ETHI Réunion de comité

    Bonjour, mesdames et messieurs.

    Nous avons le quorum et je déclare donc ouverte la 22^e séance du comité. Nous poursuivons notre étude de la LPRPDE, et plus particulièrement de la première partie.

    Nous avons plusieurs témoins aujourd'hui. Je pense que je préférerais que les témoins se présentent eux-mêmes, sauf pour le principale porte-parole.

    De la Clinique d'intérêt public et de politique d'Internet au Canada, nous accueillons Mme Phillippa Lawson, directrice exécutive, qui est porte-parole de son groupe. Bienvenue.

    Du Centre pour la défense de l'intérêt public, qui est le porte-parole? Est-ce vous, John Lawford?

    Bienvenue. Nous avons reçu votre mémoire.

    Oh, il y a quelqu'un d'autre? Je m'excuse. De l'Association de recherche et d'intelligence marketing, M. Stark. Bienvenue.

    Et M. Brendan Wycks? J'ai un vieil ordre du jour. Ce n'est pas mon intelligence qui est en cause; j'ai simplement une vieille feuille. Très bien, je m'excuse.

    Quoi qu'il en soit, sentez-vous libres de présenter ceux qui sont assis à ce bout de la table, de vous représenter, comme vous voudrez; on ne déduira pas cela du temps qui vous est alloué.

    Je voulais vous dire que nous avons reçu vos documents. Il y en a beaucoup. Je tiens à vous assurer que les membres du comité auront eu le temps ou prendront le temps de les lire. En tout cas, il est sûr que notre attaché de recherche les lira.

    Nous vous serions reconnaissants de prendre dix minutes environ pour vos exposés; puis, vous pourrez sans aucun doute ajouter des détails en réponse aux questions des membres du comité.

    Qui aimerait commencer? Madame Lawson.

    Merci beaucoup, monsieur le président, et merci de nous donner la possibilité de comparaître aujourd'hui.

    Bonjour aux membres du comité. Dans les quelques minutes dont je dispose, j'aimerais vous présenter les principales constatations de deux études que nous avons menées récemment et que nous vous avons envoyées par la poste la semaine dernière. Ensuite, je soulignerai quels sont, d'après nous, les principaux défauts de la LPRPDE et je vous suggérerai des solutions.

    Pour plus de détails, je vous suggère de lire le mémoire que nous vous avons fait parvenir le 28 novembre 2006. Je crois que vous avez devant vous le sommaire et les recommandations formulées. Ce mémoire comporte une courte description de la CIPPIC et de mon expérience, ainsi qu'une liste détaillée et l'explication de nos 20 recommandations.

    Je travaille dans le domaine de la protection de la vie privée depuis 15 ans environ, surtout à titre de défenseur des droits des consommateurs. Depuis le début des années 1990, j'ai entretenu des relations de travail étroites et productives avec l'Association canadienne du marketing, le Conseil canadien du commerce de détail, l'Association des banquiers canadiens, l'Association canadienne de la technologie de l'information, avec des sociétés de télécommunications et d'autres entreprises sur des questions liées à la protection de la vie privée, y compris le code qui est à l'origine de la LPRPDE.

    Depuis que j'ai créé la CIPPIC en 2003, je me suis surtout attachée à faire fonctionner les lois sur la protection des renseignements personnels en faisant des recherches sur les pratiques du marché, en exposant les pratiques douteuses et en exigeant que les organismes rendent des comptes. Je suis une ardente championne de la LPRPDE depuis son origine et je continue à appuyer fermement la loi.

    Toutefois, avec maintenant six ans d'expérience de l'application de cette loi, il est clair qu'il y a un certain nombre de lacunes et de défauts dans ce régime. J'aimerais tout d'abord vous dire ce que nous avons découvert lorsque nous avons examiné le secteur du courtage en information au Canada. Nous avons constaté que dans de nombreux cas, les listes de clients étaient vendues ou louées alors qu'il était très improbable que ces consommateurs aient vraiment consenti à la commercialisation de leur nom et de leurs coordonnées. Par exemple, nous avons trouvé une liste qui contenait de l'information sur le style de vie de particuliers et de ménages, sur leurs loisirs ainsi que des données démographiques sur près de 900 000 Canadiens. L'information contenue sur cette liste provenait de cartes d'enregistrement de produits remplies par les consommateurs. Une autre liste contenait l'âge, le sexe, l'adresse de résidence et le numéro de téléphone de près de 50 000 grands voyageurs canadiens. Cette information provenait des bases de données sur les clients des bureaux de vente de billets d'avion et d'agences de voyage.

    Une autre liste contenait le sexe, le revenu mensuel, l'adresse de résidence et l'adresse professionnelle de près de 13 000 Canadiens ayant une carte or. Cette information provenait des sociétés de traitement des paiements. Nous avons trouvé de nombreuses listes offrant de l'information détaillée sur la santé de Canadiens qui avaient fourni ces renseignements sur des sites Web ou en réponse à des sondages. Je pourrais continuer ainsi longtemps. Ce n'est qu'un petit échantillon de l'information que nous avons trouvée. Ce qu'il faut savoir c'est qu'il y a une industrie prospère qui compile et vend ces listes à des fins de marketing direct et peut-être à d'autres fins aussi, et il n'est pas du tout certain que les personnes qui figurent sur ces listes aient consenti à ce que leurs renseignements soient utilisés de cette façon.

    La deuxième étude que nous avons menée s'intitule Compliance with Canadian Data Protection Laws. Cette étude a été conçue exprès pour cet examen de la loi. Nous avons sondé 64 commerçants en ligne afin d'établir s'ils respectaient les principes de transparence, de responsabilité et de consentement de la LPRPDE. Nous avons également sondé 72 commerçants afin d'établir s'ils respectaient le principe d'accès aux renseignements personnels de la loi.

    Les résultats font réfléchir. En un mot, nous avons constaté un non-respect généralisé de la loi. Plus de la moitié des 64 entreprises avec lesquelles nous avons communiqué par téléphone ne pouvaient pas nous dire le nom de la personne responsable de la protection des renseignements personnels au sein de leur entreprise. Les deux tiers ont refusé de nous fournir leur politique sur la protection des renseignements personnels autrement que sur leur site Web. À l'examen de ces politiques, nous avons constaté que 70 p. 100 d'entre elles comportaient d'importantes lacunes, que 22 p. 100 d'entre elles n'expliquaient pas clairement pourquoi l'information était demandée, que 30 p. 100 n'expliquaient pas clairement comment ces renseignements seraient utilisés et 45 p. 100 n'expliquaient pas clairement à qui l'information serait divulguée.

    Le tiers des sociétés que nous avons sondées ne se donnaient pas la peine d'obtenir le consentement pendant le processus de commande en ligne. La plupart des entreprises obtiennent le consentement par le biais de leur politique sur la protection des renseignements personnels mais plus de la moitié négligent d'attirer l'attention des acheteurs sur cette politique et dans 60 p. 100 des cas, le consentement négatif était caché discrètement dans la politique.

    Nous avons constaté un nombre troublant d'informations trompeuses dans les politiques ou sur les sites Web laissant entendre, par exemple, que la société ne partagerait pas les renseignements personnel sans consentement, mais plus loin dans la politique on retrouve une disposition de présomption de consentement. De 11 à 39 p. 100 des entreprises interrogées exigeaient que le consommateur consente à des utilisations et des divulgations inutiles afin de terminer la transaction. Nous ne pouvons pas établir un taux plus précis parce que les politiques ne sont pas claires.

    En ce qui concerne l'accès aux renseignements personnels — c'est-à-dire le droit d'une personne d'avoir accès à ses propres renseignements personnels détenus par une entreprise — plus du tiers des entreprises à qui nous avions envoyé des demandes ne nous ont pas du tout répondu. Parmi celles qui ont répondu, la plupart n'ont pas répondu aux trois questions que nous posions. Il n'y a que 21 p. 100 d'entre elles qui ont répondu à toutes nos questions, conformément aux exigences de la LPRPDE.

    Notre étude sur la conformité a été réalisée au début de 2006, cinq ans après l'entrée en vigueur de la LPRPDE. Cinq ans, c'est sûrement un délai suffisant pour que les entreprises se conforment à ces obligations assez fondamentales. Pourquoi un taux aussi élevé de non-conformité? Je pense qu'il y a à cela deux raisons. D'abord et avant tout, les entreprises ne sont pas vraiment motivées à respecter la LPRPDE. Deuxièmement, les dispositions de la loi en matière d'avis et de consentement ne sont pas claires.

    Il faut modifier l'application de cette loi. Les entreprises doivent être convaincues que le non-respect de la loi entraînerait des conséquences graves pour leur réputation ou leurs finances. Ce n'est tout simplement pas le cas à l'heure actuelle. Même les entreprises qui violent la loi de manière téméraire et délibérée s'en tirent avec, au plus, une semonce privée de la part du commissaire à la protection de la vie privée. Nous avons formulé un certain nombre de recommandations pour corriger cette situation, dont la plupart ne nécessitent pas d'importantes modifications au régime d'application. Même si nous croyons que le commissaire devrait avoir des pouvoirs d'ordonnance, il y a un certain nombre d'autres modifications qui, ensemble, pourraient créer les incitatifs dont l'industrie a besoin. J'attire particulièrement votre attention sur les recommandations 3 à 11 de notre mémoire.

    Une autre raison qui pourrait expliquer le non-respect de la loi que nous avons constaté est que certaines des obligations ne sont pas claires. Les dispositions en matière d'avis et de consentement sont particulièrement mal rédigées. Je dois assumer une partie de la responsabilité de ce problème car j'étais membre du comité de la CSA qui a rédigé le code. Cependant, ce code a été rédigé en tant que code volontaire et pas comme une loi. Je pense pouvoir dire sans risquer de me tromper qu'aucun membre de ce comité ne pensait que ce code, tel que nous l'avons rédigé, deviendrait une loi. L'Alberta et la Colombie-Britannique ont rédigé beaucoup plus clairement les obligations que la LPRPDE devait créer. Nous recommandons donc que ces dispositions de la LPRPDE soient remaniées sur le modèle de la loi albertaine.

    Notre étude a également révélé d'étranges lacunes dans la loi qui en limitent l'efficacité. Par exemple, la loi n'exige pas clairement que les personnes soient informées de l'utilisation que l'on fera de leurs renseignements personnels. Il n'y a aucune limite particulière pour ce qui est de la collecte d'information auprès des enfants dont la crédulité et l'ignorance peuvent facilement être exploitées par des intérêts commerciaux.

    Nous vous avons fourni des recommandations pour corriger toutes ces lacunes et ces vices de rédaction. Je n'ai pas le temps de vous parler de nos autres recommandations, mais j'aimerais mentionner brièvement les avis d'une atteinte relative à des données.

    Au cours de la dernière année, la CIPPIC a dirigé une équipe de chercheurs qui menaient un projet, financé en partie par les banques, sur le vol d'identité. Le vol d'identité frappe un petit nombre de personnes malchanceuses, mais lorsqu'il frappe, il peut avoir un effet dévastateur et son incidence semble augmenter. Il n'y a rien dans la LPRPDE qui oblige les organismes à informer les intéressés qu'une infraction à la sécurité les rend vulnérables au vol d'identité et le marché n'encourage guère les organismes à exposer volontairement leurs erreurs. Nous pensons que la loi devrait obliger les organismes à informer les intéressés lorsque leurs renseignements personnels pourraient être utilisés de manière abusive. Nous avons examiné les lois canadiennes relatives aux infractions à la sécurité des données ainsi que les diverses approches adoptées aux États-Unis, sans oublier les avantages et les inconvénients de chacune. Nous allons publier un livre blanc sur la question qui contiendra des recommandations détaillées d'ici Noël et je serais heureuse de vous le faire parvenir.

    Merci beaucoup de m'avoir accordé de votre temps. Je serai heureuse de répondre à vos questions.

    Merci beaucoup, madame Lawson. Et je vous remercie au nom des membres du comité de votre mémoire, de votre sommaire, qui nous a été très utile, et de la liste de recommandations très complète que vous avez fait parvenir. Nous l'apprécions grandement. Première chose.

    Deuxièmement, même si j'ai dit que je ne le ferais pas, j'ai présenté pratiquement tous les témoins. Étant donné qu'il y a de nombreuses années j'ai été stagiaire en droit, je tiens à mentionner la présence de Mme Amanda Tait, stagiaire au Centre pour la défense de l'intérêt public.

    Je crois vous avoir présenté, n'est-ce pas, monsieur Stark? Alors je pense que j'ai présenté tout le monde, même si j'ai dit que je ne le ferais pas. Alors bienvenue. 

    Monsieur Lawford, c'est votre tour.

    Merci beaucoup aux membres du comité. Merci de me donner l'occasion de m'adresser à vous aujourd'hui.

    Le Centre pour la défense de l'intérêt public s'intéressait déjà de très près à la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, du point de vue du consommateur. Nous sommes donc ici aujourd'hui pour vous présenter le point de vue du consommateur sur cette loi.

    Premièrement, la LPRPDE ne répond pas aux besoins des consommateurs. Pour citer le professeur Michael Geist, la LPRPDE est une « protection de la vie privée placebo ». Les consommateurs canadiens pensent que leurs renseignements personnels sont protégés par une loi de protection des renseignements personnels des consommateurs, mais ce n'est pas le cas. Nous avons donc trois demandes à adresser au comité. Premièrement, le commissaire devrait avoir un pouvoir d'ordonnance. Deuxièmement, les consommateurs devraient être informés en cas de perte ou de vol de leurs renseignements personnels détenus par une entreprise. Troisièmement, les dispositions de la LPRPDE en matière de consentement devraient être éclaircies afin que les consommateurs donnent leur consentement informé lorsqu'ils fournissent leurs renseignements personnels.

    Je vais traiter d'abord du pouvoir d'ordonnance. Le CDIP a réalisé une étude sur l'application de la LPRPDE du point de vue du consommateur en 2004. Nous avons constaté que les plaignants ont fait face à de nombreux problèmes, y compris, par-dessus tout, l'absence d'actions coercitives de la part du commissaire à la protection de la vie privée pour faire valoir leurs droits lorsque leurs plaintes étaient jugées fondées. En outre, les plaignants se sont sentis frustrés que le commissaire ne nomme pas, d'office, les entreprises qui ne respectent pas la loi et parce que les motifs des décisions du commissaire étaient tellement brefs et aseptisés que personne d'autre ne pouvait profiter de leur expérience pour déposer une plainte.

    L'utilisation des renseignements personnels à des fins de commercialisation secondaire est maintenant si importante que les entreprises n'ont aucune raison de modifier leurs pratiques. Seul un pouvoir d'ordonnance du commissaire pourrait contrebalancer le commerce des renseignements personnels. Or, la commissaire à la protection de la vie privée est venue vous dire qu'elle ne souhaite pas obtenir ce pouvoir. Elle a dit que l'efficacité générale de son bureau s'en trouverait réduite et qu'elle continuerait à exercer d'autres pouvoirs pour obtenir des résultats. Nous ne sommes pas d'accord. Nous pensons que ce pouvoir d'ordonnance accroîtrait l'efficacité de la médiation et des autres processus qu'utilise le commissariat, puisqu'il serait le bâton alors que la médiation est la carotte. Comme nous le disons dans notre rapport, de nombreuses entreprises font tout simplement fi des constatations du commissariat. La commissaire ne peut pas menacer d'intenter des poursuites devant la Cour fédérale dans tous les cas. Cependant, les commissaires provinciaux obtiennent des résultats parce qu'ils ont ce pouvoir de rendre des ordonnances pour renforcer leurs efforts de médiation.

    Si le Commissariat à la protection de la vie privée a l'intention d'effectuer d'autres vérifications, par exemple, le pouvoir d'ordonnance serait le complément naturel de son pouvoir de vérification. Cependant, à l'heure actuelle, lorsqu'une vérification révèle des pratiques contraires à la loi, la commissaire n'a aucun pouvoir pour exiger que ces pratiques soient modifiées. Si nous ajoutons à cela la nécessité d'avoir des motifs raisonnables pour effectuer une vérification, alors la promesse de la commissaire de faire respecter la LPRPDE par de plus grands pouvoirs de vérification nous apparaît très suspecte. Comme le disait la CIPPIC, la majorité des entreprises ne respectent pas les dispositions les plus fondamentales de la LPRPDE, c'est-à-dire celles qui visent à protéger les renseignements personnels des consommateurs sur le marché. C'est pourquoi nous pensons que le pouvoir d'ordonnance ne serait pas un luxe, mais plutôt une nécessité.

    J'aimerais maintenant traiter de la question de la désignation des délinquants. Nous pensons également que la commissaire à la protection de la vie privée hésite trop à utiliser les pouvoirs dont elle dispose. Parmi ces pouvoirs, le plus important est celui de divulguer toute information obtenue dans le cadre de ses enquêtes, si c'est dans l'intérêt public de le faire. Ce pouvoir est prévu au paragraphe 20(2). La commissaire a indiqué qu'elle ne l'utilisera jamais. Sauf, peut-être, dans le cas de récidivistes. Mais jamais ce pouvoir n'a été utilisé de cette façon et nous croyons que l'Association canadienne du marketing n'a pas lieu de s'inquiéter.

    Cependant, pour que les consommateurs puissent exercer une pression sur les entreprises délinquantes en matière de protection de la vie privée, ils doivent pouvoir exprimer leur mécontentement de ces entreprises. Cela n'est pas possible lorsque l'entreprise est protégée de toute mauvaise publicité et de tout recours par les consommateurs. Si vous ne recommandez pas qu'on donne à la commissaire plein pouvoir d'ordonnance nous vous demandons à tout le moins de demander que l'article 20 de la LPRPDE soit modifié pour exiger la publication du nom des entreprises délinquantes.

    J'en viens maintenant à la question des avis en cas d'atteinte à la sécurité des renseignements. Notre deuxième recommandation est que les entreprises soient obligées, en vertu de la LPRPDE, d'informer leurs clients lorsque la sécurité des données a été compromise. Cela assurerait une véritable protection pour de vraies personnes. Le vol d'identité est l'objectif, ou la conséquence probable, du vol et de la perte des bases de données de renseignements personnels appartenant aux entreprises. Rappelez-vous que ce sont de vraies personnes dont les véritables renseignements personnels sont perdus par des entreprises et que ce sont ces personnes qui vont subir de véritables de pertes financières en raison du vol de leur identité ou qui devront prendre des mesures pour s'en protéger et que même si elles ne subissent aucun tort, elles vont s'inquiéter.

    Cependant, ce n'est pas en cachant la vérité que nous allons aider les personnes qui se retrouvent dans cette situation. Il faut les informer afin qu'elles puissent prendre les bonnes décisions face au vol de leur identité.

    C'est pour cette raison que nous voulons qu'il soit obligatoire d'informer les intéressés en cas d'atteinte à la sécurité des renseignements personnels. Nous croyons que les entreprises qui détiennent des renseignements personnels qui leur ont été confiés doivent tout faire pour protéger ceux qui leur ont fait confiance — les consommateurs, les clients — en étant aussi transparents que possible et en avouant les pertes de renseignements personnels.

    Le Canada n'est pas un modèle dans cet aspect très pratique de la protection de la vie privée. Plusieurs États américains, notamment la Californie, ont adopté des lois très complètes sur les avis en cas d'atteinte à la vie privée, même en absence de loi de protection de la vie privée. En outre, la loi ontarienne en matière de santé exige que les médecins informent leurs patients lorsque la confidentialité de leur dossier a été compromise. D'autres provinces envisagent d'adopter des règles semblables.

    Nous pensons qu'il ne convient pas que le Parlement adopte une politique attentiste en matière d'avis en cas d'atteinte à la sécurité des renseignements, car cela oblige les consommateurs à courir le risque du vol d'identité, et non pas les entreprises qui, comme je l'ai dit, devraient être considérées en position de confiance.

    La dernière question dont nous voulons traiter est celle du consentement. Premièrement, il faut se rappeler que la LPRPDE exige qu'on obtienne le consentement pour toute collecte, utilisation et divulgation de renseignements personnels, sauf dans des circonstances exceptionnelles. Le principe directeur et l'objectif principal de la loi est de donner aux gens un droit de regard en ce qui concerne leurs renseignements personnels détenus par d'autres personnes ou organismes.

    Les tribunaux ont examiné la question du consentement dans une affaire de litige au sujet des listes d'une compagnie de téléphone. Dans cette affaire, Englander c. Telus, la Cour d'appel fédérale a dit clairement que le consentement en vertu de la LPRPDE veut dire un consentement éclairé; la personne doit être clairement informée au sujet de la collecte, de l'utilisation et de la divulgation de ses renseignements personnels et y consentir.

    Cette préoccupation s'applique directement à la question de savoir quelle devrait être la norme concernant l'obtention du consentement pour le marketing direct ou la commercialisation secondaire. Nous croyons que la LPRPDE devrait être modifiée pour définir les niveaux de consentement et préciser que le plus haut niveau de consentement possible — c'est-à-dire un véritable consentement éclairé — devrait habituellement être obligatoire.

    En pratique, cela veut dire que le consentement explicite devrait être la norme et que le consentement négatif ne devrait être possible que lorsque l'entreprise veille à ce que le consommateur soit pleinement informé de l'utilisation qui sera faite de ses renseignements personnels.

    Les rapports du CIPPIC nous inquiètent et nous croyons qu'ils montrent que la majorité des détaillants ne respectent probablement pas cette norme de consentement qui est d'ailleurs mal définie dans la LPRPDE. C'est pourquoi nous demandons au comité de modifier le libellé des dispositions de la loi en matière de consentement selon le modèle proposé dans le mémoire de la CIPPIC et qui vise à éclaircir ce concept pour que les détaillants et les autres grands utilisateurs d'information puissent se fier au véritable consentement du consommateur.

    En résumé, le CDIP demande au comité de songer à donner des pouvoirs d'ordonnance à la commissaire à la protection de la vie privée, à ajouter l'obligation de signaler les pertes ou vols de renseignements et d'éclaircir les règles sur le consentement comme le propose la CIPPIC.

    Merci beaucoup. Je suis prêt à répondre à vos questions dans la langue de votre choix.

    Merci beaucoup, monsieur Lawford.

    Encore une fois, nous vous remercions de votre mémoire très complet ainsi que de vos recommandations, qui commencent à la page 25, pour la gouverne des membres du comité.

    Nous passons maintenant à l'Association de recherche et d'intelligence marketing. Je pense que c'est M. Brendan Wycks qui fera l'exposé.

    Allez-y, monsieur.

    Merci, monsieur le président.

    Bonjour, mesdames et messieurs. Je m'appelle Brendan Wycks et je suis le directeur exécutif de l'ARIM, l'Association de la recherche et de l'intelligence marketing.

    Permettez-moi de vous présenter brièvement les autres représentants de notre association qui m'accompagnent aujourd'hui. David Stark est le président du comité de normalisation de notre association. Il est aussi vice-président et responsable de la protection des renseignements personnels pour l'Amérique du Nord de TNS, une agence privée de recherche installée à Toronto et membre de notre association. Nous sommes également en compagnie d'Alain Choinière, président de notre comité des relations gouvernementales et président de l'Agence de recherche CRA/COGEM, installée à Montréal; ainsi que de M. Greg Jodouin, notre expert-conseil en relations gouvernementales. M. Choinière et M. Jodouin sont là pour nous aider à répondre aux questions qui pourraient nous être posées après notre exposé.

    Nous remercions les membres du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de nous permettre aujourd'hui de donner notre opinion concernant la Loi sur la protection des renseignements personnels et les documents électroniques. Je dirais pour commencer que nous sommes très favorables à la LPRPDE depuis ses origines; dès le milieu des années 90, nous sommes intervenus dans la rédaction du code volontaire de protection des renseignements personnels de l'Association canadienne de normalisation, qui est à l'origine de la LPRPDE.

    L'ARIM est le seul porte-parole reconnu en tant que tel de l'industrie de la recherche sur les marchés et les sondages, dont elle représente tous les secteurs. Nos adhérents comprennent plus de 260 sociétés et plus de 1 800 professionnels spécialisés en recherche de marché. On trouve parmi eux des organismes de recherche de toutes les dimensions et de toutes les spécialités, de l'animateur de groupe de consultation aux grands organismes multiservices d'envergure mondiale, auxquels s'ajoutent de nombreux acheteurs et utilisateurs de services de recherche, comme les grandes banques canadiennes et autres fournisseurs de services financiers, des sociétés nationales de vente au détail, des compagnies d'assurance, des compagnies de télécommunications et des sociétés du secteur manufacturier.

    Il est à peine besoin de préciser que les bonnes relations qui existent entre les chercheurs et l'ensemble de la population constituent l'un des principaux piliers de l'industrie de la recherche sur les marchés et les sondages. Nous consacrons une partie importante de notre temps et de nos efforts à protéger ces relations par l'autoréglementation de notre industrie, axés sur la défense du droit de consommateur à la protection de ses renseignements personnels. Nous considérons également qu'il est interdit aux chercheurs dignes de ce nom d'essayer de vendre quoi que ce soit. C'est l'un des principes fondamentaux au centre de nos normes rigoureuses de pratique et qui est désormais consacré dans la charte des droits du consommateur que nous avons publiée récemment.

    Pour assurer la viabilité et la pérennité de notre industrie, il est absolument indispensable de protéger la qualité de notre relation avec les Canadiens ainsi que la réserve de bonne volonté dont bénéficient les spécialistes du sondage. À ce titre, nous travaillons depuis longtemps en étroite collaboration avec le gouvernement fédéral sur des initiatives visant à promouvoir les droits du consommateur et la protection des renseignements personnels. Le gouvernement fédéral est le plus gros utilisateur de la recherche par sondage au Canada; c'est là un fait important qui vous a peut-être échappé. En tant que gros utilisateur de cette recherche, le gouvernement profite indirectement des effets de nos initiatives d'autoréglementation sur le renforcement des droits du consommateur et l'amélioration de la reddition de comptes.

    Sommes toutes, l'ARIM et l'industrie que nous représentons sont les défenseurs et les champions d'une structure renforcée de protection des renseignements personnels au Canada. Nous sommes heureux d'être ici aujourd'hui et de vous faire des propositions qui devraient permettre au Parlement de parvenir à un régime national plus fort et plus efficace de protection des renseignements personnels. Nous félicitons le gouvernement et la commissaire à la protection de la vie privée qui s'efforcent sans relâche de promouvoir la protection des renseignements personnels et les droits du consommateur.

    Pour revenir à la loi proprement dite, nous considérons que la LPRPDE est une loi efficace qui a amené des changements considérables dans l'attitude des entreprises. Elle a indiscutablement haussé la barre dans tous les secteurs d'activités quant à la collecte, l'utilisation et la divulgation de renseignements personnels. Mais comme dans toute initiative nouvelle, les imperfections ne sont apparues que lorsque les dispositions ont été mises à l'épreuve de l'application, et les six dernières années nous ont montré les points forts de la loi et ceux sur lesquels des améliorations s'imposent.

    Nous aimerions maintenant recommander quelques mesures qui permettraient de renforcer la LPRPDE.

    Tout d'abord, nous pensons qu'il faudrait modifier la loi pour obliger les organismes à divulguer toute atteinte individuelle à des renseignements personnels sensibles non codés. La majorité des États américains appliquent déjà dans ce domaine des lois qui obligent à signaler toute infraction. Il est paradoxal que la LPRPDE oblige les organismes à déployer des mesures matérielles, technologiques et administratives pour protéger les renseignements personnels qu'ils recueillent, mais qu'elle ne les oblige pas à prévenir les particuliers lorsque des données personnelles sensibles non codées les concernant sont compromises, par exemple, lorsqu'elle divulgue un nom conjointement avec l'un des éléments suivants : numéro d'assurance sociale, numéro de permis de conduire, numéro de carte de crédit ou de comptes bancaires accompagnés du code de sécurité, numéro de passeport ou autre information susceptible de se prêter à un vol d'identité de la part des milieux criminels.

    Les instituts de recherche sur les marchés et les sondages ne recueillent pas les catégories de renseignements personnels dont je viens de parler auprès des consommateurs. Néanmoins, les vols d'identité par des moyens électroniques pénalisent notre industrie, car cette activité criminelle frauduleuse entame la confiance des Canadiens envers des entreprises par ailleurs respectables, et les rend plus réticentes à divulguer leurs renseignements personnels à des fins légitimes et parfaitement honnêtes.

    Deuxièmement, nous souhaitons que l'on modifie la LPRPDE pour que la commissaire à la protection de la vie privée soit habilitée à rendre des ordonnances. Elle devrait pouvoir présenter des conclusions exécutoires, notamment infliger des amendes et des pénalités ou exiger des déclarations obligatoires des organismes qui manifestent un mépris flagrant à l'égard des droits des Canadiens à la protection des renseignements personnels. Ceux qui attentent à la vie privée ne devraient pas bénéficier de l'anonymat dans les résumés qui apparaissent dans le site Web du commissariat à la protection de la vie privée. Si ce dernier réussit à identifier des organismes qui ont fait l'objet de plaintes fondées, ils devraient être contraints d'améliorer leur gestion des renseignements personnels pour éviter d'être dénoncés dans les médias et de ternir leur réputation.

    Troisièmement, nous considérons également qu'il faudrait modifier la LPRPDE pour permettre à un organisme de communiquer des renseignements personnels à un acheteur éventuel ou à un partenaire en affaires. À cet égard, les organismes devraient intégrer les fusions et les ventes à leurs politiques en matière de protection des renseignements personnels, de façon à permettre la communication de renseignements personnels dans les cas susmentionnés. Pour sa part , la partie réceptrice doit être tenue d'honorer les conditions imposées par la politique de la partie émettrice en matière de protection des renseignements personnels. Si l'acquéreur souhaite modifier cette politique, il devrait permettre aux particuliers visés de se soustraire à toute modification concernant la collecte, l'utilisation et la divulgation de leurs renseignements personnels.

    Enfin, nous aimerions aborder un problème sérieux pour l'industrie, qui relève de la LPRPDE, et c'est pourquoi nous souhaitons que la loi soit appliquée avec plus de vigueur. Il s'agit de la commercialisation et de la vente sous couvert de recherche.

    Ces dernières années, un certain nombre de pressions ont commencé à entamer la réserve de bonne volonté dont les Canadiens ont toujours fait preuve envers la recherche par sondage. La croissance exponentielle des ventes directes et des activités de télémarketing au cours des 10 dernières années a également rendu les Canadiens plus réticents à participer à la recherche par sondage. Cette situation a été exacerbée par des adeptes sans scrupules du marketing direct et des levées de fonds, qui dissimulent leurs arguments de ventes sous un faux semblant de recherche par sondage.

    Malgré toute la discipline à laquelle s'astreignent les chercheurs dans le respect des droits des consommateurs à la protection de leur vie privée, l'action menée par ces autres secteurs d'activité peut porter préjudice aux relations qui existent entre les chercheurs et la population. C'est un sujet constant de préoccupation pour l'ARIM, notamment dans le contexte de la prévalence des activités de marketing et de ventes sous couvert de recherche.

    J'aimerais vous donner un peu d'information contextuelle sur ce problème. L'ARIM effectue périodiquement un sondage sur l'attitude des Canadiens envers la recherche par sondage, pour prendre le pouls de notre industrie et de la protection des renseignements personnels des gens qui répondent au sondage. La dernière édition de ce sondage, réalisée à la fin de 2004, montre que l'attitude généralement positive envers la recherche par sondage est toujours alimentée par le fait, reconnu par les Canadiens, que la recherche par sondage sert à des fins utiles dans la société, parce qu'elle permet aux Canadiens d'intervenir dans la gestion des affaires publiques et d'exprimer leur opinion sur les produits et services disponibles sur le marché.

    Dans notre sondage de 2004, 87 p. 100 des répondants ont reconnu que les sondages de recherches permettent une contribution et une rétroaction utile. Leur proportion était supérieure de trois points de pourcentage à ceux qui avaient répondu la même chose au sondage de 2001. Les répondants ont reconnu dans une proportion de 78 p. 100 que l'industrie des sondages sert des fins utiles. C'était une légère augmentation par rapport au sondage de 2001. Les parlementaires remarqueront avec intérêt que 73 p. 100 des répondants ont reconnu que les sondages de recherche sont utiles au gouvernement pour comprendre l'opinion publique.

    Par contre, l'étude de 2004 souligne la menace sérieuse et persistante que font planer sur notre secteur d'activité les menées commerciales sous couvert de recherches. Il s'agit de situations dans lesquelles des gens qui font de la vente directe ou des levées de fonds prétendent réaliser un sondage de recherche pour gagner la confiance d'une cible éventuelle. Il ne fait aucun doute que cette activité illégale peut nuire à l'attitude positive de l'ensemble de la population quant à sa participation à des sondages de recherche. Plus de la moitié des répondants à notre sondage de 2004, soit 53 p 100, avaient été sollicités au cours de l'année précédente dans le cadre d'un soi-disant sondage de recherche qui s'est révélé être une tentative de vente de produits ou de services. Plus d'un répondant sur quatre, soit 27 p. 100, avait été sollicité au cours de l'année précédente dans le cadre d'un prétendu sondage qui s'est avéré être une tentative de demande d'argent pour un organisme de bienveillance ou une autre cause.

    Dans l'état actuel des choses, ces activités sont illégales aux termes de la LPRPDE. Les objectifs réels pour lesquels on tente ainsi d'obtenir le consentement des Canadiens sont frauduleux. Le consentement est obtenu sous de faux prétextes de recherche, et l'information personnelle ainsi recueillie sert à des fins autres que les objectifs déclarés, c'est-à-dire non pas à un sondage légitime mais à des menées mercantiles. Or, nos recherches indiquent que ces pratiques condamnables se produisent toujours. En 2004, leur fréquence était la même que lors du précédent sondage de 2001. Elles n'ont absolument pas diminué.

    Et bientôt, avec la mise en oeuvre du registre national de numéros à ne plus appeler en 2007, les télévendeurs sans scrupules auront une raison de plus de violer la loi en ayant recours à la promotion et à la sollicitation sous couvert de recherche. Cela minerait la bonne volonté méritée du public envers les sondeurs légitimes.

    C'est pourquoi nous exhortons le gouvernement du Canada à modifier la LPRPDE pour conférer un pouvoir d'ordonnance au commissaire à la protection e la vie privée afin qu'ensemble, nous puissions mettre un terme aux activités des entreprises qui ont recours à la promotion et à la sollicitation sous couvert de recherche et, de la sorte, protéger les Canadiens de leurs manoeuvres frauduleuses.

    En conclusion, les études de marché et la recherche-sondage jouent un rôle essentiel dans notre société en permettant aux Canadiens d'exprimer leurs opinions et en aidant à influencer et améliorer les décisions en matière de politique publique. Il y a deux éléments qui caractérisent le secteur des études de marché et de la recherche-sondage et qui nous distinguent du secteur de la télémercatique. Tout d'abord, les sondeurs légitimes n'essaient jamais de vendre quoi que ce soit. D'ailleurs, la sollicitation est interdite par nos pratiques déontologiques et notre code de conduite rigoureux.

    Deuxièmement, la recherche-sondage donne aux Canadiens l'occasion d'exprimer leurs opinions et d'avoir une influence sur des questions importantes liées à la politique publique, ainsi que sur le développement de produits et de services De ce fait, elle joue un rôle sociétal important. C'est pour cela qu'il est essentiel d'avoir le bon cadre législatif au Canada pour protéger le travail indispensable effectué par les sondeurs. La LPRPDE a énormément contribué à la mise en place de ce cadre. Malgré cela, notre expérience au cours des six années depuis l'adoption de la loi montre bien qu'il faut aller plus loin encore. L'ARIM et le secteur de la recherche-sondage pensent que des modifications importantes doivent être apportées à la LPRPDE afin que la loi protège encore mieux les droits à la protection des renseignements personnels des Canadiens.

    En résumé, nos recommandations concernant la modification de la LPRPDE sont les suivantes. Tout d'abord, les organismes devraient communiquer aux personnes intéressées toute atteinte à la confidentialité de données personnelles sensibles non codées. Deuxièmement la LPRPDE devrait permettre le transfert de renseignements personnels d'un organisme à un acheteur ou partenaire d'affaires éventuel dans un cadre strict protégeant les droits à la protection des renseignements personnels. Troisièmement, la commissaire à la protection de la vie privée devrait avoir des pouvoirs d'ordonnance, tels que le pouvoir de rendre des décisions exécutoires ou celui d'infliger des amendes ou d'autres pénalités. Enfin, et c'est le point le plus important pour le secteur des études de marché et de la recherche-sondage, ces pouvoirs d'ordonnance devraient donner à la commissaire à la protection de la vie privée les outils, les ressources et le mandat nécessaires pour faire appliquer la LPRPDE et pour mettre un terme, une fois pour toutes, aux pratiques frauduleuses de promotion et de sollicitation sous couvert de recherche.

    L'ARIM vous remercie de lui avoir donné l'occasion de présenter le point de vue de l'industrie des études de marché et de la recherche-sondage dans le cadre de cet examen législatif important. Nous serions heureux de partager avec vous d'autres observations au fur et à mesure que l'examen progresse et que des nouvelles informations sur des modifications possibles à la LPRPDE sont communiquées.

    Merci.

    Merci, monsieur Wycks.

    Puis-je avoir une précision? Dans votre allocution, vous nous dites que la promotion et la sollicitation sous couvert de recherche est illégale en vertu de la LPRPDE. Est-ce parce qu'il n'y a pas de consentement éclairé? Est-ce bien ce que vous nous dites? Ou y a-t-il un article en particulier qui traite de ce problème?

    L'un des principes énoncés veut que les organisations donnent les raisons pour lesquelles elles souhaitent recueillir des renseignements personnels. Donc, lorsque les entreprises sollicitent sous couvert de recherche en prétendant effectuer un sondage, lorsque c'est la raison qu'elles donnent, alors elles ne sont pas sincères dans ce qu'elles font. Elles appellent des gens pour essayer de leur vendre quelque chose, mais elles ne le disent qu'après avoir recueilli les renseignements, soi-disant pour un sondage. Cela va à l'encontre du principe selon lequel il faut donner les raisons avant de recueillir les renseignements au moment de leur collecte. Puisque l'élément de vente n'est pas mentionné avant la fin de la collecte, la façon dont les renseignements sont utilisés est contraire à la LPRPDE.

    Il existe également une autre loi, je pense que ce sont des modifications apportées à la Loi sur la concurrence il y a environ sept ans. En vertu de ces modifications, au cours des 30 premières secondes de l'appel, les télévendeurs doivent communiquer leur nom, le nom de l'organisation au nom de laquelle ils appellent, et la raison de leur appel. Ils ne peuvent donc pas avoir recours à des techniques élaborées, comme la promotion et la sollicitation sous couvert de recherche, afin de cacher leur motif véritable, si leur objectif est de vendre quelque chose.

    C'est donc une pratique illégale en vertu de deux lois : elle est contraire aux modifications apportées à la Loi sur la concurrence et à certains des principes énoncés dans la LPRPDE. Bien entendu, je pense que des pouvoirs d'ordonnance et une meilleure application aideraient beaucoup à mettre un terme à cette pratique.

    Merci beaucoup.

    Nous allons commencer les questions par un premier tour de sept minutes pour chaque député, réponses comprises.

    Nous allons commencer avec M. Peterson.

    Merci, monsieur le président.

    Je me joins au président pour féliciter la CIPPIC et le CDIP de leurs excellents mémoires et de la recherche effectuée.

    Monsieur Wycks, que pensez-vous du consentement général? Est-ce que vos membres y ont recours pour ce qui est de l'utilisation de renseignements personnels?

    Généralement, lorsque des sondeurs appellent des Canadiens, si c'est un sondage téléphonique, ou si l'on propose aux Canadiens de se joindre à un groupe afin de...

    Obtenez-vous leur consentement pour communiquer ces renseignements?

    Nous obtenons le consentement pour mener un sondage, ou lorsque nous invitons des personnes à participer à un groupe échantillon. Elles acceptent de prendre part ou non. Elles consentent à participer. Nous ne transmettons pas les renseignements pour qu'ils soient utilisés à d'autres fins, car nous n'essayons pas de commercialiser des produits ou des services.

    Vous vous avez dit que vous pouviez vendre les données, y compris les renseignements personnels.

    Non, que...

    Est-ce que ce n'était pas l'une de vos recommandations? J'ai dû mal comprendre, alors.

    Non, pas du tout.

    Quelle était votre deuxième recommandation?

    Notre recommandation concerne les acheteurs potentiels d'une entreprise de recherche, ou de toute autre entreprise. Si une entreprise veut en racheter une autre, et que cette autre entreprise a des dossiers de clients ou des renseignements personnels, alors, en cas de rachat, la loi devrait clairement énoncer ce qui est permis et ce qui ne l'est pas...

    Ah, c'est tout. Vous parlez de la vente d'une entreprise qui possède des données, non pas de la vente des données elles-mêmes.

    C'est cela.

    Très bien, alors vous n'êtes pas en faveur du consentement négatif.

    Non.

    Vous n'êtes pas non plus en faveur du consentement général. Aucun de vos membres n'y a recours.

    Non.

    Monsieur Lawford et madame Lawson, avez-vous des opinions divergentes sur ces questions ou êtes-vous tous au même chapitre?

    Je crois que nos points de vue sont pratiquement identiques.

    Je suis bien de cet avis.

    Venons-en maintenant au pouvoir de rendre des ordonnances. Vous avez montré qu'il existe au moins trois autres pouvoirs qui pourraient s'exercer plus efficacement: les vérifications comptables, le dépôt de plaintes et la dénonciation. Si ces pouvoirs étaient intégralement exercés, faudrait-il néanmoins, à votre avis, conférer un pouvoir de rendre des ordonnances à la commissaire à la protection de la vie privée?

    Je dirais, au nom du CDIP, que nous sommes néanmoins favorables à l'octroi d'un pouvoir de rendre des ordonnances, parce que jusqu'à maintenant, les sociétés récalcitrantes, notamment les récidivistes, ont refusé de se ranger aux conclusions de la commissaire à la protection de la vie privée.

    Combien de personnes ont été dénoncées pour infraction par la commissaire à la protection de la vie privée jusqu'à maintenant?

    Nous en avons déjà débattu. Nous pensons que c'est soit une, sinon aucune.

    Il y a eu des contestations concernant le programme de fidélisation d'Air Canada, dont le nom a été signalé. Je ne me souviens pas d'un autre cas où la commissaire aurait désigné quelqu'un par son nom.

    Combien de cas ont été soumis à la justice jusqu'à maintenant?

    Nous estimons qu'il y a eu au moins 350 conclusions.

    Très peu d'entre elles ont abouti devant les tribunaux. Il y a eu un règlement dans la plupart des cas.

    La commissaire à la protection de la vie privée s'oppose résolument à ce qu'on lui confère le pouvoir de rendre des ordonnances, tant qu'elle n'aura pas eu l'occasion de mettre à l'épreuve les autres voies de recours.

    J'ai un peu de mal à en convenir. Tout d'abord, elle a eu, comme les commissaires précédents, tout le temps pour exercer ces autres pouvoirs.

    Nous nous inquiétons également du message que semble nous adresser le commissariat, selon lequel l'interprétation de la loi ne permettrait pas que des particuliers ou des sociétés soient désignés par leur nom. C'est pourquoi nous nous joignons au CDIP pour demander des précisions à ce sujet, de façon à établir clairement que la commissaire est non seulement autorisée à le faire, mais encore que dans certains cas, elle y est obligée.

    Comme le CDIP, la CIPPIC estime que le pouvoir de rendre des ordonnances devrait s'appliquer en complémentarité avec tous ces autres pouvoirs, de façon à rendre la loi plus efficace.

    Pouvez-vous comparer ce qui se fait dans les trois provinces avec la pratique au niveau fédéral? Qu'est-ce qui est le plus efficace?

    C'est une très bonne question. Je me la suis posée moi-même, mais nous ne l'avons pas étudiée. C'est un sujet très difficile. J'ai réfléchi à la façon d'organiser une étude qui mesurerait l'efficacité de la loi, par exemple, en fonction du degré d'observance des entreprises. Dans une future étude, on pourrait observer des sociétés assujetties à législation de l'Alberta, de la Colombie-Britannique et du Québec, pour les comparer au régime fédéral. Il faudrait disposer d'un échantillon suffisamment important pour obtenir un résultat significatif.

    Je trouve vos recommandations excellentes, en particulier en ce qui concerne le consentement. Vous avez beaucoup à nous apprendre.

    En ce qui concerne l'obligation de signaler les infractions, votre étude signale que depuis moins d'un an — en fait, depuis février dernier — les renseignements personnels de 50 millions d'Américains ont été compromis. Pouvez-vous préciser pour nous le genre d'avis qu'il faudrait donner aux victimes de ces infractions?

    Vous demandez des détails sur la façon dont l'avis devrait être donné ou sur ce qu'il devrait contenir.

    Oui. J'ai remarqué que vous ne préconisez pas l'envoi de lettres recommandées ni des appels téléphoniques individuels. Vous parlez simplement d'envois collectifs par courrier électronique...

    Oui; ce que nous demandons — et j'aimerais aussi que les autres en parlent — c'est qu'un avis soit donné par courrier électronique ou, le cas échéant, par d'autres moyens. Il faut prévoir une certaine souplesse pour les organismes, mais nous considérons qu'il s'agit là de frais commerciaux légitimes qui auront un effet incitatif sur les entreprises.

    Pensez-vous que l'avis devrait être envoyé par courrier recommandé, pour plus de sûreté?

    C'est une bonne question. Nous n'avons pas proposé spécifiquement le courrier recommandé, mais c'est une formule qu'on peut envisager.

    Il y aurait évidemment un problème dans le cas des pertes très importantes. La loi californienne permet, dans une telle éventualité, la diffusion de l'avis dans un journal à grand tirage...

    Ce qui n'est pas bien satisfaisant.

    Ce n'est peut-être pas très satisfaisant, mais c'est sans doute la seule façon de procéder pour rejoindre un demi-million de personnes.

    Pensez-vous qu'on devrait définir les modalités de l'avis dans chaque cas, en collaboration avec le Commissariat à la protection de la vie privée?

    Je vais donner uniquement le point de vue du CDIP.

    Nous souhaitons que la commissaire à la protection de la vie privée soit informée dès que possible de toute infraction, et qu'elle en avise la société en cause, mais nous ne souhaitons pas qu'elle puisse décider discrétionnairement s'il faut ou non obliger la société à en informer les victimes. Les entreprises privées sont toujours réticentes...

    Mais votre recommandation...

    Merci.

    En sept minutes, vous avez dû poser une dizaine de questions et obtenir autant de réponses. Je vous en félicite.

    Nous passons maintenant à M. Laforest.

    Bonjour à vous tous.

    Depuis le début des témoignages, certains sujets reviennent souvent, notamment la question du consentement ainsi que celle du pouvoir d'ordonnance.

    En ce qui a trait au pouvoir d'ordonnance, Mme Lawson a dit tout à l'heure que la loi en Alberta pourrait être un modèle. Lorsqu'on lui a posé la question, la commissaire a répondu que cela fonctionnait bien en Alberta et en Colombie-Britannique, mais qu'il n'était pas nécessaire d'ajouter, dans la loi fédérale, que le commissaire ait un pouvoir d'ordonnance. Pourtant, on a entendu plusieurs témoins nous dire que ce serait important, que cela permettrait de rendre la loi plus sévère et que cela donnerait plus de pouvoir à la personne qui la fait respecter.

    Donc, on entend deux versions contradictoires. La version de votre groupe penche un peu plus vers les intérêts publics de la base. Comment pouvez-vous nous aider à nous démêler cela?

    Pour commencer, selon notre expérience, il y a eu des organismes qui n'ont pas vraiment suivi les recommandations de la commissaire. Dans ces cas, en particulier si on ne connaît pas le nom de l'organisme, les consommateurs voudront régler le problème eux-mêmes, en ne faisant plus affaire avec la compagnie ou avec qui que ce soit.

    Il faut également mentionner que dans les provinces, par exemple en Colombie-Britannique, on n'émet pas chaque fois une ordonnance. On a ce pouvoir pour convaincre les compagnies qui sont un peu réticentes à faire des changements dans leurs pratiques. Je pense que cela fonctionne bien.

    C'est plus efficace.

    M. John Lawford: Oui.

    M. Jean-Yves Laforest: Quelqu'un a-t-il d'autres commentaires à formuler?

    Oui.

    J'ajouterais que nous comprenons mal pourquoi on est si réticent à adopter un pouvoir d'ordonnance au niveau fédéral, alors qu'il semble donner d'excellents résultats dans les trois provinces, y compris au Québec, et non pas uniquement en Colombie-Britannique et en Alberta.

    Nous avons parlé des modèles de la Colombie-Britannique et de l'Alberta parce qu'ils s'inspirent, à trois ans d'intervalle, de la LPRPDE. Ces deux provinces ont eu l'avantage de pouvoir observer les résultats de la législation fédérale et d'apporter les améliorations nécessaires, ce qui n'a pas été le cas du Québec, parce qu'il a été le premier à passer à l'action.

    J'ai du mal à comprendre l'opposition suscitée par les pouvoirs d'ordonnance, car à mon avis, ils constituent un outil supplémentaire entre les mains des commissaires provinciaux à la protection de la vie privée.

    En ce qui concerne le consentement des personnes au sujet desquelles on divulgue des informations, un témoin nous a dit que ce n'était pas nécessairement un problème relatif à la connaissance, mais que c'était plutôt une question reliée au fait que... C'est comme si les renseignements ou les règles n'étaient pas clairs. Je dirais que c'est davantage une question de mieux faire comprendre les règles.

     Êtes-vous d'accord là-dessus, à savoir que c'est plus une question de compréhension globale que de connaissance? Avez-vous soulevé le problème du consentement qui devrait être plus explicite?

    J'aimerais obtenir une précision. Est-ce que vous parlez de la façon dont les entreprises comprennent leurs obligations aux termes de la loi, ou de la façon dont les consommateurs comprennent la façon d'agir des entreprises?

    Je parle des consommateurs.

    Vous parlez des consommateurs.

    Comme John, je dirais que l'intention du législateur est d'exiger un consentement éclairé, c'est-à-dire que chacun doit savoir parfaitement comment ses renseignements personnels sont utilisés par l'entreprise. Ce n'est pas énoncé assez explicitement dans la loi, du moins pour ce qui est des obligations des organismes et de leurs politiques de respect de la vie privée des consommateurs. Les entreprises devraient le dire de façon beaucoup plus précise, et la loi devrait leur adresser un message plus explicite.

    C'est un peu comme si on utilisait un langage trop juridique pour informer les consommateurs. Ce n'est pas qu'ils manquent d'information, c'est plutôt que l'information est difficilement compréhensible.

    En effet.

    Nous avons fait des essais de lisibilité scientifique sur les 61, je pense, politiques sur la protection des renseignements personnels que nous avions. Dans tous les cas, le résultat était de beaucoup supérieur à la moyenne. Dans l'ensemble, ils étaient largement supérieurs à la moyenne. Je n'ai pas les résultats avec moi, mais nous avons effectué huit ou dix essais de lisibilité et toutes ces politiques se situaient à des niveaux de compréhension supérieurs à la 13^e année, bien au-delà du niveau moyen d'anglais.

    Dans la plupart des cas, ces entreprises ne communiquent pas dans un langage clair. Or, la loi les oblige à le faire. La loi dit que la politique doit être généralement compréhensible, qu'il doit être raisonnablement facile pour les gens de comprendre ce qu'on fait de leur information personnelle. Nous avons fait passer ce test à des étudiants en droit et — je pourrais vous donner les pourcentages — la vaste majorité des étudiants en droit ne comprenaient pas les textes.

    Je suis désolé, il ne reste plus de temps.

    Je demanderais à nos témoins de réfléchir à ce que je vais dire, puis je donnerai la parole à M. Tilson.

    Chacun d'entre vous a recommandé un pouvoir d'ordonnance. Le commissaire de la Colombie-Britannique a comparu et il nous a dit qu'il a ce pouvoir d'ordonnance mais qu'il l'utilise rarement et — si j'ai bien compris son témoignage — il comprend que l'actuelle commissaire à la protection de la vie privée ne veuille pas de ce pouvoir d'ordonnance. L'actuelle commissaire qui auparavant était commissaire à la protection de la vie privée au Québec et qui avait alors le pouvoir d'ordonnance, dit qu'elle n'en veut pas. Je trouve cela curieux, étant donné vos recommandations unanimes.

    Je ne vous demande pas de répondre, je vous demande de réfléchir à cela pendant les prochaines questions.

    Monsieur Tilson.

    Merci, monsieur le président.

    J'aimerais vous poser la même question sur les petites entreprises que j'ai posée à la plupart des témoins qui ont comparu devant nous. Je leur ai demandé si la LPRPDE répond bien aux besoins des petites entreprises. Chez moi, il y a une entreprise en particulier, un nettoyeur à sec, mais ce pourrait tout aussi bien être une petite entreprise de vente par correspondance à domicile. Il pourrait y avoir une ou deux personnes. Il y en a plusieurs comme cela dans notre région. La plupart d'entre vous ont parlé de la personne responsable de la protection des renseignements personnels pour une entreprise. Les personnes dont je parle, n'auraient jamais le moyen de faire tout cela. Ont-elles même les moyens de répondre à certaines des questions que vous soulevez ou même aux exigences de la LPRPDE?

    Ma question devient un peu longue. J'ai commencé par demander aux groupes, et en fait, à la commissaire elle-même, si on tient compte des petites entreprises? Leur réponse a été pratiquement unanime: « Non, nous pourrions en faire beaucoup plus, ou quelque chose d'aussi vague ».

    J'aimerais que les trois groupes répondent à cette question.

    Merci.

    C'est une bonne question. Je pense effectivement qu'on pourrait en faire davantage pour informer les petites entreprises de leurs obligations en vertu de la LPRPDE. Je pense qu'elles ont l'impression que ces obligations sont beaucoup plus lourdes qu'elles ne le sont en réalité. La LPRPDE n'exige pas qu'une entreprise ait une personne chargée de la protection de la vie privée. S'il y a un seul propriétaire, comme dans le cas d'une petite entreprise, la personne chargée de la protection de la vie privée est celle qui dirige l'entreprise.

    Monsieur le président, je comprends cela, sauf que vous parlez tous du consentement ou de la divulgation des infractions à la loi. Ils n'auront pas la moindre idée de quoi vous parlez.

    Et ils n'auront probablement jamais à s'en soucier. Ce que nous disons vise essentiellement les entreprises qui font le commerce des renseignements personnels.

    Je doute de la justesse de ce que vous dites. Quand c'est un petit détaillant qui note les détails de votre carte de crédit, il dit toujours : « Oh, pourriez-vous me donner aussi votre numéro de téléphone, s'il vous plaît? » ou encore « Est-ce que je pourrais avoir votre code postal? » Tous le font. Et où vont ces renseignements? Nous savons tous où ils vont.

    C'est bien la question. Pourquoi demandent-ils ces renseignements? Leur sont-ils véritablement nécessaires? Si, une fois qu'ils procèdent ainsi...

    C'est pour cela que je pose la question. Vous dites que la Loi sur la protection des renseignements personnels et les documents électroniques ne va pas affecter ces personnes. Eh bien, d'après votre réponse, je dirais que si.

    Pourrais-je répondre?

    Dans la mesure où cela affecte les plus petites entreprises, nous pensons simplement que c'est une bonne chose pour les affaires, parce que, si un client découvre après coup qu'on a perdu des renseignements personnels à son sujet et que cela s'est traduit par un vol d'identité, cette entreprise sera catastrophée et perdrait de la clientèle à long terme. Nous pensons qu'il est bon de leur mettre le problème sous les yeux, pour, comme l'a dit Philippa, vous inciter à faire un peu le point sur leurs pratiques de traitement des données et à mettre ces renseignements sous clé. Ils envisageront peut-être d'utiliser un programme de chiffrage élémentaire. Même en sachant de quels renseignements il s'agit, ce n'est pas si difficile.

    Vous savez, monsieur, je comprends ce que vous dites. N'empêche que je me souviens être allé chez mon nettoyeur à sec du quartier et d'avoir entendu parler de la LPRPDE. À l'entendre, c'était un désastre, pour lui. Il sait que le gouvernement fédéral a certaines exigences; tous les gens le savent.

    Je ne vais pas m'attarder outre-mesure. Je voulais simplement remarquer au passage que nous parlons des grosses entreprises ou des gros télévendeurs, sans mentionner les propriétaires de petites affaires. C'est ce que j'essaie de tirer de tous les témoins: leurs recommandations pour informer les propriétaires de petites affaires. Sans oublier que les petits propriétaires peuvent eux aussi contrevenir à la loi.

    Je comprends votre frustration. Ne nous leurrons pas. Le propriétaire d'un petit dépanneur n'affichera pas nécessairement une politique de protection des renseignements personnels et ne respectera sans doute pas toutes les exigences de la loi. J'espère toutefois que les diverses associations professionnelles viendraient en aide à ces propriétaires de petites entreprises.

    Je ne sais pas ce qu'a fait pour ses membres la Fédération canadienne de l'entreprise indépendante, mais notre association a produit un livret pour la protection des renseignements personnels. Et n'oubliez pas que notre association représente non seulement de grosses sociétés mais aussi des propriétaires uniques, des animateurs de groupes de consultation thématiques et de petits entrepreneurs. Leur association professionnelle met à leur disposition une trousse d'outils complète qui leur facilitera grandement le respect de la loi sans dépenses juridiques majeures. J'aimerais à penser que les autres associations professionnelles canadiennes sont nombreuses à fournir une certaine aide aux petites entreprises qu'elles comptent parmi leurs membres.

    La plupart des Canadiens, à mon avis, n'ont pas la moindre idée de leurs droits en matière de protection des renseignements personnels. À écouter les témoins, ils sont nombreux à être du même avis. La commissaire à la protection de la vie privée a dit qu'il fallait sensibiliser les gens, ce qui est une philosophie intéressante. Il nous faut consacrer plus de temps à informer la population en général de ses droits.

    La commissaire à la protection de la vie privée dispose d'un budget de plus de 16 millions de dollars. Ce n'est pas rien. Je me demande qui devrait informer la population. Le gouvernement, la commissaire à la protection de la vie privée ou des entreprises?

    Je crois que, d'après la loi, l'information du public figure dans le mandat du commissaire à la protection de la vie privée. On trouve d'ailleurs quelques lignes directrices sur le site Web du commissariat. Mais je ne sais pas quels sont leurs plans de sensibilisation à l'avenir. Je crois que le dernier rapport indiquait que quelque chose allait être mis en place. Je pense qu'on peut leur faire confiance pour cela. Mais je suis heureux qu'on ait suggéré d'autres façons de faire entendre le message. Du point de vue des organisations de défense du consommateur, nous ne demandons pas mieux que de collaborer avec les associations professionnelles à cet effet.

    Vous pensez donc que ce devrait être une action de concert avec des associations professionnelles et du commissaire? Comment les associations professionnelles s'y prendraient-elles?

    Eh bien, je vais m'aventurer un peu au hasard ici, mais je sais que la commissaire à la protection de la vie privée s'entretient avec des associations professionnelles assez régulièrement. C'est quelque chose qui pourrait certainement être abordé dans le cadre de leurs discussions. Elle serait heureuse de participer, également, dans la mesure du possible.

    Merci, monsieur Tilson.

    Nous commençons les séries de questions et réponses de cinq minutes, avec moi.

    Madame Lawson, vous avez dit que la loi existait depuis cinq ans environ. Dans ce cas, pourquoi tout le monde ne la respecte-t-il pas? D'après ce que nous avons entendu, me semble-t-il, cela fait deux ans seulement qu'elle existe pleinement. Depuis le 1^er janvier 2004, n'est-ce pas? Alors pourquoi parlez-vous de cinq ans et vous, messieurs, me semble-t-il, de six ans?

    C'est six ans.

    La loi est entrée en vigueur le 1^er janvier 2001, et tout le monde était alors au courant. Les entreprises obéissant aux lois provinciales disposaient d'une période de grâce de trois ans, pour simplifier, avant que la loi ne s'applique à elles. Elles ont donc disposé de ces trois premières années pour réfléchir à la loi, s'informer et se préparer à l'appliquer; depuis, deux autres années se sont écoulées, durant lesquelles les entreprises tombaient sous le coup de la loi. Il y a donc une distinction pour certaines entreprises entre l'entrée en vigueur de la loi et le moment où elle a commencé à s'appliquer à elles.

    Je crois que c'est l'Association canadienne du marketing qui a dit que, pour elle, la loi était entrée en vigueur le 1^er janvier 2004. Je pense que c'est ce qu'on nous a dit.

    C'est inexact. Pour bien des membres de l'Association canadienne du marketing, la loi est en vigueur depuis 2001. Pour certains de leurs membres, elle est seulement en vigueur depuis le 1^er janvier 2004, mais la loi existe depuis 2001, et tous en avaient conscience.

    Entendu.

    Monsieur Lawford, vous avez dit qu'il faudrait publier les noms des répondants.

    Oui.

    Faudrait-il publier aussi le nom des personnes ayant fait des demandes, quand ces demandes ont été jugées futiles ou quand elles demandent des renseignements pour une raison non valable, de manière non valide, selon la commissaire à la protection de la vie privée, et quand cela coûte à la société beaucoup d'argent?

    Non, nous ne le croyons pas.

    Pourquoi?

    La protection des renseignements personnels est intrinsèquement liée à la personne, si bien que la divulgation de son nom en ferait une victime. C'est une situation spéciale en ce sens, et nous le reconnaissons tous, parce qu'il s'agit de la protection de renseignements personnels.

    Même si la demande est frivole et vexatoire?

    Oui, même si la demande est frivole et vexatoire, parce que nous estimons que ce type de demandes est rare et que, dans des situations comme celle-là...

    Peut-être, effectivement.

    ... la société dispose encore de recours judiciaires, si elle estime être attaquée de façon injuste.

    Entendu.

    Pendant qu'on parle de la publication des noms, si vous estimez qu'un commissaire à la vie privée donné — je ne parle pas de la commissaire actuelle mais d'un commissaire donné — hésite à utiliser ce dont il dispose, notamment l'article 20, qu'est-ce qui vous amène à penser qu'il aurait moins d'hésitation à avoir recours à des ordonnances?

    C'est une bonne question. Mettons que l'organisme fasse l'objet d'enquête allant plus loin qu'une simple médiation, mettons que ce soit un organisme récalcitrant, il y aura forcément des situations où le commissaire à la protection de la vie privée n'obtiendra pas de réponse de la société, alors qu'il y a un problème flagrant, dans ces cas-là, le commissaire à la vie privée voudra une ordonnance. En cas d'infractions à répétition, je pense qu'alors le commissaire à la vie privée jugera important de pouvoir imposer sa loi, si je peux me permettre de m'exprimer ainsi, à quelqu'un qui a fait fi des deux dernières conclusions. C'est dans ces situations qu'interviendront des ordonnances.

    Enfin, vu qu'on a cité entre zéro et un nom, comment pouvons-nous savoir si les entreprises tiennent ou non compte du commissaire à la protection de la vie privée?

    En lisant de très près les conclusions plutôt cryptiques — nous en avons plusieurs exemples dans notre rapport —, nous avons conclu que, dans trois cas au moins, il s'agissait d'infractions à répétition de la même banque, parce que le commissaire a alors indiqué que c'était la même banque que dans la conclusion numéro x. Je peux vous donner la référence exacte, si vous me laissez un moment pour la trouver.

    Non, c'était juste par curiosité. Si tout est tellement secret, comment sait-on que des gens vont spécifiquement à l'encontre du commissaire à la protection de la vie privée?

    Peut-être y en a-t-il plus que trois? Mais nous en avons trouvé trois.

    Mais vous pensez que c'est une banque ou vous savez que c'est une banque?

    J'ai deux cas où il s'agit de banques.

    Entendu.

    Il y a un cas où nous avons déposé une plainte à l'encontre d'une société, pour la troisième fois. On s'était plaint de cette société deux fois par le passé et c'est quelque chose que vous seriez en mesure de déterminer.

    Je vois. Entendu, merci beaucoup.

    Nous passons maintenant à M. Wallace.

    Merci, monsieur le président.

    Et merci à nos témoins d'être venus cet après-midi. J'aurais une ou deux questions à poser, durant les cinq minutes dont je dispose.

    Il y en a une que je vais poser tout de suite; elle porte sur la politique s'appliquant à Internet au Canada. Votre 11^e recommandation est d'éliminer l'exigence de « motifs raisonnables » pour une vérification. Peut-on alors procéder à des vérifications pour des motifs déraisonnables? Qu'entendez-vous par votre recommandation? En tant qu'avocat, j'imagine que vous devriez être en mesure de répondre à cette question.

    Je ne sais pas pourquoi vous n'estimez pas nécessaire d'avoir des motifs raisonnables avant d'entamer des vérifications.

    Eh bien, je crois que c'est une bonne chose que d'avoir des motifs raisonnables. En revanche, les vérifications ponctuelles ont également leur place. Si la commissaire a les ressources pour le faire, elle pourrait procéder à des contrôles aléatoires, et n'enquêterait pas forcément sur une entreprise qui a fait l'objet de plusieurs plaintes.

    De plus... la commissaire est poursuivie à l'heure actuelle par Equifax car elle n'aurait pas présenté de motifs raisonnables lors d'une vérification, alors qu'il y aurait eu déjà quatre plaintes et une enquête préliminaire. De donner suite à ce type de litige me semble une perte incroyable de ressources, puisque la commissaire à la vie privée a très peu de chances d'entamer ce type de vérification sans motifs raisonnables.

    Très bien. Je suis d'accord avec vous lorsque vous dites que la commissaire a de bonnes chances d'avoir des motifs raisonnables avant de faire une vérification. Vous indiquez que vous estimez, ou que votre organisation croit, qu'il faudrait faire des vérifications ponctuelles. N'êtes-vous pourtant pas d'accord que les contribuables devront verser plus d'argent pour ce faire?

    Je n'en suis pas convaincue. Ils reçoivent à l'heure actuelle 16 millions de dollars. Cette somme n'est pas négligeable. Je ne peux pas me prononcer sur comment on pourrait utiliser ces fonds.

    D'accord.

    J'aimerais revenir à cette question du consentement... non, je préférerais parler d'abord de la divulgation des noms, car ça me préoccupe.

    Je ne comprends pas pourquoi cela pose problème, si la commissaire peut régler la question sans divulguer les noms. L'objectif n'est-il pas de tenter de protéger la vie privée des gens, de tenter de ne pas les gêner car ils se sont gourés?

    Bon nombre de plaintes constituent des différends entre une personne et une entreprise. On traite ces dossiers grâce à la médiation, on résout le litige, et on n'a pas forcément besoin de publier le nom des personnes concernées.

    Mais il existe encore plus de plaintes, notamment celles de la CIPPIC auprès de la commissaire à la vie privée, qui portent sur les pratiques et les politiques des entreprises qui, puisqu'elles sont répandues, ont des incidences sur des milliers de consommateurs en même temps. Il ne s'agit pas d'un litige que l'on peut régler par la médiation. Dans ce cas, bon nombre d'entreprises violent ouvertement la loi et croient qu'elles ont le droit de le faire. Nous croyons qu'il faudrait résoudre publiquement ce problème.

    Est-ce que vous croyez qu'on devrait annoncer leurs noms avant qu'ils soient reconnus coupables — et j'utilise ce mot approximatif — d'avoir enfreint la loi?

    Non. Je crois que la divulgation du nom de la société devrait être faite suite au jugement.

    J'aimerais vous poser une autre question sur l'éducation. Il y a eu quelques questions controversées... et je suis en fait d'accord avec certaines des questions qu'a posées M. Wappel. Il m'en a volées quelques-unes.

    En ce qui concerne l'éducation, certains groupes nous ont dit que cela avait été mis sur pied depuis 2001, pour que l'on puisse s'y préparer, et que ça entrait en vigueur en 2004. Seriez-vous d'accord pour dire que le gouvernement ou la commission n'ont pas fait un bon travail pour informer les personnes sur ce qui devrait être fait? Ils sont venus nous voir au cours des discussions budgétaires. Une partie des fonds additionnels qu'ils souhaitent devraient être versés à l'éducation.

    Je vais être franc. J'ai travaillé 13 ans au conseil municipal et, depuis que j'ai terminé l'université, cela fait 20 ans environ que je travaille dans le milieu des affaires. Depuis que je suis ici, c'est la toute première fois que j'en entends parler.

    Est-ce que quelqu'un voudrait répondre à cette question?

    Je suis d'accord avec vous. Du point de vue du consommateur, je ne crois pas qu'on ait fait assez de sensibilisation ou d'éducation.

    Alors vous ne croyez pas qu'il soit prématuré d'effectuer ces grandes...?

    Je vais être franc. J'écoute d'abord ce que la commissaire veut faire, car son bureau traite de cette question quotidiennement. En ce qui concerne notamment le pouvoir de rendre des ordonnances, j'ai du mal à me dire que cette personne qui traite de la chose quotidiennement dit que nous avons besoin de plus de temps pour voir ce qui va se passer. Vous, de votre côté, vous fournissiez évidemment des exemples de choses qui arrivent. Pour ma part, j'ai besoin de raisons convaincantes pour expliquer pourquoi la personne qui traite de la chose quotidiennement ne me fournit pas la bonne réponse.

    Ces deux cas ne sont pas incompatibles. Au cours des quatre ou cinq dernières années, nous avons vu des entreprises qui n'allaient jamais céder. Elles continueront à utiliser les mêmes pratiques. Il est néanmoins vrai qu'il reste encore beaucoup d'éducation à faire, surtout chez les consommateurs, pour qu'on les informe de leurs droits, et chez les entreprises, pour leur parler de responsabilités et de leur mise oeuvre. Ces deux choses ne sont pas incompatibles.

    Merci, monsieur Wallace.

    Madame Lavallée.

    Dans un premier temps, j'aimerais en finir avec la question que mon collègue a posée plus tôt, puis je passerai à mes questions par la suite.

    La loi ne devrait-elle pas prévoir un formulaire explicite de consentement?

    Au Centre pour la défense de l’intérêt public, CDIP, nous avons suggéré une formule qui se trouve déjà dans la loi au Québec. Les décisions des cours vont vraiment dans le même sens, mais ce n'est pas explicite.

    On appuie donc un tel amendement.

    D'accord, parfait. Merci.

    Mon autre question concerne la publication des noms des entreprises que je qualifierais de délinquantes. D'une part, on le voit, le débat s'est beaucoup orienté vers le fait que les consommateurs manquent d'information sur la protection de leurs renseignements personnels. On a toujours l'impression qu'ils seront protégés ou, au contraire, il y a parfois des gens qui sont un peu plus paranoïaques et qui sont certains que tout le monde distribue leurs informations personnelles.

    D'un autre côté, quand des entreprises sont délinquantes, on ne divulgue pas leur nom. Personnellement, j'ai vraiment de la difficulté à comprendre cet état de fait. Je ne connais pas d'autre loi qui fait en sorte que les noms des délinquants ne soient pas rendus publics, à part lorsqu'on parle de pédophilie. Je ne comprends pas cela.

    En plus, vous venez de dire qu'il ne fallait pas divulguer le nom des entreprises délinquantes. Pourtant, un organisme comme le vôtre semble vouloir défendre les consommateurs.

    Il y a peut-être quelque chose que j'ai mal compris. Pouvez-vous clarifier cet aspect?

    Je pense qu'on a dit exactement le contraire. On a plutôt dit qu'il fallait absolument publier au moins le nom des compagnies délinquantes, de même que celui des gens responsables. Pour ce qui est des autres décisions de la commissaire, les noms des compagnies doivent aussi être divulgués, si c'est approprié.

    Cela fait de nombreuses années que le Centre pour la défense de l'intérêt public et la CIPPIC demandent à ce que l'on divulgue le nom à des entreprises jugées délinquantes en vertu de la loi.

    Comment se fait-il que dans cette loi, les entreprises ont eu un tel privilège de pouvoir taire leur nom? Connaissez-vous d'autres lois semblables à celle-là?

    La Loi sur la concurrence est similaire.

    La Loi sur la concurrence.

    Je suis tellement étonnée de cela. Je suis aussi étonnée de voir que d'autres groupes, d'autres témoins sont venus ici... On pourrait peut-être avoir l'opinion des gens qui sont assis à côté de vous.

    Pensez-vous qu'on ne devrait pas publier allègrement les noms des entreprises délinquantes?

    Je crois qu'il faudrait publier le nom des entreprises qui abusent et violent les droits de protection des renseignements personnels de manière flagrante. On ne peut qu'espérer que la publication de leurs noms leur fera honte au point où ils se sentiront obligés de se conformer à la loi. Leur histoire serait médiatisée. Cela revient à une question posée auparavant: comment peut-on augmenter la sensibilisation et améliorer l'éducation des consommateurs?

    Si les gens peuvent se cacher derrière le couvert de l'anonymat, alors, bien sûr, les consommateurs ne vont pas comprendre la loi ni leurs droits en matière de protection de renseignements personnels. Ce serait donc une façon de leur faire voir leurs droits. Nommons les noms. Ne traitons pas les organisations délinquantes avec des gants blancs.

    J'aimerais ajouter que nous n'interprétons pas la loi de la même façon que la commissaire. Nous croyons qu'il est de l'intérêt public de publier ces noms. C'est simplement une différence d'opinion.

    Monsieur le président, est-ce qu'il me reste du temps?

    Il vous reste 10 secondes.

    Je vous remercie beaucoup et je m'excuse de mon retard, qui était bien involontaire.

    Merci.

    Monsieur Van Kesteren.

    Merci, monsieur le président.

    Merci à tous d'être venus.

    Je reviens à ce que disait M. Tilson. Je dois vous dire que je suis un peu nerveux. Lorsque la commissaire à la protection de la vie privée a comparu, j'ai formulé des observations qui ressemblaient à celles émises par M. Tilson, soit que nous sommes en train de créer une couche additionnelle de bureaucratie.

    J'aimerais vous donner un exemple. Avant, j'étais concessionnaire d'automobiles. Je voulais devenir avocat, puis je suis concessionnaire d'automobiles, et me voilà maintenant homme politique. Vous pouvez voir la régression dans ma vie — à toutes les étapes. Quand cela a été mis sur pied, et quand j'en parlais avec mes collègues, nous étions tous un peu terrifiés. Par exemple, mon personnel se composait de vendeurs. Nous recueillons des renseignements. Ainsi, si nous vendions une voiture et que quelqu'un d'autre disait qu'il s'agissait de son client, nous avions des preuves grâce aux documents recueillis. Ce processus est devenu une source d'inquiétude pour le concessionnaire. Comme l'a mentionné M. Tilson, une concession de taille importante pouvait s'en occuper, mais une plus petite concession devait embaucher quelqu'un.

    Ça m'inquiète un peu. Je peux peut-être utiliser l'analogie de jeter le bébé avec l'eau du bain. D'un côté, j'entends des préoccupations légitimes, et de l'autre, je me dis, eh bien, si quelqu'un veut...

    Ma femme adore faire des sondages. Je ne comprends pas pourquoi, mais elle adore ça. Elle fait les sondages. Elle a assez de bon sens pour refuser lorsqu'on tente de lui vendre quelque chose au téléphone. Elle aime les coupons, je présume, et les autres choses qui s'y rattachent.

    Mais n'allons pas beaucoup trop loin pour quelque chose de si simple? Il s'agit tout simplement d'aviser le public et de leur dire: écoutez, j'espère que lorsque vous donnez ces renseignements, vous vous rendez compte que vous vous ouvrez à telle ou telle situation. Avons-nous besoin de créer une nouvelle loi?

    Suite à la comparution de la commissaire, j'ai compris que ce n'était pas le cas. On ne visait pas les petites entreprises qui n'avaient pas de mauvaise intention. Mais maintenant, je me dis bon Dieu, nous allons créer une toute nouvelle législation. Et ce sera précisément — et je crois que j'ai déjà utilisé l'expression — un règne de terreur. Une fois que ces lois seront adoptées, le gouvernement pourra commencer à persécuter les petites entreprises. Dans les faits, il n'y avait pas de mauvaise intention.

    Qu'en pensez-vous?

    Commençons par M. Lawford.

    Si, par exemple, les plus petites entreprises perdaient des renseignements personnels, je tiens pour acquis qu'elles seraient encore préoccupées pour leurs clients. C'est une des raisons par lesquelles nous avons fait une demande particulière, soit que si elles perdent l'information, elles devraient en aviser les personnes concernées.

    La plupart des petites entreprises n'utilisent pas les renseignements personnels de manière secondaire. Elles envoient peut-être de la publicité à leurs propres clients, mais elles ne prennent pas part à l'industrie du courtage en information. Je pense que ce que nous proposons aujourd'hui n'aura pas beaucoup plus d'incidence sur ces entreprises que ne l'a déjà la loi actuelle.

    Mais ne peuvent-ils pas s'imposer eux-mêmes des règles? Par exemple, l'industrie des assurances et des valeurs mobilières font sans doute beaucoup de...

    Absolument. Si les entreprises le font, il n'y aura pas de problème. La LPRPDE prend le code de pratique de l'industrie, qu'elle a conçu elle-même, et le transforme en loi, pour qu'on puisse attraper la minorité de personnes qui ne s'y conforment pas. Les bonnes personnes suivent leur code de pratique et font la bonne chose — ils utilisent leur bon sens, respectent la confidentialité de leurs clients et ne se retrouvent pas dans le pétrin. La loi est là pour attraper les autres personnes, les courtiers en renseignements qui font fi de la confidentialité des autres. C'est plutôt pour ça qu'on a besoin de cette loi.

    Je peux comprendre que cette loi peut sembler intimidante si vous ne la connaissez pas. En effet, il s'agit d'une nouvelle loi, et vous vous dites tout d'un coup, mon Dieu, je dois avoir une politique sur la confidentialité, je dois faire attention, garder tous mes dossiers dans des endroits verrouillés, etc. Mais je crois que lorsque vous lirez la loi, vous verrez qu'il s'agit en grande partie de questions de bon sens. De nos jours, les renseignements sont tellement facilement accessibles; on les échange, on les perd, on les partage; il y a de l'abus. Nous devons tout simplement nous assurer — et cette loi ne s'applique qu'aux activités commerciales, mais je crois qu'il faut faire très attention à d'autres activités également — que les ordinateurs sont munis de mots de passe ou que les données soient encryptées afin de protéger les renseignements.

    Vous devez vous assurer que si vous décidez d'avoir une utilisation secondaire des renseignements, par exemple dans le cas d'un concessionnaire d'automobiles... Il faut que je sache que vous avez mon dossier et que vous risquez de me contacter à l'avenir. Cela ne pose pas de problème si je suis votre client. Mais si vous voulez ensuite vendre ces renseignements à quelqu'un d'autre à d'autres fins, alors je veux avoir la possibilité de refuser. Je crois que je devrais avoir ce droit.

    C'est exactement ce que fait la LPRPDE. Elle me donne ce choix.

    C'est au tour de M. Peterson, puis ce sera à M. Keddy, ce qui terminera le deuxième tour.

    Madame Lawson, votre étude de 64 revendeurs en ligne indique qu'environ la moitié d'entre eux refilent des renseignements personnels à des tierces parties qui ne sont pas nécessairement des affiliés. L'étude indique que 78 p. 100 de ces personnes utilisent des méthodes de retrait du consentement. Pouvez-vous nous en parler davantage?

    Oui. Le retrait du consentement est tout à fait la norme dans l'industrie du marketing. Ce retrait est permis en vertu de la LPRPDE.

    Est-ce que vous pensez que nous devrions le permettre?

    C'est une excellente question. Mais je crois qu'on me l'a posée un peu plus tôt. On ne l'utilise pas toujours à juste titre. Le retrait du consentement peut être utilisé à bon escient si l'on accorde aux personnes un préavis raisonnable. Il faudrait leur dire directement, le porter à leur attention, efficacement...

    Nous allons vendre vos renseignements personnels à moins que vous nous dites de ne pas le faire.

    Je crois que de donner son consentement serait une meilleure approche, et les organisations devraient y avoir recours. Elles s'en tirent avec un consentement non éclairé et qui n'est pas valable, car elles ont souvent recours au retrait du consentement et elles ne le font pas correctement.

    La commissaire à la protection de la vie privée dit que vous n'avez pas à nommer des personnes, que la simple menace de divulguer leurs noms les obligera à se conformer à la loi. Qu'en pensez-vous?

    Ça ne semble pas fonctionner. Je crois que la menace du pouvoir de rendre des ordonnances pourrait aider. Mais les organisations voient une politique de non-divulgation et se disent qu'on ne les nommera pas.

    Est-ce que quelqu'un d'autre veut rajouter quelque chose? Non. Merci.

    Croyez-vous qu'il y ait des contraventions répandues de la LPRPDE?

    C'est la conclusion à laquelle nous sommes parvenus dans notre étude.

    C'est très intéressant. Nous allons vouloir en parler avec la commissaire à la protection de la vie privée et lui demander ce qu'il faudait faire.

    Combien coûterait une consultation judiciaire dans les cas où l'on a l'impression que la commissaire à la protection de la vie privée ne nous rendra pas justice?

    Nous pouvons vous parler d'un exemple détaillé, soit l'affaire Englander c. Telus. Dans cette affaire, M. Englander n'a pas obtenu gain de cause et la Cour fédérale lui a ordonné de payer 15 000 $ à Telus, et ces frais n'incluaient pas son temps. Il a dû en faire appel à la Cour fédérale d'appel, et a fini par se faire rembourser ses frais. J'imagine que cela lui a coûté également beaucoup de temps. Je ne sais pas combien de temps il a passé sur cette affaire, mais s'il est facturé 200 $ par heure, cela représenterait beaucoup d'argent. Il y a une autre affaire qui est expliqué dans notre rapport et qui traite d'une femme qui a dû abandonner son recours car c'était trop onéreux.

    Ce devrait être similaire à d'autres poursuites judiciaires, de l'ordre de milliers de dollars.

    Des dizaines de milliers.

    Des dizaines de milliers.

    Si je me plaignais et m'opposais au jugement de la commissaire à la protection de la vie privée et qu'elle avait le pouvoir de rendre des ordonnances, alors mon prochain recours serait d'aller à la Cour fédérale.

    Mais vous auriez une ordonnance.

    À l'heure actuelle il n'y a que la Cour fédérale qui puisse délivrer une ordonnance exécutoire.

    Merci.

    Merci, monsieur.

    Monsieur Keddy.

    Merci, monsieur le président.

    Bienvenue à tous nos témoins.

    Je ne siège pas habituellement au sein de ce comité, et de ce fait je n'étais pas au courant de la plupart des informations que vous nous avez présentées. Je vous remercie de les partager avec nous.

    Je ne comprends pas bien pourquoi nous n'agissons pas de façon plus proactive afin de régler un certain nombre de ces problèmes. Je pense que nous connaissons tous ici autour de cette table quelqu'un dont l'identité a été volée, et actuellement, les victimes de vol d'identité n'ont aucun recours possible.

    La façon dont les entreprises fonctionnent a changé; la façon dont les renseignements sont conservés a changé; et de ce fait, la façon dont nous traitons de tout cela doit changer afin de ne pas rester à la traîne.

    Je suis étonné du fait que lorsqu'il y a atteinte à la confidentialité des données, l'entreprise, si j'ai bien compris, n'a aucune obligation de communiquer à la personne intéressée le fait que ces renseignements personnels se trouvent peut-être entre les mains de quelqu'un qui a l'intention des les utiliser à des fins criminelles ou à d'autres fins. Est-ce exact? Très bien.

    Ce ne serait pas très compliqué de régler ce problème. Je ne dis pas qu'on peut corriger toutes les lacunes de la loi du jour au lendemain, mais je pense qu'on peut identifier certains des problèmes comme étant prioritaires et les corriger. Avez-vous essayé de faire cela?

    Tout à fait.

    D'ailleurs, le CDIP et la CIPPIC demandent depuis quelques années qu'il y ait une obligation d'aviser les intéressés en cas de violation de la sécurité des données. Il y a deux ans environ, nous avons publié un communiqué de presse à ce sujet qui a été envoyé à tous les députés, en espérant que des mesures soient prises.

    Le gouvernement de l'Ontario a inclus une obligation d'aviser les intéressés dans sa Loi sur la protection des renseignements personnels sur la santé. C'est la seule qui existe au Canada à l'heure actuelle. C'est une mesure évidente à prendre pour lutter contre le vol d'identité. Je suis tout à fait d'accord avec vous, c'est quelque chose qui peut se faire assez facilement.

    Nous allons publier un document de travail. Comme l'a fait remarquer l'honorable député, il y a un certain nombre d'éléments qui doivent être précisés. Quel serait le seuil, le déclencheur pour un avis? De quelle façon faudrait-il aviser les intéressés? Quand? Faudrait-il également aviser le commissaire à la protection de la vie privée? Qu'en est-il de la police, etc.?

    À mon avis, il faut de plus amples consultations à ce sujet. Je pense que tout le monde s'accorde à dire que c'est nécessaire.

    Je suis toujours étonné du fait que les politiques — du moins, celles du gouvernement précédent, et j'espère que nous remédierons à cela — adoptent des lois sans disposition de réexamen après trois, quatre ou cinq ans, ce qui nous permettrait de dresser un bilan et de voir si la loi a bien rempli ses fonctions, si elle a été efficace et si son application se fait bien ou non. C'est quelque chose à prendre en compte également.

    Je voudrais avoir des précisions sur les transferts de renseignements personnels lorsqu'il y a vente d'une entreprise. Si je suis le propriétaire d'une entreprise et que je possède un certain nombre de renseignements personnels — et je vais prendre ici l'exemple de M. Van Kesteren concernant la vente d'automobiles — j'aurais besoin d'une part importante de ces renseignements personnels concernant les clients, car ils pourraient revenir. Il y aurait donc de bonnes raisons pour que j'obtienne ces renseignements personnels.

    Cependant, c'est le client qui devrait avoir le dernier mot lorsqu'il s'agirait de vendre ou non cette liste de clients. Je ne sais pas comment la loi traite de cette question exactement actuellement.

    La LPRPDE ne couvre pas vraiment cette question du rachat d'entreprises. En revanche, les lois de Colombie-Britannique et de l'Alberta le font, alors je pense qu'il existe une lacune à cet endroit. Je pense que nous avons besoin de plus de précisions sur ce qu'une entité peut ou ne peut pas faire.

    Notre entreprise a corrigé cette lacune en incluant une disposition à cet effet dans notre politique en matière de renseignements personnels, disposition qui explique les conditions que nous imposerions à l'entreprise acheteuse en cas de rachat.

    Avons-nous besoin de plus de précision à ce sujet? Je ne remets pas en question le fait que des entreprises pourraient avoir à transférer des renseignements. La plupart des entreprises travaillent avec des renseignements et c'est ce qui lui leur permet de faire des bénéfices. Mais si ces renseignements sont utilisés à d'autres fins que ce pour quoi le client a donné son consentement, alors il faudrait automatiquement contacter le client et lui dire que l'information pourrait être utilisée de façon différente. Je suis choqué par le fait que cela ne se retrouve pas dans la loi.

    Tout à fait.

    Je suis choqué que ça ne soit pas inclus. Ça paraît pourtant...

    Un témoin: Si, c'est inclus.

    C'est peut-être couvert par la disposition selon laquelle s'il y a changement dans les raisons de l'utilisation, alors il faut en aviser les intéressés. Mais il n'y a pas encore eu d'action en justice se prévalant de cette argumentation.

    Pouvez-vous me donner des exemples concrets? Vous avez indiqué que les lois provinciales de Colombie-Britannique et de l'Alberta ont été adoptées après l'adoption des lois fédérales, ce qui a permis aux provinces d'examiner la loi fédérale et d'apporter des changements pour corriger les lacunes que l'on retrouve dans la loi fédérale. Pouvez-vous me donner des exemples précis de différences avec la loi fédérale?

    Les opérations commerciales sont un bon exemple. Nous attirons l'attention sur leur disposition en matière de consentement, car ils distinguent clairement trois types de consentement: le consentement explicite et direct, le consentement positif, qui est le consentement préférable et qui est la norme; puis il y a le concept de consentement implicite, lorsqu'on peut raisonnablement penser que la personne a donné son consentement, étant donné les faits et les circonstances, et qu'elle aurait donné son consentement si vous lui aviez demandé, et autre consentement de ce type; enfin, il existe le concept de consentement par défaut ou consentement négatif, lorsque vous avisez la personne intéressée et vous parlez du principe qu'il y a consentement à moins qu'elle décide de ne pas participer, et vous devez proposer à la personne l'option de non-participation. De cette façon, ces provinces ont pu structurer les critères s'appliquant à chaque type de consentement. Sur ce point, les lois provinciales sont beaucoup plus claires que la LPRPDE, même si je pense que l'intention de la loi fédérale était la même.

    Monsieur Keddy, votre temps de parole est écoulé.

    Nous en sommes au troisième tour de questions. Chers collègues, il est 17 h 05. Le comité directeur s'est réuni hier, et a élaboré, à l'unanimité, un rapport de plan de travail. Il serait bon que nous puissions discuter du rapport du comité directeur après cette séance et avant 17 h 30. Veuillez tenir compte de cela.

    À moins que le greffier ait une autre personne sur sa liste, il me semble que la seule personne qui souhaite s'exprimer pour ce troisième tour de question est M. Tilson.

    Allez-y monsieur Tilson.

    Comment savez-vous s'il y a atteinte?

    Atteinte à la loi, ou bien parlez-vous de...

    Atteinte à la loi. Nous avons discuté du fait que les entreprises, les sociétés et les personnes avaient l'obligation de déclarer toute atteinte. Mais que se passe-t-il si elles décident de ne pas le faire? Que se passe-t-il si elles ne déclarent rien?

    Dans ce cas-là, vous n'en sauriez rien.

    Actuellement, la loi est conçue de façon telle qu'il faut que des personnes portent plainte. Il y a eu un bon nombre de plaintes. La commissaire à la protection de la vie privée a certainement des chiffres à ce sujet dans son rapport annuel. Ce n'est pas idéal dans la mesure où si personne ne porte plainte, on ne peut pas savoir si c'est vrai.

    En gros, on attrape quand on peut.

    Oui.

    Monsieur, je pense que c'est pour cela qu'il faut permettre à des groupes tels que la CIPPIC et le CDIP d'effectuer leurs recherches afin de découvrir des cas importants de non-conformité et de porter plainte, car les atteintes à la confidentialité des données, de par leur nature, sont difficiles à déceler.

    Oui.

    On vous a posé un certain nombre de questions concernant le pouvoir de rendre des ordonnances. Proposez-vous que le commissaire à la protection de la vie privée ait des pouvoirs décisionnels ou proposez-vous la création d'un tribunal distinct?

    Nous proposons le modèle provincial que l'on retrouve en Colombie-Britannique, en Alberta et au Québec, qui confère ce pouvoir au commissaire plutôt qu'à un tribunal distinct. Nous pensons que la dernière solution serait trop encombrante.

    Quels seraient les coûts supplémentaires?

    Pour un tribunal?

    Non. Pour conférer ce pouvoir au commissaire. La commissaire actuelle a dit qu'elle n'en voulait pas.

    Et nous ne comprenons pas bien pourquoi.

    Nous en sommes à plus de 16 millions de dollars. C'est là où nous en sommes. Je me demande quelle sera la prochaine facture si l'on confère au commissaire un pouvoir décisionnel.

    Je ne vois pas la différence entre rédiger les conclusions et rédiger une ordonnance. C'est peut-être un peu plus long, ça coûte peut-être un peu plus cher, mais ils faisaient le travail de toute façon, alors aussi bien le faire de façon efficace.

    Nous entrons maintenant dans le coeur de la question — et nous l'avons mentionné brièvement — il y a une personne et une audience, je présume. Je ne sais pas de quelle façon tout cela se déroulerait. Peut-être avez-vous des idées de la façon dont cela se déroulerait. Il y aurait probablement une enquête puis une audience. J'imagine que la commissaire mènerait une enquête et formulerait un décret. Selon vous, s'agit-il de création de décrets? Si la commissaire découvre qu'il y a eu infraction, il devrait évidemment exister un processus par lequel une personne pourrait se défendre.

    Il s'agirait d'une amélioration à la situation actuelle; l'enquête a parfois été quelque peu partiale pour le plaignant ou encore l'entreprise. Nous aimerions que le processus soit un peu plus formel, et je ne crois pas que cela ferait grimper les coûts. Je crois que les modèles que l'on trouve en Colombie-Britannique et en Alberta ont démontré que l'on peut donner la chance à quelqu'un de présenter des arguments écrits, à tout le moins, et je ne suis pas certain s'il y a des arguments oraux également. Nous ne voulons pas judiciariser le processus à outrance, mais...

    Vous parlez d'une personne qui ne serait pas d'accord avec la décision rendue par un commissaire. Si je suis votre raisonnement, c'est parce qu'un certain nombre de personnes se sont tournées vers nous et nous ont dit que l'approche privilégiant un ombudsman est meilleure qu'une approche qui privilégie les ordonnances. C'est presque comme si on était à la fois juge et avocat.

    Est-ce que je peux répondre à cette question?

    Vous avez absolument raison. L'approche privilégiant l'ombudsman a beaucoup de mérite et nous ne disons pas qu'il faut s'en débarrasser. Nous disons qu'il faut continuer à privilégier cette approche et résoudre autant de conflits que possible par le truchement de la médiation et de solutions du genre. Mais il faut également avoir un pouvoir de rendre des ordonnances pour les questions qui ne permettent pas d'adopter l'approche actuelle et pour lesquelles il faut pouvoir rendre des ordonnances.

    Si elle disposait de ce pouvoir, on a indiqué qu'il y aurait probablement la possibilité d'interjeter appel devant une autre instance. Nous avons parlé des coûts liés à cela; je crois que vos estimations sont un peu optimistes, mais ça va.

    Vous êtes-vous demandé s'il y avait des questions pour lesquelles la commissaire...? Je pense, par exemple, au système judiciaire et aux causes entendues par la cour des petites créances qui ne peuvent pas faire l'objet d'un appel à moins que le montant ne soit supérieur à un certain chiffre. Est-il possible de classer les types d'infractions mineures dans des catégories afin que les décisions à cet égard ne puissent pas faire l'objet d'appel, d'une façon ou d'une autre?

    Je n'y avais jamais pensé.

    Nous n'y avons pas réfléchi en détail; mais prenons, par exemple, l'entreprise qui ne m'a pas répondu lorsque je lui ai demandé quels renseignements elle avait à mon sujet, qui n'a pas répondu dans les 30 ou 60 jours ou dans le délai prévu par la loi. Dans ce type de situations, il serait difficile d'interjeter appel, ce qui fait que ce serait adéquat. Mais j'aimerais y réfléchir davantage avant de formuler une réponse adéquate.

    Est-ce que je peux répondre à la question plus générale? Les modèles en Alberta et en Colombie-Britannique rendent les conclusions des commissaires finales. Ces conclusions ne peuvent pas faire l'objet d'un appel devant un tribunal.

    Jamais?

    Contrôle judiciaire.

    Il est toujours possible de demander un contrôle judiciaire. C'est toujours possible. Peut-être parlez-vous des demandes de contrôle judiciaire. Mais ce sont les modèles que nous proposons.

    Nous avons également suggéré d'adopter un processus simplifié. La Cour fédérale a, dans ses règles, des règles de procédures simplifiées. Je ne les ai pas étudiées pour voir à quel point elles sont efficaces, mais il est certain qu'un grand nombre de ces cas pourraient faire l'objet de témoignages écrits et de procédures simplifiées. Il faudrait structurer cette approche le plus efficacement possible, afin que ça coûte le moins cher possible pour chacun.

    Monsieur Keddy.

    Merci, monsieur le président.

    Je voudrais reprendre où j'ai laissé lors du dernier tour de questions, et je voudrais parler des exemples de la Colombie-Britannique et de l'Alberta. Les deux provinces ont agit après la loi fédérale et ont la capacité de se tourner vers le passé et de voir la façon dont la loi a été appliquée. J'ai quelques inquiétudes, tout comme M. Tilson. Nous ne voulons pas créer une bureaucratie qui deviendrait une bureaucratie omnipotente en soi, qui rendrait la loi trop compliquée et qui forcerait les gens à se tourner vers les derniers recours pour ce qui et des conflits dans chaque cas. C'est quelque chose que je crains.

    En Colombie-Britannique et en Alberta, étant donné qu'ils ont eu l'avantage de pouvoir prendre du recul et la capacité d'examiner la loi telle qu'elle a été rédigée, le nombre de litiges a-t-il augmenté, diminué ou est-il demeuré le même? Le savons-nous?

    Je ne crois pas que nous ayons ces renseignements pour le moment.

    Il faudrait les demander. J'essaie de penser à des causes entendues par les tribunaux que je connais dans ces deux provinces. Il y en a peut-être, mais je ne suis pas...

    Si vous voulez des changements au niveau fédéral, c'est un renseignement que nous devrions vraiment avoir afin de voir comment c'est appliqué sur le terrain. C'est un des cas, du moins pour moi, où je voudrais voir si cela a fonctionné sur le terrain en Colombie-Britannique et en Alberta.

    Nous aimerions également beaucoup le savoir.

    Les deux provinces font actuellement l'objet d'un examen. La loi en Alberta fait actuellement l'objet d'un examen, et celle de la Colombie-Britannique sera bientôt examinée par le Parlement.

    Il y a ici une question qui porte sur le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique. Il a déclaré qu'il n'appuierait pas une obligation explicite d'aviser les intéressés semblable à celle qui existe aux États-Unis. Il préférerait attendre d'avoir des preuves révélant que la notification obligatoire est effectivement une façon rentable de réduire les risques associés, par exemple, au vol d'identité découlant d'une violation de la sécurité des données. Entre-temps, il faudrait mieux examiner l'obligation imposée aux organisations par la LPRPDE de prendre des mesures raisonnables pour protéger la sécurité des renseignements personnels contre toute utilisation non autorisée, travailler avec les organisations et leur donner des conseils à cet égard.

    Avez-vous des observations à ce sujet? D'où cela vient-il? Cela semble contraire à ce qu'il faut.

    Ça me semble inattendu, et nous croyons que cela pourrait inciter les gens à améliorer la sécurité, parce qu'ils auraient alors cet exigence.

    Je suis d'accord. Je me demande simplement d'où cela provient.

    Je crois que je sais d'où cela provient. Le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique a vécu une expérience avec une infraction en particulier liée aux données impliquant une organisation locale de santé mentale qui avait, dans ses dossiers, les conditions psychiatriques d'un grand nombre de personnes. Il y a eu des manquements. Quelque chose est arrivée et l'organisation ne savait pas qui avait obtenu les renseignements, alors ils ont cru bon d'aviser toutes les personnes en cause. Le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique était impliqué dans cette situation, et il y avait toutes sortes de questions difficiles auxquelles il fallait répondre. Les patients eux-mêmes seraient-ils traumatisés davantage en étant avisés? Comment seraient-ils avisés? Les détails du déroulement de toute l'affaire était très difficile à établir.

    Je crois que c'est cette expérience en particulier avec un organisme de santé mentale qui l'a amené à se demander si nous voulions nous jeter là-dedans. Bien entendu, je vous recommanderais de lui poser la question directement.

    J'aimerais vous poser une question à titre personnel — je m'excuse de ne pas connaître ce dossier très bien. Y a-t-il différents niveaux d'infraction, différents niveaux d'affaires? Par exemple, si je suis la Banque Canadienne Impériale de Commerce, il est évident que j'ai besoin du chiffrement des données et je dois mettre en oeuvre une série de mesures de protection afin de protéger vos renseignements personnels et les miens. Si je suis un livreur et que j'ai une adresse, un nom ou un numéro de téléphone, j'ai besoin d'un autre niveau de protection pour les renseignements de mes clients. La loi établit-elle une distinction claire?

    Ce n'est pas très clair, mais il y a un principe selon lequel il faut prendre des mesures physiques, organisationnelles et techniques qui sont adaptées à la sensibilité de l'information.

    Donc si l'on garde de l'information dans un cahier, il, faut en prendre soin et ne pas le perdre.

    Oui. Et si vous êtes une grande banque, il faut avoir recours au chiffrement des données et avoir du personnel de sécurité; je crois que la commissaire à la protection de la vie privée le reconnaît.

    Elle reconnaît qu'il existe une différence?

    Il y a différents niveaux.

    Je suis certain que tous mes collègues seraient...

    Monsieur Keddy, vos cinq minutes sont écoulées.

    Monsieur Van Kesteren

    Merci, monsieur le président.

    Grâce à M. Keddy, certaines de mes questions ont probablement obtenu un réponse. Je voudrais également reprendre où j'ai laissé.

    Je fais également partie du comité de l'industrie. Aujourd'hui, l'une des principales préoccupations de l'industrie concerne l'immense fardeau de la démocratie. Est-ce que nous sommes témoins de la naissance d'un cauchemar bureaucratique? C'est ma plus grande inquiétude.

    J'ai aussi entendu tous les témoins dire qu'ils avaient une solution et qu'elle pourrait certainement être mise en oeuvre. Mais si vous connaissez le fonctionnement du gouvernement, vous savez que les choses n'arrivent pas de cette façon. Les choses ont tendance à croître. Je me demande si tout ceci est nécessaire.

    Je lis certaines des autres suggestions également, et je ne sais pas si cette question a été soulevée. On a proposé le code de la CSA. Pouvez-vous formuler des observations à ce sujet? Ce code rendrait-il les choses plus faciles?

    Le code de la CSA est devenu la LPRPDE. En fait, la LPRPDE est le code de la CSA.

    Ainsi, ces normes sont utilisées?

    C'est exact. En fait, la LPRPDE ne fait qu'enchâsser dans une loi les bonnes pratiques d'affaires qui ont été reconnues par les entreprises.

    Quant à moi, je peux vous dire que lorsque nous avons formulé ces recommandations, je tenais compte du type d'inquiétude que vous soulevez à l'heure actuelle. La dernière chose que nous voulons faire, c'est créer davantage de bureaucratie et des dépenses additionnelles, mais nous voulons rendre ce processus plus efficace, de façon efficace. Nous avons tenté de créer les recommandations de façon à ne demander aucune dépense ou aucun effort additionnel de la part de quiconque. Ce sera certainement le cas de la commissaire à la protection de la vie privée; et nos recommandations exigeront des dépenses supplémentaires des entreprises privées qui ne sont actuellement pas à jour pour ce qui est de leurs pratiques de protection de la vie privée, mais qui devraient l'être.

    Je voudrais revenir au sujet dont nous discutions la dernière fois; la sensibilisation du public n'est-elle pas aussi une solution? Est-ce qu'il ne serait pas extrêmement simple de simplement informer le public que lorsqu'il se sert d'un ordinateur...? Nous le faisons constamment. Le gouvernement fait de la publicité. Une telle solution ne serait-elle pas tout aussi efficace?

    C'est une grande partie de la solution, mais simplement une partie. En examinant les cas que nous avons vus ces trois dernières années, on peut voir qu'une partie de la solution réside dans le fait de convaincre les entreprises de changer certaines pratiques d'affaires qui sont considérées comme des violations de la vie privée et que les entreprises n'ont pas changées.

    Mais une grande partie de la solution consisterait à informer les consommateurs des exigences de la loi.

    En général, ce qu'il faut, c'est de la transparence pure et simple. Il faut dire aux entreprises d'informer les consommateurs de ce qu'elle font. Elles ne doivent pas se cacher; elles doivent dire aux consommateurs qu'il y a eu une violation de la sécurité des données et que les consommateurs pourraient être sujets à un vol d'identité.

    Je crois que ce sont toutes des solutions logiques et toutes les entreprises ou presque qui y ont pensé le font déjà, ou le feraient dans ces circonstances.

    Merci.

    Monsieur Tilson.

    Revenons au pouvoir de rendre des ordonnances. Si je comprends bien, à l'heure actuelle, la seule capacité importante dont dispose la commissaire consiste à identifier une entreprise qui a commis une violation, ce qu'elle a fait à une seule reprise ou pas du tout, selon M. Lawford, je crois.

    Que se passe-t-il s'il y a vol d'identité en raison des activités d'une entreprise ou d'un individu et que l'on établit que le vol d'identité a été causé par la divulgation de renseignements confidentiels? Et lorsque vous parlez de pouvoir de rendre des ordonnances, avez-vous des suggestions quant à d'autres pénalités?

    Je pense particulièrement à un cas très grave où quelqu'un a volé l'identité d'une autre personne et que tout ce qu'on pouvait dire c'est : « C'est la compagnie qui a commis une violation ». C'est tout.

    En fait, nous avons recommandé que ce soit traité comme une infraction et qu'il y ait une pénalité qui y soit reliée.

    De quoi s'agirait-il?

    Je ne crois pas que nous ayons précisé la réalité de façon explicite. Il faut en discuter davantage, mais nous avons déjà dit qu'il devrait y avoir des sanctions.

    Selon notre neuvième recommandation, l'article portant sur les infractions devrait être élargi. Nous recommandons qu'il y ait des pénalités strictes pour ce qui est de la notification liée à la violation de la sécurité des données, au lieu d'avoir simplement des mesures injonctives, ce qui est approprié pour d'autres types de problèmes.

    Et vous croyez que ce serait approprié s'il n'y avait pas d'appel possible? Si je comprends bien, vous recommandez ce que nous trouvons dans les autres provinces, soit qu'il n'y ait aucune possibilité d'appel.

    Nous avons deux éléments différents ici. Nous parlons des ordonnances de la commissaire et des infractions. Les infractions font l'objet d'action en justice par les procureurs généraux.

    Excusez-moi, vous avez pris une autre orientation.

    Les infractions seraient traitées dans différentes catégories. Ce ne sont pas des ordonnances rendues par la commissaire.

    Très bien.

    Si nous décidons d'être d'accord avec vous, que nous décidons qu'il ne devrait pas y avoir de pouvoir de rendre des ordonnances et que nous continuons à appliquer le modèle de l'ombudsman, que faudrait-il faire pour améliorer la situation, le cas échéant?

    Les recommandations 3 à 11 dans notre présentation vous le diront.

    Je n'ai pas eu la chance de les lire.

    Je peux vous les lire rapidement.

    Ce serait utile.

    Nous disons simplement qu'on pourrait prendre bien des mesures qui amélioreraient la situation.

    Vous pouvez faire en sorte qu'il soit plus facile pour les particuliers d'avoir recours à la Cour fédérale, de demander une ordonnance exécutoire et réparation du préjudice subi. On devrait prévoir pour les particuliers des montants versées à titre de dépens qui pourraient être fixés par la Cour fédérale, à moins qu'ils ne se soient comportés de façon irresponsable. Ils devraient pouvoir obtenir remboursement des dépenses liées à l'avocat quand ils ont gain de cause. On devrait pouvoir obtenir des dommages punitifs, et non seulement des dommages compensatoires, quand c'est indiqué. Les violations de la vie privée entraînent rarement d'importants dommages intérêts compensatoires, mais je pense que nous convenons tous que ce genre de comportements doit être puni.

    On a déjà parlé de la publication des noms. Il est aussi important de permettre les recours collectifs. À l'heure actuelle, seuls les particuliers peuvent s'adresser à la Cour fédérale. Ils doivent d'abord obtenir une conclusion du commissaire avant de pouvoir aller en Cour fédérale. Toutefois, il s'agit souvent de manquements ou de violations de la loi qui touchent des milliers de gens. La loi devrait donc permettre les recours collectifs dans ces situations-là. Les règles de la Cour fédérale s'appliquant aux recours collectifs pourraient être adaptées à ce genre de procédures.

    La commissaire présente d'assez bonnes statistiques dans ses rapports annuels, mais ce pourrait être mieux. En tout cas, les statistiques ne devraient pas être facultatives mais bien obligatoires. Nous voulons en savoir plus sur ce qui se passe, surtout qu'elle n'a pas le pouvoir de rendre des ordonnances.

    Nous avons déjà parlé des vérifications et nous avons suggéré d'élargir la disposition sur les infractions.

    Vous pourriez réaliser tout cela sans avoir à conférer à qui que ce soit le pouvoir de rendre des ordonnances.

    Merci.

    Merci, monsieur Tilson.

    Monsieur Keddy.

    Merci.

    Il me semble tout à fait responsable de la part du gouvernement de vous inviter à témoigner en vue d'apporter des changements assez simples mais fondamentaux à la loi qui protège les consommateurs. D'ailleurs, je suis étonné que cela n'ait pas déjà été fait. Je sais que la loi n'est entrée en vigueur qu'en 2004, mais vous avez dit qu'elle existe depuis 2001. Il y a certaines choses que j'aimerais répéter, car j'estime qu'elles devraient figurer au compte rendu.

    Il est tout à fait scandaleux qu'une très grande proportion de détaillants en ligne, la moitié et peut-être même deux tiers de votre échantillon, échange des informations avec d'autres entreprises sur les consommateurs à des fins bien au-delà de la transaction ou de la prestation d'un service.

    Je ne comprends pas comment il se fait que les gens ne jettent pas les hauts cris.

    C'est qu'ils ne sont pas au courant.

    Le principe 4.3.3 de la loi est assez strict; il stipule qu'on ne peut recueillir de renseignements autres que ceux qui sont nécessaires pour réaliser des fins légitimes et explicitement indiquées; mais nous sommes d'avis que cela laisse une trop grande marge de manoeuvre et nous préférerions que cela soit modifié de façon à ce que seules les informations nécessaires pour la prestation d'un service soient demandées. Voilà pourquoi nous avons présenté cet amendement comme un simple amendement de forme, mais il est néanmoins choquant de voir qu'il en est ainsi.

    Même si nous ne sommes pas tous au courant, nous savons quand même que nous vivons à l'ère de l'information, que les informations ont une centaine valeur et qu'on peut vendre des listes de clients, car elles ont certainement une valeur.

    Or, cette valeur, dans bien des cas, n'est pas imposée. Ce n'est consigné nulle part, mais il existe tout un secteur de l'économie axé sur l'information provenant de ces transactions et même sur la protection des renseignements. Manifestement, si 78 p. 100 des détaillants emploient des méthodes d'exclusion pour obtenir des consommateurs qu'ils consentent aux usages secondaires ou à la divulgation de leurs renseignements personnels, c'est qu'ils abusent de la loi, selon mon interprétation.

    Selon moi, c'est acceptable, c'est tout à fait légal, à condition qu'on obtienne le consentement du consommateur. Il existe des façons d'obtenir le consentement des consommateurs par le biais d'une liste d'exclusion, mais nos études montrent que les détaillants n'emploient pas ces méthodes.

    C'est certainement ce que vous avez laissé entendre.

    Monsieur Keddy, il est 17 h 29. Avez-vous une dernière et brève question à l'intention de nos témoins?

    Oui. J'estime qu'il y a longtemps que vous auriez dû venir nous voir et que cette question aurait dû être réglée il y a bien longtemps.

    Une de mes amies s'est fait usurper son identité. Cela a été un véritable cauchemar pour elle de tout régler cela, et c'est elle qui a dû payer toutes les dettes, pas ceux qui avaient violé la loi.

    La loi accuse un grand retard par rapport à l'industrie et à la technologie dans ce domaine, et elle doit absolument être modernisée.

    Cela a pris des années à régler. C'est incroyable.

    C'est tout. Merci.

    Merci beaucoup.

    Les membres sont agités. Au nom des membres, je remercie les témoins, surtout de leurs recommandations précises. Elles seront très utiles et nous vous savons gré.

    Je vous remercie d'avoir été si honnêtes dans vos remarques et vos réponses. Nous vous remercions d'être venu et nous ferons de notre mieux pour améliorer la loi. Je ne sais pas trop ce qu'il adviendra des pouvoirs de rendre des ordonnances, mais nous verrons.

    Mesdames et messieurs les membres du comité, nous nous réunissons de nouveau lundi prochain. Nous accueillerons alors l'Association du Barreau canadien, le professeur Kerr et l'Association canadienne de la technologie de l'information.

    Je suis désolé, madame Lavallée, mais notre temps est écoulé.

    Je voudrais simplement avoir le temps de...

    Si nous avions eu le temps de discuter du rapport du comité directeur, cela aurait été clair, mais nous allons poursuivre nos séances jusqu'à l'ajournement de la Chambre.

    La séance est levée.