INDU Réunion de comité

    Bonjour. Je vous souhaite la bienvenue, en ce 16 juin 2009, à la 29^e réunion du Comité permanent de l'industrie, des sciences et de la technologie.

    Nous sommes ici pour étudier le projet de loi C-27, conformément à l'ordre de renvoi du vendredi 8 mai 2009.

    Nous accueillons quatre entités aujourd'hui: M. Wally Hill, de l'Association canadienne du marketing; Mme Susanna Cluff-Clyburne et M. Barry Sookman, de la Chambre de commerce du Canada; M. Bernard Courtois, de l'ACTI, l'Association canadienne de la technologie de l'information; ainsi que Mme Suzanne Morin, à titre personnel.

    Chaque organisme fera d'abord une déclaration préliminaire de cinq à sept minutes, en commençant par l'Association canadienne du marketing.

    Merci, monsieur le président.

    Nous sommes ravis de comparaître devant votre comité au nom de l'Association canadienne du marketing pour présenter le point de vue de l'ACM sur le projet de loi C-27, Loi sur la protection du commerce électronique proposée. Je suis accompagné de la présidente du comité de déontologie et de protection de la vie privée de notre association, Mme Barbara Robins, qui est aussi vice-présidente aux affaires juridiques et réglementaires du Canada, de l'Asie-Pacifique et de l'Amérique latine pour Sélection du Reader's Digest.

    L'Association canadienne du marketing est la plus grande association du marketing au Canada. Elle compte 800 membres moraux et filiales, y compris les grandes institutions financières du pays, des compagnies d'assurances, des maisons d'édition, des détaillants, des organisations caritatives, des agences, des spécialistes du marketing relationnel, ainsi que des personnes qui travaillent dans les domaines des affaires électroniques et du marketing sur Internet. Les membres doivent respecter le code de déontologie et les normes de pratique adoptés par l'association. Il s'agit d'un code d'autoréglementation qui fournit aux membres de l'ACM et aux autres spécialistes du marketing un ensemble complet de pratiques exemplaires, y compris celles liées au marketing par courriel avec consentement. L'ACM était ravie de jouer un rôle important au sein du Groupe de travail sur le pourriel de 2004-2005. Tant l'économie que les technologies pertinentes ont subi de nombreux changements depuis que le groupe de travail a effectué ses travaux, mais nous sommes ravis de constater que le projet de loi C-27 reflète un grand nombre de ses recommandations.

    Le commerce électronique a évolué rapidement au Canada et il est devenu un réseau commercial clé. Selon des recherches menées par Global Insight pour l'ACM, sous sa forme de réseau commercial, Internet a permis de générer un chiffre d'affaires de près de 17 milliards de dollars et a soutenu environ 75 000 emplois au Canada en 2007. Malgré la situation économique actuelle, ce réseau continuera à grandir; on s'attend à ce qu'il devienne le moteur dominant et à ce qu'il génère un chiffre d'affaires de près de 46 milliards de dollars d'ici 2011.

    L'étude mondiale sur les consommateurs et le courrier électronique publiée par Epsilon en 2009 confirme que le courrier électronique constitue l'outil de communication en ligne principal de 87 p. 100 de la population de l'Amérique du Nord et qu'il continue à remplacer de plus en plus les échanges traditionnels. Malheureusement, les gens voient deux tiers du courrier électronique comme du pourriel, et ce point du vue, allié à des menaces sérieuses de fraude et de vol d'identité liées au pourriel, continuent à saper la confiance des consommateurs en ce réseau. En même temps, les marques de certaines entreprises respectueuses de l'éthique sont détournées, ce qui met en péril les relations établies en ligne avec les clients.

    L'ACM appuie la Loi sur la protection du commerce électronique parce qu'elle croit qu'elle établira un cadre et un régime d'application de la loi qui permettront de réduire considérablement le pourriel et de s'attaquer aux activités malveillantes commises sur Internet, tout en établissant un équilibre entre cet objectif et le besoin de promouvoir l'activité économique ainsi que de permettre aux spécialistes du marketing responsables de continuer à employer ce réseau pour la communication électronique avec consentement. Toutefois, nous avons des suggestions précises et des commentaires à présenter qui feraient, selon nous, du projet de loi C-27 une meilleure mesure législative.

    D'abord, l'ACM croit qu'il n'est pas nécessaire et qu'il est prématuré d'inclure les articles 64 et 86, les dispositions qui permettraient le démantèlement du programme national de numéros de télécommunication exclus. Le gouvernement a raison de faire remarquer que la convergence de la technologie justifiera peut-être un jour cette option, mais nous croyons que le Parlement devrait attendre à ce moment-là pour examiner attentivement la proposition de tels changements et pour évaluer le programme. Jusqu'à maintenant, le programme n'a fait l'objet que d'une seule véritable évaluation: le sondage effectué par Harris/Decima pour l'Association de la recherche et de l'intelligence marketing, selon lequel 80 p. 100 des Canadiens qui se sont inscrits au service, soit presque 7 millions de personnes, trouvent qu'ils reçoivent moins d'appels.

    Nous sommes aussi ravis de constater que l'alinéa 6(5)b) du projet de loi exclut les messages électroniques commerciaux envoyés entre entreprises. Nous sentons que la formulation actuelle pourrait s'avérer plus restrictive que prévu, mais nous comprenons que le Parlement ne veut pas entraver la communication régulière entre les entreprises. Afin de préciser ce point, le comité pourrait se pencher sur une autre formulation, par exemple, celle employée dans la Loi sur la protection des renseignements personnels de l'Alberta, intitulée la Personal Information Protection Act, pour exempter les coordonnées des entreprises. Une telle formulation permettrait toute communication électronique entre entreprises qui, pour citer le texte anglais de la mesure législative de l'Alberta:

    D'autres témoins fourniront probablement des évaluations plus détaillées, mais nous pensons que l'interdiction d'installer des programmes d'ordinateur prévue à l'article 8 posera des problèmes; elle pourrait avoir un effet néfaste sur des interactions qui sont effectuées en ligne de façon régulière et qui sont généralement acceptées, comme des transferts de logiciels pour faciliter la mise à jour des programmes et pour déterminer les préférences d'un navigateur afin d'améliorer les expériences en ligne des utilisateurs.

    Nous croyons que le comité doit examiner attentivement ces dispositions avec l'aide de témoins experts, dans le but de déterminer précisément quelles en seront les répercussions.

    L'ACM appuie l'idée que la LPCE doive contenir des sanctions adéquates pour former un régime d'application de la loi efficace. Toutefois, nous nous inquiétons que les sanctions administratives pécuniaires de plusieurs millions de dollars proposées dans le projet de loi soient excessives, étant donné qu'elles ne sont pas assujetties aux règles de preuve et à l'application régulière de la loi utilisées dans les poursuites au civil et au criminel. Nous demandons donc au comité d'examiner les répercussions néfastes potentielles d'une telle mesure sur les entreprises respectueuses de la loi qui ont recours aux communications électroniques commerciales.

    Je ferais remarquer au comité que lorsque le programme national de numéros de télécommunication exclus a été mis en place, les sanctions de la loi étaient d'un maximum de 1 500 $ par transgression pour les personnes et de 15 000 $ par transgression pour les entreprises. Les sanctions prévues par le projet de loi C-27 sont beaucoup plus élevées.

    Nous reconnaissons que la LPCE aborde la question autrement que la CAN-SPAM Act des États-Unis, mais nous avons deux suggestions pour améliorer l'uniformité entre les deux lois. Nous suggérons précisément de modifier le contenu exigé d'un message pour que seule l'identité de l'expéditeur doive être incluse. Nous suggérons aussi de préciser que le délai accordé pour satisfaire les demandes d'exclusion est de 10 jours ouvrables. En ce moment, la loi stipule 10 jours; grâce à ce changement mineur, les spécialistes du marketing qui participent à des campagnes de marketing dans les deux pays seraient assujettis aux mêmes exigences juridiques.

    Finalement, nous profitons de l'occasion pour demander au comité de conseiller vivement au gouvernement de s'engager à mettre en place un programme de communications publiques détaillé au moment où la loi entrera en vigueur. Nous demandons au gouvernement d'adopter un programme et un échéancier qui précéderont la mise en oeuvre du nouveau cadre et qui encourageront les entreprises à se préparer. Cette mesure favorisera la conformité, tout en réduisant le nombre de plaintes des consommateurs.

    Avez-vous quelque chose à ajouter, Barbara?

    Je voudrais faire écho aux commentaires de M. Hill au nom de tous les membres, entités et entreprises qui siègent au comité d'éthique et de protection de la vie privée de notre association.

     Prenons l'exemple de Sélection du Reader's Digest, qui est présente au Canada depuis au moins 70 ans. Cette entreprise doit et veut s'adapter aux nouvelles technologies comme les sites Internet, le Web, etc. Il est très important pour Sélection du Reader's Digest et d'autres entreprises de l'association que, d'une part, leurs activités légitimes ne soient pas confondues avec celles d'entreprises qui envoient des messages électroniques commerciaux sans consentement. C'est la première raison pour laquelle on appuie ce projet de loi.

    Deuxièmement, on l'appuie parce que l'approche est très raisonnable et équilibrée. L'article 13 proposé stipule que c'est aux entreprises qu'incombe le fardeau de prouver qu'elles ont obtenu un consentement conformément aux articles 6, 7, etc. D'ailleurs, le projet de loi est rédigé de façon juste et donne assez de flexibilité aux entreprises pour qu'elles puissent décider de la forme et du fond nécessaires à l'obtention du consentement.

    Troisièmement, le projet de loi s'accorde très bien avec d'autres lois dans le monde. Par exemple, l'Australie, la Nouvelle-Zélande et Singapour ont déjà adopté ce genre de loi depuis plusieurs années, qui s'aligne très bien sur l'approche du projet de loi. Pour des entreprises canadiennes qui ont une certaine envergure internationale, il est important que l'approche soit plus ou moins harmonisée. Cependant, le Canada doit maintenir sa réputation d'avoir une loi très solide. Ce n'est pas une loi de light touch.

    Merci, madame Robins.

    Nous passons maintenant à la Chambre de commerce du Canada.

    Merci, monsieur le président.

    Je vous présente les excuses de Shirley-Ann George, notre vice-présidente aux politiques, qui est malade aujourd'hui.

    Je suis accompagnée de Barry Sookman, de la firme McCarthy Tétrault. Barry a une très grande réputation d'expert en droit canadien de la technologie. Il est l'auteur du plus important traité canadien en cinq volumes sur le droit de l'informatique et d'Internet; il est aussi professeur auxiliaire à Osgoode Hall, à Toronto.

    Je suis ravie de pouvoir vous présenter le point de vue de la Chambre de commerce du Canada et de ses membres sur le projet de loi C-27. Comme beaucoup d'entre vous le savent, la Chambre de commerce du Canada est la plus grande organisation de gens d'affaires du Canada; elle compte 175 000 entreprises de partout au Canada parmi ses membres. Nos membres vont des plus petites entreprises jusqu'aux plus grandes. Nous sommes fiers de représenter les entreprises canadiennes, et nous travaillons fort avec les politiciens et les fonctionnaires pour faire en sorte que le monde des affaires du Canada puisse contribuer pleinement au bien-être national sur les plans économique et social.

    Permettez-moi de commencer par dire que la Chambre de commerce du Canada appuie fermement l'objectif d'éradiquer le pourriel. Nous avons participé, nous aussi, au Groupe de travail sur le pourriel de 2005; lors de l'assemblée générale annuelle de 2007, la Chambre de commerce du Canada et ses membres de partout au pays ont adopté une résolution demandant des mesures de réduction du pourriel. Aujourd'hui, la population canadienne ainsi que les entreprises canadiennes de toutes les tailles et de toutes les régions ont besoin de mesures législatives efficaces pour enrayer le fléau du pourriel. En même temps, les entreprises canadiennes ne devraient pas avoir à porter le fardeau de mesures législatives trop vastes qui limitent les activités commerciales légitimes. Ce que nous devons faire, c'est nous occuper des méchants qui gaspillent une somme incalculable du temps et de l'argent de chacune des entreprises du Canada, et qui utilisent Internet pour distribuer des envois massifs qui s'en prennent aux personnes vulnérables.

    Le projet de loi C-27 est encore un projet en chantier, et nous sommes ici pour demander des modifications absolument nécessaires. Sous sa forme actuelle, le projet de loi pourrait rendre illégales des milliers d'applications informatiques courantes. Les entreprises canadiennes seraient passibles d'amendes pouvant atteindre 10 millions de dollars. La nouvelle Loi sur la protection du commerce électronique modifierait aussi la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, de façon à assujettir les entreprises canadiennes à des actions civiles dans les cas où il y a infraction à la loi. Le projet de loi aurait aussi pour conséquence d'interdire la création de nouvelles relations d'affaires par le biais d'Internet ou du courrier électronique. Il limiterait aussi sérieusement l'utilisation d'Internet pour la distribution de logiciels et de mises à jour de logiciels.

    Nous sommes reconnaissants envers le gouvernement d'essayer de présenter et d'adopter un projet de loi qui aidera à mettre fin aux pourriels. Malheureusement, ce projet de loi a besoin d'être réparé. Nous conseillons vivement aux membres du comité de prendre leur temps avec le projet de loi de 77 pages afin que le gouvernement puisse apporter les réparations nécessaires; ainsi, vous pourrez adopter à l'automne un projet de loi sur lequel nous pouvons tous nous entendre et qui réussira à mettre fin au pourriel sans entraver les pratiques commerciales légitimes.

    Je cède maintenant la parole à Barry, qui entrera dans les détails.

    Merci, Susanna. Merci, monsieur le président.

    J'aimerais réaffirmer l'importance de mesures législatives qui traitent des problèmes abordés dans le projet de loi C-27. Je pense que tous sont d'accord avec les objectifs de base du projet de loi. Toutefois, certaines de ces caractéristiques pourraient involontairement créer des difficultés. Je vais me concentrer sur ces difficultés, mais mes commentaires ne doivent pas servir de preuves d'un manque d'appui au projet de loi.

    De façon générale, il y a deux problèmes principaux avec le projet de loi. Premièrement, il n'établit pas un équilibre adéquat entre l'objectif de prévenir les comportements non désirés et nuisibles, et ceux de faire en sorte que les actions parfaitement légitimes ne deviennent pas illégales et de préserver la vitalité du commerce électronique par Internet. Deuxièmement, il établit des régimes réglementaires contradictoires ou non nécessaires qui imposent inutilement des frais considérables aux entreprises.

    L'étendue des dispositions anti-pourriel est très vaste. La LPCE touche presque tous les messages électroniques, y compris les messages transmis d'une entreprise à un consommateur, d'une entreprise à une autre, d'un consommateur à un autre et d'un consommateur à une entreprise; les exceptions sont très limitées. Pour être pris dans le filet, les messages n'ont qu'à avoir l'objectif d'encourager la participation à une activité commerciale. Les restrictions du droit constitutionnel à la publicité sont beaucoup plus grandes que dans les lois adoptées par d'autres gouvernements. Le filet ouvert du projet de loi pourrait avoir pour résultat de rendre illégales des communications parfaitement souhaitables.

    L'Australie et d'autres pays utilisent aussi le terme « message électronique commercial », mais ils limitent son application à une liste définie de messages transmis d'une entreprise à une autre ou d'une entreprise à un consommateur qui offrent de fournir un produit ou un service, qui en font la publicité ou qui le promeuvent, essentiellement dans le but d'orienter le marketing.

    L'argument a été présenté que nous ne devrions pas nous préoccuper de l'étendue puisqu'il y a des exceptions pour toutes les communications légitimes. Lors de ma première lecture, je n'ai pas non plus remarqué l'exception des messages entre entreprises puisqu'elle est si étroite. Elle porte seulement sur l'envoi d'un message qui consiste en une demande, y compris une demande de renseignements. Elle interdit une gamme de messages qui peuvent être envoyés à une entreprise, y compris les courriels envoyés à un nouveau partenaire, distributeur ou fournisseur potentiel au sujet de nouvelles affaires potentielles, même si les coordonnées de la personne sont affichées sur Internent, ou les courriels envoyés à une liste d'adresses dressée au fil des années lorsqu'une personne fonde une nouvelle entreprise ou change d'emploi. Même les invitations par courriel à prendre un café ou à dîner pour parler affaires pourraient être bannies, à moins que les personnes aient signé un contrat au cours des 18 derniers mois. Le projet de loi interdirait aussi réellement aux consommateurs d'envoyer un courriel aux détaillants pour demander un remboursement ou de l'assistance ou pour faire une réclamation au titre de la garantie dans les 18 mois qui suivent l'achat d'un produit.

    Les exemples illustrent les problèmes associés aux caractéristiques du projet de loi. Les règlements visant à élargir les exceptions ne réussiront jamais à suivre. Il serait beaucoup plus facile d'employer des règlements pour refermer les failles que les polluposteurs créeront peut-être que de suivre la gamme indéfinissable et peut-être illimitée de messages qui peuvent être envoyés au sein de la population canadienne. L'exception personnelle ou familiale risque aussi de poser des problèmes considérables.

    On vous a aussi dit de ne pas vous préoccuper de la vaste portée des interdictions du projet de loi puisque dans de nombreuses situations, le consentement est tacite; or, selon le projet de loi, le consentement tacite existe seulement dans les cas où l'expéditeur a avec le destinataire des relations d'affaires ou privées en cours. La définition très étroite n'englobe pas la diversité des relations d'affaires que les entités peuvent avoir dans la réalité. Les dispositions sur le consentement sont beaucoup plus étroites que celles adoptées par d'autres pays, comme l'Australie et la Nouvelle-Zélande. Ces pays reconnaissent que le consentement exprès ou tacite peut être déduit de la direction d'une entreprise ou d'une autre forme de relation, ou de la publication manifeste d'une adresse électronique sur un site Web.

    La LPRPDE, notre loi sur la protection de la vie privée, autorise le consentement là où il peut être déduit de l'action ou de l'inaction de la personne. Cette norme a été approuvée pour la LPRPDE par tous les intervenants en tant que partie intégrante du code type de la CSA; la norme supérieure de la LPCE aurait donc pour conséquence que les entreprises canadiennes légitimes seraient maintenant assujetties à des normes contradictoires. Elles auraient à revoir toutes leurs pratiques, ce qui préoccupe particulièrement les membres de la Chambre de commerce.

    La portée extra-territoriale du projet de loi pose un problème aux entreprises canadiennes.

    Les dispositions sur la collecte d'adresses ne sont pas liées à la collecte de données à des fins d'envoi de pourriel, comme c'est le cas dans d'autres pays.

    Le projet de loi empêcherait l'application de toutes les exceptions générales de la LPRPDE utilisées à des fins de collecte, d'utilisation ou de divulgation des renseignements personnels, ce qui inclurait les exceptions visant l'application du droit public et privé ainsi que les exceptions portant sur le respect des citations à comparaître, des mandats ou des ordres émis par les tribunaux. Le projet de loi pourrait avoir des conséquences importantes sur l'application du droit public et privé au Canada.

    De plus, il n'y a pas d'exception pour les fournisseurs de services de réseau touchés par les dispositions.

    Les dispositions sur l'interdiction des logiciels espions rendent illégale l'installation sans consentement de tout programme d'ordinateur par une entreprise sur l'ordinateur d'une personne. L'interdiction ne se limite pas aux « maliciels ».

    Les dispositions sur les logiciels espions établiraient un tout nouveau régime réglementaire inutile pour les installations de programmes d'ordinateur bénéfiques. Personne n'a étudié les difficultés techniques et les frais associés au respect des nouvelles règles compte tenu de la myriade de dispositifs numériques qui existent aujourd'hui ou qui seront employés demain.

    Je remercie le comité de m'avoir permis de m'exprimer. J'ai hâte de répondre à vos questions et de travailler avec vous pour mettre sur pied dès que possible un nouveau projet de loi amélioré et solide.

    Merci, monsieur le président.

    Merci, monsieur Sookman.

    Nous passons maintenant à l'Association canadienne de la technologie de l'information.

    Thank you, Mr. Chairman.

    Monsieur le président, cela me fait plaisir d'être ici cet après-midi pour exprimer notre appui, soit celui d'une autre association représentant le monde des affaires, au projet de loi concernant le pourriel.

    Je vais dresser le portrait de notre association. Elle est bien connue, mais il est peut-être bon de rappeler que

    que nos entreprises membres — nous sommes l'association nationale de l'industrie de la technologie de l'information et des communications — fabriquent le matériel et les logiciels, offrent les services et créent les applications qui forment Internet, qui le font fonctionner et qui aident les gens à l'utiliser. Nos membres jouent un rôle très actif dans la lutte contre le pourriel et les maliciels, et aident la population canadienne à lutter contre eux. Ils déploient des efforts énormes pour ce faire et nous croyons que la mesure législative leur prêtera main-forte. Nous appuyons donc le projet de loi, et nous appuyons la poursuite du pourriel — le pourriel qui s'en prend aux consommateurs comme le pourriel qui s'en prend aux entreprises.

    J'ai aussi participé à titre personnel au Groupe de travail sur le pourriel; je me rappelle que nous avons eu de nombreuses discussions sur le concept du pourriel et sur la manière fondamentale d'aborder la question. Tous les membres du groupe de travail, tant les représentants des consommateurs que des entreprises, se sont entendus sur des procédures d'inclusion; en passant, les États-Unis n'avaient pas cette règle, et nous croyions que c'était un défaut. Nous nous entendions aussi pour dire que les mesures législatives ne devraient pas seulement porter sur le pourriel, mais aussi sur d'autres thèmes comme les logiciels espions et les maliciels; je dois toutefois souligner que nous n'avons pas autant discuté des mesures précises à prendre à cet égard. Nous voulions certainement des mesures qui porteraient sur les logiciels espions, mais nous n'avions pas résolu comment y arriver sans faire obstacle à une grande partie des opérations légitimes.

    Nous sommes ici pour apporter notre expertise au comité; nous offrons de partager nos connaissances et de travailler avec le gouvernement dans le but d'apporter les modifications nécessaires au projet de loi pour faire en sorte d'éviter les conséquences non voulues. L'objectif de la mesure législative est de stimuler et d'accroître la confiance des entreprises et des consommateurs canadiens envers l'utilisation d'Internet et de l'économie numérique. Nous abordons les modifications nécessaires afin de permettre au projet de loi d'atteindre cet objectif, et non d'entraver potentiellement le commerce électronique et, dans certains cas, de rendre plus difficile la protection des consommateurs. Par exemple, comme Barry l'a dit, tout le monde serait d'accord pour dire que nous devons absolument continuer à pouvoir accomplir certaines opérations concrètes et régulières, et que le projet de loi ne devrait pas les rendre illégales.

    Il y a, selon moi, deux catégories. Lorsque nous parlons du pourriel en tant que tel et des domaines comme le consentement tacite ou le consentement déduit des circonstances, je pense que nous pouvons tous prendre une liste définie d'exemples concrets et réguliers, et travailler sur la formulation de la mesure législative pour que ces exemples ne soient pas inclus.

    Ensuite, le projet de loi contient des aspects plus techniques. Les questions de logiciels espions et de maliciels, ou de faire suivre ou de faire la collecte des adresses du FAI nous amènent dans un monde où même les avocats qui travaillent dans le domaine depuis de nombreuses années doivent s'adresser aux spécialistes techniques pour comprendre comment les choses fonctionnent et pour leur demander des exemples de la façon dont les choses se passent sur Internet afin d'aider les utilisateurs ou les consommateurs. Nous devons probablement comprendre comment les choses fonctionnent avant d'être en mesure de bien formuler le projet de loi pour faire en sorte de n'inclure que ce que nous voulons.

    Par exemple, tous nos ordinateurs doivent être protégés contre les maliciels presque dès le moment où nous les allumons. Chaque seconde que l'ordinateur est branché sur Internet sans protection, il risque d'être infecté par des virus dont il est très difficile de se débarrasser.

    Pour vous donner un exemple, si on installe un système qui demande l'autorisation du consommateur pour réparer d'urgence une faille dans la sécurité de l'ordinateur, soit le consommateur cliquera tout de suite, soit il ira se chercher un café pendant que l'ordinateur s'allume; dans le dernier cas, l'ordinateur n'est pas protégé pendant quelques minutes. Un tel système n'est donc pas souhaitable.

    Il est aussi souhaitable que certaines interventions soient faites sans qu'elles représentent vraiment une opération importante. Certaines choses peuvent se passer automatiquement, très rapidement, et on ne veut pas commencer à leur faire obstacle en demandant un consentement exprès.

    Il peut être difficile de trouver les termes nécessaires pour décrire la chose de façon générale et ouverte afin d'obtenir le consentement requis. La situation est la même avec le fait de faire suivre les adresses. Il peut parfois s'agir d'autre chose que d'un FAI ou que d'un fournisseur de services qui donne accès à Internet. Il peut s'agir d'un site ou d'un fournisseur de services qui vous donne accès à un portail ou à des services, ou d'un moteur de recherches, ou d'autres choses encore. Vous faites parfois des erreurs en entrant un nom et le service vous corrige et vous mène à l'adresse que vous vouliez; parfois, il vous demande si c'est ce que vous vouliez vraiment dire. Ces choses-là se passent toutes instantanément et très facilement sur Internet. Nous ne voulons pas commencer à compliquer le processus.

    Au nom de notre association, je dis donc qu'il faut travailler avec nos spécialistes techniques pour se pencher sur tous les détails, et nous pourrons ensuite apporter les modifications nécessaires.

    J'aimerais conclure en disant que nous appuyons l'adoption du projet de loi et que nous souhaitons qu'elle soit faite sans retard excessif. Je dirais que c'est le thème fondamental qui ressort de mes conversations avec les autres associations de gens d'affaires. Nous parlons parfois des principes ou de je ne sais quoi pour expliquer ce que nous voyons comme les problèmes du projet de loi, mais selon nous, il est possible d'apporter les modifications nécessaires. Ce ne sont pas des modifications aux principes du projet de loi; elles concordent avec ces principes, et nous suggérons de les aborder d'un point de vue pratique. Vous découvrirez que nous pouvons apporter les modifications nécessaires pour réaliser l'objectif du projet de loi, c'est-à-dire faciliter le commerce électronique ainsi que l'utilisation d'Internet pour la population canadienne.

    Merci.

    Merci, monsieur Courtois.

    Madame Morin, vous avez la parole.

    Merci.

    Je m'appelle Suzanne Morin. Je travaille pour Bell Canada.

    Je suis chef adjointe du service juridique ainsi qu'ombudsman de la protection de la vie privée pour Bell Canada, mais je suis ici aujourd'hui à titre personnel.

    Vous vous demandez peut-être pourquoi. Bell Canada est membre de toutes les associations présentes; toutefois, j'ai participé au groupe de travail à titre personnel; j'ai donc pensé qu'il pourrait être utile pour moi de partager avec vous, en mon propre nom, certaines de ces expériences, mais aussi les raisons pour lesquelles j'ai participé, en tant que représentante d'un organisme, au groupe de travail.

    Depuis le début des années 2000, nous oeuvrons à l'échelle internationale avec nos homologues et certains gouvernements au sein du Internet Law and Policy Forum ainsi que du Dialogue mondial des entreprises sur le commerce électronique; c'est là que nous avons vraiment lancé, si l'on veut, la discussion internationale sur le pourriel et sur les mesures à prendre à cet égard. Comme on l'a dit aujourd'hui, il n'est pas vraiment possible de définir le pourriel puisque c'est toute une question de point de vue, mais tout le monde est d'accord pour dire qu'il est certain que les courriels existent en grand nombre: nous entendons parler de millions et de milliards de courriels qui encrassent nos réseaux et qui remplissent les corbeilles d'arrivée des utilisateurs.

    Les discussions internationales avaient permis aux intervenants d'établir qu'il y avait deux catégories de courriels non sollicités. Il y avait la catégorie des courriels vraiment nuisibles, où il n'était pas question de demander le consentement de quelqu'un d'utiliser son adresse électronique; il était plutôt question d'employer de fausses en-têtes et de fausses adresses de réponse pour vendre de faux produits. Ces courriels incorporaient la notion de fausseté et de fraude.

    Ensuite, il y avait l’autre catégorie, qui rétrécissait avec les années puisque, comme il a été souligné, le courrier électronique commercial non sollicité représente environ 90 p. 100 du courrier électronique qui circule sur Internet aujourd’hui. Cette petite catégorie englobait donc plutôt les pratiques équitables et la question de savoir si les organismes les adoptaient vraiment. Par exemple, la question des agents immobiliers dont on a entendu parler cette semaine n’est pas le genre de situation qu’il aurait valu la peine, selon nous et notre réflexion à l’échelle internationale, de poursuivre; normalement, ce genre de situation serait géré par les lois sur la protection de la vie privée. Ainsi, puisque nous avons des lois sur la protection de la vie privée au Canada, il serait tout à fait normal que la question passe par ce processus de plaintes, par un genre de tête-à-tête; habituellement, le Commissariat à la protection de la vie privée tenterait de régler la situation par la médiation. Ainsi, il existe des lois au Canada sur la protection de la vie privée — si nous avançons un peu dans le temps — qui peuvent traiter d’un grand nombre des situations et des conséquences potentielles et non voulues de la LPCE.

    Toutefois, il est certain que la LPCE contient un grand nombre des outils qui sont en fait nécessaires pour poursuivre les très mauvais intervenants, les 17 méchants polluposteurs qui habitent et fonctionnent toujours au Canada. Nombreux sont les différents organismes qui peuvent vous dire: « Nous savons qui ils sont, nous savons où ils habitent et nous savons comment ils fonctionnent. Nous avons seulement besoin des outils nécessaires pour les poursuivre sans difficulté. »

    Lorsqu’on compare cette affirmation, toutefois, à certaines des déclarations qu'on vient d’entendre, la question est de trouver comment établir un nouveau régime réglementaire qui permettra de poursuivre ces mauvais intervenants sans faire obstacle aux entreprises canadiennes légitimes, qui sont vraiment assujetties aux lois sur la protection de la vie privée et sur la protection des consommateurs. Et il y a certainement différentes façons d’aborder la loi.

     J’appuie les mesures législatives sur la protection de la vie privée, mais comment faire pour assurer l’équilibre, étant donné le cadre adopté? Je pense que ce que l’on peut tirer des commentaires présentés ici est que de nombreuses personnes se sont penchées longuement sur ces questions et qu’il s’agit d’une loi très complexe. Chaque fois que nous discutons avec Industrie Canada, que ce soit dans le cadre d’une séance comme celle-ci ou d’un appel téléphonique, nous comprenons mieux les intentions qui se cachent derrière certaines des dispositions qui ont été établies. Mais nous ne comprenons pas complètement leurs conséquences potentielles, ni comment les choses se passeront dans la réalité.

    Je pense donc que ce que nous pouvons tirer des propos présentés est qu’il faut plus de temps pour travailler avec Industrie Canada. Le ministère a déployé de grands efforts pour traiter certaines des conséquences non voulues afin de ne pas faire obstacle aux entreprises légitimes, mais ce ne sont là, en fait, que de bonnes intentions; les mots sont interprétés par les tribunaux et les organismes de réglementation, et nous ignorons qui les interpréteront. Comme avec l’exemple de l’agent immobilier, une personne qui commet une erreur ne devrait pas avoir à prendre un engagement auprès du CRTC. Le cas devrait être présenté au Commissariat à la protection de la vie privée sous la forme d'une simple plainte et la situation serait réglée.

    Le dernier point que j’aimerais aborder, en guise de conclusion — puisque c’est en fait le dialogue potentiel qui suivra qui nous intéresse —, est que j’ai en fait déposé une deuxième plainte contre le pourriel auprès du Commissariat à la protection de la vie privée, de pair avec le professeur Michael Geist. La LPRPDE, notre loi sur la protection de la vie privée, s’est avérée tout à fait capable de régler la situation. Il était question d’un homme de la côte Est propriétaire de pontons qu'il cherchait à vendre. Il a embauché un tiers pour envoyer des courriels à des professionnels. Puisque je suis avocate, mon nom figurait sur une liste d’avocats à laquelle il a eu accès. C’était aussi simple que cela. Je faisais partie du groupe de travail à l’époque, et j’ai trouvé la situation idéale: un Canadien qui vendait des biens canadiens au Canada. Avons-nous des lois pour gérer ce genre de situations? Effectivement, la LPRPDE a relevé le défi. La personne a changé ses pratiques; son spécialiste du marketing par courriel a aussi changé les siennes, ce qui était formidable. Il n’a pas eu à signer d’engagements ou à payer de sanctions administratives pécuniaires importantes.

    Le dernier point porte quelque peu sur la question qu'a abordée M. Hill, à savoir si les entreprises légitimes sont passibles de pénalités considérables, qu'elles soient infligées par un organisme de réglementation ou encore découlent d'une action judiciaire. Les organisations engagent beaucoup de dépenses lorsqu'elles font preuve de diligence requise et changent leurs pratiques pour éviter ce genre de poursuites, que ce soit devant l'organisme de réglementation ou devant un tribunal. Il est encore une fois question d'équilibre. Comment poursuivre les délinquants sans accabler involontairement les entreprises légitimes?

    Sur ce, je suis à votre disposition pour répondre à vos questions.

    Merci, madame Morin.

    Nous entamons maintenant la période de questions, qui durera une heure et demie. Nous allons commencer par M. Rota.

    Merci, monsieur le président.

    Je remercie nos invités d'être des nôtres aujourd'hui.

    Deux éléments du projet de loi me préoccupent particulièrement: son étendue et certains des recours proposés. On nous a dressé deux portraits tout à fait différents d'un projet de loi antipourriel et antiespiogiciel. D'une part, on avance que la vaste étendue du projet de loi est avantageuse, car il nous faut un texte de loi expansif pour nous protéger contre les tactiques changeantes qu'emploient les polluposteurs et les pirates informatiques qui installent des logiciels malveillants dans nos ordinateurs. En outre, on affirme que les problèmes engendrés par cette large portée peuvent être rectifiés par la réglementation. D'autre part, nous avons entendu que la vaste étendue du projet de loi pourrait constituer un problème et que l'approche à privilégier serait une loi plus restreinte et ciblée.

    À votre avis, une démarche plus ciblée serait-elle préférable? Rendrait-elle les Canadiens plus vulnérables aux nouvelles techniques utilisées par les polluposteurs et les distributeurs d'espiogiciels? Comment peut-on parvenir à un équilibre? Sur quoi vous basez-vous pour décider de la démarche à retenir dans un cas comme celui-ci?

    Je doute que l'une ou l'autre réussisse à régler tous les aspects du projet de loi. Par exemple, lorsqu'il est question de pourriels, il est possible de restreindre la définition du pourriel afin de cerner tous les actes illicites. Nous pouvons également avoir recours à une définition plus large et accorder une attention particulière au consentement tacite ou implicite.

    En ce qui a trait aux espiogiciels, il serait possible de dresser une longue liste des activités autorisées — le téléchargement de logiciels et de correctifs —, tout en nous assurant que l'ensemble des exceptions sont couvertes et qu'il est possible d'en ajouter d'autres par voie réglementaire. On pourrait également tout simplement y définir les sortes d'espiogiciels.

    Dans le cas des pourriels, il serait peut-être mieux de nous pencher sur le consentement implicite et les lois d'autres pays dont nous connaissons l'efficacité dans la pratique. Nous pourrions en conserver les meilleurs éléments et examiner toutes les situations où certaines activités autorisées seraient écartées par telle ou telle définition. Voilà les avantages et les inconvénients rattachés à cette démarche.

    D'après moi, tout le monde s'entendra assez rapidement sur la liste de cinq ou six éléments qui constituent des logiciels malveillants — les mauvais aspects des espiogiciels. Advenant le cas que les pirates informatiques inventent de nouvelles tactiques, il est possible d'inclure dans le règlement une disposition comme quoi de nouveaux éléments peuvent être ajoutés. Je doute toutefois qu'une telle situation se présente. À l'inverse, si nous tentons de définir tous les bons comportements qu'il faudrait exclure de la disposition antiespiogiciel, ce serait une tâche titanesque, vue la vaste gamme d'activités qui ont lieu.

    À mon avis, les avantages et les inconvénients penchent en faveur de la définition initiale des activités illicites à repérer, tout en permettant des ajouts, plutôt que d'une liste des exceptions, qui pourrait être très longue. Sinon, il resterait toujours une certaine crainte d'avoir oublié quelque chose. Ainsi, un particulier ou une entreprise pourrait faire l'objet de lourdes pénalités pécuniaires administratives ou d'une action judiciaire pendant que des modifications législatives ou réglementaires sont effectuées, puisqu'un règlement ne peut être changé du jour au lendemain.

    Est-il juste de dire que la portée du projet de loi que nous examinons en ce moment est un peu trop large et qu'elle doit être restreinte? C'est l'impression que vous me donnez.

    Oui. C'est pourquoi j'affirme qu'il faut apporter des modifications très spécifiques. Une fois la disposition antiespiogiciel définie, il est ensuite possible d'ajouter les éléments spécifiques. Il ne s'agit pas d'un énorme amendement au projet de loi, puisque le principe demeure le même. Dans le cas des pourriels, nous pouvons définir les activités qui nécessitent un consentement implicite.

    Certes, nous croyons que l'étendue est un peu trop vaste. N'allez toutefois pas croire que nous recommandons une refonte totale. Il s'agirait d'en modifier certaines dispositions seulement pour apporter des précisions dans la définition générale ou prévoir davantage d'exceptions.

    Je crois que M. Sookman veut intervenir.

    Allez-y, monsieur Sookman.

    Oui. Je vous remercie.

    Permettez-moi de dire que je souscris en bonne partie aux propos de M. Bernard. L'expérience internationale est très utile à cet égard, puisque beaucoup de pays ont adopté ce genre de loi avant nous. Il y a maintenant un fort consensus pour dire que l'Australie offre un bon modèle. La loi australienne a en outre inspiré celles de la Nouvelle-Zélande, de Hong Kong et de Singapour. Il y a effectivement lieu de tirer des leçons de l'expérience australienne, qui s'est révélée efficace, comme l'a entendu le comité à maintes reprises. Elle visait à cibler des comportements spécifiques et à inclure des exceptions généralement applicables. Cette démarche a très bien fonctionné.

    Internet est un outil dynamique qui fournit constamment de nouvelles technologies et méthodes de communication. À mon avis, c'est une mauvaise idée d'interdire un comportement potentiellement légitime, de penser que les organismes de réglementation se tiendront à jour concernant toutes les nouvelles formes de communication et de s'attendre à ce que ces dernières deviennent légales au fur et à mesure des ajouts intégrés à la réglementation. Les entreprises canadiennes en seraient possiblement désavantagées face à leurs concurrents étrangers, qui ne sont pas soumis à ce genre d'interdiction.

    Ce que vous me dites, si je comprends bien, c'est qu'il faut éviter une portée large qui entraînerait un enlisement du système et une baisse de l'utilisation par crainte de quelconques poursuites.

    Permettez-moi de revenir aux pénalités prévues par le projet de loi et de vous poser des questions. On nous dit que des pénalités sévères s'imposent pour décourager les polluposteurs et les fournisseurs d'espiogiciels. On prétend également que certaines entreprises canadiennes s'inquiètent quant à de possibles recours collectifs, particulièrement étant donné la possibilité de dommages-intérêts légaux qui pourraient s'élever jusqu'à un million de dollars par jour. Enfin, on nous dit que nous n'avons pas à craindre le système de recours collectif parce que le régime canadien est différent de celui des États-Unis.

    Y a-t-il des modifications nécessaires à apporter au projet de loi, en ce qui concerne les sanctions ou le droit d'action? Ce qui me préoccupe, c'est l'exemple qu'a donné Mme Morin, celui de l'agent immobilier dont les recettes annuelles sont en deçà du million de dollars ou du montant de la pénalité, quelle qu'elle soit. Il peut se voir poursuivi et condamné à une lourde amende pour avoir simplement suivi une piste.

    Ce n'est pas tant la pénalité qui me préoccupe. C'est plutôt le fait qu'il doive recourir à un avocat, ce qui entraîne des frais juridiques. Qu'il s'agisse d'un agent immobilier ou d'un simple citoyen, une action judiciaire ouvre toute une boîte de Pandore. Je suis inquiet. Les poursuites seraient-elles assurées par un organisme de réglementation relevant du gouvernement ou s'agirait-il d'une action judiciaire?

    Je viens de vous poser beaucoup de questions. Je vais donc vous laisser le temps qu'il me reste.

    Je vais vous donner quelques pistes. Mes collègues et d'autres entreprises ont soulevé ces mêmes questions.

    Il existe diverses façons de mettre en place des sanctions pécuniaires administratives (SPA) suffisantes. Il ne fait aucun doute que les amendes doivent être élevées, sinon elles seront considérées comme un simple prix à payer pour faire des affaires. Bien sûr, la pénalité allant jusqu’à 10 millions de dollars est impressionnante, mais à qui s'appliquera-t-elle? Il y a divers moyens d’éviter que les entreprises légitimes ne s’y exposent, dont un projet de loi à portée plus restreinte.

    Une autre façon serait d’établir un lien, par exemple, entre le courriel commercial non sollicité et certaines autres activités illicites. Il est donc seulement question des situations où le message envoyé contient un en-tête falsifié, de faux renseignements ou des adresses URL dirigeant les personnes vers un autre site. Cette procédure nous permet donc de revenir à l’acte frauduleux comme tel, qui n’inclut pas que l'envoi du courriel, mais aussi l’incitation à effectuer une transaction et la tentative de vol de renseignements bancaires. Puisque les SPA ciblent un peu plus ce genre de communications, une telle démarche élimine déjà beaucoup d’activités et nous permet surtout de poursuivre les quelque 17 polluposteurs se trouvant au Canada.

    Il y a divers moyens de s’y prendre, mais l’idée est de distinguer les pirates informatiques des entreprises légitimes au Canada.

    Vous nous recommandez donc, si je comprends bien, de nous concentrer sur l’intention et non sur l’acte comme tel. Mon explication est-elle juste?

    Vous pouvez également examiner les divers éléments contenus dans ces communications. Comme je l’ai dit, les polluposteurs n’envoient pas des courriels pour leur simple plaisir. Ils cherchent à vendre un produit, à obtenir des renseignements personnels et à contourner les filtres antipourriel. Leurs courriels cachent toujours une intention frauduleuse. Vous pourriez peut-être ajouter ces activités à celles déjà prévues. Ce n’est qu’une idée.

    Je vous remercie.

    Merci beaucoup.

    Monsieur Bouchard.

    Merci, monsieur le président. Merci également à chacune et chacun d'entre vous pour les témoignages que vous nous avez présentés.

    Ma première question, je l'adresse à M. Hill, vice-président de l'Association canadienne du marketing.

    Vous avez suggéré un certain nombre de modifications ou d'amendements. Vous avez même suggéré que certains articles soient modifiés. Vous avez également parlé des pourriels qui sont échangés entre les États-Unis le Canada. Cela m'amène à vous demander si vous vous êtes intéressé aux pourriels qui viennent des pays autres que le Canada?

    Au Canada même, le projet de loi C-27 fixe des règles qui permettent un certain contrôle. À tout le moins, il établit des mesures qui sont appliquées à l'intérieur du Canada. Cependant, vous êtes-vous intéressé à ce qui se passe à l'extérieur du Canada? Si oui, j'aimerais savoir si vous avez des recommandations à faire pour restreindre, éliminer ou réduire le nombre de pourriels qui viennent de l'extérieur du Canada.

    En effet, les pourriels qui viennent de l'extérieur du Canada sont également nombreux.

    Vous avez raison; les pourriels constituent un problème international. Le projet de loi vise entre autres à des dispositions d’application de la loi et de coopération internationale, ce qui nous permettra de collaborer avec les pays étrangers afin de poursuivre les polluposteurs un peu partout. Le projet de loi rend illégal tout envoi de courriel commercial non sollicité à un destinataire canadien, sans son consentement. Cette disposition s'appliquerait également à une organisation qui envoie des pourriels de l’étranger. Bien évidemment, à des fins d'application de la loi, nos autorités doivent collaborer avec d'autres agences, comme c'est le cas dans beaucoup de domaines.

    J'ai indiqué que nos opérations s’effectuent sur le marché nord-américain. Beaucoup de nos échanges commerciaux sont réalisés entre le Canada et les États-Unis, où il a également un régime antipourriel différant quelque peu du nôtre. Je suis d’avis que ce projet de loi nous aidera énormément quant à la lutte contre les pourriels au Canada. Cependant, je vous proposais tout simplement d’examiner certains domaines particuliers où nous pourrions harmoniser les deux lois sans réduire l'efficacité du projet de loi canadien, mais en écartant les entreprises légitimes qui se lancent dans des campagnes de marketing par courriel au Canada et aux États-Unis.

    Les activités de plusieurs de nos membres ont lieu des deux côtés de la frontière. Prenons l’exemple des exigences canadiennes et américaines en ce qui concerne les courriels; il faudrait les normaliser. Ce projet de loi exige que l’expéditeur d’un courriel soit identifié, mais le projet de loi canadien va plus loin que le régime américain, car il précise que tout fournisseur de services ayant pu envoyer le message doit être également inclus. Pour les commerçants qui mènent des activités des deux côtés de la frontière, il est souvent très difficile de déterminer si le détenteur d’un compte Gmail est au Canada ou aux États-Unis.

    Les entreprises pourraient enfreindre la loi au Canada sans le savoir si nous n’harmonisons pas les deux régimes, ce que nous avons tenté de faire pour la Liste nationale de numéros de télécommunication exclus. Vous vous souviendrez que la période de 18 mois a d'abord été envisagée dans le cadre du projet de loi prévoyant la liste, lorsque nous cherchions à harmoniser notre régime visant le télémarketing avec celui des États-Unis.

    Merci.

    Ma deuxième question s'adresse à la Chambre de commerce du Canada.

    En vous écoutant, j'ai pu constater que vous étiez assez critique à l'égard du projet de loi C-27. Vous parlez des milliers de pourriels qui seraient considérés comme illégaux et de l'interdiction des relations d'affaires; vous dites que ce projet de loi devrait être amélioré.

    J'aimerais que vous nous disiez ce qui vous semble acceptable dans ce projet de loi. Y a-t-il des éléments que vous seriez prêts à défendre et que vous voudriez nous voir conserver?

    Comme nous l’avons mentionné dans notre déclaration préliminaire, nous sommes très favorables au principe du projet de loi ainsi qu’à l’objectif d’élimination des pourriels et des logiciels malveillants qui peuvent causer des dégâts. Nous préférons la méthode de l’adhésion volontaire à l’approche des États-Unis, qui fonctionne selon une liste d’exclusion. Comme l’a déclaré M. Courtois, il faut vraiment rééquilibrer le projet de loi afin d’éviter les problèmes imprévus. Il y a plusieurs moyens d’y arriver. Les opinions divergent quant à la meilleure manière de procéder, car certains éléments sont communs à tous les pays, mais il subsiste des variations nationales. Il faut discuter et débattre de l'approche appropriée pour que le Canada arrive à ses fins.

    En ce qui a trait aux pourriels, d’une manière générale, si la définition du courriel commercial visait le véritable problème au pays, soit les messages de marketing direct qui sont, par ailleurs, dans le collimateur à l'échelle internationale, le projet de loi serait assez étendu pour arrêter les 17 entreprises malveillantes qui nous préoccupent tous. On éviterait toutefois de cibler par inadvertance les entreprises canadiennes qui font des pieds et des mains pour ne pas sombrer en ces temps économiques difficiles.

    Ensuite, si nous nous conformons à la norme internationale du consentement tacite au lieu de conserver le consentement exprès, ces 17 pirates informatiques ne pourront jamais prouver qu'ils ont obtenu un consentement implicite. Nous serons en mesure de poursuivre les sociétés qui nous préoccupent particulièrement tout en évitant de cibler involontairement les entreprises légitimes canadiennes.

    Quant aux exceptions, au lieu d'être très précis et de répertorier toutes les exceptions prévisibles, nous aurions avantage à adopter un principe souple et réaliste.

    Enfin, à l’égard des espiogiciels, de nombreux pays ont simplement recours aux dispositions de leur code pénal. Le Canada a déjà des dispositions qui peuvent s’appliquer, telles que le méfait concernant des données et l'utilisation non autorisée d’ordinateur. Nous n’en avons donc pas nécessairement besoin, mais si nous voulons le faire, nous pouvons nous inspirer d’autres pays qui ont une loi antiespiogiciel, particulièrement les États-Unis. Ces pays traitent spécifiquement des logiciels malveillants et ils les définissent. Si nous allions dans cette direction, tout le monde ici présent accepterait le principe du projet de loi.

    Merci beaucoup, monsieur Sookman.

    Merci, monsieur Bouchard.

    Monsieur Lake.

    Merci, monsieur le président.

    Je remercie les témoins d’être des nôtres aujourd’hui.

    Certains des termes que nous utilisons m’intéressent. Nous entendons beaucoup parler des « entreprises légitimes », mais l’expression n’a pas vraiment été définie. J'aimerais en savoir un peu plus à ce sujet.

    Nous parlons également des 17 pirates informatiques — apparemment, il n'y en a que 17.

    Lors de la dernière séance, j'ai parlé de mon travail au club de hockey des Oilers d'Edmonton vers la fin des années 1990. J’avais une adresse courriel qu’il me fallait changer un jour parce que je recevais tellement de pourriels. Laissez-moi vous dire qu’ils n’avaient pas été envoyés par les 17 délinquants dont vous parlez. Il s’agissait tout simplement de pourriels engorgeant tellement ma messagerie qu’elle n’était plus fonctionnelle. Je doute que ces messages aient été majoritairement frauduleux; ce n'était que des pourriels. Nous avons dû embaucher une personne pour y remédier et installer des logiciels antipourriel, ce qui a occupé énormément d’espace disque. En fin de compte, il m'a fallu changer d’adresse courriel.

    Je me trompe peut-être, monsieur Sookman, mais vous semblez les définir comme étant des activités d'entreprises légitimes.

    Enfin, madame Morin, même si je vous vois secouer la tête, il semble que vous ne voudriez pas qu’ils soient régis par ce projet de loi. J’aimerais seulement obtenir des précisions. Commençons par vous, madame Morin. Ne les considérez-vous pas ces pourriels comme un problème? Ce genre de projet de loi est-il à propos?

    En fait, la plupart des courriels commerciaux non sollicités que vous receviez dans votre boîte de réception tomberaient plutôt dans la catégorie des messages non sollicités, car ces polluposteurs ont recours à un robot Web pour recueillir votre adresse courriel sur Internet. Ils emploient une autre stratégie où ils n’essaient même pas d’avoir recours au consentement implicite, notamment. Ils recueillent ces adresses courriel afin d’offrir à une entreprise qui souhaite vendre sa marchandise la possibilité d’envoyer les courriels à sa place.

    À mon avis, ces envois tomberaient sous la responsabilité de l’Association internationale des affaires correctionnelles et pénitentiaires (AIACP), qui s’en occupe déjà. Je sais que l’expression « entreprises légitimes » peut être difficile à expliquer, mais au Canada, celles-ci sont assujetties aux lois relatives à la protection des renseignements personnels. Cette démarche s’est révélée utile, car ces individus dont M. Geist et moi avons parlé n’ont pas envoyé qu’un ou deux courriels, mais plutôt des centaines aux personnes figurant sur leurs listes; malheureusement pour eux, deux des destinataires étaient membres du groupe de travail.

    Il est donc juste de dire qu’il n’y a pas que 17 pirates informatiques, mais un nombre incalculable de délinquants qui en exaspèrent plus d’un.

    Il y en a sûrement plus que 17.

    Merci.

    C'est vrai, nous recevons tous des courriels non sollicités. Certains d'entre eux proviennent même de nos êtres chers, avec lesquels nous avons une relation personnelle et familiale. Nous n’allons donc rien faire pour éviter de recevoir les courriels que nous ne voulons pas obtenir. Il reste à savoir comment établir la distinction entre les bons et les mauvais, et c'est là le coeur du débat. Je conviens que tous les courriels provenant de personnes auxquelles nous n’avons jamais eu affaire et encombrant nos boîtes de réception devraient être couverts, mais la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur la confidentialité des communications électroniques les régissent déjà. Ils seraient couverts, même compte tenu des amendements que nous proposons au projet de loi pour rajuster le tir. Ces courriels d’expéditeurs inconnus qui engorgent nos boîtes de réception ne sont pas inclus dans la définition du consentement tacite ou d'une relation d’affaires en cours. Selon moi, nous pourrions donc régler le problème des boîtes de réception pleines, et elles le sont toutes, même avec un assouplissement du régime de consentement implicite.

    Ma prochaine question s’adresse à M. Courtois.

    En ce qui concerne Java et JavaScript, quelques préoccupations ont été soulevées. Le ministre a affirmé très clairement qu'il est prêt à envisager quelques amendements au projet de loi pour en tenir compte.

    J’aimerais parler des mises à jour générales. Lorsque j’installe un programme sur mon ordinateur, un message-guide me demande habituellement si j’accepte les conditions. Il ne serait pas si difficile pour le fournisseur du logiciel installé sur mon ordinateur d’inclure simplement un message me demandant si je consens à ce qu’il fasse régulièrement des mises à jour. De manière générale, je crois bien que si j’installe un logiciel pour améliorer la sécurité de mon ordinateur, je vais accepter volontiers des mises à jour périodiques du logiciel.

    N'est-ce pas suffisant? Qu’estimez-vous déraisonnable? Selon vous, est-il excessif d’avoir une telle attente?

    J'estime qu'il y a moyen d'asseoir la loi sur les pratiques exemplaires. Si, par exemple, j'ai téléchargé un programme qui me permet d'ouvrir certaines applications, de visionner des vidéos ou encore d'avoir du son, c'est ce qui se passe actuellement. Quand une mise à jour est prête, je reçois un message qui me demande si j'accepte que le programme soit mis à jour. Si l'on suit les pratiques exemplaires, pendant que s'effectue la mise à jour, je réduis simplement la fenêtre au bas de l'écran et je continue de faire ce que j'étais en train de faire.

    Par contre, ce n'est pas aussi simple quand il faut installer des rustines ou des applications de sécurité qu'il faut réellement télécharger automatiquement. Sont aussi inclus dans cette catégorie certains genres de transactions durant lesquelles il n'est pas très clair qu'un véritable programme est en train d'être téléchargé. C'est à cet égard qu'il faut, selon moi, prendre l'avis des spécialistes techniques pour savoir combien de transactions de ce genre ne peuvent pas être autorisées en cliquant simplement sur la case de la fenêtre qui dit: « J'accepte que ce programme particulier soit mis à jour ». Cette façon de faire a l'avantage que l'utilisateur sait exactement ce qu'il accepte. Par contre, il arrive que des facteurs de temps et de complexité jouent quand on tente de protéger votre ordinateur de certains dangers. Il faut expliquer à quoi servira le changement, tandis qu'inversement, si ce qu'on recherche, ce sont des maliciels, on a qu'à programmer les cinq ou six paramètres qui les définissent, notamment les logiciels qui modifient les paramètres d'autres programmes, qui font la collecte de renseignements personnels ou financiers sur le propriétaire de l'ordinateur, qui activent des logiciels d'enregistrement de frappes clavier en vue de réunir des renseignements personnels, qui bloquent ou désinstallent les espiologiciels, qui collectent l'historique de navigation et la liste de signets ou qui empêchent l'utilisateur d'enlever des espiologiciels.

    Vous pourriez tous les énumérer et en faire des sous-alinéas de la définition de maliciels et vous obtiendriez probablement qu'ils soient universellement acceptés. D'autres actes du même genre pourraient également être prohibés par voie de réglementation, et vous avez vu à tout. Vous tentez de couvrir tout l'univers des téléchargements, mais que représentent les téléchargements d'applet ou de JavaScript? Est-ce un programme? Se prête-t-il à des autorisations ou fenêtres de consentement? Alourdit-il le fonctionnement d'Internet?

    C'est pour voir à de pareilles questions qu'il faudrait vraiment réunir un groupe de spécialistes, et même là, vous n'auriez jamais l'assurance qu'en voulant tout couvrir, vous n'avez pas exclu quelque chose que vous ne vouliez pas interdire. Voilà pourquoi il est si facile de faire la liste des choses que l'on ne veut pas. Énumérez-les simplement, et vous parviendrez à vos fins.

    Ce que je saisis mal, c'est pourquoi il faudrait accéder à mon ordinateur à distance pour régler de toute urgence un problème quelconque, mais tout de même crucial. Je ne suis pas sûr de bien comprendre. Je n'arrive pas à évoquer une situation où ce serait nécessaire. Peut-être pouvez-vous me fournir un exemple de situation dans laquelle l'organisme qui accède à mon ordinateur de l'extérieur n'aurait pas eu l'occasion d'obtenir mon consentement au préalable. Ce n'est pas très clair.

    Je comprends que, si je navigue sur le Web, j'aurai sûrement besoin d'une certaine protection dont je ne voudrais pas me passer. Par contre, je ne souhaite pas avoir à cliquer « Oui » chaque fois. C'est une situation que je comprends. Peut-être faudrait-il un petit ajustement pour en tenir compte. Mais ce qui m'échappe, c'est cette situation critique dont vous parlez, du problème dont quelqu'un de l'extérieur est conscient et qu'il peut régler à distance. Pouvez-vous me donner un exemple de situation dans laquelle on n'aurait pas mon consentement?

    J'avoue que je ne suis pas suffisamment versé en la matière pour le savoir, mais je sais que si ce genre d'attaques et de problème éventuels étaient prévisibles, manifestement, tous les logiciels s'en chargeraient. Il se pourrait qu'on veuille modifier le programme d'une façon qui ne correspond pas à une mise à jour pour mieux protéger votre ordinateur.

    Cela va-t-il correspondre à la définition du consentement prévu dans le texte? Y a-t-il d'autres situations où le téléchargement ne serait pas forcément vu comme un programme particulier ou ne serait pas forcément vu comme étant le genre de chose que vous avez acheté au départ? Il pourrait y avoir des ajouts, sur le plan technique, plutôt que de simplement obtenir une nouvelle fonctionnalité, par exemple.

    Je crois que M. Sookman souhaitait intervenir également.

    Oui. J'allais souligner un point. Depuis que nous avons pu prendre connaissance du projet de loi, nous avons réussi à repérer certaines situations dans lesquelles l'installation d'un logiciel pourrait poser problème, soit parce qu'il n'est pas pratique d'obtenir le consentement exprès chaque fois ou parce qu'il arrive qu'il ne soit pas possible de se conformer à la formule de consentement parce que pour l'obtenir, il faudrait communiquer certaines informations. Des difficultés ont été causées quant à la manière dont on respecterait l'obligation de fournir des renseignements sur chaque mise à jour à l'avance quand vous signez aujourd'hui un contrat pour obtenir des mises à jour durant l'année.

    Toutefois, si j'avais un dernier point à souligner, ce serait qu'il faut vraiment tenir compte du fait que les logiciels actuels sont utilisés dans tous les appareils numériques. Il n'est pas question que d'ordinateur et d'Internet. Il ne faut pas oublier les logiciels chargés dans les appareils photos et dans tout appareil qui peut se brancher sur le réseau. Il est vraiment difficile de définir à l'avance un nouveau régime de réglementation pour traiter des logiciels utilisés dans les différents appareils numériques.

    Je vous remercie beaucoup, messieurs Lake et Sookman.

    La parole va maintenant à M. Masse.

    Merci, monsieur le président.

    Je suis reconnaissant aux délégations d'avoir accepté d'être des nôtres aujourd'hui.

    Ce dossier a suscité un débat intéressant parce que je crois que les Canadiens oublient souvent qu'ils ont des droits. Ce sont eux qui achètent les ordinateurs et les appareils électroniques. Chaque mois, ils paient un tarif d'utilisation. Ils en assument aussi l'entretien. Parallèlement, tous ces appareils se sont transformés en portails de télémarketing et de publicité, que je considère comme une invasion en termes de frais à engager.

    Je vais donc vous interroger au sujet de mes sources de préoccupation, et je vais commencer par M. Sookman.

    Peut-être pouvez-vous m'en parler plus abondamment. Il s'agit de la question du consentement exprès par rapport au consentement tacite. À nouveau, j'ai fait cet investissement et je contrôle essentiellement l'appareil que j'ai acheté. Le consentement tacite semble diminuer ma capacité d'empêcher l'envoi de messages non sollicités et d'autres genres de publicité parce qu'alors, la décision revient à un tiers plutôt qu'à moi. Je ne crois pas qu'il soit trop coûteux d'obtenir le consentement exprès étant donné qu'il existe plusieurs moyens de le faire, que ce soit au moyen d'Internet comme tel ou même d'un envoi postal et ainsi de suite.

    Peut-être pouvez-vous m'en parler plus longuement et me rassurer, c'est-à-dire me confirmer que le renoncement au consentement exprès ne me rend pas plus vulnérable.

    La façon d'obtenir le consentement faisait déjà l'objet d'un débat avant l'an 2000 pour ce qui est de l'utilisation des renseignements personnels, y compris de l'adresse. La question a été débattue en l'an 2000 lors de l'examen de la LPRPDE et du genre de consentement à utiliser aux fins de la protection de la vie privée.

    Je crois que tous ici accordent la plus haute importance au besoin de respecter la vie privée et les renseignements personnels. Lors du débat, on s'est entendu pour dire que l'efficacité de la loi serait intacte si l'on avait recours à une combinaison de consentement exprès et de consentement tacite. En fin de compte, on s'est rangé à l'idée que, dans le cadre du code type CSA, en termes pratico-pratiques, les renseignements personnels de nature très délicate exigeraient le consentement exprès, mais que la protection des renseignements de nature moins délicate pourrait s'accommoder d'un consentement tacite, ce qui a été intégré à la LPRPDE. C'est le régime sous lequel évoluent les entreprises canadiennes actuellement: la norme peut varier selon la nature des renseignements à protéger.

    Il se trouve que de nombreuses entreprises ont recours au consentement exprès. Bon nombre d'entre elles, lorsqu'elles traitent avec des particuliers, intègrent le consentement à leur politique de protection des renseignements personnels. Je ne doute pas que ces entreprises vont continuer de le faire, que ce soit sous le régime de la LPRPDE ou sous celui de la LPCE. Donc, dans ces cas-là, je ne crois pas qu'il va y avoir un changement.

    Le problème fait surface, cependant, quand nous passons à un régime qui dit essentiellement: « Des messages commerciaux électroniques tu n'enverras point ». On va souvent vouloir recevoir les courriels des autres, cela va presque de soi. En imposant le consentement exprès lorsque l'occasion ne s'en n'est pas déjà présentée, nous enlevons au support toute utilité.

    Par exemple, nous communiquons souvent avec d'autres par téléphone. Je vous appelle, je vous dit que j'ai un bateau à vendre et je vous demande si vous êtes intéressé. Vous n'êtes pas forcément un ami ou un membre de la famille, mais vous êtes peut-être l'ami d'un ami ou le petit copain de ma soeur. Si le projet de loi à l'étude était appliqué dans sa version actuelle, je ne crois pas que ce genre d'appel serait possible.

    Je maintiens qu'il existe des raisons pragmatiques pour lesquelles le consentement tacite serait utile.

    J'aimerais simplement vous donner d'autres exemples concrets. Depuis que le projet de loi a été déposé, j'ai observé que des personnes que je connais depuis de très nombreuses années ont quitté, par exemple, la fonction publique ou une entreprise et lancé la leur. Je n'ai jamais passé de contrat avec ces personnes, mais je suis très heureux d'avoir leurs nouvelles coordonnées et d'apprendre qu'elles ont démarré une entreprise, de sorte que si jamais... Cela ne m'offusquerait pas. En réalité, je trouve utile d'avoir accès à cette information.

    Autre exemple, supposons que j'ai acheté un produit il y a trois ans et que ce produit fait l'objet d'un rappel ou que je reçois de l'information sur la sécurité. Je possède le produit depuis déjà 18 mois. On ne veut certes pas interdire l'envoi de pareilles informations.

    Il n'est donc pas question d'ouvrir la porte à un afflux massif de messages commerciaux non sollicités, mais simplement de modifier le sens de l'expression de manière à ne pas y inclure des éventualités qui, de l'avis de tous, seraient utiles.

    Non, j'en conviens.

    Je suppose que je demeure légèrement inquiet, tout de même. Dans l'exemple des appels téléphoniques, je pourrais faire inscrire mon numéro de téléphone sur la liste des numéros de télécommunication exclus. J'ai ce choix.

    Il existe effectivement certaines situations dans lesquelles la loi de la protection de la vie privée nous protège. Par contre, tous ne sont pas prêts à se prêter à toutes ces formalités pour protéger leur vie privée. Les avocats peuvent peut-être le faire beaucoup plus aisément que les particuliers.

    Quoi qu'il en soit, si l'on accepte la notion du consentement tacite plutôt qu'exprès, cela nuira-t-il plus particulièrement à la capacité d'une personne de contrôler ce qui aboutit sur son appareil?

    Je ne le crois pas, parce qu'on aura recours en fait à une combinaison de consentements exprès et tacites. En ce qui concerne la notion du consentement tacite, il est toujours possible de le libeller de façon telle, comme cela se fait ailleurs, qu'il est lié à des conditions préalables, comme des relations d'affaires ou d'autres formes de relations en cours, ce qui évite le consentement sans réserve. Toutefois, je le répète, ce n'est pas la même chose que dire, par exemple, que je ne peux envoyer un courriel qu'à quelqu'un qui a acheté quelque chose de moi au cours des 18 derniers mois — une fenêtre exceptionnellement étroite — ou que je ne peux le faire qu'à quelqu'un qui fait partie de ma famille immédiate.

    D'accord. Monsieur le président, j'aimerais utiliser le reste du temps dont je dispose pour poser à M. Hill une question au sujet d'un point sur lequel le comité n'est pas revenu.

    J'aimerais que vous me parliez un peu plus de la liste des numéros de télécommunication exclus dans le cadre du projet de loi à l'étude. Vous avez exprimé des réserves au sujet de son inclusion dans le texte. Peut-être pouvez-vous m'en expliquer les raisons.

    D'autres témoins ont également fait valoir la même préoccupation. Ils estimaient que cela déclencherait un autre processus ou ferait entrer en jeu un autre texte législatif et que son inclusion dans le projet de loi à l'étude pourrait en réalité rendre les choses encore plus complexes.

    Il serait donc utile que je vous laisse nous expliquer à nouveau ces préoccupations.

    Je vous remercie.

    Le programme d'exclusion de numéros de télécommunication n'est en place que depuis huit mois environ. Nous estimons qu'il importe de le laisser faire ses preuves de manière à pouvoir bien l'évaluer. La mesure législative initiale prévoyait que votre comité recevra un rapport sur le fonctionnement de la liste. Son inclusion, presque comme si l'on y avait pensé après coup, dans le projet de loi à l'étude nous préoccupe au plus haut point parce qu'elle permettrait, dans les faits, au gouvernement d'abolir le programme d'un simple coup de plume, à une date indéfinie, sans tenir le débat que nous estimerions justifié.

    Même aujourd'hui, après avoir pris connaissance des dispositions du projet de loi, des membres nous demandent s'il est vrai que ce programme sera aboli ou retiré. Nous estimons que la présence de ce genre d'élément déclencheur dans la loi crée de l'incertitude dans le milieu des affaires et qu'elle ne contribue pas à atteindre les objectifs de la Loi sur la protection des documents commerciaux électroniques.

    Je reconnais la validité de l'argument évoqué par le ministre, soit que la convergence pourrait, à un moment donné, justifier certains changements, mais je crois que nous proposerions alors une révision de la loi et une réévaluation de la situation.

    Est-ce que d'autres témoins ont des observations à faire ou une position à prendre au sujet de la liste des numéros exclus?

    Parfait.

    Monsieur le président, je n'ai plus de questions.

    Merci, monsieur Masse.

    La parole va maintenant à M. Garneau.

    Merci, monsieur le président.

    Ma question s'adresse à M. Sookman, étant donné qu'elle concerne son champ d'expertise. J'aimerais revenir sur certains propos de M. Geist, que nous avons eu le plaisir d'entendre la semaine dernière et qui, en fait, a rédigé sur le sujet un blogue qu'il m'a envoyé. J'aimerais, monsieur Sookman, savoir ce que vous pensez de ses réponses à certaines questions et à des points précis qui avaient été abordés lors la dernière réunion.

    Je vous lis un passage de son blogue.

    Je vous lis sa réponse:

    Qu'en pensez-vous?

    Dans son témoignage — je crois avoir lu le blogue dont vous parlez —, M. Geist a indiqué qu'il n'y avait pas de distinction à faire entre la Loi sur la confidentialité des communications électroniques et la loi australienne, puisqu'elles utilisent toutes deux la même expression.

    En fait, elles utilisent la même expression, mais les définitions sont différentes. Donc, bien que la terminologie soit la même, en Australie, les communications électroniques sont définies comme étant une série précise d'actes qui s'assimilent à du marketing direct, alors que dans le projet de loi canadien, qui inclurait une longue liste — très semblable à celle de l'Australie —, on ajoute le principe général qui permettrait d'y assujettir d'autres phénomènes.

    Donc, les termes sont peut-être les mêmes, mais pas leur sens.

    D'accord.

    Voici ma question suivante: la Loi sur la confidentialité et les communications électroniques étend-elle son champ d'application trop loin, au-delà des frontières canadiennes? Je lui ai posé la question. Il m'a répondu que, pour s'appliquer, la loi exige la présence d'une connexion au Canada. Voilà qui est conforme au droit juridictionnel plus général qui exige une connexion réelle et importante.

    Quelle est votre réaction?

    J'en sais un peu au sujet du critère de connexion réelle et substantielle parce que c'est moi qui ai plaidé devant la Cour suprême du Canada la cause faisant jurisprudence concernant son application au cyberespace, et ce critère n'avait absolument rien à voir avec l'interprétation de la portée territoriale de la loi. En réalité, le projet de loi à l'étude inclut le routage comme un élément qui rendrait la loi applicable à des communications directes de l'étranger — soit d'étranger à étranger, d'un Américain à un autre, une communication à laquelle n'ont pas accès les Canadiens, qui n'est pas envoyée par un Canadien aux États-Unis.

    J'estime donc que la question relève en réalité du principe international de courtoisie. Devrions-nous élargir l'application de nos lois à des questions qui en réalité et essentiellement ne sont que des communications entre étrangers? Le fait de le faire nuirait considérablement dans les faits aux entreprises canadiennes, parce qu'il existe des entreprises canadiennes qui acheminent réellement, dans le cadre du service qu'elles offrent, tous les messages par des relais situés au Canada, de sorte que leurs clients étrangers éprouveraient des difficultés à avoir recours à elles et que celles-ci seraient alors obligées de déplacer leurs relais à l'extérieur du Canada pour permettre à des étrangers d'utiliser leur service.

    Donc, je rejette cette réponse.

    Je lui ai posé une autre question au sujet des dispositions relatives à la collecte d'adresses de courriel sans consentement, à savoir si les restrictions imposées à cet égard ne nuiraient pas à l'application de la loi. Il m'a répondu que c'était peu probable puisque, bien que la Loi sur la confidentialité des communications électroniques modifie la LPRPDE en vue de tenir compte de ce genre de collecte, les nombreux pouvoirs policiers permettant d'accéder à beaucoup plus que les adresses de courriel demeurent inchangés.

    Je m'inscris à nouveau en faux contre de telles assertions.

    Tout d'abord, la LPRPDE établit en règle générale les principes applicables qui permettent la collecte, l'utilisation et la communication de renseignements en vue de faire respecter la loi canadienne et elle permet très explicitement les communications visant à exécuter des citations à comparaître, des mandats et des ordonnances de la cour. Ce sont-là les exceptions dont tiennent compte les tribunaux lorsqu'ils rendent des ordonnances. Si la loi était modifiée et que ces exceptions d'application générale ne s'appliquaient plus, on pourrait arguer que les forces d'exécution de la loi ne seraient pas autorisées à obtenir l'information, parce qu'elle serait protégée par la loi.

    Je sais que les milieux d'exécution de la loi sont préoccupés par cette question et je crois qu'ils sont très inquiets du fait qu'il serait alors possible d'entraver leur travail sur Internet. Les particuliers également sont préoccupés.

    Monsieur Garneau, je vous remercie beaucoup d'avoir posé ces questions.

    Monsieur Sookman, je vous remercie également.

    Monsieur Wallace.

    Merci beaucoup, monsieur le président, et j'en profite pour remercier nos invités d'avoir pris la peine de venir cet après-midi.

    Monsieur Sookman, pour ma stricte gouverne, j'aimerais savoir si vous témoignez aujourd'hui en tant que porte-parole de la Chambre de commerce du Canada?

    Oui.

    Donc, vous en êtes membre? En tant qu'avocat, vous n'êtes pas ici pour représenter votre client?

    McCarthy Tétrault est membre de la chambre.

    Est-ce que la chambre a mis sur pied un comité d'examen quelconque chargé d'examiner les courriels et ce genre de choses? On vous voit comme un expert et, en fait, on vous qualifie de tel. J'aimerais bien savoir ce qui, dans vos antécédents professionnels, vous qualifie en tant qu'expert.

    D'accord.

    Sue.

    J'allais dire que M. Sookman est membre de notre comité du commerce électronique et des télécommunications et qu'il est ici aujourd'hui en tant qu'expert de...

    Donc, il est porte-parole de la chambre et ce qu'il énonce représente le point de vue de la chambre. Merci.

    Quand le projet de loi a été déposé, j'ai également rédigé une circulaire administrative pour la Chambre de commerce dans laquelle je résumais les effets qu'il aurait sur nos membres.

    C'est seulement que j'ai vu le nom du cabinet d'avocats, et je ne savais pas si vous étiez ici avec eux, ou quoi que ce soit. Il se peut que j'aie manqué cela au début, je le regrette.

    Je crois comprendre que tout le monde, quasiment, est d'accord avec le projet de loi en principe. Est-ce vrai ou non, ou encore est-ce que je me trompe dans mon interprétation de ce qu'ont dit les témoins? Vous êtes d'accord, en principe, avec le projet de loi. Un hochement de tête me suffira, pour dire oui ou non.

    Il a été question d'en débattre plus longuement. À ce que j'ai compris, cette discussion dure depuis au moins 2005, sinon avant, alors à mon avis, il est temps d'en finir.

    Je suis en fait un peu confus par la discussion entre vous, MM. Sookman et Courtois. À mon avis, ce qu'il faut c'est un filet plus large, comme certains se plaisent à dire, et aussi que nous éclaircissions ce qu'est le consentement implicite, etc., pour pouvoir en saisir toute la portée. Je ne suis pas sûr que vous soyez d'accord avec cela, monsieur Sookman, ou si vous préféreriez quelque chose de beaucoup plus étroit, qui aille dans l'autre sens. Ai-je bien compris ce témoignage, ou non?

    J'ai deux choses à dire. La première, c'est que la définition en soi de ce que cela entend pourrait être resserrée, comme elle l'est dans tous les autres territoires de compétences qui traitent de la question, pour ne pas, par inadvertance, lancer un filet trop vaste. La deuxième chose, c'est qu'il faut aussi élargir le sens du consentement implicite.

    D'accord. Je vois.

    Malheureusement, je n'étais pas là jeudi quand nous avons débattu de ce projet de loi, mais j'ai assisté à des réunions antérieures en qualité de membre du Comité de l'industrie. J'ai posé précisément au ministre et à ses collaborateurs la question concernant l'examen quinquennal. Je me souviens que vous aviez parlé de la possibilité qu'il faille le faire, et que ceci pourrait arriver. Certains changements pourraient survenir; ce pourrait être un problème. Le terme « pourrait » revient assez souvent. À mon avis — cela ne fait que trois ans que je suis ici, et j'ai assisté à l'examen de la LPRPDE — pour qu'on arrive à avoir un projet de loi, il faudrait que nous passions ici un temps fou à tenter de tout préciser dans le moindre détail et rien n'avancerait, non seulement ici à ce comité, mais au gouvernement en général.

    Je suggère un examen quinquennal pour que nous puissions instaurer ceci, adopter ce projet de loi, le promulguer et que le règlement entre en vigueur, ce qui évidemment se fait un certain temps après. Dans le projet de loi sous sa forme actuelle, il n'est rien prévu de tel qu'un examen quinquennal. J'aimerais savoir ce que vous pensez, s'il vaudrait la peine ou non d'ajouter un examen quinquennal à ce projet de loi particulier.

    Je suis prêt à accepter la réponse de l'un ou l'autre des témoins.

    Oui, je pense qu'un examen quinquennal serait utile. Il y a des choses qui changent beaucoup. Je dirais, cependant, qu'il faudrait rendre le projet de loi plus flexible dès maintenant, parce que bien du tort pourrait être fait d'un côté ou de l'autre, au cours de ces cinq ans, qu'on ne souhaite pas. Alors il faut formuler correctement la loi dès le départ, et oui, on peut la passer en revue après cinq ans, mais le projet de loi en soi doit déjà être flexible. Par exemple, vous dites que nous en débattons depuis 2005. Je faisais partie de ce groupe de travail. Comme je l'ai dit, nous avons consacré beaucoup de temps rien qu'aux principes fondamentaux du courriel non sollicité, aux concepts de consentement actif et de consentement passif. Nous n'avons pas consacré de temps à ce type de dispositions parce qu'elles nous étaient inconnues, bien entendu. Nous pensions qu'il faudrait faire quelque chose au sujet des espiogiciels, mais même le groupe de travail ne s'est pas penché plus loin sur la question pour déterminer comment s'y prendre pour étudier cette question.

    Ce que nous voulons maintenant, c'est ne pas avoir de cas comme celui d'une personne que je connais depuis 20 ans qui va créer sa propre entreprise et tout d'un coup, elle est passible d'une poursuite au civil pour 10 millions de dollars pour avoir envoyé des avis que je veux recevoir — au sujet des lieux de ses activités maintenant —, ou pour des choses qui peuvent être téléchargées sur mon ordinateur, ou peut-être pour le genre de mécanisme de radiation d'un abonnement qu'on peut avoir sur l'ordinateur et qui ne fonctionnera pas bien sur le Blackberry.

    Monsieur, pensez-vous que ce soit vraiment définissable dans un texte de loi, de préciser autant ce genre de détails?

    Dans le sens où on peut définir « consentement implicite » de manière à ce qu'au moins, on sache que la loi ne vise pas le négatif. On peut définir les types de mauvais comportements qu'on vise de manière à s'assurer de ne pas y englober certains bons comportements. C'est pourquoi je vous dis qu'il faut une clause, là-dedans, qui dise que si du nouveau, qui est négatif, fait surface, qui n'avait pas été prévu — et on sait que les arnaqueurs sont toujours en quête de nouvelles variations aussi — on met dans le règlement que ce peut être visé. Alors ça dure un mois, deux ou trois, et on peut s'y attaquer.

    Ce qu'on ne peut pas faire, c'est s'en prendre par inadvertance à une activité parfaitement légitime et prendre trois mois pour corriger le tir.

    Merci beaucoup, monsieur Courtois.

    Nous laissons maintenant la parole à M. Vincent.

    Merci, monsieur le président. Je vous souhaite la bienvenue.

    Monsieur Sookman, ma question s'adresse à vous. Je pense que vous êtes assis entre deux chaises, dans un sens. Vous représentez la Chambre de commerce, qui comprend des industries. Vous avez parlé des communications d'entreprise à entreprise et de tous ceux qui font partie de votre association qui veulent envoyer des courriels. Toutefois, lors de la dernière réunion, on nous a fait part d'une problématique. En effet, beaucoup d'entreprises n'aiment pas recevoir des courriels, même s'ils proviennent d'une autre entreprise. Je prends l'exemple de quelqu'un qui a un contrat pour construire un bâtiment de 10 étages. De partout au Canada et aux États-Unis, des entreprises de portes et fenêtres décident d'envoyer une soumission à cette entreprise. Celle-ci en reçoit environ 500. Cela entraîne des coûts pour l'entreprise, car il faut que quelqu'un les ouvre et les lise. Il y a de la perte de temps.

    Qu'en est-il de vos partenaires qui ne sont pas en conflit d'intérêts dans un sens, mais qui sont en conflit d'intérêts dans un autre sens parce qu'ils ne peuvent plus envoyer un courriel sans être pris en défaut en vertu de cette loi?

    Je pense qu'il est vrai que certaines entreprises ne voudront pas recevoir certains courriels d'autres entreprises. L'objectif, ici, c'est de trouver la juste combinaison, parce que bien des compagnies aimeraient les recevoir.

    Bien des entreprises — et bien des députés d'ailleurs — créent des sites Web dans le but bien précis d'établir une relation avec des gens qu'elles ne connaissent pas encore. Elles donnent une description de leurs produits et services. Elles publient leurs adresses électroniques et ouvrent les bras à tout nouveau fournisseur ou nouvel acheteur de leurs produits et services. C'est une situation où il n'y a pas de relation préalable. Ces entreprises ont fait des investissements dans le but précis que des inconnus communiquent avec elles pour acheter ces nouveaux produits aux services canadiens. Elles seraient ravies de recevoir ces courriels.

    Tel qu'est actuellement libellé le projet de loi, à cause du consentement explicite, on ne pourra même pas cliquer sur l'adresse électronique indiquée dans le site Web, par exemple pour placer une commande ou pour envoyer une demande de proposition ou une demande de prix. Je pense que c'est le problème que nous essayons de résoudre. La règle du consentement implicite aiderait à régler ce genre de situations.

    L'Australie compose avec cette situation en reconnaissant une exception expresse pour les adresses de courriel qui sont affichées bien en vue dans les sites Web.

    Vous me parlez des gens qui sont heureux de recevoir ces courriels, mais que fait-on des entreprises qui sont malheureuses d'en recevoir autant? Qu'allez-vous dire à ces gens qui ne veulent pas de ces pourriels?

    Vous avez un dilemme. En effet, vous parlez d'équilibre, mais ça ne fonctionne que dans un sens; ça ne fonctionne pas dans l'autre. Les gens qui veulent recevoir les courriels des personnes avec qui ils veulent travailler doivent aussi recevoir les pourriels des personnes avec lesquelles ils ne veulent pas travailler.

    Comment atteindre l'équilibre? Une entreprise ne pourra plus choisir son partenaire parce qu'on lui envoie de 500 à 1 000 pourriels par jour, à moins qu'elle n'engage quelqu'un qui va ouvrir ces pourriels pendant toute la journée pour voir s'il y a quelque chose d'intéressant, ou qu'elle ne le fasse elle-même afin de décider avec qui elle veut travailler.

    Qu'allez-vous dire? Comment atteindre l'équilibre, selon vous? J'ai consulté votre site Internet pour voir les recommandations de la Chambre de commerce. Aujourd'hui, vous n'avez parlé d'aucune de ses cinq recommandations.

    C'est une situation à laquelle se butent bien des entreprises canadiennes, et ce que nous proposons protégerait, de fait, ces entreprises. Ce ne sont pas des entreprises qui créent des sites Web et disent « Envoyez-moi des courriels. Voici mon adresse électronique ». Les entreprises auxquelles vous faites allusion n'ont rien qui pourrait s'appeler une relation d'affaires ou une situation de consentement implicite. Le régime que je propose protégerait les entreprises dont vous parlez, parce qu'elles reçoivent des courriels, il n'y a pas de consentement explicite, et il n'y aurait aucune possibilité, même, de prétendre qu'il y a eu consentement implicite. Alors je pense que la situation serait réglée comme il se doit.

    Merci beaucoup, monsieur Sookman et merci, monsieur Vincent.

    Monsieur Lake.

    Si vous permettez, j'aimerais parler des sanctions administratives pécuniaires. Je pense que c'est Mme Morin qui a soulevé la question. Comme je regardais l'article 20, ici, au sujet des problèmes, il était question de quelqu'un qui n'avait pas les moyens de payer une amende de 1 million de dollars ou de 10 millions, mais quand j'ai lu le paragraphe 20(3), « Pour la détermination du montant de la sanction, il est tenu compte des éléments suivants », il semble éminemment raisonnable, à mes yeux, que ce dont il est tenu compte, c'est: « a) le but de la sanction; b) la nature et la portée de la violation; c) et d), les antécédents de l'auteur de la violation, e) tout avantage financier qu'il a retiré de la commission de la violation » — cela semble logique; « f) sa capacité de payer le montant de la sanction » — c'est logique; g) s'il a volontairement versé une somme « à titre de dédommagement à toute personne touchée par la violation; ou « tout autre élément pertinent ».

    Alors il semble bien que nous ayons tout prévu ici. Je ne pense pas que l'on puisse craindre que la première fois qu'elle commet une violation, une personne soit frappée d'une amende de 1 million de dollars, ou une compagnie, de 10 millions de dollars.

    Peut-être pourriez-vous en parler. Est-ce que ces dispositions vous semblent résoudre la question de façon raisonnable?

    Comme je l'ai dit dans mes observations préliminaires, je pense qu'Industrie Canada a fait tout en son pouvoir pour essayer d'atténuer les conséquences négatives possibles pour les entreprises et les auteurs potentiels d'erreurs, ou qui ne sont pas vraiment ceux qui font déborder les boites de réception des citoyens canadiens, ou des citoyens d'ailleurs dans le monde, à bien y penser, ou des entreprises canadiennes. Mais cela met encore les entreprises canadiennes dans la position où elles doivent maintenant se plier à ce qui, dans le fond, est un régime réglementaire nouveau et susceptible de faire double emploi, parce que l'entreprise, petite ou grande, doit encore se défendre devant l'organe de réglementation, soit le CRTC en l'occurrence, ou le Bureau de la concurrence, ou se défendre en regard d'un droit privé d'action. Il y a des dispositions particulières sur les engagements. Il y a des gens qui m'envoient des courriels pour me demander qu'est-ce qu'un engagement? Est-ce qu'une petite compagnie sait vraiment ce que cela entend?

    Il ne fait aucun doute qu'avec le temps, l'organe de réglementation interviendrait et définirait ses pratiques plus précisément, mais pour ce genre de situation, celles qui ne sont pas vraiment préjudiciables — ce ne sont pas eux qui font déborder les boîtes de réception — nous avons un régime tout à fait légitime de protection des renseignements personnels qui est efficace. Alors c'est en quelque sorte aborder le problème par le mauvais bout, si on veut, et plutôt que d'obliger une compagnie légitime à se défendre, ce pourrait être que tous les facteurs que vous avez énoncés, ce sont ceux-là sur lesquels il faut se fonder pour circonscrire les contrevenants.

    Je n'ai que très peu de temps, alors je vais devoir avancer, mais il me semble que c'est plus aller dans le sens de la Loi sur la protection de la vie privée qu'à son encontre.

    Monsieur Sookman, il y a des articles dans un journal qui s'appelle SPAMfighter News, et je dois avouer que je ne connais pas très bien la publication, mais j'ai été saisi par certaines idées qui vous ont été attribuées. Ce n'est pas une citation directe de vous, mais son fondement, en tout cas, vous est attribué, et c'est que les concepteurs de logiciels relativement nouveaux qui envoient des demandes de renseignements par courriel aux distributeurs avec lesquels ils n'ont jamais fait affaires pourraient aussi être passibles d'emprisonnement. Cela me semble assez sévère. Je ne vois rien dans la loi qui parle de jeter des gens en prison pour cela.

    Je n'ai jamais rien dit de tel.

    Je voulais simplement m'en assurer. On lit bien dans le paragraphe que « Sookman a fait remarquer que », et on poursuit en vous attribuant en quelque sorte cette réflexion, alors je voulais des précisions.

    J'ai des problèmes avec le manque d'exactitude des...

    D'accord.

    Vous ne pensez pas vraiment que la loi empêcherait les Canadiens d'utiliser Internet? Il pourrait falloir faire des ajustements pour régler certaines choses, mais il n'est pas question d'interdire aux Canadiens d'utiliser Internet, n'est-ce pas?

    La question se pose à savoir si le projet de loi serait appliqué littéralement — si elle ferait ce qu'elle dit, comme n'importe qui en interpréterait de fait le libellé — ou si quelqu'un prendrait du recul, regarderait le rapport de pourriels et s'exclamerait « Mes aïeux! Mais ce n'est absolument pas le résultat recherché! ».

    Regardez, par exemple, la clause sur les espiogiciels. Elle dit qu'il faut obtenir un consentement explicite pour procéder à l'installation de n'importe quel programme informatique sur un ordinateur. Quand j'ai lu la clause la première fois, je me suis dit « Mes aïeux! », parce que quand on pense à la façon dont fonctionne Internet, le code est téléchargé dans des fureteurs, et à l'instant où un fureteur Web trouve un site, si c'est un programme Java, les programmes Java sont installés dans le fureteur. Ou encore, si le site est conçu en code HTML, dès que le fureteur trouve le site, le code HTML est installé.

    Si on prend cela très littéralement — bien que je n'ai aucun doute que personne n'en ait eu l'intention, puisqu'il serait impossible d'obtenir le consentement explicite de l'utilisateur avant d'accéder au site Web, à moins que les exploitants du site Web décident d'essayer d'obtenir le consentement explicite de tout le monde qui serait susceptible d'y accéder par d'autres moyens — techniquement, cela pourrait avoir de très vastes répercussions. Je pense que tout le monde se rend compte que c'est à corriger. Je ne crois pas que la solution soit de se fier à un paramètre du fureteur Web, comme quelqu'un l'a suggéré, parce que ce n'est pas une solution technologiquement neutre. Elle ne porte que sur une situation. Le problème est plus général.

    Encore une fois, je pense que le projet de loi peut être corrigé pour que cela n'arrive pas. Si cet article ne ciblait que les maliciels, la question ne se poserait pas.

    Merci beaucoup, monsieur Lake et monsieur Sookman.

    Monsieur Masse.

    Merci, monsieur le président.

    À ce propos, quand j'ai vu le projet de loi pour la première fois, j'ai pensé « Eh bien, peut-être que Microsoft devra vraiment créer une plateforme qui fonctionne quand ils la mettent sur le marché. »

    Des voix: Oh, oh!

    M. Brian Masse: Soyons sérieux. Avez-vous une suggestion particulière à faire à ce sujet? Est-ce qu'il faut seulement parler de logiciels malveillants? C'est tout? C'est tout ce que vous auriez à suggérer, en fin de compte? Et est-ce qu'alors, cela n'ouvrirait pas la porte sur d'autres problèmes?

    Je pense que quand on essaie de trouver l'équilibre entre l'interdiction des programmes tout à fait bénins et bénéfiques et la recherche d'une voie de sortie passant, potentiellement, par des règlements qui n'existent pas aujourd'hui pour couvrir cette situation, ou la recherche d'une définition de la nature réelle d'un problème, il est beaucoup plus facile de définir ce qu'est un logiciel malveillant, parce que les gens savent ce que c'est, puis ensuite de permettre à la réglementation, comme le disait M. Courtois, d'être élargie pour cela.

    Je pense vraiment qu'il y aura plus de variation et de diversité dans l'emploi de divers types de programmes informatiques qui sont bénins et utiles dans Internet qu'il n'y aura d'innovations dans les types de pourriels. Je crois qu'avec une réglementation diligente, nous pouvons composer avec les innovations en matière de courriels non sollicités, mais je m'inquiète vraiment de ce que l'on puisse composer avec les innovations légitimes et les rendre légales l'une après l'autre. Je crois que c'est très difficile.

    Je m'adresse à tous les témoins et leur demande si la limite actuelle de contact de 18 mois et les dispositions l'entourant font consensus, ou ont un certain appui. Nous n'en avons pas beaucoup parlé.

    Y a-t-il un niveau de confort, dans la manière dont le projet de loi est actuellement structuré, relativement à la durée de 18 mois de la relation d'affaires et la relation personnelle?

    Je pense avoir dit trouver bizarre que des gens avec qui j'ai eu un marché... ou en tout cas que les destinataires ne pourraient pas avoir acheté un produit plus de 18 mois auparavant. Je pense qu'une limite de 18 mois pourrait être valable dans d'autres contextes, mais ici, à mon avis, la distinction qu'on essaie d'établir, c'est entre les courriels qu'on ne veut pas recevoir et ceux qu'on veut recevoir.

    Je trouve que 18 mois est une limite arbitraire. Je peux entretenir une relation pendant bien plus de 18 mois, et je voudrais...

    Monsieur Courtois, pardonnez-moi. Nous avons un rappel au Règlement.

    Monsieur le président, puis-je demander à M. Masse, M. Courtois ou peut-être un fonctionnaire qui est dans la salle de me dire où cela se trouve? Je ne crois pas que ce soit dans la loi, ce concept de consentement explicite pour 18 mois, dont on parle.

    Merci beaucoup, monsieur Lake. Ce n'est pas un rappel au Règlement.

    Poursuivons avec M. Sookman et M. Masse.

    Dans la définition, à l'alinéa 10(4)a), on est reporté au paragraphe 10(3), qui stipule:

    D'accord, merci, monsieur Courtois. Ce n'était pas un rappel au Règlement, mais je vous remercie d'avoir répondu à la question.

    Monsieur Masse, poursuivez.

    Je sais qu'il y a eu des situations... par exemple, un agent immobilier ou un agent d'assurance pourrait changer de compagnie, etc., et on pourrait devoir se pencher sur ce genre de situation.

    J'aimerais m'assurer que les autres personnes qui sont à la table puissent répondre aussi.

    Cela nous convient. C'est une définition de la relation d'affaires existante. C'est une définition qui a été formulée dans le cadre d'une discussion relativement à une autre voie de marketing, et nous trouvons qu'elle peut s'appliquer également dans ce cas-ci.

    Je voudrais seulement dire que je pense que cela peut être tout à fait valable, parce que nous l'avons ici, mais peut-être devriez-vous examiner, par exemple, la loi de la Nouvelle-Zélande, qui traite du terme de consentement qui peut raisonnablement être sous-entendu — alors qu'on parle de sous-entendu ou de respect... La conduite de personnes concernées dans une relation d'affaires ou autres. La définition donnée est plus large et flexible, comparativement à la limite de 18 mois, qui dans certaines circonstances pourrait ou non sembler arbitraire. Il y a d'autres lois dont le libellé est légèrement plus flexible pour englober un consentement tacite ou la présomption de consentement.

    Oui. Vous avez entendu mes commentaires tout à l'heure sur ce que devrait être le régime.

    Mais si nous devions nous concentrer sur l'expression « relation d'affaires existante », une chose qu'il pourrait être utile de ne pas oublier, c'est le contexte d'où est tirée cette définition. Elle vient de la Loi sur la télécommunication, et elle a précédé la création de la liste des numéros exclus. Cette définition est plus utile sur le marché de la vente de l'entreprise au consommateur pour lequel elle en fait été formulée. Ce qu'on envisage maintenant, c'est de prendre la même définition, sans reconnaître qu'elle sera aussi appliquée dans un contexte d'entreprise à entreprise. Les relations entre entreprises sont beaucoup plus diversifiées.

    Si ce qu'on veut, c'est adopter cette définition, je suggérerais de l'examiner et de voir comment elle peut être adaptée pour vraiment viser la relation entre entreprises plutôt que seulement la relation entre les entreprises et les consommateurs.

    Monsieur Hill.

    Je ne pense pas être d'accord là-dessus. Il y a une exemption, ou une exception, dans ce projet de loi, visant les relations entre entreprises, alors l'élément de consentement implicite vise les interactions entre les entreprises et les consommateurs. Le marketing d'entreprise à entreprise, quand il s'agit des intérêts d'une entreprise qui est la cible du marketing, est exclu dans cette loi.

    Maintenant, j'en ai parlé dans mes observations préliminaires et j'ai dit que dans les discussions que j'ai eues, certains se sont dits inquiets que la définition qu'il y a dans le projet de loi, sous sa forme actuelle, puisse être un peu trop étroite. Je pense que nous devrions envisager d'autres possibilités, et j'ai parlé de la loi en vigueur en Alberta.

    Je ne pense pas que ce soit ce dont il est question, à ce sujet.

    Merci, monsieur le président.

    Merci beaucoup, monsieur Masse.

    Nous allons laisser M. Lake terminer, puis nous suspendrons la séance pour permettre aux témoins de partir, avant de discuter brièvement des travaux futurs du comité.

    Monsieur Lake.

    À la lecture de ceci, et à la lumière de ce qui s'est dit, je pense qu'il est important de parler de la différence entre le consentement implicite et explicite. Il semble que certains n'ont pas bien compris, pas nécessairement aujourd'hui, mais tout au long des délibérations de ce comité, que 18 mois, c'est pour le consentement explicite. En fait, si quelqu'un achète un véhicule, ou une maison, ou quelque chose du genre, et donne son consentement explicite, ce consentement est valable pour une période indéterminée, jusqu'à ce que la personne dise qu'elle ne veut plus rien recevoir. Cette période de 18 mois ne s'applique pas dans cette situation, et il semble y avoir quelque confusion à ce propos. Cette situation dont nous parlons, ces 18 mois dont il est question ici, ne vise que le consentement implicite. Je tenais seulement à le préciser, puisque nous en discutons, avant que nous allions plus loin.

    Je vous remercie, monsieur Lake.

    Je tiens à remercier nos témoins des quatre différentes organisations d'avoir comparu devant nous aujourd'hui. Nous apprécions votre témoignage. Il sera utile dans l'examen que nous allons faire de ce projet de loi.

    Nous suspendons la séance pendant cinq minutes pour permettre à ceux qui le doivent de quitter la salle, puis nous nous entretiendrons à huis clos des travaux futurs du comité.,

    La séance est suspendue.

    [La séance se poursuit à huis clos.]