ETHI Réunion de comité

    Bon après-midi, chers collègues. Nous tenons la quatrième séance du Comité sénatorial permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Conformément au paragraphe 108(2) du Règlement, nous avons aujourd'hui une séance d'information du Commissariat à la protection de la vie privée du Canada.

    Nous accueillons aujourd'hui Mme Jennifer Stoddart, Commissaire à la protection de la vie privée. Nous vous souhaitons de nouveau la bienvenue parmi nous. Je crois comprendre que vous avez une allocution à faire, mais peut-être pourriez-vous commencer par présenter les collègues qui vous accompagnent.

    Oui, monsieur Poilievre.

    Monsieur le président, je ne veux pas vous interrompre, mais je me demandais s'il serait possible que la séance soit télévisée, étant donné que les sujets que nous aborderons sont d'intérêt public.

    Qu'en pensent les membres du Comité? Normalement, le Comité doit présenter une demande à l'avance pour que l'on puisse prendre les dispositions nécessaires.

    Allez-y, madame Freeman.

    Monsieur le président, si on avait voulu que ce soit télévisé...

    Ce n'est pas difficile de mettre en marche les caméras. Elles sont déjà ici.

    Merci.

    D'après ce que je sais, il faudrait du temps pour le faire. C'est techniquement possible, mais je ne suis pas certain que le Comité soit pour l'instant très enthousiaste pour le faire ou pour attendre le temps nécessaire. Alors pourquoi ne pas poursuivre?

    Madame Stoddart, vous pouvez présenter vos collègues et procéder à votre allocution.

    Je vous remercie beaucoup, monsieur le président.

    C'est un plaisir pour moi d'être de nouveau devant le Comité, notre comité. En tant qu'agent du Parlement, il est de notre devoir de vous rendre des comptes.

    Je suis ici aujourd'hui avec Chantal Bernier, qui s'est jointe à nous dernièrement à titre de commissaire adjointe à la protection de la vie privée, responsable de la Loi sur la protection des renseignements personnels.Vous vous en rappellerez peut-être.

Raymond D'Aoust, qui était commissaire adjoint. Son mandat a pris fin en septembre et il a été remplacé par Me Bernier.

    J'ai également avec moi aujourd'hui Lisa Campbell, avocate générale intérimaire, que vous avez déjà rencontrée, je crois. Elle est venue la semaine dernière. J'avais malheureusement un autre engagement, une séance d'information sur notre prochain rapport à présenter à un ministre, il me semble. Elle est venue avec M. Tom Pulcine, qui se trouve juste derrière moi et que vous reconnaîtrez sûrement. Je suis également accompagnée de deux autres membres de mon personnel: Éric Charlebois, agent de liaison parlementaire, et Ann Goldsmith, qui dirige la section des politiques.

    J'aimerais également dire, monsieur le président, qu'Elizabeth Denham, Commissaire adjointe à la protection de la vie privée,

la loi fédérale sur la protection des renseignements personnels dans le secteur privé,

    est à Calgary cette semaine et ne peut malheureusement être avec nous.

    Honorables membres du Comité, monsieur le président, vous aurez remarqué qu'on vous a fourni un classeur plutôt volumineux contenant des renseignements sur le Commissariat à la protection de la vie privée, sur nos responsabilités prévues par la loi et sur certains des enjeux qui nous préoccupent à l'heure actuelle. Nous espérons que ce document de référence vous sera utile.

    À titre de commissaire à la protection de la vie privée du Canada, j'indiquerais à ceux qui ne sont pas tellement familiers avec mes fonctions, je suis une haute fonctionnaire indépendante du Parlement; je rends des comptes à ce dernier généralement par l'entremise de rapports annuels et de rapports spéciaux.

    Le Commissariat et ses 160 employés sont responsables de l'encadrement de deux lois: la Loi sur la protection des renseignements personnels, à laquelle sont assujettis les ministères et les organismes fédéraux, qui vient d'être renforcé par la Loi fédérale sur la responsabilité, et la LPRPDE, l'acronyme pour la Loi sur la protection des renseignements personnels et les documents électroniques. Cette dernière, qui a été adoptée presque 20 ans après la Loi sur la protection des renseignements personnels, régit les organisations du secteur privé, dont les détaillants, les institutions financières, les transporteurs aériens, les compagnies de télécommunication, etc.

    Les deux lois visent à protéger la vie privée des Canadiennes et des Canadiens en présentant des règles de base sur les organisations qui recueillent, utilisent et traitent les renseignements personnels.

    Je vais continuer en parlant des menaces à la protection de la vie privée. Je serais heureuse de vous expliquer plus en détail les fondements philosophiques de ces deux lois, mais pour le moment je me contenterai de dire qu'elles n'ont jamais été aussi essentielles.

    Les menaces à l'endroit de la protection de la vie privée des Canadiennes et des Canadiens sont bien réelles, et elles sont sérieuses. Pour le commissariat, l'un des défis majeurs tient au fait que la liste d'enjeux auxquels nous devons nous attaquer est longue et qu'elle s'allonge de jour en jour.

    En dépit de ses avantages, la technologie a engendré des menaces sans précédent à l'endroit de la protection de la vie privée. Il suffit de penser aux technologies de surveillance, aux dispositifs électroniques de suivi et à l'imagerie biométrique, entre autres choses.

    Jamais auparavant la mémoire informatique n'a-t-elle été si abondante et si bon marché. Cela fait en sorte qu'il est incroyablement facile non seulement de compiler des renseignements sur les gens, mais aussi de les recouper, de les trafiquer, de les analyser, de les réduire et de les vendre au plus offrant.

    Plusieurs entreprises considèrent désormais que les renseignements personnels détaillés sont essentiels à leurs activités de marketing. Les gouvernements comptent de plus en plus sur les renseignements personnels dans le cadre de leurs efforts en matière de sécurité nationale.

    Et au cours des dernières années, les voleurs ont réalisé qu'ils pouvaient faire beaucoup d'argent en volant des noms, des dates de naissance, des numéros de cartes de crédit et d'autres renseignements personnels. Selon la GRC, les groupes du crime organisé du Canada considèrent que les renseignements personnels constituent une affaire lucrative qui complète leurs sources plus traditionnelles de revenus.

    Plusieurs risques d'atteinte à la vie privée émergent en rapport avec des technologies incroyablement complexes. Le Commissariat doit étudier des sujets hautement techniques comme la nanotechnologie, la technologie génétique et l'inspection approfondie des paquets, pour n'en nommer que quelques-uns.

    Dans le courant de la semaine, le Commissariat comparaîtra devant le Comité de la sécurité publique et nationale en relation à l'examen de la Loi sur l'identification par les empreintes génétiques.

    De plus, plusieurs enjeux en matière de protection de la vie privée sont maintenant d'ordre mondial, ce qui complexifie davantage les choses. « L'informatique dans les nuages » fait maintenant partie de notre vocabulaire. Partout sur la planète, des flashes de données — à la vitesse de la lumière, à toute fin pratique — nous mettent au défi d'assurer que les renseignements personnels des Canadiennes et des Canadiens sont protégés au quatre coins du monde.

    Quoi que nous fassions à l'intérieur de nos frontières, ce ne sera jamais suffisant pour protéger la vie privée de la population canadienne à l'étranger. Aussi travaillons-nous avec d'autres pays pour élaborer un niveau fondamental de protection de données à l'échelle mondiale. À cet effet, le Commissariat a participé avec enthousiasme à plusieurs initiatives internationales en matière de protection de la vie privée mises de l'avant par l'Organisation de coopération de développement économique, la Coopération économique de la zone Asie-Pacifique et d'autres organisations.

    Je passe maintenant à la question de la réforme législative.

    Sur le plan législatif, vous vous souviendrez que j'ai comparu devant ce comité l'année dernière au sujet de l'examen obligatoire de la LPRPDE. C'est avec plaisir que je vous annonce que les travaux se poursuivent rondement et que j'attends avec impatience que la loi modifiée nous parvienne prochainement d'Industrie Canada.

    Je tiens aussi à parler d'un autre défi important auquel le commissariat fait face, soit la Loi sur la protection des renseignements personnels, connue en anglais sous l'appellation de Privacy Act.

    À l'instar de plusieurs commissaires à la protection de la vie privée qui m'ont précédée, j'ai indiqué aux parlementaires, au cours des années, que cette loi était sérieusement périmée et qu'il était essentiel et urgent de la réformer. Afin de bien saisir la situation, réfléchissez à ceci: lorsque la loi a été adoptée, le Commodore 64 était une nouveauté.

    Au printemps dernier, ce comité a entrepris un examen important de la Loi sur la protection des renseignements personnels. J'ai proposé à ce comité quelque 10 modifications rapides qui apporteraient quelques solutions immédiates. Toujours est-il que la loi doit faire l'objet d'un remaniement complet afin qu'elle tienne compte des défis en matière de protection de la vie privée du XXI^e siècle.

    Je sais que le comité a déjà entendu plusieurs témoins au printemps dernier. Il me tarde de donner suite à leurs observations et de poursuivre notre entretien sur ce sujet.

    En conclusion, c'est ici, avec vous, que devront commencer les réformes des lois canadiennes en matière de protection de la vie privée. Je fais valoir auprès des honorables membres du Comité que la protection de la vie privée est un enjeu dont tous les Canadiens devraient se préoccuper, peu importe leurs convictions politiques.

    Le citoyen moyen pourrait ne pas percevoir les menaces à l'endroit de la protection de la vie privée auxquelles sont confrontés les Canadiennes et les Canadiens. En effet, les risques opèrent avec subtilité et nuance. Ils n'ont pas tendance à poindre tous à la fois, mais plutôt de manière furtive et graduelle — et ils proviennent de directions variées.

    Les Canadiennes et les Canadiens ne peuvent certainement pas se défendre seuls contre ces menaces. Il leur faut un gouvernement pour qui la protection de la vie privée est un droit fondamental de la personne et des renseignements personnels, un atout commercial précieux à protéger adéquatement.

    En qualité de haute fonctionnaire du Parlement, il m'incombe de vous soutenir dans cet important rôle. Le Commissariat est en train de mettre au point des documents pour les bulletins parlementaires, comme des renseignements sur le vol d'identité, pour faciliter vos entretiens avec vos électeurs sur la protection de la vie privée.

    Nous envisageons d'un oeil favorable de travailler en étroite collaboration avec vous pour assurer la protection du droit de la vie privée des Canadiennes et des Canadiens. C'est avec plaisir que je répondrai à vos questions.

    Je vous remercie beaucoup.

    Vous savez probablement déjà que le Comité, après en avoir discuté, a convenu de terminer le travail sur l'étude que nous avons réalisée. Je crois que la seule autre chose que j'aimerais vous demander avant que nous allions trop loin sur ce sujet — et vous y avez peut-être déjà songé, mais si ce n'est pas le cas, je vous encourage à la faire — est de nous indiquer si vous croyez qu'il y a d'autres témoins que notre comité devra entendre. Une ébauche du rapport nous arrivera incessamment, ce qui ne signifie pas que nous ne pouvons poursuivre nos efforts pour être certains que le dialogue que nous avons eu soit un reflet fidèle de l'attitude du secteur de la législation de la protection de la vie privée. Je vous invite donc à la réflexion.

    Merci.

    L'autre question qui nous intéresse, à laquelle vous n'avez pas fait référence, mais que nous allons probablement aborder et à laquelle vous pourriez peut-être commencer à penser, concerne la question des ressources humaines. Comme vous le savez, le Comité a exprimé un certain intérêt et quelques préoccupations au sujet de la capacité du Commissariat d'assumer ses responsabilités. C'est un point qui a été soulevé lors de l'examen de la loi et dans certaines des recommandations ou des possibilités qui nous ont été proposées pour améliorer la loi.

    Par ailleurs, je crois que nous avons demandé — et Mme Hiebert s'en souviendra probablement — des informations sur les progrès des initiatives en matière de ressources humaines et sur les problèmes de retard, pour que nous puissions continuer de surveiller ces responsabilités et, au besoin, nous impliquer davantage. C'est une situation qui existe non seulement au sein de notre commission, mais également, comme vous le savez, même au Commissariat à l'information du Canada et probablement ailleurs également. C'est peut-être une question que nous devrons aborder avec le Conseil du Trésor ou une autre autorité pour voir comment nous pourrions atténuer un problème très grave, qui fait que l'on n'a pas la main-d'oeuvre nécessaire pour accomplir ces responsabilités. Car c'est bien de cela dont il s'agit.

    Eh bien, c'est tout ce que j'avais à dire. J'aimerais commencer notre premier tour de table avec M. Wrzesnewskyj, qui aura sept minutes.

    Merci, monsieur le président.

    Madame la commissaire, je vous souhaite la bienvenue.

    J'ai remarqué que dans vos rapports, la majorité des plaintes concernent la GRC. Lorsque vous avez examiné ces plaintes, approximativement quel pourcentage d'entre elles étaient fondées?

    Nous publions un tableau croisé très exhaustif dans notre rapport annuel.

    Pendant que ma collègue cherche l'information, je pourrais peut-être dire que, de façon générale, relativement peu de plaintes sont fondées aux termes de la Loi sur la protection des renseignements personnels. Ce n'est qu'une minorité d'entre elles qui le sont, ce qui, je suppose, constitue une bonne nouvelle concernant les pratiques de protection des renseignements personnels de la plupart des organismes. Certaines de ces plaintes se règlent au cours de l'enquête.

    Nous pourrions vous donner l'information plus tard.

    Pendant que l'on cherche l'information, quels sont les services de la GRC qui font le plus l'objet de plaintes?

    Je ne sais, monsieur le président, si j'ai vu ce chiffre précis ou si nous l'avons analysé.

    C'est une question particulièrement intéressante.

    Si cette information pouvait...

    Comme il semble que nous abordions des questions où il y a peu d'information et pour lesquelles vous ne pouvez fournir de réponse complète et absolument certaine, je propose que vous preniez le temps d'y répondre.

    Je vais demander conseil, oui.

    D'accord, parfait. Merci.

    Savez-vous si des plaintes fondées ont été formulées concernant la publication embarrassante de renseignements personnels dans le cadre de demandes d'accès à l'information?

    Je crois que nous en comptons quelques-unes par année, mais c'est relativement rare, parce que le ministère qui publie l'information dans ces cas s'en remet à la primauté de l'intérêt public, si c'est une question de sécurité publique ou si le grand public a besoin de savoir quelque chose.

    C'est donc discrétionnaire. Même si quelqu'un se plaint, la décision relève de la haute direction du ministère concerné.

    Il y a donc eu des plaintes par le passé. Comme vous l'avez indiqué, il en allait peut-être de l'intérêt commun ou de la sécurité publique.

    Est-il déjà arrivé qu'une note d'information destinée à la commissaire soit publiée au sujet d'une enquête potentiellement criminelle concernant les actions d'un député? On pourrait présumer que s'il s'agit d'une note d'information de la commissaire, immédiatement au sein de l'unité d'AIPRP, le personnel agirait avec une attention et un soin particuliers, d'autant plus que la question toucherait un député et sa réputation.

    Il n'est pas si rare que soit publié un document obtenu en vertu de la politique d'accès à l'information, dans le cas présent une note d'information de la commissaire, ce document indiquant le nom de personnes qui pourraient être potentiellement impliquées dans une affaire criminelle qui n'a finalement pas abouti, n'est-ce pas? Le nom de Bill Casey figurait dans un document qui a été rendu public. Dans les plaintes que vous avez vues, était-il question d'une situation aussi sérieuse qui se serait produite à l'unité de l'AIPRP?

    Nous n'avons pas encore analysé les questions précises comme la publication de notes d'information. Comme je l'ai dit, la Loi sur la protection des renseignements personnels accorde à la haute direction des ministères un large pouvoir discrétionnaire pour publier des renseignements personnelles à titre exceptionnel s'il y a des raisons de croire qu'il en va de l'intérêt public. Nous devrons nous en tenir à cela.

    J'ai noté dans les rapports qui figurent dans le cartable ici que le Commissariat a effectué une vérification sur la collecte d'information à la GRC. Je vais citer le passage. On peut lire que la GRC conserve des renseignements personnels « dépassant la mesure permise ou nécessaire ». L'information dépassait-elle juste la mesure permise ou nécessaire? Certains renseignements ont-ils été obtenus illégalement?

    Puis-je demander, monsieur le président, si l'honorable membre fait référence à notre rapport spécial sur les fichiers inconsultables?

    Je crois que c'est votre rapport spécial déposé au Parlement en février 2008.

    Oui.

    Monsieur le président, nous n'avons pas cherché à savoir si l'information avait été obtenue illégalement. Cela ne relève pas de notre mandat. Nous n'avons qu'examiné l'information et sa relation avec l'administration de la Loi sur la protection des renseignements personnels.

    D'accord.

    Je crois comprendre que la GRC conserve un certain nombre de fichiers inconsultables, qui échappent ainsi à votre examen et à l'application des règlements en matière de protection des renseignements personnels. À votre connaissance, combien existe-t-il de tels fichiers en dehors du Projet Shock?

    Je ferai remarquer, concernant l'observation de l'honorable député, que l'expression « fichiers inconsultables » ne signifie pas que nous ne pouvons pas les examiner. C'est ce qui nous a permis de réaliser le rapport sur ces fichiers, un type de document qui n'avait pas été préparé depuis un certain temps. Il s'agit de fichiers que, pour des raisons de sécurité nationale, le citoyen canadien ordinaire ne peut consulter pour accéder à ses renseignements personnels. Voilà ce qu'on entend par inconsultable.

    D'accord. Alors, combien y en a-t-il?

    Pour autant que je sache, il n'y en a maintenant qu'un seul.

    Est-ce le Projet Shock?

    Non. Le Projet Shock est clos. Le fichier inconsultable de ce projet a été fermé à la suite de notre vérification.

    Je vois.

    Vous avez une demi-minute.

    Combien de gens auraient figuré dans le fichier du Projet Shock et le fichier toujours actif?

    Je devrai recommuniquer avec vous pour vous donner le chiffre exact.

    M. Borys Wrzesnewskyj: Oui, et ce...

    Votre temps est écoulé, monsieur Wrzesnewskyj. Merci.

    Je vous remercie.

    Nous passons maintenant à Mme Freeman.

    Bonjour, mesdames Stoddart, Campbell et Bernier. Merci d'être ici aujourd'hui.

    Je suis tout à fait d'accord avec vous pour dire que cette loi est complètement désuète, puisqu'elle date d'il y a 25 ans. Elle ne peut donc pas, avec des outils vieux de 25 ans, faire face à tous les enjeux technologiques d'aujourd'hui.

    J'ai lu avec attention vos 10 recommandations dont vous parliez. J'ai aussi remarqué que vous aviez établi des priorités. Parmi les quatre priorités auxquelles vous voulez travailler en matière de politique et de recherche, je note les technologies de l'information émergentes. Pouvez-vous nous expliquer davantage le genre de travail que vous entrevoyez faire à cet égard ainsi qu'en matière de gestion de l'identité et de sécurité nationale?

    Monsieur le président, j'aimerais demander à ma collègue Me Bernier de répondre à la députée à ce sujet, étant donné qu'elle supervise le travail sur les priorités.

    

    Effectivement, on m'a demandé de coordonner les quatre projets prioritaires, dont chacun est dirigé par une personne. Simplement pour vous mettre en contexte, je dirai que ces projets touchent respectivement la technologie, le développement de la génétique, le développement de politiques de sécurité nationale et la gestion de l'identité.

    Pour répondre à votre question, je vais donc vous parler de ce qu'on fait spécifiquement en matière de technologie. Vous comprendrez sûrement — d'ailleurs, la commissaire l'a dit dans ses remarques d'ouverture — que nous devons être à la fine pointe de la technologie et que nous devons suivre très attentivement les développements au regard de la protection de la vie privée.

    Ce que nous faisons peut se diviser en quatre grands volets. Le premier consiste à obtenir la plus grande compréhension et la plus grande expertise possible en matière de technologie pour pouvoir véritablement comprendre l'envergure, la portée et les répercussions des diverses technologies. On travaille donc à des projets de recherche et de formation sur les systèmes d'identité, sur les technologies comme RFID et sur la biométrie, par exemple.

    Nous participons également à des travaux internationaux pour véritablement profiter du partage de l'information. Nous nous penchons particulièrement, dans nos vérifications, sur certaines formes de communication comme les communications sans fil. D'ailleurs, nous commençons une vérification auprès de six ministères, qui ont été choisis à partir de notre travail d'analyse, pour voir comment est gérée la communication sans fil.

    En résumé, nos activités visent, d'une part, le développement et l'approfondissement de notre expertise. D'autre part, elles ont pour but de vérifier de quelle façon les institutions fédérales gèrent l'information retenue par la technologie pour protéger la vie privée. À ce titre, je suis responsable de la Loi sur la protection des renseignements personnels.

    Vous essayez donc de vous maintenir à la fine pointe dans le domaine des technologies de l'information émergentes.

    J'ai vu l'organigramme des personnes qui travaillent dans votre équipe. Vous avez une tâche titanesque.

    Ne serait-ce qu'hier, à l'émission Enquête, on faisait rapport de l'aisance quasi enfantine avec laquelle des pirates informatiques, dans l'espace de cinq minutes, peuvent récupérer de l'information dans nos ministères, par exemple des noms, des adresses et des numéros de téléphone.

    Vous n'êtes pas non plus sans connaître Mafiaboy, ce jeune homme de 15 ans qui a complètement paralysé tous les moteurs de recherche dans Internet. C'est d'autant plus troublant que l'événement dont je parle remonte à quelques années.

    Depuis ce temps, qu'avez-vous fait pour qu'on protège l'identité des gens dans nos organismes fédéraux?

    On fait bon nombre de choses. D'abord, on procède à des évaluations des répercussions sur la vie privée de certains programmes, en collaboration avec les institutions fédérales. Lorsque celles-ci mettent sur pied un programme qui peut laisser place à une invasion de la vie privée, elles en font une évaluation.

    Par exemple, une de ces évaluations en cours a été médiatisée. Il s'agit du projet-pilote de l’Administration canadienne de la sûreté du transport aérien à Kelowna, où l'on utilise ce qu'on appelle en anglais l'Integrated Checkpoint System, une machine qui permet de visualiser le passager à l'aide d'images holographiques. Cela a été rapporté dans la presse. L'Administration nous y a fait participer dès le début. Nous n'avons pas émis de décision ni de jugement, mais nous travaillons avec les représentants de l'Administration pour évaluer les répercussions sur la vie privée.

    Il s'agit donc d'un travail en amont pour déterminer à l'avance si un programme proposé serait compatible avec la protection de la vie privée. Cela constitue une de nos activités.

    Nous procédons aussi à des activités de vérification. Une fois qu'un programme est en place, nous vérifions si la gestion des renseignements personnels est adéquate. Nous faisons également du travail d'élaboration de politiques, du travail de recherche et du travail visant à informer la population.

    En ce qui a trait à la technologie, je vais vous donner un exemple récent. Il y a deux semaines, nous avons attribué des prix pour des vidéos réalisées par des jeunes dans lesquels ils devaient démontrer de quelle façon la technologie peut être compromettante par rapport aux renseignements personnels. C'était un concours lancé dans les écoles secondaires du Canada. On a soumis des projets, et nous avons décerné des prix aux meilleurs. C'était une façon de conscientiser les jeunes aux dangers de la technologie.

    Il existe une foule d'exemples, même si je vous en donne simplement quelques-uns.

    Ce que vous dites est très intéressant, madame Bernier. Par contre, ma question cherchait à savoir comment vous faites pour protéger les données personnelles sur les citoyens et citoyennes que possèdent les organismes et ministères.

    On sait que les pirates informatiques peuvent s'infiltrer avec beaucoup d'aisance dans les systèmes des organismes fédéraux pour récupérer des données. Hier, à l'antenne de Radio-Canada, l'émission Enquête a fort bien expliqué pendant une heure la facilité avec laquelle on peut avoir accès directement aux banques de données des organismes.

    Merci, madame.

    Monsieur le président, j'aimerais compléter les remarques de ma collègue.

    Nous exhortons depuis plusieurs années le gouvernement du Canada à adopter une politique sur la cybersécurité. Nous devons clairement avoir une telle politique. Je pense que le Canada est maintenant l'un des seuls pays de l'OCDE sans politique sur son infrastructure cybernétique. C'est assez grave.

    J'aimerais vous préciser que notre commissariat n'a pas l'obligation de protéger les données. Cela revient à chaque ministère, à chaque agence et à chaque organisme. Toutefois, nous ne cessons de multiplier les occasions de leur rappeler leur responsabilité tant dans le secteur privé que dans le secteur public. Les deux lois, c'est-à-dire la Loi sur la protection des renseignements personnels ainsi que la LPRPDE, exigent que toutes les données soient protégées contre toute atteinte, afin qu'elles restent confidentielles. Lorsqu'il y a atteinte, on peut faire enquête et suggérer des façons d'y remédier. On l'a fait dans plusieurs cas.

    Merci.

    Monsieur Siksay, vous avez la parole.

    Je vous remercie, monsieur le président.

    Je vous remercie de comparaître aujourd'hui, madame Stoddart.

    Je suis heureux de vous revoir, madame Campbell.

    Madame Bernier, je vous félicite pour votre nouveau poste.

    Ma question, madame Stoddart, concerne la sécurité aux Jeux olympiques. Je sais que, plus tôt ce mois-ci, vous étiez en Colombie-Britannique pour participer à un atelier sur la sécurité en vue des Jeux olympiques. Vous avez soulevé un certain nombre de préoccupations que vous aviez au sujet des Jeux olympiques et de la sécurité, particulièrement après l'événement. Je me demande si vous pourriez nous faire part de certaines de ces préoccupations.

    Ici encore, je demanderais à ma collègue Mme Bernier de répondre à votre question, car avant d'entrer au service du Commissariat — comme vous l'avez probablement lu — elle était sous-ministre adjointe à la sécurité publique. Experte des questions de sécurité, elle a été immédiatement affectée à ce dossier. De fait, elle a rencontré des représentants de la GRC à Vancouver; elle peut donc, si vous le permettez, monsieur le président, vous donner une bien meilleure description de la rencontre que moi.

    Bien sûr.

    Nous avons toute une série de préoccupations, qui ne sont toutefois pas le fruit de l'observation de pratiques réelles préoccupantes. La question découle de toute évidence de l'intensification des mesures de sécurité, qui rend d'autant plus important le devoir de protéger les renseignements personnels. J'ai dressé une liste de questions que j'ai communiquée à la GRC avant notre rencontre, qui s'est tenue le 5 février. Les représentants de la GRC nous ont rencontrés pendant trois heures et ont répondu à toutes nos questions.

    Nous leur avons demandé s'ils allaient élaborer une politique expressément pour cette occasion si exceptionnelle afin de protéger les renseignements personnels lors de l'application des mesures de sécurité qui doivent être prises. Nous voulions également savoir s'ils formeront leurs agents. Veilleront-ils à ce que la sécurité et les intrusions dans la vie privée des citoyens ne deviennent pas la norme?

    Nous leur demanderons également de veiller à ce que les gouvernements étrangers n'accèdent pas à l'information à laquelle ils ne devraient pas avoir accès. Alors comment protègent-ils les droits actuels des Canadiens à la protection des renseignements personnels dans ce contexte exceptionnel?

    Même si la GRC a fourni une réponse bien plus détaillée, vous pouvez en voir un résumé dans son communiqué du 4 février, qui se fonde beaucoup sur les questions que nous avons posées.

    Pourriez-vous nous en parler? Je sais que pour de grands événements de ce genre, il faut prendre des mesures de sécurité qui sont inhabituelles et extraordinaires et qui pourraient soulever des préoccupations quant à la protection de la vie privée. Pouvez-vous nous parler de questions que vous avez soulevées par rapport à cet événement?

    Lorsqu'on a demandé à la GRC comment elle allait gérer les renseignements, elle a répondu qu'elle veillerait rigoureusement au respect des lois canadiennes actuelles. Son avocat général, qui était présent, a indiqué qu'il en assumait la responsabilité.

    Pour ce qui est de la surveillance, celle-ci ne dépassera pas le strict nécessaire. Nous avons, par exemple, soulevé la question d'un éventuel recours excessif aux télévisions en circuit fermé. La GRC a répondu qu'elle ne les utiliserait qu'au besoin, essentiellement dans les zones interdites. Si une personne se fait filmer, c'est parce qu'elle se trouve dans une zone interdite. Il y aura bien sûr des caméras ailleurs. La GRC est mieux placée pour répondre aux questions à ce sujet, mais ses représentants m'ont dit que l'agence allait déployer tous les efforts possibles pour respecter les lois dans leur ensemble. Nous entretenons un dialogue continu avec la GRC à ce sujet.

    Mme Stoddart a indiqué aux médias qu'elle avait des préoccupations quant au retrait des appareils de sécurité après les Olympiques, se demandant si ces appareils allaient être remis aux forces de l'ordre qui continueraient à les utiliser. Avez-vous obtenu une réponse à cette question?

    On nous a répondu que l'équipement serait loué. La GRC ne gardera pas l'équipement et n'y voit donc pas de problème possible.

    Donc, la GRC ne va pas garder l'équipement, mais il se peut que quelqu'un d'autre s'en serve jusqu'à la fin de la location?

    La GRC a indiqué qu'elle ne garderait pas l'équipement et qu'elle n'en aurait plus besoin après les Olympiques. Elle allait conclure des marchés visant la location d'équipement et la prestation de services.

    Vous ne savez pas si cet équipement sera retiré, ni s'il y aura un retour à la normale sur le plan de la sécurité dans les sites et les collectivités?

    Je puis vous affirmer que, selon la GRC, il n'y aurait pas de sécurité accrue dans la foulée des Olympiques.

    Savez-vous s'il existe des fonds dans le budget de la sécurité des Olympiques pour le démantèlement et le retrait de l'équipement de sécurité?

    Je l'ignore. Je n'ai pas vu le budget.

    D'accord.

    Parlons de la surveillance par télévision en circuit fermé. Je sais qu'on l'utilise énormément en Grande-Bretagne. Il semble également que les États-Unis l'aient adoptée. Savez-vous comment le Canada se compare aux autres pays qui l'utilisent?

    Nous avons justement financé un projet de recherche à ce sujet à l'Université Queen's. J'ai l'ébauche du rapport. On attend la version finale qui sera émise d'ici la fin mars. Si vous voulez, nous vous en enverrons une copie. Bien sûr, ce sera un document destiné à la diffusion publique.

    Ce serait formidable.

    Savez-vous si la surveillance vidéo a été intensifiée ou des équipements supplémentaires installés à Ottawa pendant la visite du président Obama? Dans l'affirmative, y a-t-il eu des préoccupations à ce sujet?

    Je n'en sais rien.

    Vous avez soulevé dans votre rapport une question qui concerne la Colombie-Britannique, c'est-à-dire le projet des permis de conduire améliorés. Je sais que ces permis seront bientôt disponibles. En fait, je me suis renseigné, car je devrai renouveler mon permis en mars. Les permis de conduire améliorés seront disponibles à partir du 2 mars en Colombie-Britannique. J'aimerais savoir quelles sont vos préoccupations quant à ce projet. Je sais que c'est un dossier que vous suivez.

    Oui, madame Stoddart.

    Nos préoccupations sont très semblables à celles de notre collègue, le commissaire à la protection des renseignements et de la vie privée de la Colombie-Britannique, M. Loukidelis. En fait, nous collaborons avec lui et avec d'autres commissaires provinciaux à ce sujet. Divers aspects nous préoccupent, dont l'accès à l'information. Lorsqu'un Canadien traverse la frontière, combien de renseignements sont transférés? Nous sommes préoccupés par la technologie et par la transmission de renseignements à des intervenants autres que les agents frontaliers. Nous sommes également préoccupés par l'étendue des vérifications nécessaires à l'émission d'un permis de conduire amélioré et par d'autres répercussions éventuelles relativement à la sécurité.

    C'est donc un dossier que nous surveillons avec grand intérêt. Nous avons fait quelques suggestions au gouvernement du Canada dans notre réponse à une évaluation des facteurs relatifs à la vie privée et nous entretenons un dialogue à ce sujet. Les résultats du projet-pilote seront bientôt disponibles.

    Merci.

    Madame Block, à vous la parole.

    Merci, monsieur le président.

    J'aimerais revenir à certaines des observations et des questions de Mme Freeman. Vous avez indiqué que ce n'est pas votre rôle de protéger les renseignements, mais plutôt de faire en sorte que les diverses organisations respectent les lois. Il y a quelques mois, je me considérais une citoyenne ordinaire. Si les citoyens ordinaires savaient ce que vous savez sur les lois en matière de protection de la vie privée et comment elles sont appliquées, pensez-vous qu'ils seraient satisfaits des efforts visant à protéger leur vie privée? Pourriez-vous nous donner des exemples pour étayer votre opinion?

    En fait, mes renseignements proviennent des mêmes sources qu'utilisent d'autres Canadiens. Il se peut cependant que j'obtienne des renseignements plus spécialisés un peu plus tôt grâce à certaines études que nous menons. Nous savons que les Canadiens sont très préoccupés par le traitement de leurs renseignements personnels. Ils se soucient de la sécurité. Ils se posent des questions quant à l'échange transfrontalier des données, au fait que des renseignements puissent être transmis à un pays dont les normes sont inférieures aux normes canadiennes, et ainsi de suite. Ce sont des préoccupations qui reviennent sans cesse.

    Pourriez-vous répéter la deuxième partie de votre question?

    S'ils savaient ce que vous savez, pensez-vous que les citoyens seraient satisfaits quant à la protection de leurs renseignements personnels au Canada actuellement?

    Non. Je crois que les citoyens, compte tenu de ce qu'ils savent, sont préoccupés et qu'ils sont insatisfaits de la manière dont sont protégés leurs renseignements personnels. Je le constate d'ailleurs depuis quelques années en raison de l'intérêt énorme qui est porté au travail de mon bureau, à la fois dans le secteur public et le secteur privé.

    Les parents s'inquiètent de la vie privée de leurs enfants, car les enfants passent tout leur temps sur Internet. Huit millions de Canadiens se sont inscrits sur Facebook, et on ignore ce qui est fait avec les renseignements qui y sont confiés. C'est d'ailleurs l'objet de l'une de nos enquêtes en cours. Les gens craignent que leurs renseignements personnels ne soient volés. Le vol d'identité est chose courante, malheureusement. J'ai déjà parlé du vol d'identité au Comité dans le passé et je recommande régulièrement que nous modifiions le Code criminel et que nous adoptions une loi antipourriel.

    Les Canadiens qui n'ont pas les moyens d'acheter des logiciels chers reçoivent beaucoup de pourriels. On m'a dit que de 98 à 99 p. 100 des courriels reçus sont des pourriels. Le gouvernement du Canada peut se permettre d'acheter des filtres antipourriel sophistiqués, mais on voit bien l'étendue du problème. Nous sommes le seul pays du G8 qui n'a pas de loi antipourriel.

    Je crois que les Canadiens sont plutôt réalistes lorsqu'ils affirment que la protection de leurs renseignements personnels est insuffisante.

    Merci.

    J'ai une question à vous poser sur le rapport que nous avons reçu. Vous arrive-t-il de voyager dans d'autres pays dans le cadre de vos fonctions officielles?

    Oui.

    Pourriez-vous nous indiquer quelles sont les activités et les conférences auxquelles vous avez participé dans le cadre de vos fonctions officielles pendant les 12 derniers mois?

    Oui. Je vais le faire par ordre chronologique inverse.

    En octobre, moi-même et des collègues, nous nous sommes rendus à Strasbourg pour participer à la Conférence mondiale des commissaires à la protection des données et de la vie privée. Nous avions organisé la conférence à Montréal l'année précédente, et les membres du comité organisateur nous ont invités. C'est le Président de la Chambre, M. Milliken, qui a prononcé le mot d'ouverture, ce qui a constitué un honneur pour nous vu notre fonction parlementaire. Nous assistons à cette conférence tous les ans.

    J'ai également accompagné la délégation ministérielle d'Industrie Canada lors de son voyage à Séoul, en Corée du Sud, dans le cadre de notre travail à l'OCDE. Mon bureau participe activement à l'élaboration de la procédure transfrontalière visant des recours communs en cas de mauvaise gestion de renseignements personnels. J'ai été membre d'un group d'experts et j'ai participé aux discussions à titre de membre de la délégation canadienne.

    Avant cela, j'ai prononcé un discours à Londres lors d'une convention internationale sur le crime électronique. Mon discours a porté sur les leçons qu'on pouvait tirer de l'enquête sur l'affaire TJX menée conjointement par mon bureau et celui du commissaire à la protection des renseignements et de la vie privée de l'Alberta. Des pirates avaient réussi à entrer dans la base de données de TJX pour voler les numéros de quelques millions de cartes de crédit. Ce crime a eu des répercussions dans le monde entier. Les auteurs du crime sont en train d'être traduits en justice, et des millions de dollars de dédommagement ont été versés.

    Avant cela, j'ai assisté à une réunion de travail de l'OCDE. Je crois que c'était en mars dernier.

    Cela vous donne-t-il un aperçu de mes voyages à l'extérieur du pays?

    Oui, tout à fait.

    Après avoir lu votre rapport et vous avoir écoutée, il me semble que vous avez joué un rôle clé à certaines conférences. Pouvez-vous me dire ce que vous avez appris? Comment les lois canadiennes de protection de la vie privée se comparent-elles aux lois d'autres pays que vous avez pu visiter?

    Il y a deux constats. Le premier, c'est que l'approche canadienne est très populaire. Dans le domaine de la protection de la vie privée, il existe trois groupes: ceux qui ne veulent pas de lois en la matière, ceux qui préconisent une approche semblable à celle de l'Union européenne, et ensuite les États-Unis, pays qui n'a pas de loi nationale en matière de la protection de la vie privée. L'approche canadienne est un compromis entre les positions européenne et américaine. Elle suscite beaucoup d'intérêt, car elle s'adapte à de nombreuses situations et cultures.

    Voilà le bon côté des choses. L'aspect parfois déprimant, c'est le retard qu'accuse le Canada en ce qui concerne la protection de la vie privée et la difficulté avec laquelle nous faisons respecter certaines mesures de base. Un député a soulevé la question de la sécurité. Nous n'avons aucune loi exigeant la notification en cas de vol de données. Au contraire de la plupart des autres pays, nous n'avons pas de système qui dissuade véritablement les malfaiteurs. Nous avons un système de gestion des renseignements personnels très opaque qui mérite un examen sérieux. Le Canadien moyen n'a aucun recours. Si le gouvernement abuse de ces renseignements, il n'y a pas de recours véritable. On peut accéder à de l'information, mais si le gouvernement a fait un usage abusif de renseignements ou a commis une erreur monumentale qui entraîne des préjudices, comme c'est le cas pour M. Murdoch d'Edmonton, on ne peut s'adresser à la Cour fédérale ni à toute autre cour pour se plaindre du tort fait à sa réputation, à sa capacité de travailler, et ainsi de suite.

    Donc, globalement nous sommes en bonne posture, mais pour ce qui est des menus détails, nous accusons un retard énorme.

    Merci beaucoup.

    Je vais exercer mon pouvoir discrétionnaire et poser quelques questions.

    Madame Stoddart, avez-vous apporté des données récentes sur vos pénuries en matière de ressources humaines et sur les arriérés de travail?

    Je pense que oui, monsieur le président. Nous avons distribué de la documentation quand nous avons comparu sur le Budget supplémentaire des dépenses, donc nous en avons sur les ressources humaines et nous pourrions vous la remettre.

    Est-ce que quelqu'un pourrait se préparer à s'avancer à la table au besoin pour pouvoir...

    Une voix: Je peux le faire.

    Le président: Vous pouvez? Nous allons donc nous préparer à en discuter.

    Nous avons aussi de la documentation sur l'arriéré.

    C'était un autre élément. Dans la vérification conjointe que le Commissariat à la protection de la vie privée a réalisée avec la vérificatrice générale et à l'issue de laquelle vous avez présenté deux excellents rapports, la vérificatrice générale et vous-même, sur quatre ministères distincts, vous avez soulevé un problème assez grave. En effet, selon les lois qui découlent de la Loi électorale du Canada, la date de naissance des électeurs devrait dorénavant apparaître sur la liste électorale. Je pense que vous avez également trouvé des renseignements entre les mains de personnes qui n'auraient peut-être pas dû les avoir. Quand le Parlement a été saisi de la question, le Commissariat à la protection de la vie privée a-t-il déterminé qu'il s'agissait d'un problème potentiel et a-t-il comparu devant le Comité pour présenter sa position à l'égard de ces modifications?

    Oui, si je me rappelle bien, monsieur le président, j'ai comparu à deux reprises. La première fois, c'était avec le directeur général des élections dans le cadre d'une discussion générale sur les identificateurs et leur utilisation pour déterminer qui a le droit de voter. C'était devant le comité de la Chambre des communes. Quand le projet de loi a été adopté, j'ai comparu aussi devant le comité sénatorial, si ma mémoire est bonne, avec le commissaire adjoint de l'Ontario afin d'exprimer mes inquiétudes sur l'identificateur de la date de naissance complète, à la lumière du fait qu'en Ontario, on n'utilise que l'année. C'est ce dont je me souviens. Je pourrais vous le confirmer ultérieurement, mais j'ai exprimé mes inquiétudes à cet égard.

    Très bien, vous avez donc coutume de suivre l'évolution des enjeux susceptibles de perturber la vie privée?

    Voilà. C'est ce que fait notre personnel.

    Monsieur Wrzesnewskyj, allez-y. C'est le second tour, vous avez cinq minutes.

    Merci, monsieur le président.

    Madame la commissaire, pourquoi le projet de la base de données Shock de la GRC a-t-il été interrompu? Quels motifs ont été évoqués?

    Eh bien, dès que nous avons annoncé notre intention d'effectuer une vérification et que mon personnel a entamé des pourparlers avec les gens de la GRC, ils en sont venus à la conclusion avec nous que tant d'années après le 11 septembre — parce que cette base de données a été établie dans le contexte du 11 septembre, dans les mois qui ont suivi —, ils n'avaient plus besoin de saisir ces renseignements dans un fichier inconsultable et que par conséquent, ils pouvaient cesser de l'utiliser. C'est dans le contexte de notre vérification qu'ils ont pris cette décision.

    L'explication est donc que c'était de l'information en trop, plutôt que de l'information recueillie d'une manière interdite ou inutile, n'est-ce pas?

    Je n'ai pas relu notre rapport de vérification depuis sa sortie, mais si je ne m'abuse, c'étaient des renseignements dont ils n'avaient plus besoin, qui n'étaient plus utiles. Ils croyaient que ces données pouvaient revêtir une importance stratégique en 2001, mais certainement plus aujourd'hui. De plus, ces renseignements n'avaient jamais été revus, donc pour la plupart, je suppose, ils avaient perdu leur statut d'inconsultable.

    Est-ce qu'il y avait des fiches sur des messieurs comme M. Arar dans cette base de données?

    Je ne sais pas dans quelle base de données se trouvaient les renseignements sur M. Arar.

    Je vous pose la question sur la base des données Shock, que la GRC a cessé d'utiliser dès que vous avez commencé à l'examiner. Son nom se trouvait-il dans cette base de données?

    Je ne le sais pas. Je ne sais tout simplement pas qui faisait l'objet de fiches dans cette base de données.

    Très bien, était-elle mise en commun avec des gouvernements étrangers?

    Il faudrait que je relise notre rapport. Si ma mémoire est bonne, elle ne l'était pas, et il y a fort à douter que c'aurait été légal en vertu de la loi canadienne.

    Quand vous retournerez lire ce rapport, pouvez-vous aussi vérifier si l'une ou l'autre des bases de données qui sont censées avoir été abandonnées contenait des renseignements qui ont été mis en commun avec des gouvernements étrangers? Le cas échéant, pouvez-vous également essayer de découvrir avec quels gouvernements l'information a été partagée et si ces gouvernements ont été informés que la base de données en question ne sert plus ici en raison de la nature problématique des données qu'elle contient, qu'elle n'est pas valide et que les gouvernements étrangers ne devraient plus l'utiliser?

    Oui, certainement. Nous allons vérifier tout cela et vous en donner des nouvelles.

    En aparté, nous avons parlé d'information génétique et de partage d'information entre les pays. De toute évidence, il y a beaucoup de partage de ce type en Amérique du Nord.

    Je crois que depuis quelques semaines, les Canadiens qui rentrent au Canada par avion en passant par les États-Unis sont priés de se mettre dans une file séparée, où les agents sont munis d'équipement spécialisé, et qu'ils sont tenus de donner leurs empreintes digitales et de se soumettre à une lecture de l'iris pour que leurs identificateurs soient saisis dans une base de données américaine.

    Votre commissariat a-t-il déjà reçu des plaintes à cet égard?

    À ma connaissance, nous n'avons encore reçu aucune plainte ni n'avons été avisés de cet état des choses. Encore une fois, nous allons vérifier cela, mais je ne suis pas au courant.

    J'ai fait partie des Canadiens ébahis, soit dit en passant, qui ont dû faire la file avec tous les autres Canadiens au débarquement de l'avion pour cela.

    Le Centre de la sécurité des télécommunications du ministère de la Défense est probablement le service ministériel le plus secret au Canada. Il a un pouvoir d'écoute électronique dont aucun autre organisme gouvernemental ne jouit. Avez-vous déjà effectué une vérification complète de ce centre?

    Oui, nous avons mené une vérification l'an dernier, et je crois que les résultats devraient sortir dans notre prochain rapport annuel.

    Avez-vous remarqué des sujets d'inquiétude importants?

    Eh bien, mon rapport annuel va être publié sous peu.

    Nous avons hâte de le voir.

    Je pense que nous devons nous arrêter là. Je m'excuse.

    Nous allons donner la parole à M. Hiebert. Allez-y.

    Merci, monsieur le président.

    Je suis bien content de vous revoir, madame Stoddart.

    Quand vous avez comparu devant nous en 2007 et en 2008, nous vous avons interrogée sur vos ressources humaines, donc j'espère que vous ne serez pas trop surprise que nous vous demandions où vous en êtes à cet égard.

    Nous devrions toujours commencer par les gros chiffres. Combien d'enquêtes menez-vous actuellement?

    Je pense que c'est 1 134.

    C'est un peu moins qu'il y a un an.

    Oui.

    Je m'excuse, monsieur Hiebert, je ne vous enlèverai pas de temps.

    Pouvez-vous préciser s'il s'agit seulement de dossiers assignés ou d'enquêtes véritablement commencées?

    C'est le nombre de dossiers actifs au Commissariat.

    Non, il faut couper les cheveux en quatre, parce que je crois qu'avant, si un dossier se trouvait sur le bureau d'un enquêteur, mais que celui-ci n'avait pas encore commencé son travail, le dossier était considéré actif.

    Si vous êtes prêts à m'écouter, je peux vous expliquer tout cela avec la plus grande transparence. Je peux vous expliquer les deux situations, mais dans quel ordre? Voulez-vous que je réponde à la question personnelle ou...

    C'est pour aider le Comité à comprendre où vous en êtes.

    Puis-je commencer par la bonne nouvelle?

    Vous vous souviendrez que votre comité s'est directement intéressé aux ressources humaines de mon commissariat, le printemps dernier, et que nous vous avons dit alors que nous manquions cruellement de ressources humaines à cause de nombreux départs à la retraite et de problèmes très graves de roulement et de déplacement de personnel, entre autres, même si nous disposions d'un budget assez généreux. Les chiffres indiquaient qu'il était difficile de retenir nos employés. À l'époque, mon personnel et moi avions déclaré que nous avions mis en place des mesures pour changer la situation. Je suis donc très heureuse de vous dire que nous sommes maintenant légèrement au-dessus de notre quota d'employés prévu dans le budget. En mai, nous avions environ 120 employés et actuellement, nous en avons 161, ce qui était notre objectif.

    Je me réjouis du fait que dans les catégories où le gouvernement du Canada nous demande de déployer des efforts particuliers, nous avons largement dépassé nos objectifs. Je pense à l'embauche d'Autochtones, de personnes handicapées et de membres de minorités visibles. La plupart des 124 postes sont des postes bilingues; nous représentons donc très bien la société canadienne. Nous avons réalisé des progrès au cours des huit derniers mois.

    Je vous remercie de l'intérêt que vous portez à la question et je pense que nous sommes dans une bien meilleure position pour affronter l'avenir que nous ne l'étions auparavant avec le roulement constant de personnel.

    À ce propos, quel est le taux actuel de roulement? Ces dernières années, il était d'environ 40 p. 100, et vous disiez qu'il était équivalent à celui de la fonction publique. Pourriez-vous nous donner une idée de votre taux actuel de roulement?

    Je n'ai malheureusement pas ce chiffre sous la main aujourd'hui, mais je sais qu'il est inférieur à 40 p. 100. En fait, notre taux de roulement est très bas, et au cours des derniers mois, il est resté bien inférieur au taux de roulement général de la fonction publique.

    Pour en revenir au nombre d'enquêtes en cours, pourriez-vous nous dire combien il y en a, et combien découlent de la Loi sur la protection des renseignements personnels par opposition à la LPRPDE?

    À la fin de janvier, il y avait 547 enquêtes en vertu de la LPRPDE et 662 enquêtes en vertu de la Loi sur la protection des renseignements personnels. Il y a donc un peu plus d'enquêtes découlant de la Loi sur la protection des renseignements personnels.

    Vous avez déjà indiqué qu'une grande part des enquêtes effectuées en vertu de la Loi sur la protection des renseignements personnels se rapportait à des personnes emprisonnées.

    Oui, en effet.

    Quelle proportion des 662 enquêtes menées en vertu de la Loi sur la protection des renseignements personnels toucherait ces personnes?

    Dans notre dernier rapport annuel, nous indiquions avoir reçu en tout 759 plaintes en vertu de la Loi sur la protection des renseignements personnels, et de ce nombre, 248 plaintes visaient le Service correctionnel du Canada. Cela ne veut pas dire que les personnes qui les ont déposées étaient nécessairement elles-mêmes emprisonnées à ce moment-là. Nous avons reçu, à un moment donné, une série de plaintes de la part de gardiens de prison, mais il existe une forte corrélation. C'est donc plus du quart; en fait, c'est le tiers. Selon notre dernier rapport annuel, le tiers des plaintes visait le Service correctionnel du Canada.

    Vous parlez du rapport de quelle année?

    Du rapport de 2007-2008.

    C'est le nombre de plaintes dont nous avons parlé l'année dernière. Savons-nous si ce problème persiste?

    Le phénomène est constant depuis que la Loi sur la protection des renseignements personnels existe: ceux qui ont le plus souvent recours à cette loi sont les détenus.

    J'aimerais beaucoup obtenir ces renseignements mis à jour.

    C'est votre dernière question.

    Y a-t-il un retard dans ces enquêtes?

    Oui, il y a malheureusement un arriéré. Nous avons décidé de préciser si les dossiers en attente ont été reçus depuis moins d'un an, parce que je crois qu'il était inexact et éventuellement trompeur de dire qu'ils ne sont pas assignés, parce que s'ils le sont, cela ne signifie pas qu'ils vont être traités, et ainsi de suite. Nous avons donc fixé un critère chronologique. En ce qui a trait à la Loi sur la protection des renseignements personnels, des 633 plaintes que nous avions toujours à traiter la semaine dernière, 270 dataient d'il y a moins d'un an, et la majorité — c'est-à-dire 363 plaintes —, d'il y a plus d'un an.

    Nous avons élaboré une stratégie grâce à laquelle, à la fin de l'exercice financier en cours, il ne devrait rester que 320 plaintes, et d'ici à 2010, l'arriéré devrait être éliminé pour les deux lois. Nous allons donc atteindre notre objectif de réduction.

    Donc, vous dites que plus de la moitié des dossiers en attente le sont depuis plus d'un an.

    Oui. Actuellement, il y en a plus de la moitié qui sont en attente depuis plus d'un an.

    Me reste-t-il du temps, monsieur le président?

    Oui.

    C'est un nombre considérable.

    En effet. De toutes les difficultés que nous avons connues au cours des dernières années, c'est le dernier défi de taille auquel nous devons encore faire face. C'est tout un défi. Il y a un arriéré semblable pour les dossiers liés à la LPRPDE.

    Comment pouvez-vous expliquer ce retard? Vous avez plus de personnel que jamais. Vous aviez 120 employés l'année dernière et vous en avez maintenant 160, avec un roulement de personnel inférieur. Comment expliquez-vous cela?

    Malheureusement, l'arriéré est un peu comme un iceberg qui grossit très lentement, mais imperceptiblement au fil des ans. Une fois qu'il est là, il est difficile de s'en débarrasser.

    Les grands défis administratifs qu'a affrontés le Commissariat à la protection de la vie privée ont fait en sorte que l'arriéré a augmenté au cours des dernières années. Nous n'avons pas disposé d'une équipe complète d'enquêteurs depuis bien longtemps et ce, pour diverses raisons. L'une d'elles, c'est que nous ne pouvions obtenir le financement nécessaire pour embaucher plus d'enquêteurs avant de mettre de l'ordre dans nos affaires, ce qui a pris plusieurs années, comme vous le savez. De plus, une fois que nous avons obtenu le financement voulu pour l'embauche de nouveaux enquêteurs, nous avons été aux prises avec un problème de roulement de personnel largement attribuable à la rareté des enquêteurs, qui constituent un groupe professionnel spécialisé, sur le marché du travail de la région d'Ottawa. On peut ajouter à cela le départ à la retraite d'un certain nombre de personnes.

    Toutefois, cet automne, nous avons réussi à embaucher 20 enquêteurs, et je crois que nous avons maintenant un effectif d'environ 42 enquêteurs. Beaucoup de nouveaux venus ont été formés en janvier et en février; ils vont commencer à travailler à la mi-mars. Le nombre de demandes en attente s'est accru dans le passé, mais je pense que maintenant, avec un effectif complet de ressources humaines, nous pourrons nous y attaquer avec succès.

    Si je vous ai laissé continuer un peu plus longtemps que prévu, c'est parce que je trouve important que tout le monde connaisse les enjeux et sache pourquoi nous avons demandé à la commissaire à la protection de la vie privée de nous tenir informés des progrès réalisés. Quand le roulement de personnel est aussi élevé, le taux de productivité de bien des employés est faible au début.

    C'est certain qu'il faudra du temps. Nous devons nous assurer que vous avez suffisamment de ressources et que le Conseil du Trésor collabore avec vous pour que vous ayez le personnel qu'il vous faut quand vous en avez besoin.

    Merci.

    C'est maintenant au tour de Mme Thi Lac.

    Merci, madame la commissaire. Pour ma part, c'est la première fois que je vous rencontre, même si vous vous êtes présentée à plusieurs reprises devant le comité.

    Vous avez dit un peu plus tôt, en réponse à une question posée par ma collègue Mme Freeman, que le commissariat n'avait aucune obligation de protéger les données recueillies par les divers ministères. J'imagine que les normes sont également de leur ressort.

    Les normes, en ce qui a trait aux questions de protection et de sécurité, sont du domaine du Conseil du Trésor, qui émet les règles. On a un rôle de commentateur: on fait les plaintes, on fait les vérifications. De temps en temps, on indique qu'il y a des problèmes dans la gestion des renseignements personnels, mais c'est aux départements, aux ministères et aux agences de protéger et de gérer leurs renseignements personnels.

    Y a-t-il présentement une procédure uniforme en ce qui a trait aux normes? Si elles proviennent du ministère, comme vous le dites, du Conseil du Trésor, y a-t-il uniformité par rapport aux normes dictées aux divers ministères?

    Pardon?

    Y a-t-il uniformité, dans les différents ministères, dans la collecte des informations ou la protection?

    Les pratiques varient quelque peu entre les ministères et agences. Je peux vous référer — parce que c'est le plus récent — au rapport spécial que j'ai rendu public la semaine dernière de concert avec la vérificatrice générale. Il s'agit de deux rapports concordants. Chaque commissariat a son mandat, sa mission particulière, mais un des messages, qui était le même dans les deux cas, était l'importance du leadership du Conseil du Trésor comme agence centrale qui édicte et définit les normes en matière de protection des renseignements, de formation des gens, de moyens de s'assurer qu'on fait rapport de ce qu'il advient des renseignements personnels. On disait que ce leadership laissait à désirer et qu'on s'attendait à ce que le Conseil du Trésor prenne une position plus ferme, plus dirigeante, et qu'il s'intéresse de plus près à ce qu'il advient des renseignements personnels recueillis dans les différents ministères sous sa compétence.

    Avez-vous réfléchi à des modalités communes pour permettre d'améliorer la protection de ces renseignements?

    Nous avons travaillé de concert avec le Conseil du Trésor, au cours des dernières années. C'est le rôle particulier de la commissaire adjointe à la protection de la vie privée. On ne peut pas, selon la loi, suppléer au rôle du Conseil du Trésor. Je pourrais attirer votre attention sur le fait que, année après année, on dit que la formation des fonctionnaires canadiens au sujet des questions de protection des renseignements personnels est inadéquate. Le personnel semble être surmené, débordé par des questions touchant la protection des renseignements personnels. On ne voit pas à ce que les gens soient formés dans ce domaine. On ne voit pas à ce qu'un cours sur la protection des renseignements personnels soit obligatoire, tel qu'on le demande.

    J'ai une dernière question. Existerait-il des pouvoirs décisionnels qui pourraient vous être attribués afin que le commissariat puisse augmenter l'efficacité en termes de protection des renseignements personnels des citoyens?

    Plusieurs critiques de mon bureau et de la Loi sur la protection des renseignements personnels et les documents électroniques ont dit devant ce comité qu'ils pensaient que le bureau du commissariat devrait être un tribunal, à l'instar de ce qui se passe au Québec, en Alberta et en Colombie-Britannique. J'ai répondu que le modèle actuel me suffisait pleinement pour le moment. Je n'ai pas encore exploré tout ce que je peux faire en vertu de cette loi. Cependant, vers la fin de mon mandat, qui approche rapidement, j'ai l'intention de demander qu'on étudie de nouveau cette question de la protection des renseignements personnels dans le secteur privé parce que, actuellement, le Canada est le seul parmi les grands pays à avoir un commissariat sans pouvoir d'ordonnance. Cependant, on peut se présenter en cour fédérale. Cela fonctionne très bien pour nous, pour le moment. Toutefois, je pense qu'on devrait examiner cette question de nouveau.

    Monsieur Poilievre.

    Merci d'être venues et merci de la présentation faite par votre bureau il y a une semaine. Cela m'a fait grand plaisir de vous parler et d'avoir de vos nouvelles.

    Je pense que les Canadiens s'intéressent davantage à la question, surtout avec les méthodes modernes de paiement des cartes de crédit ainsi que les innovations de la part des gens qui veulent mal agir. Il faut aussi reconnaître qu'ils sont eux-mêmes créatifs, même si on n'est pas tout à fait heureux de cette créativité.

    Mes questions portent sur les quatre institutions sur lesquelles vous vous êtes penchée. Dans votre rapport, vous mentionnez, au point 1.1 du résumé, que le Commissariat à la protection de la vie privée a examiné les éléments clés des cadres de gestion d'Élections Canada, de Ressources humaines et Développement social Canada, de Service Canada et de l'Agence du revenu du Canada. Ensemble, ces institutions gèrent de nombreux renseignements personnels sur à peu près tous les habitants du Canada. Est-ce la raison pour laquelle vous avez décidé de soumettre ces institutions à une vérification?

    Non. En fait, elles ont été choisies par le Bureau du vérificateur général, qui procédait à une vérification pour des raisons qui lui sont propres. Le personnel de son bureau a communiqué avec nous pour savoir si nous voulions effectuer une vérification simultanée, de notre point de vue, étant donné que ces organismes possèdent aussi beaucoup de renseignements personnels sur les Canadiens. Nous pourrions par la suite publier un rapport conjoint sur ce que nous avions constaté sous deux angles différents. Voilà comment nous avons pris cette décision.

    D'accord.

    Sur quels autres organismes vous êtes-vous penchés ou la vérificatrice générale s'est-elle penchée, y compris lors de cette vérification?

    Je crois qu'il n'y en avait pas d'autres. Ce sont les organismes dont la vérificatrice générale nous a parlé. Je ne sais pas comment fonctionne son bureau en ce qui concerne les vérifications. Chose certaine, à mon commissariat, nous effectuons des vérifications sur divers organismes gouvernementaux chaque année. Il s'agit de vérifications que nous effectuons seuls dans le cadre de nos fonctions habituelles.

    Très bien.

    Au point 1.11 de votre rapport, à la page 7, vous indiquez que le Secrétariat du Conseil du Trésor surveille toutes les institutions assujetties à la Loi sur la protection des renseignements personnels à l'aide d'instruments visant à rendre des comptes au public. Le SCT n'a pas jugé comme étant solide la responsabilité en matière de protection de la vie privée des 46 institutions récemment évaluées. Il s'agit de résultats très décevants en ce qui a trait à la protection de la vie privée.

    J'ai trouvé que c'était intéressant, car cela a montré que même le SCT était d'accord avec nous pour dire que la responsabilité en matière de protection de la vie privée devait être augmentée au sein du gouvernement.

    Et le SCT a au moins le mérite de vouloir fournir une évaluation franche.

    Oui.

    Il y a donc beaucoup de travail à faire.

    Absolument.

    Par quoi allons-nous commencer?

    Le Conseil du Trésor a reçu nos recommandations. Nous attendons les résultats de ce que l'on appelle la démarche de renouvellement des politiques et nous encourageons le Conseil du Trésor à agir à cet égard. Il s'agit de mettre continuellement à jour les lignes directrices pour la gestion de la protection de la vie privée dans les ministères. Chose certaine, si le gouvernement s'intéressait davantage à la formation obligatoire sur la protection des renseignements personnels, il y aurait moins d'incidents et de problèmes. Les employés du gouvernement seraient beaucoup plus sensibilisés à cette question.

    Si cela renforçait ce qu'on appelle ses bureaux de l'AIPRP, qui partagent la responsabilité de l'accès aux renseignements personnels et à d'autres renseignements, parce que les gens qui y travaillent — nous les avons rencontrés dernièrement — ressentent beaucoup de pression en raison de l'intérêt qu'on accorde à leurs renseignements personnels... Je ne peux pas parler de l'accès — M. Marleau peut le faire. Toutefois, les Canadiens sont certainement davantage sensibilisés à l'importance des renseignements personnels — où ils vont, ce qu'on en fait, et ainsi de suite —, et cela crée de nouveaux défis pour bien des travailleurs dans ce domaine.

    Alors, vous croyez que la formation joue un rôle important dans l'amélioration du système?

    Oui. Je pense que la formation est un élément qu'on néglige dans l'amélioration de la protection des renseignements personnels. Parce qu'une bonne partie du problème résulte de l'utilisation de la technologie, nous avons tendance à utiliser et à chercher de nouvelles technologies pour le résoudre et, bien entendu, il y a toujours quelqu'un pour nous dire que si nous nous procurions ces technologies, le problème serait réglé.

    Toutefois, de tous les cas d'atteinte à la vie privée survenus dans des organismes du secteur privé et signalés par la personne concernée à mon commissariat, environ 40 p. 100 sont simplement dus à l'erreur humaine. Cela arrive fréquemment dans les institutions où il y a un fort roulement de personnel et où les employés ne reçoivent pas assez de formation. Ils oublient, tout simplement. Ils font trop de choses en même temps.

    Pour en revenir à votre question, oui, si l'on améliorait la formation des fonctionnaires, je pense que l'on diminuerait le risque d'atteinte à la vie privée.

    Merci.

    Je cède maintenant la parole à M. Siksay.

    Merci, monsieur le président.

    Madame Stoddart, lors de ma dernière intervention, nous avons discuté du programme de permis de conduire amélioré de la Colombie-Britannique, et vous avez fait état d'un certain nombre de préoccupations dont il faudrait tenir compte à ce sujet. Certains de ces problèmes seront-ils réglés avant que le programme ne démarre en mars?

    Le dialogue se poursuit, si je puis l'exprimer ainsi. Nous avons appris la semaine dernière que l'on rapatriait au Canada la base de données d'essai sur les 500 personnes inscrites au programme — dont l'accès allait être partagé avec les Américains ou qui serait exploitée aux États-Unis pendant la période d'essai uniquement —, ce qui nous donne l'entière certitude que les renseignements personnels des Canadiens demeureront dorénavant au Canada en permanence. La base de données sera interrogée au point frontalier, et les renseignements apparaîtront sur les écrans des douaniers.

    Cependant, je doute que nous ayons assez d'information à propos du déroulement du projet pour l'instant, mais je vais demander à ma collègue de vous donner plus de détails à son sujet, puisqu'elle y travaille de beaucoup plus près que moi. Il faut tenir compte de divers aspects, tels que la distance à laquelle l'information peut être lue, l'efficacité de l'enveloppe protectrice et la possibilité de concrétiser la proposition d'un autre collègue en temps propice, soit celle d'y intégrer un interrupteur qui permettrait d'activer ou de désactiver la puce à la frontière.

    Peut-être ma collègue peut-elle nous en toucher quelques mots.

    J'ajouterais simplement qu'il s'agit effectivement d'un travail en cours. La semaine dernière, les commissaires à la protection de la vie privée se sont réunis à Ottawa et ont décidé de créer un groupe de travail chargé d'examiner systématiquement ces problèmes de façon concertée.

    Si j'ai bien compris, 500 volontaires prennent part au projet pilote. C'est exact?

    Effectivement. Le projet se déroule en Colombie-Britannique, et 500 volontaires y participent. L'essai est toujours en cours.

    La puce d'identification par radiofréquence fait-elle partie du permis de conduire amélioré?

    Oui.

    À votre connaissance, le gouvernement délivre-t-il d'autres pièces d'identité qui en contiennent?

    Il y en a certainement dans beaucoup d'institutions sécurisées, mais je ne pourrais pas vous répondre au pied levé, car nous ne les avons pas inventoriées. La technologie est toutefois de plus en plus utilisée.

    Est-ce un aspect que vous prévoyez examiner de plus près, étant donné les préoccupations que vous avez exprimées au sujet de ces puces? Avez-vous établi un échéancier?

    La question nous préoccupe constamment. Il y a deux ans environ, c'était l'un des grands thèmes du rapport annuel.

    Nous allons à coup sûr surveiller la progression des puces d'identification par radiofréquence de très près. Actuellement, nous savons qu'on en insère dans les palettes de la chaîne d'approvisionnement des marchandises. Selon nous, c'est acceptable, tant qu'il s'agit seulement des palettes. Si, par exemple, certaines marchandises provenant d'Asie sont perdues notamment dans un port, en transit, lors de la livraison ou durant le transport par camion, qu'elles sont endommagées et qu'elles ne peuvent plus être utilisées, cela représente une perte importante pour les grossistes et les détaillants. On nous dit que la puce d'identification par radiofréquence aiderait à repérer les palettes perdues. Le repérage des palettes de marchandises serait également utile pour des raisons de sécurité nationale, car leur contenu est inconnu. Nous n'y voyons pas d'inconvénients.

    Le problème se pose lorsque les biens sont sortis des palettes. Faut-il mettre une puce dans chaque chaussure envoyée du Brésil afin de justifier les vols, pour identifier les gens qui entrent dans un magasin, essaient de nouveaux souliers et les emportent sans payer? Dans l'affirmative, les répercussions sur le respect de la vie privée sont énormes. S'il n'est pas possible d'empêcher l'insertion d'une pareille puce dans le bien comme tel ou de la désactiver de façon sécuritaire au moment de l'achat, on pourrait alors suivre les acheteurs ou encore les associer à la carte avec laquelle ils ont payé.

    J'ai une dernière question rapide.

    Dans le rapport, vous parlez entre autres de la liste des personnes interdites de vol. Vous dites avoir fait une évaluation des facteurs relatifs à la vie privée du programme de protection des passagers, mais vous parlez également de faire une vérification des pratiques de gestion de la protection de la vie privée du même programme. Je me demande quelle est la différence entre les deux, sinon que l'une des vérifications est déjà faite et que l'autre est imminente. Sur quels aspects auxquels la première n'a pas touché portera la seconde?

    La vérification à venir portera sur la manière dont est administré le système — par exemple, le nombre de gens qui figurent sur la liste, les critères utilisés pour les interdire de vol, le nombre d'entre eux qui ont eu recours au Bureau de réexamen, si je me souviens bien. Principalement, nous voulons examiner la manière dont le programme est administré du point de vue du respect de la vie privée.

    Monsieur le président, puis-je demander à ma collègue Lisa Campbell de vous parler d'une affaire en instance à la Cour fédérale que nous suivons et qui a trait à la liste d'interdiction de vol?

    Oui, mais soyez brève, s'il vous plaît.

    C'est une affaire intéressante. Elle oppose Hani Al Telbani, d'une part, et le procureur général du Canada et Transports Canada, d'autre part. Il s'agit de la première contestation devant les tribunaux de la Liste canadienne des personnes interdites de vol, à notre connaissance. Les parties en sont au stade d'échanger des documents. L'affaire soulève une question secondaire intéressante: l'appelant a demandé d'avoir accès aux documents de Transports Canada. C'est là que réside le problème, en réalité; il désire savoir pourquoi on lui a interdit de monter dans l'avion. Il a demandé que son nom ne soit pas publié, mais les médias et le ministère de la Justice sont intervenus et ont demandé que son nom soit publié en invoquant le principe de transparence de la justice. Sa situation a ceci de particulier qu'il ne saura peut-être jamais pourquoi il n'a pas pu monter dans l'avion, mais que son nom est associé à la liste.

    Merci. Ce sont là des informations utiles.

    Monsieur Wrzesnewskyj, vous avez cinq minutes.

    Avec combien de gouvernements étrangers partageons-nous les dossiers personnels des Canadiens?

    Je ne peux pas répondre à cette question, monsieur le président. J'ai souligné à plusieurs reprises que le système du gouvernement du Canada est très obscur en matière de partage de renseignements personnels avec des gouvernements étrangers. C'est un aspect de la Loi sur la protection des renseignements personnels dont on réclame la réforme.

    Je crois que la Loi parle d'un arrangement ou d'une entente — il s'agit, en quelque sorte, de consentir de façon officieuse à partager des renseignements personnels, contrairement au dépôt devant le Parlement, par exemple, quand bien même ce ne serait que pour l'en informer, de tous les protocoles d'entente intervenus dans ce domaine avec les autorités étrangères. Il est vraiment impossible de vous dire exactement quelle information est partagée.

    Donc, même vous, la commissaire responsable de la protection de la vie privée, ne pouvez pas nous dire avec combien de pays le gouvernement canadien partage les dossiers personnels et privés des Canadiens, ni de quels pays il s'agit. Est-ce exact?

    Oui. C'est juste.

    Savons-nous quel genre de données est partagé? À défaut d'obtenir la liste complète des pays avec lesquels nous partageons des données, savons-nous quel genre de données peut être partagé avec ce nombre inconnu de pays?

    Je ne crois pas que la Loi sur la protection des renseignements personnels prévoit de limites à cet égard.

    Cela me semble être probablement l'une des plus grandes lacunes à corriger.

    Revenons maintenant sur la partie de votre vérification qui concerne les passeports. Il est écrit qu'il y a toute une série de préoccupations et de points à régler en matière de sécurité, d'atteinte à la vie privée ou de manquements en lien avec les passeports. Pouvez-vous nous donner une idée du nombre d'atteintes à la vie privée associées aux passeports perdus ou volés — qui est l'une des catégories — et du nombre de celles qui sont commises à l'interne, que ce soit dans les bureaux de passeport au Canada ou dans nos missions étrangères? Existe-t-il des données ventilées?

    Nous ne faisons pas ce genre de ventilation dans mon rapport. Par contre, le Bureau des passeports lui-même peut l'avoir fait. Nous examinions ses pratiques, les moyens qu'il prend pour protéger les renseignements personnels. Le suivi de tout incident particulier relèverait de cet organisme.

    J'ai remarqué dans le rapport aussi que dans bon nombre de nos bureaux à l'étrangers, nous avons du personnel embauché à l'échelle locale, et dans plusieurs de ces bureaux il est impossible d'effectuer des vérifications de sécurité relativement à ce personnel. Est-il possible de fournir une liste du nombre de missions canadiennes à l'étranger qui ont des employés embauchés à l'échelle locale, sur lesquels on n'a pas pu faire de contrôle de sécurité?

    Le MAECI pourrait sans aucun doute vous la fournir. Nous avons seulement pris un échantillonnage, et c'est ce que nous avons constaté, mais nous n'avons pas de liste exhaustive.

    Peut-être est-ce un autre aspect auquel il faudrait s'intéresser.

    Dans ces pays où nous avons pu octroyer des habilitations de sécurité, celles-ci sont-elles fondées sur des renseignements fournis par le pays hôte, ou sont-elles vérifiées, de façon indépendante, par notre propre personnel? Est-ce que nous demandons, en fait, à un gouvernement étranger de nous fournir des habilitations de sécurité pour des personnes qui pourraient avoir accès à des renseignements de nature délicate au sein des ambassades et des bureaux consulaires?

     À ce que je comprends, d'après l'étude que nous avons effectuée qui était centrée sur la protection des renseignements personnels, quand on parle d'habilitation de sécurité, c'est dans le sens des normes canadiennes. Cela signifie le respect de la norme indépendante que fixe le gouvernement canadien plutôt que de simplement dire que si une personne a l'habilitation de sécurité dans un autre pays, elle l'a aussi au Canada. Je pense que le MAECI pourrait vous fournir les détails que vous recherchez.

    Il y a eu des cas très médiatisés de pays qui sont des alliés du Canada, dont il semble que des agents du gouvernement utilisaient des passeports canadiens. Est-ce qu'on a jamais déterminé comment avaient pu être obtenus les pièces d'identité canadienne, les passeports de Canadiens qu'utilisaient ces agents étrangers? Nous sommes-nous jamais penchés là-dessus?

    Je ne pense pas que mon bureau ait examiné cet aspect, non.

    Merci beaucoup.

    Monsieur Dreeshen, nous vous écoutons.

    Je vous remercie, monsieur le président.

    Merci à vous, madame la commissaire, d'être ici cet après-midi.

    Comme la fin de la séance approche, je vais devoir sauter du coq à l'âne, mes questions ayant déjà été posées jusqu'à un certain degré. De fait, l'un des sujet dont j'aimerais discuter avec vous est celui qu'a abordé Mme Freeman tout à l'heure, le vol d'identité.

    Vous avez parlé de la menace que constitue le vol d'identité. Pourriez-vous dire au Comité ce que vous pensez de la question et expliquer certaines recommandations que vous aimeriez voir dans le rapport?

    Oui, je pense que pour ce qui est du vol d'identité, il y a un consensus. Ce que je dis n'a rien de nouveau ni d'original. Le vol d'identité est l'un des problèmes énormes et graves que connaissent les Canadiens relativement à l'application de la loi. Le coût du vol d'identité est monté en flèche. Une grande part de ce coût est assumée par les intermédiaires que sont les compagnies de cartes de crédit et les banques, mais je pense que nous devons nous pencher sur le problème, parce que tout cela s'ajoute aux coûts des biens et services qu'achètent les Canadiens au moyen du crédit.

    Il n'y a que très peu de Canadiens qui n'ont pas été victimes d'un type ou l'autre de fraude. Nous employons l'expression « vol d'identité » dans un sens large, allant de la fraude de cartes de crédit jusqu'à la vente d'un domicile à l'insu de son propriétaire, ce qui est arrivé à certains. C'est, à mon avis, une priorité sur laquelle le gouvernement doit agir. Je parle de ce problème déjà depuis un moment, et j'espère que ce Parlement pourra se pencher à nouveau sur les modifications nécessaires au Code criminel pour aider la police à sévir contre les personnes qui collectionnent des renseignements personnels à des fins abusives. Un projet de loi a été proposé, et je pense qu'il y en a un qui est proposé à nouveau. Alors c'est quelque chose de très concret qui peut être fait.

    Il est certain que la sensibilisation est importante, et nous avons parlé de la brochure que nous sommes en train de concevoir. Vous pouvez la distribuer à vos électeurs si vous le jugez bon. C'est sur la manière de prévenir le vol d'identité, d'en prendre conscience. Le mois de mars est le mois de la prévention de la fraude, alors nous collaborons avec les organismes de prévention de la fraude, la GRC, avec un organisme appelé PhoneBusters, pour réaliser certaines activités. Nous avons versé de l'information dans notre site Web pour sensibiliser la population à ce phénomène.

    Et je suppose que c'est là que vous allez faire le lien avec certaines des choses qui arrivent avec Facebook et d'autres problèmes? Pourriez-vous parler un peu plus des inquiétudes que les parents devraient avoir à cet égard?

    Oui. En ce qui concerne le problème de la protection des renseignements personnels des enfants en ligne, c'est une préoccupation qu'expriment bien des défenseurs de la vie privée, bien des penseurs d'avant-garde, depuis déjà cinq ou six ans, alors que nous observons les compagnies d'Internet qui entrent sur l'énorme marché représentant les enfants, et particulièrement le groupe appelé les « tweens », les préadolescents de 9 à 12 ans. Certains d'entre vous avez peut-être des tweens. Ils ont leurs propres sites Web, qui sont des entreprises très lucratives. Ils y consacrent beaucoup de temps. Nous avons financé des recherches sur les implications pour la vie privée des enfants, et en juin dernier, nous avons lancé une initiative avec nos homologues des provinces pour véritablement accroître l'information transmise aux enfants et à leurs parents sur ce qu'il faut faire et ne pas faire en ligne.

    Alors nous avons créé notre propre site Web sur la protection des renseignements personnels des jeunes, en conjonction avec les commissaires provinciaux, et nous avons aussi lancé un blogue sur la protection des renseignements personnels des jeunes. Et puis il y a une section pour les parents sur ce qu'il faut savoir quand leurs enfants commencent à aller en ligne. Je pense avoir entendu l'autre jour que des enfants commencent dès l'âge de deux ans. Aussitôt qu'ils peuvent reconnaître une lettre, je suppose qu'ils sont en ligne, ces temps-ci. Cela a donc été une grande priorité de mon bureau cette dernière année.

    Je vous remercie.

    Vous avez aussi fait allusion aux provinces, etc., et vous parliez des tribunaux mis sur pied en Alberta, au Québec et en Colombie-Britannique. Pouvez-vous nous dire comment ils fonctionnent? Pouvez-vous nous expliquer en quoi ils diffèrent du processus qui est suivi au niveau fédéral?

    Oui, dans les trois provinces, le commissaire administre ce qui est appelé un tribunal administratif. Pour ceux qui ne sont pas du domaine juridique, c'est comme un mini-tribunal informel spécialisé dans ce domaine particulier. Dans certains de ces cas, par exemple au Québec, des avocats comparaîtront pour défendre les causes. Dans d'autres, comme en Ontario, la plupart des causes font l'objet de ce qu'on appelle une audience sur papier. Tout se passe sur papier. Ce peut aussi être une combinaison des deux. Les parties sont nommées, alors ce pourrait être Jean Dupont contre la Société ABC, relativement à la manière dont celle-ci a traité ses renseignements personnels, et alors la décision est publiée dans Internet, avec « J.D. c. Société ABC ». C'est ainsi que fonctionne un tribunal. Le commissaire du tribunal ou un arbitre auquel il délègue son autorité peut alors rendre une ordonnance exécutoire — faites ceci avec les renseignements de M. Jean Dupont; cessez de recueillir ceci; prévoyez les mesures de protection appropriées, ce genre de choses. Cette ordonnance peut faire l'objet d'un appel.

    Je vous remercie.

    Nous allons devoir laisser la parole à notre collègue, M. Lauzon.

    D'accord, je pourrai revenir sur le sujet.

    Je vous remercie beaucoup.

    C'est un plaisir que de vous voir ici, madame Stoddart.

    Je dois avouer que je ne suis ici qu'à titre d'invité, puisque je remplace quelqu'un, mais je trouve ce débat des plus intéressant et fascinant.

    Dans une vie antérieure, j'étais moi-même fonctionnaire, et l'une des choses avec laquelle nous avons dû composer, c'était la rapidité du service. C'était l'un des déterminants de la qualité de notre service. Vous avez dit viser un objectif de 12 mois, et si une enquête est achevée avant les 12 mois, vous avez atteint votre objectif. Le nombre des enquêtes que vous ne complétez pas dans ce délai est considérable. J'ai lu quelque part dans votre rapport qu'une enquête moyenne dure 14,5 mois. Dans ma vie antérieure, où je faisais le traitement de demandes d'assurance-emploi, 90 p. 100 de celles-ci étaient réglées dans les 21 jours.

    Je ne peux simplement pas imaginer que vous puissiez fixer un objectif si éloigné. Je vais vous dire pourquoi. Quand j'occupais un poste semblable au vôtre, et j'expliquais à mes supérieurs ce qui m'empêchait à l'occasion d'atteindre ces objectifs, ils demandaient s'il faut plus de temps pour traiter une demande au début de la période où elle est déposée que 14 mois plus tard. Je vous pose la même question. Pourquoi ne pas traiter la demande?

    En fait, l'un de mes amis a déposé une plainte, et je ne sais pas s'il obtiendra jamais réponse, mais en tout cas il m'a dit « cela fait déjà quatre mois... ne peux-tu faire quelque chose » Quand j'ai posé la question sur les quatre mois... Je ne pense pas que personne n'obtienne une réponse en quatre mois.

    J'aimerais entendre ce que vous en dites.

    Oui, je le peux certainement.

    Tout d'abord, le retard est un problème très sérieux. C'est notre plus grand défi en ce moment, et tout le monde au Commissariat à la protection de la vie privée du Canada se creuse les méninges pour trouver un moyen de régler ce problème.

    Est-ce qu'il faut vraiment deux ans?

    Oui, mais comme je l'ai déjà dit, nous ne disposons pas des moyens de le faire disparaître rapidement. Si vous regardez les recommandations que j'ai faites pour nos deux lois, j'aimerais avoir plus de discrétion quant aux dossiers que je dois accepter et ceux que je n'ai pas besoin d'accepter.

    Il y a deux phénomènes. En ce qui concerne la Loi sur la protection des renseignements personnels, nous avons diverses personnes qui viennent plusieurs fois, qui déposent une plainte chaque année parce qu'elles veulent un renseignement de nature générale. Si nous pouvions simplement les orienter vers notre site Web pour y trouver des réponses, etc., nous pourrions nous concentrer sur quelque chose qui serait plus utile à tout le monde.

    C'est un peu différent des demandes d'assurance-emploi. Soit que les périodes d'assurance sont prolongées, soit qu'elles ne le sont pas. Bien des gens veulent simplement savoir certaines choses. D'aucuns veulent se plaindre du fait qu'il faut au gouvernement 31 jours pour traiter la plainte, même s'ils ont reçu la réponse à la plainte. Ceux-là, nous devons traiter avec eux. C'est pour le secteur public. J'apprécierais une certaine rationalisation de la loi, parce que l'administration du gouvernement canadien est très différente de ce qu'elle était il y a 25 ans.

    Est-ce que vous envisageriez de faire que la norme soit de 90 jours? J'aimerais bien que ce soit 30 jours, mais pour vous laisser une marge de manoeuvre, ne serait-il pas mieux de fixer la norme à 90 jours, et d'essayer de la respecter? Si j'ai 12 mois pour faire quelque chose, je prendrai probablement 12 mois pour le faire. Cependant, si je n'en ai que trois, je le ferai en trois mois.

    Oui, et je ne suis pas le seul commissaire à la protection de la vie privée au Canada à avoir ce problème. Malheureusement, même si vous fixez le délai à un an, si vous n'avez personne pour examiner...

    Je vous ai déjà parlé des défis qui existent dans le secteur public. Dans le secteur privé, les problèmes que posent certains enjeux sont tellement compliqués au plan technologique qu'il leur faut cinq ou six personnes, et une quantité phénoménale d'aide technique.

    Regardez, par exemple, la plainte à propos de Facebook. Il y a apparemment sept millions de Canadiens sur Facebook. Une organisation a déposé une plainte relativement à certaines de ses opérations fondamentales, ses activités de base. Vous pouvez imaginer que nous avons pas mal de personnes qui travaillent sur le dossier Facebook, parce que cela touche tellement de gens. Ce ne sont là que certains des défis que nous avons.

    Mais voyez-vous, ce serait intégré. Si vous faisiez 90 p. 100 du travail en trois mois...

    Je suis désolé, mais nous devons être justes pour tous les membres.

    M. Guy Lauzon: Pardonnez-moi, monsieur le président.

    Le président: Monsieur Poilievre, vous avez la parole.

    Je serais prêt à céder un peu de mon temps si M. Lauzon veut seulement terminer ce qu'il disait, monsieur le président.

    J'allais seulement dire que c'est intégré au système. À titre d'exemple, si vous vouliez régler 80 ou 90 p. 100 de vos demandes en 90 jours, pour les cas les plus difficiles — et nous avons eu de ces cas qui duraient trois mois, ou plus — la vérité, avec tout le respect que je vous dois, c'est que vous vous destinez quasiment à l'échec si vous demandez 12 mois. C'est ce que je voulais dire.

    Merci, monsieur Poilievre.

    Merci.

    Je pense que c'était un excellent argument à ajouter.

    Ma question est dans le même ordre d'idée. C'est à propos du professionnalisme et du succès comparatifs des organismes du gouvernement et du secteur privé. D'aucuns diraient qu'il ne peut y avoir de comparaison parce que le secteur privé compose avec des renseignements tout à fait différents et peut-être moins délicats que le gouvernement. J'aurais tendance à ne pas être d'accord avec de tels arguments.

    Nous avons des banques qui prennent des renseignements financiers très personnels, comme la situation conjugale, etc., pour déterminer si nous sommes admissibles à des prêts. Nous avons des compagnies de carte de crédit qui en font autant. Nous avons des bureaux de crédit, auxquels ont accès des organismes de crédit, qui possèdent des renseignements financiers très personnels. Nous avons des services de counselling, des psychiatres et des psychologues qui ont dans leurs dossiers des renseignements extrêmement intimes et personnels sur le quotidien des gens.

    Parfois, toutes ces données sont versées dans des systèmes de masse. Je me demande seulement comment le gouvernement se compare au secteur privé, en ce qui a trait à la protection des données et des renseignements personnels, en notre ère moderne.

    Malheureusement, je ne pense pas que nous ayons les mêmes indicateurs pour les mesurer, mais je pense que le gouvernement canadien s'en tire assez bien.

    Quand je rédige mes rapports, je me concentre, bien entendu, et plusieurs hauts fonctionnaires viennent me dire: « Nous avons bien fait ceci et cela, alors pourquoi vous concentrez-vous seulement sur ce que nous n'avons pas bien fait? » Eh bien, c'est un peu mon rôle. Mais dans l'ensemble, je pense que le gouvernement canadien s'en tire plutôt bien au plan du traitement des renseignements personnels.

    Il est certain que les hauts fonctionnaires sont très conscients de ce problème et sensibles à la question. Je pense que nous nous débattons un peu maintenant parce que nos difficultés actuelles viennent de ce que nos méthodes et lois ne sont pas actualisées. Nous avons besoin, comme je l'ai dit, d'un peu plus de leadership de la part du Conseil du Trésor, mais alors nous réalisons que le gouvernement et des bureaux comme ceux du ministère de l'Impôt sur le revenu composent avec la confidentialité depuis de nombreuses années.

    Il y a des endroits, dans le secteur privé, mais pas les banques... On peut dire que les banques composent avec la confidentialité, mais elles n'ont certainement pas eu à composer avec les enjeux sophistiqués liés à la sécurité que connaît le secteur public. Ce peut être ce qui les attend, avec l'expérience stratégique et militaire du gouvernement canadien.

    Je pense que le gouvernement canadien s'en tire très bien, si on regarde dans le monde entier la manière dont les divers gouvernements utilisent les renseignements, et il se compare très bien à notre propre secteur privé. Il s'en sort très bien aussi en ce qui concerne le droit à la protection des renseignements personnels des citoyens en général. Je ne dis pas qu'il n'y a rien à améliorer, mais cela a toujours été une partie importante de la vie au Canada.

    Ma deuxième question est aussi au sujet d'une comparaison du secteur privé et du secteur public, et de la protection des renseignements personnels. Il s'agit de votre expérience de l'examen du travail des voleurs d'identité. Est-ce qu'ils parviennent à voler les identités plus souvent en utilisant des documents émanant du gouvernement, comme les permis de conduire et les cartes d'assurance-sociale, ou avec des documents émis par le secteur privé, comme les cartes de crédit, les cartes bancaires ou les accusés de réception de paiement, et les dates de naissance? Quelle est la source de l'oeuvre des voleurs d'identité de l'ère moderne?

    Monsieur le président, je demanderai à notre avocate de répondre à cette question. Je pense qu'elle aura peut-être vu plus de données que moi sur le sujet. Je vous remercie.

    C'est une excellente question. Voici comment cela fonctionne: les courtiers en données sont devenus une industrie à part entière. Les renseignements personnels valent maintenant de l'argent, et ils passent généralement entre de nombreuses mains. Il n'y a pas un seul voleur d'identité, mais plusieurs. C'est la personne qui recueille les données, la personne qui les vend et la personne qui en tire un profit. Au bout du compte, il faut avoir une pièce d'identité valide émise par le gouvernement. Mais pour y parvenir, souvent, ce qui est recueilli, ce sont des documents non valides, volés ou empruntés contenant des renseignements personnels émanant d'un large éventail de sources. Ils émanent souvent du secteur privé, mais généralement les voleurs d'identité ont besoin de documents valides, ou de quelque chose qui en a l'air, pour effectuer une transaction légitime. Nous avons recommandé toute une gamme de mesures, allant de meilleures pratiques de manipulation des renseignements personnels à des mesures plus strictes de collecte et d'élimination des renseignements quand on n'en a plus besoin et, en bout de ligne, jusqu'aux sanctions criminelles pour les pires cas de vol d'identité.

    Cela répond-t-il à votre question?

    Vous m'avez donné plusieurs réponses.

    Monsieur Poilièvre, nous en sommes déjà à six minutes et demie. Mais vous avez cédé de votre temps, alors ça va. C'étaient de bonnes questions.

    N'y a-t-il pas moyen que j'obtienne un dernier éclaircissement?

    Vous pouvez encore vous inscrire à la liste.

    D'accord, considérez que c'est fait.

    D'accord.

    Monsieur Siksay, vous avez la parole.

    J'y réfléchissais, et je n'ai que deux questions, très rapidement. Est-ce que l'examen que vous faites du programme de liste d'interdiction de vol porte aussi sur l'aspect du profilage racial et religieux, relativement à la manière dont cette liste sera administrée, ce qui est un sujet de préoccupation pour certaines personnes?

    Il me semble que oui. J'interroge ma collègue du regard, parce qu'elle supervise le service. Je n'en ai pas vu les détails, mais je dirais que s'il y avait ce type de profilage, cela ferait partie de notre vérification.

    J'ai une autre question, rapidement. Vous avez demandé un examen parlementaire de la liste d'interdiction de vol, et il n'a pas eu lieu. Estimez-vous toujours que c'est important de faire cet examen de la liste d'interdiction de vol?

    Oui, absolument. Maintenant que c'est devant les tribunaux, et compte tenu des nombreux problèmes — dont le vol d'identité dont nous venons de parler et d'autres — il sera intéressant de voir ce qui arrivera avec ce procès. Avant de faire un examen, peut-être faudrait-il attendre les résultats de notre vérification, et ainsi vous aurez plus de renseignements.

    J'ai une dernière question. Vous avez parlé du grand nombre de plaintes reçues de détenus. Est-ce qu'il en a toujours été ainsi, depuis l'entrée en vigueur de la loi, ou y a-t-il eu un point tournant où tout a commencé? A-t-on fait une analyse de cette tendance, qui nous dirait si c'est un nouveau phénomène, ou s'il date du tout début de l'ère de la protection des renseignements personnels?

    À ce que je sache, il n'y a pas eu de tel examen. Nous pourrions nous reporter aux rapports annuels. Il est certain qu'il en est plus question dans les rapports de la dernière année. Il y en a plus depuis ces dernières années. J'ai entendu, par exemple, parler de gens qui ont participé à la rédaction de la loi — des hauts fonctionnaires qui avaient été à l'époque de jeunes fonctionnaires — qui ont dit que la population de détenus avait toujours fait grand usage de la Loi sur la protection des renseignements personnels, dès ses tout débuts.

    Alors nous ne savons pas s'il y a une faille dans un autre programme qui est éliminé, par lequel ces préoccupations auraient pu être acheminées ou trouver réponse d'autres façons avant de devenir des demandes d'accès à des renseignements personnels, ou si quelque chose a changé en cours de route, qui a fait que c'est plus susceptible d'arriver maintenant. Il n'y a que des données empiriques.

    Eh bien, nous n'avons pas étudié la question. Compte tenu des défis et, particulièrement, du retard du traitement des plaintes, nous essayons de nous concentrer sur notre propre travail, mais ce pourrait être une étude intéressante pour quelqu'un, pour savoir qu'est-ce qui a changé dans la vie de détenus, qui a fait qu'ils se tournent de plus en plus vers la Loi sur la protection des renseignements personnels. Quoi qu'il en soit, nous n'avons pas posé la question.

    Merci.

    Je vous remercie, monsieur le président.

    Merci.

    Madame Freeman.

    Madame Stoddart, êtes-vous au courant qu'on insère maintenant des puces électroniques dans les cartes de crédit — je ne sais pas si vous vous y êtes intéressée en ce qui concerne les permis de conduire — et que si un consommateur ne veut pas avoir cette carte avec puce parce qu'il n'y a pas moyen de savoir quels sont les renseignements détenus par cette puce et qu'on refuse de divulguer exactement l'information contenue dans la puce... Les cartes de crédit bancaires sont de compétence fédérale. En fait, les banques relèvent de la compétence du fédéral. Êtes-vous au courant de cette situation?

    Non, je n'étais pas au courant que des gens ont pu demander quelles informations se trouvaient dans la puce et qu'on aurait refusé de le leur dire. Si nous avons reçu des plaintes à ce sujet, je ne suis pas personnellement au courant.

    Êtes-vous au courant que les banques sont sur le point de mettre ça...

    Oui. D'ailleurs, c'est quelque chose qu'elles projetaient de faire depuis longtemps. Il faut dire que les Européens ont cette carte depuis maintenant plusieurs années. Semble-t-il que les Européens ont moins de problèmes de fraudes de cartes bancaires ou de cartes de crédit. On s'attend à ce que cela renforce la protection des renseignements personnels.

    Êtes-vous au courant des informations conservées dans ces puces?

    Non.

    Vous n'êtes pas au courant.

    Non. J'imagine qu'il y a des identifiants uniques parce qu'il faut que ce soit activé avec un NIP, qui permet de confirmer que c'est bien la personne à qui on a émis la carte qui est celle qui est en train de l'utiliser, comme on le fait en Europe.

    En ce qui concerne la nature des renseignements, vous n'êtes au courant de rien.

    Non.

    Au cours de votre comparution, vous avez dit que le Canada n'avait pas de loi sur la cybercriminalité ni sur les courriels ou sur le vol d'identité, quoique le Comité de la justice ait travaillé à cette question. Avant les élections, il y avait quand même une étude qui avait été entreprise sur l'ancien projet de loi C-27.

    Vous avez ajouté qu'il n'y avait pas de loi sur le signalement d'entrave à la vie privée. Le pire de tout — vous obtenez la prime, la cote —, c'est qu'on n'a aucune idée du nombre de pays avec lesquels on échange des renseignements personnels et on ne connaît pas du tout l'étendue des renseignements personnels qui sont transmis à d'autres pays.

    Je dis que, personnellement, je ne le sais pas, mais j'imagine que le ministère des Affaires étrangères et du Commerce international en a une idée. Il y a aussi une publication qui s'appelle « Info Source », qui est une liste de toutes les bases de données gouvernementales. À mon avis, « Info Source » ne nous donne pas des renseignements très utiles. C'est simplement une liste à laquelle on comprend peu de choses.

    Je suis certaine qu'il y a quelqu'un au gouvernement fédéral qui sait avec qui on échange des renseignements personnels, pays par pays, mais ce n'est pas moi.

    Considérez-vous que la commissaire à la protection de la vie privée serait peut-être une des personnes désignées qui devrait savoir, en ce qui concerne les transmissions de renseignements personnels transfrontaliers, avec quel pays on fait affaire?

    Certainement, mais j'ai suggéré, dans le rapport que j'ai préparé sur la nécessité d'améliorer la Loi sur la protection des renseignements personnels, que de telles ententes soient soumises au Parlement.

    Mais actuellement, il n'y a rien de soumis au Parlement, si je comprends bien.

    Non.

    Les transferts de données se font avec d'autres pays, et les parlementaires...

    Ils se font de gré à gré entre les fonctionnaires responsables des dossiers.

    Et le Parlement n'est pas au courant de cela.

    Non, le Parlement n'est pas au courant de cela.

    Il s'agit de renseignements personnels au sujet de citoyens qui vivent dans un pays où ils ont des droits.

    Exactement. Les deux pays peuvent conclure une entente de gré à gré pour échanger certaines listes de renseignements personnels, ce qui est parfaitement légal dans le cadre de la loi actuelle, et il n'y a pas d'obligation de publication des détails.

    On n'est pas tenu non plus de publier et de divulguer.

    J'aurais une autre question, madame Stoddart, mais il est presque 17 h 30. Alors, je crois que je vais demander l'ajournement.

    Madame Simson, nous vous écoutons.

    Merci, monsieur le président et merci à vous, madame Stoddart.

    Ceci a été très instructif, pour moi. Je suis une nouvelle venue, ayant été élue en octobre, et j'ai beaucoup lu sur le sujet, mais rien ne m'avait vraiment préparée à ce que j'ai entendu aujourd'hui.

    Je sais que vous n'êtes que le messager — et je comprends le message — mais j'entends que nous discutons d'une loi qui a 25 ans, que nous avons des fonctionnaires qui manquent de formation et que, de votre avis, nous sommes peut-être au-dessus de la norme, à certains égards. Cela ne me paraît pas tout à fait logique, et je m'inquiète beaucoup de votre situation au plan des ressources humaines.

    Vous avez dit avoir un effectif d'environ 161 employés. D'après les niveaux de dotation actuels, combien de temps, à peu près, faudrait-il pour que se dissipe le retard accumulé?

    Nous faisons les calculs maintenant, et s'il n'y a pas de changement dans notre modèle, nous devrions pouvoir éliminer ce retard pour le premier trimestre de 2010.

    Compte tenu du fait que nous avons affaire à une très vieille loi et que la technologie progresse à pas de géant, avez-vous une idée de l'augmentation approximative, une année sur l'autre, du nombre de plaintes? Est-ce que les niveaux de dotation actuels pourront suffire à la maîtriser?

    Et accessoirement, comment est établie la priorité des plaintes — au fur et à mesure que vous les recevez, ou sont-elles examinées, et certaines des plus énormes sont-elles traitées plus tôt? Je ne sais rien de votre façon de procéder.

    Je vous remercie pour cette question.

    En fait, nous sommes en train de refondre nos processus, parce que nous essayons de repousser quelque peu les limites de la législation actuelle. Nous n'avons pas beaucoup de marge de manoeuvre, mais tout de même un peu. Compte tenu du nombre de plaintes relatives à la protection des renseignements personnels des Canadiens, nous voulons nous assurer de traiter d'abord les plus importantes, sans pour autant en négliger aucune, et en accordant peut-être un peu moins de temps au traitement de celles qui pourraient être moins graves au plan de la politique générale de protection des renseignements personnels.

    Quand aux ressources humaines, je suis très reconnaissante à l'effectif que nous avons maintenant, et je suis très heureuse que nous ayons pu embaucher des personnes très compétentes. Cependant, comme vous le savez, Ottawa est un marché où les gens de talent sont très en demande, et il est difficile de retenir les employés très brillants dans un petit organisme où les possibilités de promotion ne sont pas celles qu'offre un grand ministère. Ce n'est que l'un des défis avec lesquels je dois composer.

    L'autre défi qui se pose, en matière de ressources humaines, ne vient pas que du nombre. Je pense que le nombre d'employés que j'ai suffit; il s'agit de les former. Il s'agit aussi de pouvoir les classifier avec un système très rigide de classification qui remonte à plusieurs générations, parce qu'on a affaire à des gens qui ont des ensembles de compétences radicalement nouveaux, pour comprendre la nouvelle technologie et la traduire en ce qui devrait être des mesures du gouvernement.

    Je vous remercie.

    Monsieur Hiebert.

    Je vous remercie, monsieur le président.

    Il me restait une question, au sujet du rapport de l'année dernière.

    Madame Stoddart, vous souvenez-vous, nous avons parlé d'une grille d'analyse du facteur de triage qui, selon vous, devait transformer le processus pour répondre à ces plaintes?

    Oui, absolument.

    Vous avez dit que vous espériez l'achever pour la fin de l'année.C'était en 2008. Avez-vous eu la chance de pouvoir le faire?

    Oui, nous l'avons achevée, et nous avons lancé un projet-pilote, si j'ai bien compris, il y a une ou deux semaines. Il dure encore.

    Est-ce que cela s'inscrit dans votre plan de réduction du retard accumulé au cours de la prochaine année?

    Cela fait partie de notre plan pour, peut-être, faire un traitement plus intelligent des plaintes, essayer de les traiter comme elles le méritent selon leur importance, leur poids, ou ce qu'elles peuvent ajouter à notre connaissance de la protection des renseignements personnels, en essayant de soumettre les plaintes à la médiation dès le départ afin qu'elles ne se rendent pas plus loin et s'ajoutent au retard que nous accusons déjà, et faire les choses, si nous le pouvons, en 90 jours.

    Nous allons faire autre chose avec le secteur privé. Par exemple, si les gens se plaignent d'une banque, et je parlerai d'une banque parce que nous avons tous plusieurs comptes en banque et que bien des plaintes sont formulées contre les banques — nous demanderions s'ils ont communiqué avec l'agent principal de la protection des renseignements personnels de la banque pour voir s'il pouvait régler le problème. Souvent, les plaignants l'ont fait, alors avec les banques et d'autres importants répondants, comme Air Canada et d'autres, nous orientons les plaignants vers les organisations. Cela augmente maintenant le taux de règlement.

    Ce ne sont que quelques exemples de la manière dont nous appliquons cette grille.

    Dans votre présentation, vous avez dit avoir besoin d'une refonte complète de la Loi sur la protection des renseignements personnels. Vous savez certainement que je prône la révision de cette loi depuis déjà quelque temps. Nous avons entrepris notre démarche l'année dernière, et nous avons fait quelques progrès.

    Quand vous parlez de refonte complète, il s'agit de toute évidence de plus que les 10 correctifs que vous avez proposés. Qu'aviez-vous à l'esprit, outre ces 10 mesures, quand vous en parliez?

    Les autres correctifs? J'essaierai de les trouver pour vous, parce que nous en avons pas mal. J'en parlerai brièvement, parce que c'est l'essence de ce qui est un long document que nous avons publié en 2006, et aussi l'essence de ce que vous disent bien des témoins-experts.

    On y dit de clarifier les obligations du gouvernement relativement à la Loi sur la protection des renseignements personnels, en ce qui a trait à l'impartition et les partenariats publics privés, la prestation de services et de programmes, des sujets dont ne traite pas la Loi sur la protection des renseignements personnels, l'impartition en général. Et examinez aussi les arrangements relativement à la sécurité. La Loi sur la protection des renseignements personnels en tant que telle n'oblige pas les ministères et organismes à prendre les mesures de sécurité appropriées. Nous disons que cela fait partie intégrante de la confidentialité et de la protection des renseignements personnels. Dans la LPRDE, il est effectivement question de mesures précises en matière de sécurité. Ce serait autre chose.

    Il y a les questions qu'ont soulevées certains honorables membres du Comité au sujet du cadre de surveillance de la sécurité nationale, sur la transparence, la surveillance et la responsabilité de certains organismes de sécurité nationale — la GRC, le SCRS, le CSTC, etc. Ce sont des recommandations que nous avons faites lors de l'enquête O'Connor sur la surveillance de l'emploi des renseignements personnels à la GRC, qui n'ont pas encore été concrétisés.

    Je vous en donne rapidement une liste, pour vous en donner une idée.

    Nous pensons qu'on pourrait assujettir d'autres organismes et des organes publics à la Loi sur la protection des renseignements personnels. J'ai été très heureuse que la Loi fédérale sur la responsabilité englobe plus d'organismes, mais nous pensons que nous pourrions en trouver quelques autres si leurs activités étaient examinées.

    L'accès aux renseignements personnels a été l'une des questions soulevées lors de nos échanges avec l'Union européenne. De fait, il faut être citoyen canadien ou présent au Canada pour se prévaloir de ses droits en vertu de la Loi sur la protection des renseignements personnels. C'est un peu gênant quand on pense au flux transfrontalier des données, le SIPV/DP, les ententes avec l'Union européenne. Maintenant, nous avons — et on m'a consultée à ce sujet — convenu que si des Européens, par exemple, qui viennent au Canada par avion ont une plainte à formuler sur l'utilisation de leur SIPV/DP, l'ASFC ferait enquête, et je traiterais la demande comme une plainte, bien que strictement parlant, elle ne s'inscrirait pas sous le régime de la Loi sur la protection des renseignements personnels.

    D'accord. C'est beaucoup de choses.

    À votre avis, à quel point est-il urgent de régler cela? Nous avons le choix d'examiner les 10 correctifs et il y a un débat à propos de ceux que nous pourrions mettre en oeuvre. À l'intention des nouveaux membres du Comité, pourriez-vous nous donner une idée du degré d'urgence de ces correctifs?

    Monsieur le président, j'ai choisi ces 10 correctifs sur les conseils de mes collaborateurs, parce que je pensais qu'ils étaient importants mais aussi relativement simples et moins multilatéraux; leur application comportait moins d'implications multilatérales.

    Je sais que les modifications à la Loi sur la protection des renseignements personnels sont un long chemin semé d'embûches, mais si je peux vous reporter à ces 10 recommandations, je pense qu'elles demeurent. Leur réalisation serait une nette amélioration, mais elles seraient plus faciles à mettre en oeuvre que certaines autres, vous pouvez l'imaginer, pour élargir les droits à l'accès, etc.

    Merci.

    Monsieur Dreeshen.

    Merci beaucoup.

    J'invoque le Règlement, monsieur le président. Je croyais que la réunion devait se terminer à 17 h 30. Je sais que j'ai déjà fait ce rappel au Règlement lors de notre dernière réunion, mais j'ai inscrit d'autres réunions à mon horaire en pensant que celle-ci se terminerait à 17 h 30. Est-ce que vous souhaitez que nous poursuivions la réunion, ou...?

    J'aimerais proposer que nous mettions fin à cette séance

    D'accord. Tout d'abord, ce n'est pas un rappel au Règlement, mais la question est pertinente alors permettez-moi d'y répondre. S'il doit y avoir réunion d'un autre comité, ou même de ce comité-ci, d'un comité directeur dont la réunion aura été prévue à un moment particulier juste après notre réunion normale, nous ajournerions la séance. Cependant, il n'y a pas d'ajournement des séances. Nous avons simplement notre plage horaire. Nous réservons cette salle aussi longtemps qu'elle est disponible. La réunion se poursuit. Les membres du Comité peuvent décider s'ils veulent poursuivre. Nous avons encore sur la liste les noms de MM. Dreeshen et Poilievre et de Mme Freeman, qui aimeraient discuter avec la commissaire.

    Je pense que la réponse à votre question, c'est que si le débat devient répétitif, ou s'il n'est pas pertinent pour notre ordre du jour, la présidence peut aussi mettre fin au débat à ce moment-là. Cela étant dit, je souligne que le Comité est toujours maître de son oeuvre. Si la majorité des membres du Comité souhaitent lever la séance, il suffit qu'un membre du Comité le propose. Ce serait la procédure appropriée. Ce n'est pas sujet à débat. Nous passons au vote immédiatement, et c'est ainsi.

    Je propose de lever la séance.

    D'accord, avant d'accepter la motion, je tiens à remercier la commissaire à la protection des renseignements personnels et ses collaborateurs.

    J'invoque le Règlement, monsieur le président. Je pense qu'il conviendrait mieux de les remercier après que nous ayons terminé. Si la réunion se poursuit, ils seront ici plus longtemps...

    Le président: Merci.

    M. Pierre Poilievre: ... et je pense, bien entendu, qu'il n'est pas pertinent de les remercier dès maintenant. Je tiens à ce qu'ils soient remerciés comme il se doit.

    Oui. Quant à le faire « comme il se doit », une fois la séance levée, ce n'est plus un compte rendu.

    M. Pierre Poilievre: Je vois.

    Le président: Assurons-nous de faire inscrire au compte rendu que nous les remercions, et que des mesures ont été mises en oeuvre.

    Mme Jennifer Stoddart: Oui.

    Le président: Si vous avez des questions sur ces mesures, le greffier garde aussi un compte rendu, et nous serons heureux de collaborer avec vous pour nous assurer que tout le monde le reçoive. Les renseignements seront distribués comme il se doit à tous les honorables membres du Comité.

    J'aimerais aussi dire à l'intention de tous les honorables membres du Comité, avant que vous partiez, que la commissaire à la protection des renseignements personnels a aussi apporté des exemplaires de divers rapports, qui sont sur la table du coin. Si vous en avez le temps, n'hésitez pas à en prendre. Il y a, je crois, au moins deux rapports annuels, ainsi que le rapport de la vérificatrice générale.

    Je vous remercie.

    Nous avons une motion d'ajournement. Ce n'est pas sujet à débat, et je pose maintenant la question.

    Des voix: D'accord.

    Le président: La séance est levée.