine façon, j'abonde dans le sens de M. Lawford. Plus précisément, en ce qui concerne les atteintes, la conformité volontaire est généralisée, parce que l'industrie observe ses obligations en matière de protection de la sécurité, en vertu desquelles il faut aviser les personnes concernées. La seule petite précision qu'apporte le projet de loi S-4, c'est probablement la déclaration au CPVP, mais cela se fait déjà de façon volontaire grâce aux excellentes lignes directrices publiées par le CPVP.

    Pour en revenir à votre premier point, madame Morin, vous avez fait valoir quelques arguments importants, suivis de quelques recommandations. Votre premier point concernait le changement lié aux organismes d'enquête. Lorsque nous en avons parlé à notre réunion précédente, j'ai demandé au commissaire à la protection de la vie privée si le régime proposé ressemble à ceux de l'Alberta et de la Colombie-Britannique. Il a répondu par un oui catégorique. Nous avons un précédent bien établi qui montre que les régimes de l'Alberta et de la Colombie-Britannique fonctionnent, sans poser de problèmes importants.

    Pouvez-vous me donner un exemple de situation qui vous inquiète et qui ne s'est pas encore produite dans le contexte de l'Alberta et de la Colombie-Britannique? Le cas échéant, dites-nous pourquoi.

    Du point de vue de l'ABC, nous comprenons tout à fait la transition des organismes d'enquête vers le régime qui est proposé dans le projet de loi S-4 et qui ressemble à ceux de la Colombie-Britannique et de l'Alberta, comme vous venez de le dire. Compte tenu de la préoccupation dont nous avons entendu parler dans les médias et ailleurs, nous avons estimé qu'il y a peut-être lieu d'y apporter quelques petits ajustements; nous avons donc proposé des amendements très ciblés pour mieux tenir compte de ce qui se passe réellement, dans la pratique, sous le régime des organismes d'enquête. Ces recommandations visent à rendre le projet de loi plus conforme au contexte actuel.

    Merci beaucoup, monsieur Lake.

     Madame Borg, vous avez la parole pour quatre minutes et demie.

    Merci beaucoup.

    Je vais être brève dans mes questions afin d'avoir le plus de temps possible pour les réponses. Je vous avise que j'ai deux questions à poser.

     Ma première question s'adresse à tous les témoins. Depuis la rédaction de ce projet loi, il y a eu la décision dans l'affaire Spencer.

    Selon vous, le comité devrait-il proposer des amendements ou apporter certaines modifications à la suite de cette décision?

    Idéalement, l'alinéa 7(3)c.1) proposé, qui faisait l'objet de l'arrêt Spencer, était l'une des dispositions les plus controversées durant la consultation qui a mené au projet de loi. La position que nous avions défendue alors reste la même: il faut trouver le juste milieu. Selon nous, l'arrêt Spencer sous-estime cet aspect.

    L'arrêt Spencer ferme la porte à la possibilité d'échanger des renseignements dans des contextes précis, mais il y a quand même des ambiguïtés relativement à d'autres contextes. Pourtant, au moment même où cette exception avait été proposée, littéralement des millions de renseignements personnels des Canadiens avaient été transmis aux forces de l'ordre en fonction de critères que nous ne jugions pas pertinents. Nous aimerions donc que cette disposition soit abrogée.

    Par ailleurs, nous préconisons l'ajout d'une obligation d'aviser les personnes concernées lorsqu'une entreprise privée fournit volontairement des renseignements à l'État, sauf si une telle notification risque de nuire à une enquête ou à quelque chose de ce genre. C'est ce que nous voudrions comme changement.

    Il s'agit là de mesures que nous réclamons depuis un certain temps et que nous aimerions voir dans la LPRPDE le plus tôt possible.

    Du point de vue du CIPPIC, il faut envisager de retirer ou de modifier la disposition concernant l'échange de renseignements entre les sociétés parce que, comme Tamir l'a dit, il y a un risque que les entreprises invoquent cette disposition dans certains contextes, comme celui du droit d'auteur, au détriment des consommateurs, alors que le processus judiciaire leur donnerait plus de protection, ce qui est beaucoup plus approprié. Je ne vois aucune mesure de protection là-dedans et je suis porté à croire que cette disposition sera utilisée à mauvais escient. C'est pourquoi nous recommandons un amendement en ce sens.

     Je vous remercie.

    Madame Morin, qu'en pensez-vous?

    Évidemment, notre position est différente. Nous ne croyons pas qu'il soit nécessaire de proposer des amendements à la LPRPDE ou au projet de loi S-4. La Cour suprême a fait son devoir, qui était d'interpréter une clause d'une loi existante. Nous ne croyons donc pas qu'il soit nécessaire d'apporter des amendements.

    Je vous remercie.

    Ma deuxième question s'adresse à MM. Israel et Lawford.

    En ce qui concerne les ententes de conformité, nous savons qu'un des objectifs de ce projet de loi est de faire en sorte que les organisations prennent vraiment la LPRPDE au sérieux, ce qui n'est malheureusement pas toujours le cas actuellement.

    Croyez-vous que les ententes de conformité proposées dans le projet de loi S-4 sont suffisantes pour vraiment encourager les organisations à se conformer aux lois canadiennes?

     Les ententes de conformité sont utiles, mais elles s'appliquent à un scénario très précis. Dans le cas d'une plainte relative à la protection des renseignements personnels, la plainte doit être présentée au commissaire, qui préparera ensuite un rapport dans lequel sera formulée une recommandation. Toutefois, il s'agit d'une recommandation non contraignante. Supposons que l'entreprise accepte de s'y conformer. Si elle change d'avis une année plus tard, il faudra essentiellement recommencer à zéro et déposer une autre plainte. Il n'y a aucun mécanisme qui y donne force exécutoire.

    Les ententes de conformité sont très utiles dans ce contexte, mais elles n'aident pas à régler une question qui nous préoccupe, à savoir l'établissement de mesures qui encouragent une conformité proactive. À cette fin, il faut imposer certains types de dommages si quelqu'un ne respecte pas les principes de la LPRPDE de façon très claire et flagrante. C'est, selon nous, nécessaire pour la LPRPDE. D'ailleurs, la plupart des autres commissaires à la protection de la vie privée et des renseignements personnels partout dans le monde sont investis de ces pouvoirs. Nous aimerions donc qu'une telle disposition soit ajoutée à la LPRPDE.

    Merci.

    Je suis généralement d'accord avec M. Israel. Les ententes de conformité représentent, en quelque sorte, une solution de fortune. Ce qu'il faut vraiment, selon moi, c'est un pouvoir qui permettra au commissaire de rendre des ordonnances. Voilà qui sera utile dans certaines situations. Les négociations avec les entreprises, aussi longues soient-elles, ne risquent pas toujours d'aboutir au résultat souhaité par le commissaire à la protection de la vie privée, même lorsqu'on conclut des ententes de conformité.

    Merci.

    Nous passons maintenant à Mme Sgro, qui dispose de trois minutes.

    Merci beaucoup, monsieur le président.

    Monsieur Lawford, vous n'êtes pas satisfait de la version actuelle du projet de loi S-4.

    En effet.

    De toute évidence, vous trouvez qu'il y a trop d'exigences: il faut une atteinte importante, il faut ceci ou cela; ce n'est pas assez clair.

    Comment pourrions-nous clarifier et renforcer le tout, d'une façon qui puisse vous satisfaire, vous et votre organisation?

    Nous proposons aujourd’hui un modèle hybride qui ressemble beaucoup à ce qui se trouvait dans le projet de loi C-12. Pour que le modèle ait deux étapes, les organisations sont tenues de déclarer, à titre de première étape, uniquement au commissaire à la protection de la vie privée toute atteinte importante aux mesures de sécurité en ce qui concerne des renseignements personnels, comme c’était écrit dans l’autre projet de loi. Ensuite, comme c’est le cas en Alberta, il est mieux de laisser à un tiers impartial, soit le commissaire à la protection de la vie privée, le soin de décider s’il faut en informer les personnes concernées, au lieu de laisser cette décision aux entreprises, ce que le présent projet de loi... Cela impose en fait beaucoup de responsabilités aux entreprises. Elles pourraient prendre de mauvaises décisions; il est donc préférable de laisser un tiers impartial s’en occuper.

    Voilà ce que nous proposons, à savoir une approche en deux étapes.

    En ce qui concerne le risque, l’entreprise pourrait ne pas déclarer une atteinte, puis faire valoir qu’elle ne pensait pas que c’était un risque important. L’entreprise peut interjeter appel et contourner le système que nous essayons de mettre en place.

    C’est ce qui nous préoccupe, à savoir que l’évaluation faite par l’entreprise ne tiendra peut-être pas compte des mêmes facteurs que considérerait le commissaire à la protection de la vie privée. L’entreprise a une expérience limitée en la matière, tandis que le commissaire à la protection de la vie privée a vu beaucoup plus de situations.

    Il n’y aurait rien là de malveillant. C’est tout simplement ce qui se passera.

    Les choses sont ainsi.

    M. John Lawford: Oui.

    L'hon. Judy Sgro: Madame Morin, vous ou votre collègue avez soulevé des inquiétudes au sujet de la gestion des documents et vous avez dit que ce serait très difficile de tout gérer. Pourriez-vous nous expliquer un peu ce que vous voulez dire?

    J’ai entendu le témoignage plus tôt cette semaine au cours duquel cet aspect a été soulevé. Voici un petit exemple.

    Prenons l’exemple d’un centre d’appels où quelqu’un appelle pour expliquer qu’il a reçu chez lui la facture de son voisin. Ce qui se passerait ensuite dans un tel cas, c’est que le représentant du centre d’appels dirait: « C’est terrible. Nous vous ferons parvenir une enveloppe; pourriez-vous nous envoyer la facture, s’il vous plaît? » Ensuite, le représentant du centre d’appels communiquerait avec l’autre client pour lui dire: « Nous sommes extrêmement désolés, mais votre voisin a reçu votre facture. Nous nous en excusons. » Les deux parties feraient amende honorable.

    Cette situation est techniquement une atteinte aux mesures de sécurité, parce que la mauvaise facture a été envoyée au mauvais client. C’est un cas isolé. Ce n’est pas anodin pour les deux clients, mais ce l’est lorsqu’on compare cela aux autres signalements d’atteintes. Selon le libellé actuel du projet de loi S-4, cela nous obligerait — par « nous », j’entends toute industrie ou toute organisation assujetties à la LPRPDE — à concevoir un système pour consigner un tel incident. La situation est réglée. Elle a été gérée. L’entreprise s’en est occupée. Par contre, il faudrait consigner le tout par l’entremise d’un autre système. Autrement, l’entreprise s’expose à des dispositions prévoyant des infractions très graves. Les infractions liées aux signalements d’atteintes sont très graves quant à la gestion des documents...

    Par contre, cela ne signifie-t-il pas que l’entreprise a en place des processus bancals? Ce n’est qu’un exemple parmi tant d’autres, je présume.

    Soyez très brève...

    Toute organisation subit des atteintes à ces mesures de sécurité. Cela va de soi. Certaines atteintes sont importantes aux yeux des Canadiens dans l’ensemble, tandis que d’autres ne le sont pas. Nous devrions mettre l’accent sur les atteintes qui inquiètent le plus les Canadiens.

    Merci beaucoup.

    Je m’excuse encore une fois auprès des témoins... Merci beaucoup de votre indulgence envers notre démocratie. Je vous en suis reconnaissant. S’il y a autre chose que vous aimeriez nous dire, veuillez le faire par écrit. Nous considérerons ce que nous recevrons comme des témoignages.

    Chers collègues, veuillez m’accorder une dernière minute. Il y a un point dont nous devons traiter à huis clos qui ne prend normalement que 60 secondes. Je peux suspendre nos travaux deux ou trois minutes. Nous avons encore beaucoup de temps, étant donné que c’est au bout du corridor.

    Suspendons nos travaux deux ou trois minutes pour que les gens aient le temps de quitter la pièce.

    [La séance se poursuit à huis clos.]