Passer au contenu

ETHI Réunion de comité

Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.

Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Publication du jour précédent Publication du jour prochain







CANADA

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique


NUMÉRO 023 
l
1re SESSION 
l
39e LÉGISLATURE 

TÉMOIGNAGES

Le lundi 11 décembre 2006

[Enregistrement électronique]

(1530)

[Traduction]

    La séance numéro 23 est ouverte. Conformément à l'ordre de renvoi du 25 avril 2006, et à l'article 29 de la LPRPDE, nous poursuivons l'examen de la partie I.
    Nous avons aujourd'hui un groupe de témoins. Il s'agit notamment de représentants de l'Association canadienne de la technologie de l'information et de l'Association du Barreau canadien et de M. Ian Kerr, de la Chaire de recherche du Canada en éthique, en droit et en technologie, de l'Université d'Ottawa.
    Je présente les divers représentants de l'Association canadienne de la technologie de l'information: Bernard A. Courtois, président, et Ariane Siegel. Bienvenue. Nous avons également Brian Bowman et Tamra Thomson de l'Association du Barreau canadien.
    Bienvenue à tous. Nous vous permettrons de faire un exposé...
    Oui

[Français]

    Monsieur le président, je m'excuse. Je m'excuse infiniment, messieurs et mesdames.
    Vous savez que nous sommes saisis d'une motion dont nous avions commencé à débattre lors de la dernière rencontre. Cette motion avait pour but de demander au ministre de la Justice de déposer au comité ou en Chambre avant le 15 décembre — une date qui s'en vient à très grands pas, c'est vendredi — un projet de loi modernisé et renforcé portant sur l'accès à l'information.
    Ce serait extrêmement important que nous discutions de cette motion, monsieur président, afin de rappeler à M. le ministre son échéance et de lui demander quand il compte venir. Il ne lui reste que quatre jours. Je voudrais savoir à quel moment, au cours de cette rencontre, nous pourrions discuter de cette motion, tout en respectant les témoins que nous avons invités formellement.

[Traduction]

    Merci. Je vous remercie également de l'excellent résumé que vous avez fait de votre motion.
    La réunion a été convoquée pour deux raisons. Premièrement, pour entendre les témoins et, deuxièmement, pour discuter des travaux du comité, nommément du rapport du comité de direction. S'il reste du temps après ces deux points, nous pourrons examiner votre motion. S'il ne reste pas de temps, ce sera alors la fin de la séance qui sera levée à 17 h 30.
    J'imagine que cela répond à votre question.

[Français]

    S'il ne reste pas de temps, pourrons-nous la reporter à la prochaine réunion, pas à celle de demain puisque c'est une réunion spéciale, mais à celle de mercredi?

[Traduction]

    Vous pouvez certainement nous aviser de votre intention de présenter la motion à ce moment-là, mercredi. Est-ce votre intention?

[Français]

    J'avais plutôt l'intention d'en parler aujourd'hui, monsieur le président. Toutefois, si jamais nous n'en avions pas le temps, je voudrais être certaine que je n'aurai pas besoin de la déposer de nouveau auprès du greffier pour que nous en discutions mercredi.

[Traduction]

    Le greffier m'informe qu'il n'est pas nécessaire de la présenter de nouveau puisque le comité en est déjà saisi. Nous n'avions tout simplement plus de temps pour poursuivre la discussion la dernière fois. Alors, avez-vous l'intention de soulever la question mercredi?

[Français]

    Si nous n'en discutons pas aujourd'hui, j'ai l'intention de demander que nous en discutions mercredi, ou le plus rapidement possible. Le sujet est très urgent, monsieur le président.

[Traduction]

    Ce n'était pas une question piège. De toute évidence, si nous avons le temps aujourd'hui, nous nous pencherons sur votre motion. Cependant, j'ai l'impression que nous n'aurons pas le temps et c'est pour ça que je vous ai demandé si vous vouliez en parler mercredi.
    Merci beaucoup.
    Demain, nous tenons une séance spéciale qui n'a qu'un seul but, Monsieur Peterson.
    Ces réunions ne sont jamais ennuyantes pour nous. Je présente mes excuses à nos témoins.
    D'accord. Comme j'allais Ie dire, nous allons entendre chacun des groupes. Vous disposez d'au plus dix minutes pour faire votre exposé. Nous passerons ensuite directement aux questions.
    Nous commençons par l'Association canadienne de la technologie de l'information; Monsieur Courtois, s'il vous plaît.

[Français]

    Mme Siegel va faire notre présentation, mais j'aimerais d'abord parler un peu de contexte.
    Notre association représente l'industrie canadienne des technologies de l'information et des communications, les TIC — ou ICT en anglais —, donc tout le monde des ordinateurs, des logiciels et des télécommunications, qu'il s'agisse des équipements ou des services.
    Il s'agit d'une industrie qui s'intéresse grandement à toutes les questions de protection de la vie privée, et ce, depuis très longtemps.

[Traduction]

    En 1996, lorsque j'étais chef de la protection des renseignements personnels à Bell Canada, nos activités étaient déjà régies, en matière de protection de la vie privée, par une vaste réglementation qui remontait à 1955. Cependant, l'ensemble de l'industrie a également constaté à ce moment-là, alors que l'utilisation d'Internet était sur le point d'exploser, que la protection de la vie privée et de la confidentialité à l'ère du web et de la cyberéconomie était absolument essentielle pour notre avenir. Par conséquent, notre industrie a vraiment été la première à se pencher sur la législation. Il fallait également tenir compte du fait qu'il était impossible de prendre un régime qui s'appliquait à une industrie fortement réglementée, comme les télécommunications à l'époque, et de le transposer en bloc à l'ensemble de l'économie en ce qui concerne la protection des renseignements personnels.
    Nous étions ravis d'élaborer un régime plutôt novateur et assez efficace qui s'inspirait de dix principes que l'OCDE a élaborés dans une approche multipartite et a fait évoluer en fonction des besoins des consommateurs, des entreprises et des gouvernements. L'Association canadienne de normalisation a repris ces principes, encore une fois dans une approche multipartite, et en a tiré un code. La loi reflète le fait que nous avions une assise d'autoréglementation à laquelle s'est ajouté un organisme gouvernemental, en l'occurrence le Commissariat à la protection de la vie privée du Canada, qui agit à titre de protecteur du citoyen. Enfin, ce sont les tribunaux qui s'occupent de l'exécution de la loi, au besoin.
    Ce modèle mixte qui, comme je l'ai dit, est plutôt novateur et efficace est considéré à l'échelle mondiale comme vraiment efficace pour s'attaquer au problème et c'est une solution canadienne.
    Je dirais donc, en ce qui concerne les suggestions, qu'on aurait tort de recourir à une formule qui modifie la structure fondamentale. Il n'y a vraiment aucune raison de remanier une approche qui a donné de fort bons résultats.
    J'ai une dernière observation à faire au sujet du contexte.
(1535)

[Français]

     La grande majorité des membres de notre association sont des petites entreprises, et la très grande majorité des entreprises qui sont clientes de nos entreprises de technologie, qui doivent vivre avec ces mesures de protection de l'information, sont de petites entreprises. Ces entreprises n'ont pas les moyens de s'adapter continuellement à des changements dans leurs façons de fonctionner.

[Traduction]

    Ils n'ont pas de services juridiques internes; ils ne possèdent pas les ressources nécessaires pour obtenir beaucoup de conseils juridiques afin de modifier leur façon de procéder.
    Je dirais donc, encore une fois, en ce qui concerne l'approche générale, que notre industrie estime qu'il faut retenir l'expression « Si ça marche, on n'y touche pas ». Autrement dit, il ne faut pas modifier la loi à moins que ce ne soit absolument nécessaire.
    Je passe la parole à Ariane.
    Je m'appelle Ariane Siegel. Je suis associée au cabinet d'avocats Gowling Lafleur Henderson, et je pratique le droit dans le domaine de la protection de la vie privée et des télécommunications. Je suis également présidente du groupe de travail sur la protection de la vie privée de l'Association canadienne de la technologie de l'information et c'est à ce titre que je m'adresse à vous aujourd'hui.
    Comme vous l'avez déjà entendu, dans le cadre d'un récent sondage, un centre d'études et de recherches international très réputé, Privacy International, classé le Canada parmi les chefs de file mondiaux pour ce qui est de la protection de la vie privée -- seule l'Allemagne nous précède. Privacy International n'a pas manqué de noter le haut degré d'accessibilité qu'offre la LPRPDE et, dans son rapport, le centre indique que n'importe qui peut saisir le commissaire d'une prétendue violation de la LPRPDE.
    L'ACTI soutient que contrairement au sondage mené auprès de 64 entreprises par la Clinique d’intérêt public et de politique d’Internet du Canada, sondage dont vous avez été saisis, les entreprises canadiennes se classent très bien en ce qui concerne le respect de la vie privée. La plupart d'entre elles font preuve de diligence pour respecter la loi et elles ont affecté des ressources considérables à cette fin. Il est particulièrement intéressant de noter que les lois canadiennes sur la protection de la vie privée on une incidence profonde sur le respect de ce principe à l'échelle internationale. Par exemple, de nombreuses entreprises américaines qui ont des filiales au Canada adaptent les cadres canadiens de conformité à la protection de la vie privée à leurs activités aux États-Unis.
    Commençons par la position générale de l'ACTI au sujet de la LPRPDE dans le contexte du processus d'examen permanent. Comme vous l'avez entendu, l'ACTI estime qu'il est beaucoup trop tôt pour remanier en profondeur la LPRPDE. La plupart des entreprises ont eu moins de trois ans pour mettre en oeuvre et peaufiner leurs politiques et leurs procédures concernant la protection des renseignements personnels. Par surcroît, bon nombre de clients et d'employés commencent tout juste à se familiariser avec la façon d'exercer leurs droits en vertu de la loi. L'ACTI appuie l'idée d'une collaboration avec l'industrie pour l'élaboration de lignes directrices concernant l'application de la politique en matière de sécurité et de normes opérationnelles pour accroître la transparence et l'uniformité dans l'exercice des pouvoirs octroyés par la loi.
    Je me concentre sur le point de vue de l'ACTI à l'égard de plusieurs questions soulevées dans le cadre de ce processus d'examen. Je commence par la souplesse inhérente de la LPRPDE. Cette souplesse permet l'application des principes de protection des renseignements personnels à toutes les organisations, quelle que soit leur taille, et à toutes les industries, sans égard aux différences dans les processus opérationnels. Les consommateurs et les employés bénéficient également de la souplesse de la LPRPDE qui offre un mécanisme de règlement des différends accessible, efficace et peu coûteux.
    Deuxièmement, en ce qui concerne le pouvoir du commissaire de prendre des ordonnances, l'ACTI estime que le modèle actuel du protecteur des citoyens offre un mécanisme de règlement des différends efficace, informel, accessible et rentable tout en permettant, dans certains cas, le recours à un processus officiel et exécutoire devant les tribunaux. Si les décisions du commissaire deviennent des ordonnances exécutoires, les organisations devraient mettre en place une infrastructure de conformité plus officielle et plus coûteuse. Le respect des grands principes de la LPRPDE donnerait lieu à une approche très stricte et très littérale et à beaucoup moins d'ouverture et de collaboration avec le Commissariat à la protection de la vie privée du Canada. En outre, en cas de différend, les ordonnances exécutoires font, d'une part, monter les enjeux pour les entreprises et, d'autre part, les consommateurs peuvent s'attendre à être confrontés à des conseillers juridiques d'expérience. Les consommateurs pourraient fort bien se passer d'un processus si officiel et si accusatoire.
    Troisièmement, l'ACTI s'oppose à la notification obligatoire en cas de violation de données à caractère personnel. L'ACTI estime que les organisations prennent très au sérieux leurs responsabilités en matière de sécurité des données. Advenant une violation de données qui pose un risque pour la protection des renseignements personnels, aucune organisation ne voudrait assumer une éventuelle responsabilité pour ne pas avoir pris les mesures adéquates pour atténuer les risques ou les dommages que pourraient subir certaines personnes. Nombre d'organisations communiquent actuellement avec le Commissariat à la protection de la vie privée du Canada pour obtenir des conseils sur la façon de traiter les violations de données.
    L'ACTI estime que la notification obligatoire en cas de violation de données risquerait d'ennuyer les consommateurs. Lors de la présentation de son mémoire devant le comité, la CIPPIC a souligné que plusieurs États américains imposent déjà l'obligation d'aviser. Toutefois, cette exigence ne signifient pas que la protection des renseignements personnels est meilleure aux États-Unis ou que les Américains sont moins exposés au vol d'identité.
(1540)
    Le Canada est un chef de file à l'échelle internationale en matière de protection des données. Les Canadiens ont très tôt adopté les technologies de pointe et bon nombre d'organisations sont à l'avant-plan des initiatives pour élaborer de nouvelles technologies et processus pour améliorer la protection des renseignements personnels. L'ACTI appuie l'idée de lignes directrices concernant les violations de données et serait elle-même intéressée à collaborer avec le Commissariat à la protection de la vie privée à cet égard.

[Français]

    Un autre enjeu est le pouvoir discrétionnaire de la commissaire quant à l'identification des défendeurs visés par une plainte.
    Actuellement, il est fait état de la plupart des résumés sous le couvert de l'anonymat. La commissaire a adopté la position selon laquelle le fait de nommer les défendeurs ne correspond pas dans tous les cas à l'objectif d'intérêt public de la législation.
    L'ACTI approuve cette approche. La commissaire peut toutefois utiliser le pouvoir discrétionnaire qui lui est conféré pour nommer les défendeurs. L'ACTI est d'avis que l'adoption d'une pratique obligatoire visant à identifier les défendeurs nuirait dans tous les cas aux parties dans le cadre d'un litige, en plus de donner lieu à de fâcheuses conséquences.
    Le règlement d'une plainte se traduit souvent par un changement de politique et de procédure de la part de la société visée, de sorte que tous les consommateurs en bénéficient au bout du compte. Ainsi, il est possible d'obtenir des résultats positifs, et ce, d'une manière hautement efficace.

[Traduction]

    Cinquièmement, l'ACTI aimerait réagir au problème de l'augmentation des restrictions concernant la circulation transfrontalière de renseignements personnels. Les pratiques commerciales exigent souvent la circulation transfrontalière de renseignements personnels. C'est là une réalité économique irréversible qui résulte de la mondialisation et des nouvelles possibilités technologiques.
    Heureusement, au Canada, le principe de responsabilité contenu dans la LPRPDE exige que les entreprises mettent le public au courant de leurs pratiques en ce qui concerne la protection des renseignements personnels et qu'elles concluent des ententes contractuelles pour assurer une protection similaire dans le cas de renseignements personnels transférés à l'étranger.
    L'imposition de restrictions accrues en vertu de la LPRPDE à la circulation transfrontière de renseignements personnels pourrait nuire à la compétitivité des entreprises canadiennes sur la scène mondiale. Il n'est pas nécessaire de remanier la loi canadienne sur la protection des renseignements personnels pour s'assurer que les organisations protègent les données en cas d'impartition à l'échelle locale ou transfrontière.
    La LPRPDE reconnaît très clairement qu'il est nécessaire que les organisations protègent les données. Le Commissariat à la protection de la vie privée a établi, dans deux récents résumés de cas, un cadre très pratique concernant l'impartition transfrontière des données.
    Plus important encore, la loi des mandats établie depuis longtemps en common law impose aux organisations certaines obligations en ce qui concerne la protection et le contrôle des données qui leur sont confiées et elle irait même jusqu'à imposer une protection adéquate quand les données sont traitées ailleurs.
    En conclusion, l'ACTI estime que les dispositions de la LPRPDE sont judicieuses et continuent d'assurer un équilibre approprié entre les intérêts du public et ceux de l'industrie au fur et à mesure que les technologie et les attentes évoluent. La LPRPDE établit un équilibre entre diverses approches législatives, elle sert de modèle à d'autres juridictions et elle permet aux entreprises canadiennes de demeurer compétitives sur la scène mondiale.
    Les membres de l'ACTI ont considérablement investi dans les volets opérationnel, juridique, technique et formatif de la protection des renseignements personnels. L'ACTI elle-même a fait preuve de leadership en sensibilisant ses membres à la protection de la vie privée et elle a collaboré avec les commissaires à la protection des renseignements personnels, tant à l'échelon fédéral que provincial. L'ACTI envisage de poursuivre ses efforts dans ce domaine.
    Au nom de l'ACTI et des entreprises qui en sont membres, j'aimerais vous remercier de nous avoir donné l'occasion de nous adresser au comité.
(1545)
    Merci beaucoup.
    Nous passons maintenant au professeur Kerr.
    Monsieur le Président et honorables membres du comité, bon après-midi.
    D'entrée de jeu, j'exprime ma profonde gratitude pour votre invitation et pour m'avoir donné l'occasion de témoigner aujourd'hui au sujet d'un ensemble de questions qui me tiennent vraiment à coeur.
    À l'instar de nombreux témoins qui ont comparu devant vous, et peut-être, contrairement à mes amis de gauche, j'estime que la loi actuelle pose nombre de problèmes de taille et qu'il faut la remanier. J'ai déjà présenté un mémoire à ce sujet et j'espère mettre en lumière un problème clé pendant le bref exposé que je ferai aujourd'hui.
    Allez-y.
    J'ai présenté mon mémoire il y a environ une semaine. Ils n'a peut-être pas encore été traduit.
    Il va sans dire que les ordinateurs, les bases de données, les réseaux, les caméras de surveillance, les témoins, les logiciels espions, l'identification par radio-fréquence et d'autres moyens automatisés de d'obtenir, d'utiliser et de communiquer des renseignements personnels menacent directement notre capacité de contrôler ces données.
    Bon nombre des témoins qui ont déjà comparu devant le comité ont parlé de cela. Je possède une expertise considérable en la matière et, si vous le souhaitez, je me ferai un plaisir de vous fournir davantage d'information sur un ou l'autre de ces moyens, au cours de la période des questions.
    Toutefois, le but de mon témoignage est de montrer qu'une menace bien plus sérieuse à la protection des renseignements personnels vient d'une technologie nettement plus primitive et plus élémentaire. Vous connaissez tous cette technologie, même ceux d'entre vous, comme l'honorable président, qui fuient les ordinateurs, les assistants numériques et internet comme la peste.
    En fait, la menace dont je parle est de nature juridique.

[Français]

En français, on appelle cela le contrat d'adhésion.

[Traduction]

En français, on parle de contrat d'adhésion standard.
    La technologie des ordinateurs, des caméras de surveillance et des puces d'identification par radio-fréquence permet la collecte de quantités massives d'information, parfois de façon agressive et cachée, mais c'est le contrat d'adhésion standard qui, sur le plan juridique, permet aux processus de collecte de données axés sur un consentement implicite, une présomption de consentement et une possibilité de refus, et qui justifie l'utilisation de technologies de surveillance dans le cadre de la loi actuelle sur la protection des renseignements personnels. Ces moyens d'utiliser la loi pour présumer qu'il y a consentement, alors que ce n'est pas le cas, peuvent causer d'énormes problèmes.
    Les contrats d'adhésion standards sont des documents produits en série qui ne laissent aucune place à la négociation et à l'entente. Ils sont rédigés exclusivement par des parties en position économique de faire une offre à prendre ou à laisser. À l'ère de la technologie de l'information, où la poignée de main entre les parties a été remplacée un clic de souris, où les négociations bilatérales ont été supplantées par des négociations mondiales, les organisations invoquent régulièrement le contrat d'adhésion standard pour contourner diverses mesures de protection des renseignements personnels prévues dans la LPRPDE et d'autres régimes de protection des données.
    Que ce soit pour la vente de biens ou pour l'octroi de licences de services, bon nombre d'organisations ont recours au contrat d'adhésion standard, à l'achat au clic et au contrat de licence d'utilisation pour justifier ce qui est parfois un consentement déraisonnable et important à une collecte, une utilisation et une divulgation indues de renseignements personnels. Grâce à ces contrats parfois à sens unique, les organisations parviennent à élargir leurs pratiques portant sur les renseignements personnels bien au-delà des limites que permettrait autrement la loi canadienne relative au respect de la vie privée. Elles y arrivent en obligeant parfois les consommateurs, les clients et les citoyens à signer des contrats pour obtenir une protection qui leur est normalement offerte par la LPRPDE.
    Dans le mémoire que j'ai préparé, que, si je ne m'abuse, vous n'avez pas en main, je fais une série de recommandations détaillées sur la façon de modifier la LPRPDE compte tenu de cette réalité et pour solutionner les énormes problèmes que pose l'obtention d'un véritable consentement lors de l'utilisation d'un contrat type.
    Je me ferai un plaisir de répondre à toutes les questions que vous pourriez avoir à cet égard, mais permettez-moi d'abord de vous donner deux exemples frappants qui devraient vous toucher de près.
    Voici le premier exemple. Votre travail de député, comme le mien, vous amène de temps à autre à séjourner dans l'une des quelque 400 000 chambres d'hôtel du Canada. Pendant votre séjour, il vous arrive peut-être d'envoyer certains documents par voie électronique ou de vérifier vos courriels. Or, pour utiliser les services Internet d'un hôtel, vous devrez en accepter les conditions d'utilisation. Lors d'un récent déplacement pour mon travail, j'ai séjourné dans un hôtel Hilton. Pendant mon séjour, j'ai dû utiliser Internet. Voici ce à quoi j'ai consenti lorsque j'ai branché mon ordinateur dans la connexion Internet de l'hôtel Hilton:
Lorsque vous utilisez notre site, nous effectuons automatiquement le suivi, la collecte et la compilation des données d'utilisation et de transaction (tel qu'indiqué ci-après).
[...]
Vous acceptez que Hilton Hotels Corporation devienne propriétaire de l'information.
En accédant à ce site, vous reconnaissez et acceptez volontairement, formellement et sciemment ce qui précède ainsi que chacune des conditions suivantes: i) ces données appartiennent à HHC et ne sont pas des données personnelles ou privées; ii) ces données, peu importe où elles ont été recueillies, peuvent être traitées, utilisées, reproduites, modifiées, adaptées, traduites, utilisées pour créer des produits dérivés, échangées, publiées et diffusées par HHC à son entière discrétion au moyen de n'importe quel média ou moyen, de façon irrévocable et permanente, n'importe où dans le monde sans faire l'objet de redevance d'aucune sorte et sans obligation de la part de HHC;
[...]
    Imaginons par exemple que c'est M. Tilson, le député, non moi, qui a séjourné à l'hôtel Hilton et qui a envoyé un courriel à son collègue M. Wallace, et que ce courriel contenait certaines informations au sujet des délibérations du comité, voire certains renseignements personnels.
    En vertu des conditions de service précitées, Hilton soutiendra que les renseignements personnels et les communications privées des deux députés ne constituent pas de l'information personnelle ou privée, à cause du consentement qui a été donné, et que, par conséquent, la LPRPDE ne s'applique pas dans ce cas et que Hilton est propriétaire de l'information en permanence, n'importe où dans le monde. David Bowie aurait chanté « La planète terre est bleue et on ne peut rien y changer ».
    Selon le droit contractuel canadien, que j'enseigne depuis plus de dix ans, je crois que Hilton aurait probablement gain de cause. Quoi qu'il en soit, la plupart des gens seraient forcés de se soumettre après un très long litige devant les tribunaux au sujet de ce qui est certainement, pour l'instant, un élément qui n'est pas clair dans la loi. Je recommande de clarifier la loi à cet égard.
    Voici le deuxième exemple. Comme moi, la plupart des personnes assises autour de la table consomment quotidiennement bon nombre de produits intellectuels. Vous lisez le journal, des revues spécialisés ou des livres; vous regardez peut-être la télévision, des films; vous écoutez de la musique ou des tribunes radiophoniques. Si vous êtes comme moi, en général, peu vous importe qui sait ce que vous lisez ou ce que vous écoutez, mais parfois, cela peut vous déranger. Cependant, je crois que cela vous dérangerait énormément de savoir que quelqu'un est toujours en mesure de savoir quels produits intellectuels vous consommez, notamment à quelle fréquence, où et quand. J'imagine que toutes les personnes ici présentes tiennent au respect de leur vie intellectuelle privée et veulent pouvoir consommer des produits intellectuels sans faire l'objet d'un examen du public ou d'une surveillance commerciale ou gouvernementale.
(1550)
     Imaginez que vous allez acheter un CD ou un DVD ou que vous l'empruntez à la bibliothèque. Vous le placez dans un de vos appareils et vous l'écoutez. Vous regardez ou vous écoutez. Pendant tout ce temps, à votre insu, un petit logiciel, inscrit dans le code du CD ou du DVD, établit une communication automatique au moyen de votre accès sans fil Internet. Le CD ou le DVD informe Sony -- ou à une autre entité -- de votre identité, de l'endroit où vous vous trouvez, de l'appareil que vous utilisez, du logiciel que vous avez, de ce que vous regardez ou écoutez, à quelle heure vous le faites, à quelle fréquence, etc.
    Au cours des présentes délibérations, vous avez entendu de nombreux témoignages et j'imagine que, maintenant, vous n'êtes plus surpris par les réalités de l'ère numérique, mais voici quelque chose qui vous surprendra peut-être.
    Vous décidez de faire enquête pour savoir si les pratiques de la compagnie en question violent votre droit à la protection des renseignements personnels prévu dans la loi canadienne. Vous apprenez que ce n'est probablement pas le cas ou, à tout le moins, que la loi n'est pas claire à cet égard. En fait, vous découvrez que, sur le plan juridique, vous avez probablement consenti à permettre que le CD communique avec votre ligne téléphonique et fournisse des renseignements à votre sujet à la compagnie. Dans le contrat d'adhésion standard qui compte plus de 3 000 mots --  soit dit en passant, c'est environ 700 mots de plus qu'il n'en a fallu à Edgar Allen Poe pour raconter les milles misères de Fortunato -- dont 52 mots correspondent au prétendu consentement à l'installation automatique d'un « rootkit », soit un logiciel de dissimulation que Sony appelle un logiciel privé.
    Grâce à cette disposition, l'organisation qui recueille des renseignements personnels à votre sujet soutiendra que vous avez décidé de ne pas vous prévaloir des mesures de protection prévues dans la LPRPDE. Selon l'entente, vous avez prétendument consenti à permettre à l'entreprise et aux entités avec lesquelles elle échange de l'information de fournir des renseignements à n'importe quel ministère ou organisme gouvernemental qui en demande, sans ordonnance d'un tribunal et sans autre forme de procès -- et vous ne pouvez rien faire à cet égard.
    Le principal point que je veux faire valoir devant le comité aujourd'hui c'est que ce genre de manoeuvre juridique -- à laquelle chacun d'entre nous ici présents sommes exposés quotidiennement -- pose d'énormes problèmes et n'est pas suffisamment prise en compte dans la LPRPDE. Le contrat d'adhésion standard ainsi que nombre d'autres prétendus processus d'obtention du consentement peuvent parfois -- pas toujours, mais parfois -- nuire à la nature et à la valeur d'un véritable consentement et, en pareil cas, iront à l'encontre de l'objectif que nos lois sur la protection des renseignements personnels visent à atteindre.
    Je soutiens que I'objectif de la LPRPDE d'établir un équilibre entre le droit à la protection des renseignements personnels et la nécessité pour les organisations d'obtenir de tels renseignements est miné si -- en dépit des nombreuses dispositions de protection prévues dans la LPRPDE -- des procédures intrusives, injustes ou non sollicitées de collecte, d'utilisation ou de communication de données peuvent être imposées à des personnes, en toute impunité, au moyen d'un contrat d'adhésion standard ou d'un processus similaire d'obtention de renseignements comme ceux qui ont été utilisés dans le passé notamment par Sony, Hilton et d'autres chaînes hôtelières, par des services de messagerie instantanée, par des fournisseurs de téléphone mobile, par d'autres fournisseurs de services en ligne et par des fournisseurs de soins de santé. Je peux vous assurer que cette même stratégie est souvent utilisée avec beaucoup de succès dans d'autres secteurs également, ce qui indique que s'imposent des dispositions de consentement nettement plus strictes que celles que prévoit actuellement la LPRPDE.
    Dans mon mémoire, je fais des recommandations concrètes pour remédier à ce problème. Si je peux prendre encore 30 secondes, je donnerai officiellement mon appui à certaines recommandations que d'autres témoins ont faites. J'appuie en particulier les recommandations suivantes: que la loi soit modifiée pour conférer au commissaire fédéral à la protection de la vie privée le pouvoir de prendre des ordonnances; que la loi enlève tout doute quant au pouvoir du commissaire fédéral à la protection de la vie privée de citer des noms dans les conclusions bien fondées qu'il tire; que la loi prévoie l'obligation de divulguer les infractions à la sécurité; et enfin, que le gouvernement fédéral commence à se pencher sérieusement sur la préoccupation grandissante, au Canada, concernant l'impartition de renseignements personnels à des organisations étrangères, particulièrement aux États-Unis.
    Je sais qu'il ne me reste plus de temps pour me pencher sur ces questions maintenant, mais je suis à votre disposition pour répondre à vos questions.
    Merci beaucoup du temps que vous m'avez accordé.
(1555)
    Merci beaucoup, professeur.
    Oui, nous avons reçu votre mémoire. Il est en cours de traduction et il sera distribué à tous les membres.
    Nous vous remercions certainement de vos recommandations fort concrètes et nous vous assurons que nous les examinerons. Personnellement, je pensais que le contrat d'adhésion standard des hôtels Hilton était très bien formulé. Il a dû être rédigé par Gowling ou par McCarthy.
    Des voix: Oh, oh!
    Le président: Nous passons maintenant à l'Association du Barreau canadien avec M. Bowman.
    Monsieur le Président, je commence et M. Bowman continuera.
    L'Association du Barreau canadien est ravie de témoigner devant le comité dans le cadre de l'examen de la LPRPDE, prévu aux termes de la loi. L'Association du Barreau canadien est un organisme national qui représente plus de 37 000 juristes à l'échelle du Canada et dont les principaux objectifs sont d'améliorer la loi et l'administration de la justice. C'est d'ailleurs dans cette optique que nous avons examiné la LPRPDE et que nous avons activement participé à son élaboration.
    Le développement de ce pan du droit a également mené l'Association du Barreau canadien à créer la Section nationale du droit de la vie privée et de l'accès à l'information, en l'occurrence le groupe qui a préparé le mémoire que vous avez en main. Je mentionne simplement que la section regroupe des avocats qui représentent des entreprises et des organisations à but non lucratif et des groupes de défense de la protection de la vie privée ainsi que des universitaires et des fonctionnaires du gouvernement qui évoluent dans ce secteur du droit. Par conséquent, la section offre un équilibre d'intérêts pour l'évaluation du fonctionnement de la loi.
    Enfin, je fais une observation sur le mémoire que vous avez en main. Ce n'est pas la première fois que la Section nationale du droit de la vie privée et de l'accès à l'information se penche sur la LPRPDE; nous avons déjà fait des évaluations préliminaires pour Industrie Canada et pour le Commissariat à la protection de la vie privée à l'égard de questions qui, selon nous, doivent être abordées dans le cadre du présent examen. Par conséquent, le document que vous avez en main contient des éléments clés tirés de ces mémoires plus exhaustifs dont il présente un sommaire. Nous avons remis les documents entiers au greffier au cas où des détails additionnels seraient nécessaires.
    Je demande maintenant à M. Bowman, qui préside la Section nationale du droit de la vie privée et de l'accès à l'information, d'aborder les éléments clés que nous estimons devoir être remaniés.
(1600)
    Monsieur le Président, honorables membres, je vous remercie beaucoup de me donner l'occasion de m'adresser à vous aujourd'hui.
    Au cours de mon bref exposé de cet après-midi, j'aborderai, au nom de la Section nationale du droit de la vie privée et de l'accès à l'information de l'ABC, quatre points parmi ceux que nous avons examinés de plus près dans le mémoire que nous avons présenté à Industrie Canada et dont on vient tout juste de faire mention.
    Ces points correspondent à des sections particulières de la LPRPDE qui, après six années d'expérience, ont soit révélé des lacunes, soit représentent des questions de politiques émergentes qui n'ont pas été adéquatement traitées quand la loi a été adoptée. Au terme de presque six années d'interprétation par les tribunaux et par le Commissariat à la protection de la vie privée, nous estimons prudent, voire nécessaire d'envisager une réforme de la LPRPDE.
    Depuis l'entrée en vigueur de la LPRPDE, la Colombie-Britannique, l'Alberta et l'Ontario ont adopté des mesures législatives sur la protection des renseignements personnels. Ces lois provinciales font suite à l'expérience fédérale de la LPRPDE et, dans certains cas, ont corrigé certaines lacunes, tant dans le libellé que dans l'interprétation.
    Les modifications à la LPRPDE que recommande la Section nationale du droit de la vie privée et de l'accès à l'information de l'ABC sont axées sur les principes suivants. Premièrement, il faut non seulement respecter l'équilibre des intérêts en ce qui concerne la collecte, l'utilisation et la communication de renseignements personnels, mais aussi faire preuve de vigilance dans la surveillance et s'opposer à toute érosion inutile de la protection des renseignements personnels tant par des organisations gouvernementales que privées. Deuxièmement, au Canada, la protection des renseignements personnels doit reposer sur des pratiques d'information qui demeurent équitables au fur et à mesure qu'elles évoluent. Troisièmement, il faut, dans toute la mesure du possible, harmoniser la législation et les pratiques sur la protection des renseignements personnels à l'échelle du Canada.
    Le premier point concerne la neutralité de la LPRPDE par rapport aux litiges. La LPRPDE ne devrait avoir d'incidence ni sur les litiges préexistants, ni sur les procédures de contestation judiciaire communément acceptées et qui évoluent depuis des décennies, voire des siècles. Il faut modifier nombre des exceptions à l'exigence de consentement prévue dans la LPRPDE. Les exceptions actuelles concernant les litiges sont trop limitées et elles devraient, à tout le moins, être élargies pour éviter de nuire à des procédures de contestation bien fondées.
     Cette étroitesse des exceptions devient évidente dans le cadre d'enquêtes, de communications à sens unique, de collecte et d'utilisation d'information sur les dettes et des restrictions de divulgation pendant un litige. En outre, elle donne lieu à un traitement inadéquat de l'ensemble des aspects du processus: plaidoyer, divulgation orale, médiation, arbitrage privé, règlements à l'amiable, communications entre avocats et autres échanges d'information non ordonnés par un tribunal.
    Il devrait y avoir une exclusion générale en ce qui concerne l'information qu'une partie peut obtenir en vertu de la loi, dans le cadre d'un litige, et cette exclusion devrait annuler les exceptions particulières actuellement prévues dans la LPRPDE. À cet égard, il faudrait modifier la LPRPDE en ce qui concerne l'application de la loi. Il faut notamment clarifier les dispositions concernant la collecte, l'utilisation et la communication de renseignements personnels sans le consentement de l'intéressé à des fins légitimes d'application de la loi. Les dispositions actuelles concernant les enquêtes et l'application de la loi portent à confusion et ne sont pas uniformes. Une seule norme devrait régir la collecte, l'utilisation et la communication des renseignements personnels aux fins de l'application de la loi.
    Enfin, il faut simplifier les dispositions concernant les organismes d'enquête. Par exemple, les organisations doivent pouvoir mener leur propres enquêtes sans être inutilement tenues d'avoir recours à des organismes d'enquête extérieurs pour obtenir de l'information de tierces parties. L'ABC recommande qu'on modifie la loi pour qu'elle prévoie une exclusion générale en ce qui concerne l'information qu'une partie peut obtenir en vertu de la loi dans le cadre d'un litige, et qu'elle autorise la collecte, l'utilisation et la communication, sans le consentement de l'intéressé, lorsque c'est raisonnablement nécessaire, dans le cadre d'une enquête.
    Le deuxième point est le suivant: l'application de la LPRPDE devrait être plus efficace tout en continuant de refléter les principes de justice fondamentale. L'absence, dans la LPRPDE, de pouvoirs de prendre des ordonnances réduit considérablement la possibilité de plaintes en cas de violation de la loi. Un plaignant doit porter sa cause devant la Cour fédérale pour obtenir réparation ou un jugement en dommages-intérêts, mais il ne peut le faire qu'après que le commissaire a tiré ses conclusions. À l'heure actuelle, il faut attendre jusqu'à un an pour recevoir les conclusions du commissaire. En outre, pour porter une cause devant la Cour fédérale, le plaignant doit retenir les services d'un avocat et il court le risque de se faire attribuer les dépens advenant une décision défavorable.
    Par surcroît, aucun mécanisme ne permet au commissaire d'indemniser un plaignant qui a encouru des frais considérables ou qui accuse des pertes suite à une plainte. Toutefois, dans le contexte actuel, le fait de conférer au commissaire le pouvoir de prendre des ordonnance pourrait entraîner une violation des principes de justice fondamentale. À l'heure actuelle, le commissaire agit à titre de protecteur des renseignements personnels des citoyens. De plus, le Commissariat à la protection de la vie privée fait enquête sur les prétendues violations de la LPRPDE. Le fait de concilier les rôles de défenseur des droits, d'enquêteur et de décideur place le commissaire en situation de conflit d'intérêts et nuit à la crédibilité du commissariat.
(1605)
    L'application de la loi pourrait être plus efficace si on conférait un pouvoir décisionnaire à un bureau ou à un organisme distinct, qui agirait de manière raisonnablement informelle. Nous avons précédemment suggéré qu'un tribunal impartial soit investi du pouvoir de prendre des ordonnances et de rendre des jugements en dommages-intérêts et que le commissaire conserve ses pouvoirs d'enquête et de défense des droits des citoyens. Le commissaire pourrait être tenu de présenter ses conclusions dans un délai de six mois; l'affaire serait ensuite renvoyée au tribunal. Par conséquent, la Section nationale du droit de la vie privée et de l'accès à l'information de l'ABC recommande qu'on envisage un mécanisme d'application efficace pour la LPRPDE, comme la création d'un tribunal impartial qui agirait de façon relativement informelle et qui aurait le pouvoir de prendre des ordonnances et de rendre des jugements en dommages-intérêts.
    Le troisième point porte sur l'obligation d'aviser de toute violation de la vie privée, plus précisément sur le fait que toute approche à cet égard doit être équilibrée. À ce jour, les lois fédérales et provinciales relatives à la protection des renseignements personnels exigent que les organisations des secteurs public et privé appliquent des mesures de protection lorsqu'elles traitent des renseignements personnels. Plusieurs États américains ont récemment adopté des lois exigeant que les organisations avisent les intéressés en cas d'infraction à la sécurité entraînant notamment la communication indue de renseignements personnels.
    Les États-Unis ont récemment annoncé qu'ils pourraient envisager d'imposer l'obligation d'aviser en cas d'incident concernant la sécurité de l'information. Par contre, mis à part la Loi sur la protection des renseignements personnels sur la santé, de l'Ontario, les lois canadiennes relatives à la protection des renseignements personnels ne comportent aucune disposition explicite à cet égard. Par conséquent, la Section nationale du droit de la vie privée et de l'accès à l'information de l'ABC recommande d'examiner la possibilité d'ajouter l'obligation d'aviser en cas d'incident concernant la sécurité des données, comme par exemple l'obligation d'aviser uniquement lorsqu'une organisation ne possède pas de mécanisme de sécurité comme le cryptage des données ou qu'elle a reçu un avis que de tels mécanismes de protection ont été violés et que l'information mise en cause correspond à des renseignements personnels très délicats.
    En dernier lieu, j'aborde la question de la circulation transfrontalière de renseignements personnels qui, en vertu des lois canadiennes sur la protection des renseignements personnels, doit s'effectuer librement, mais qui, en fait, devrait faire l'objet de mesures préventives appropriées.
    La commissaire a déclaré que l'examen de la LPRPDE donnerait l'occasion d'élaborer de nouvelles mesures de protection des renseignements personnels en ce qui concerne l'échange transfrontalier d'information dans le secteur privé. Une de ces mesures se trouve dans le mémoire que la commissaire a adressé à son homologue de la Colombie-Britannique concernant l'incidence de la Patriot Act des États-Unis sur les renseignements personnels sur la santé des Britanno-Colombiens. La commissaire fédérale à la protection de la vie privée a recommandé que les entreprises canadiennes qui impartissent le traitement de renseignements personnels à des organisations étrangères avisent leurs clients que ces renseignements peuvent être mis à la disposition d'un gouvernement étranger ou de ses organismes en vertu d'une ordonnance légale prise dans ce pays.
    Au Québec, l'article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé, traite de la circulation transfrontalière de l'information. Cette loi oblige les gens qui transfèrent à l'extérieur de la province des renseignements sur des Québécois à prendre toutes les mesures raisonnables pour faire en sorte que ces renseignements ne soient pas communiqués à des tierces parties sans le consentement des intéressés, sauf tel que prévu aux termes de la loi.
    À l'heure actuelle, la LPRPDE contient des règles générales qui exigent que les parties qui possèdent des renseignements ou en impartissent à l'extérieur en assurent la protection. Cependant, la LPRPDE ne prévoit pas nécessairement une règle précise concernant la protection de l'information transférée à l'extérieur du Canada. Comme vous le savez, en vertu de la LPRPDE, chaque organisation demeure responsable des renseignements personnels qui lui sont confiés ou dont elle a le contrôle, y compris l'information transférée outre frontière.
    La LPRPDE devrait contenir des mesures préventives appropriées pour protéger l'information transférée outre frontière. Nous avons déjà envisagé de nombreuses solutions de rechange pour atteindre cet objectif, notamment que les organisations qui transfèrent de l'information à des entités étrangères soient tenues de conclure des ententes écrites concernant la sécurité et la protection de l'information contre toute consultation ou communication non autorisée, conformément à la loi canadienne sur la protection des renseignements personnels. L'approche plus généralisée que propose la loi québécoise sur la protection des renseignements personnels, notamment en ce qui concerne la protection de l'information transférée à une juridiction étrangère, constitue une autre solution possible.
    Dans son mémoire précédent, la Section nationale du droit de la vie privée et de l'accès à l'information de l'ABC a également étudié diverses possibilités concernant l'obligation d'aviser ou d'obtenir un consentement au sujet de l'information transférée outre frontière. Chacune de ces possibilités prévoit soit une forme d'avis à fournir aux personnes dont les renseignements personnels seraient transférés à l'étranger, soit un consentement à obtenir de ces mêmes personnes. Avant de modifier la LPRPDE pour prévoir soit l'obligation d'aviser, soit l'obtention d'un consentement pour le transfert outre frontière d'information, il est nécessaire d'examiner très attentivement les avantages et les désavantages potentiels d'une telle approche.
    La Section nationale du droit de la vie privée et de l'accès à l'information de l'ABC recommande que lorsque des renseignements personnels doivent être stockés ou traités à l'extérieur du Canada, la LPRPDE comporte des dispositions additionnelles pour resserrer la sécurité et assurer le respect de la loi canadienne, notamment des contrats entre les organisations et les entités qui font le stockage ou le traitement des renseignements personnels.
(1610)
     La Section nationale du droit de la vie privée et de l'accès à l'information de l'ABC est heureuse d'avoir eu la possibilité de faire état de son point de vue devant le comité aujourd'hui. Nous estimons que nos suggestions seront utiles pour remédier à certaines lacunes de la LPRPDE qui se sont manifestées depuis son entrée en vigueur. Notre objectif est d'améliorer la loi dans l'intérêt des Canadiens, conformément à l'objet de la LPRPDE d'établir des règles qui tiennent compte à la fois du droit à la protection des renseignements personnels et des besoins des organisations de recueillir et d'utiliser une telle information de façon appropriée et raisonnable.
    Merci beaucoup.
    Merci.
    Nous allons commencer la première série de questions et chaque personne aura sept minutes pour poser des questions. Il y aura d'abord M. Dhaliwal, Mme Lavallée, puis, M. Tilson.
    Monsieur Dhaliwal.
    Merci, monsieur le Président.
    Y a-t-il recours au Règlement?
    Non, je veux simplement que mon nom figure sur la liste.
    Je croyais que vous alliez faire un recours au Règlement pendant les deux prochaines heures.
    Je blague, Mike.
    Je remercie les témoins de leur présence et de leurs exposés.
    Professeur Kerr, j'ai trouvé plutôt inquiétant de vous entendre dire que, essentiellement, tous les renseignements personnels et toutes les données électroniques, qu'ils soient fournis dans le lobby d'un hôtel Hilton, chez soi ou au travail, ne sont pas protégés en vertu des lois sur la protection des renseignements personnels.
    En fait, j'apporterai des précisions. J'ai choisi des exemples extrêmes susceptibles de mousser l'intérêt de cette assemblée. Je ne voudrais jamais insinuer que tous les contrats d'adhésion sont rédigés ainsi. D'ailleurs, beaucoup de bons avocats, à la table et dans la pièce, ont travaillé fort pour faire en sorte qu'il y ait des dispositions équilibrées dans ce genre de choses.
    Ce que je voulais surtout faire ressortir, cependant, c'est que le seuil de consentement en droit des contrats est très bas. Le consentement contractuel est une notion transactionnelle. Il ne prend qu'un instant. Je le donne en cliquant sur «J'accepte ». Vous savez comme moi que devant ces formules normalisées, la plupart d'entre nous ne font que faire défiler le texte en cliquant ici et là. Même quand on tente de lire, c'est parfois très compliqué.
    Donc, pour répondre à votre question, la LPRPDE n'est pas contournée dans le cas de tous les biens ou services offerts en ligne, mais elle pourrait l'être. Il importe de clarifier les dispositions de la LPRPDE en matière de consentement pour que l'exigence minimale de cliquer ou tout autre forme de consentement n'aient pas pour effet de miner les mesures de protection de la vie privée qui doivent exister peu importe les contrats conclus.
    Mme Siegel, vous avez indiqué que la LPRPDE fonctionnait à l'heure actuelle. Êtes-vous au courant s'il y a eu des violations de la vie privée ces trois ou quatre dernières années depuis son entrée en vigueur?
    Suis-je au courant s'il y a eu des violations de la vie privée?
    C'est exact.
    J'ai souvent connaissance de violations de la vie privée. Il importe alors de se demander si ces violations sont graves et que font les sociétés à ce sujet. En fait, toutes les organisations avec qui j'ai eu à traiter ont toujours demandé conseil à la commissaire à la protection de la vie privée quant aux mesures à prendre.
    Dans bien des cas, les violations sont sans importance et concernent, par exemple, une adresse de courrier électronique. Je dirais que 99,9 p. 100 des violations dont j'ai eu connaissance concernent la divulgation accidentelle d'une adresse de courriel. Cela peut se faire tout simplement — et je suis certaine que cela nous est tous arrivé — en envoyant un courriel où figurent les adresses de chacun des destinataires dans l'en-tête. Certains pourraient estimer qu'il s'agit d'une violation de la vie privée et c'est en quoi consiste bien de ces violations.
    En ce qui concerne les questions de consentement et le lien entre ces questions et les violations de la vie privée, la LPRPDE explique en détail ce qui constitue une forme raisonnable de consentement. L'annexe de la LPRPDE contient toutes sortes d'exemples sur ce qui constitue une forme raisonnable de consentement. D'après mon expérience, il s'agit maintenant d'une pratique courante. Toutes les sociétés avec qui j'ai traité établissent différentes normes de consentement en fonction de la sensibilité de l'information.
    Les organisations qui recueillent des renseignements personnels sensibles, comme des données financières, utilisent presque exclusivement une forme expresse de consentement. Si le consentement est requis pour des fins de commercialisation secondaire, pour envoyer de la documentation par la poste au sujet d'une organisation ou d'une vente au bout de la rue qui pourrait vous intéresser, la plupart des gens n'ont pas de problème avec les formes implicites de consentement. Cela fonctionne très bien en vertu de la LPRPDE. La commissaire à la protection de la vie privée l'a elle même reconnu dans une série de décisions qui remontent à quelques années maintenant.
    En réalité, la question du consentement aux termes de la LPRPDE est pratiquement réglée. De nos jours, cette question ne suscite guère de réaction de la part des organisations et des particuliers.
(1615)
    M. Bowman a dit que la LPRPDE pouvait être modifiée.
    Qu'en pensez-vous? Croyez-vous que tout fonctionne bien? À votre avis, peut-on modifier quelque chose?
    Je crois que cela dépend de votre perspective.
    Les membres de l'ACTI ne croient pas qu'il soit nécessaire de modifier la LPRPDE en ce qui concerne la circulation transfrontalière des données. Dans deux décisions récentes — et vous les connaissez probablement déjà — la commissaire à la protection de la vie privée a énoncé avec soin des lignes directrices sur la circulation transfrontalière des données. Les sociétés utilisent toutes maintenant couramment des ententes et des contrats de non-divulgation.
    Historiquement, les organisations utilisent des contrats quand elles concluent des ententes d'impartition, que ce soit des ententes locales ou transfrontières, car le droit des mandats et des principes l'exige. Il n'est pas vraiment nécessaire d'avoir un texte législatif cela, puisque c'est prévu en droit.
    Si vous me le permettez, j'aimerais revenir sur ce que j'ai dit un peu plus tôt. J'ai mentionné qu'il fallait faire attention de ne pas modifier la loi si ce n'était pas vraiment nécessaire. L'Association du Barreau canadien a indiqué qu'une catégorie de renseignements était visée par les enquêtes qui concernent les litiges. Nous n'avons pas d'opinion à cet égard. Cela pourrait donc être nécessaire. Je sais que si on change la loi pour cela, les gens n'auront pas, dans leur vie de tous jours, à interpréter les choses différemment. Ce seront des cabinets d'avocats qui se chargeront des interprétations.
    La création d'un tribunal distinct pour remédier à l'absence de pouvoirs exécutoires aurait pour conséquence, à mon avis, d'ajouter un autre niveau. On se retrouverait avec une autre institution gouvernementale financée par les contribuables et un endroit où les plaignants devraient s'adresser. J'hésiterais beaucoup pour ma part.
    La Colombie-Britannique a essayé de légiférer sur la question de la circulation transfrontalière des données. Ce fut un terrible gâchis. Le système de santé allait être complètement paralysé. Ils ont tenté d'apporter d'importants amendements pour redresser la situation. La commissaire à la protection de la vie privée a rendu des décisions qui contiennent des lignes directrices très claires quant à la façon de procéder. Et c'est la même chose avec le consentement. L'annexe parle de renseignements et de consentement au point 4.3.2, de consentement valable, et, au point 4.3.5, d'attentes raisonnables de la personne.
    Je ne crois pas qu'il soit question de changer la loi; il est question de la façon d'interpréter la loi de façon raisonnable dans des circonstances données.
    Merci, M. Dhaliwal.
    Madame Lavallée a maintenant la parole.

[Français]

    Merci beaucoup, monsieur le président.
    Ma première question s'adresse aux représentants de l'Association du Barreau canadien. Y a-t-il une loi autre que la Loi sur la protection des renseignements personnels qui protège de la même façon l'identité des délinquants, de ceux qui violent la loi? Y a-t-il une autre loi comme celle-là?

[Traduction]

    Je veux m'assurer de bien comprendre, me demandez-vous s'il existe une autre loi qui protège les organisations ou les personnes qui ne se conforment pas?

[Français]

    Non. Je parle de l'identité.
    La Loi sur la protection des renseignements personnels protège l'identité des délinquants, c'est-à-dire le nom des entreprises qui commettent des violations à la loi. Y a-t-il, au Canada ou dans certaines provinces, d'autres lois qui protègent également l'identité des délinquants?
    Je peux essayer de répondre, madame Lavallée.
    La loi dont on parle ici n'empêche pas la divulgation des noms. C'est la commissaire qui décide, cas par cas, si c'est raisonnable ou non.
(1620)
    Vous avez raison d'apporter cette précision.
    Je veux savoir s'il y a d'autres lois qui protègent ainsi le nom des entreprises délinquantes.

[Traduction]

    Dans votre question, voulez-vous dire qui ne permet pas aux différents commissaires des provinces de divulguer l'identité des organismes contrevenants? Je ne suis pas au courant d'aucune loi provinciale qui interdit au commissaire à la protection de la vie privée visé de divulguer l'identité d'un organisme contrevenant.

[Français]

    Je ne pensais pas poser une question aussi compliquée. Je vais la reformuler.
    En vertu de la loi, la commissaire peut ou non divulguer le nom des délinquants. Il reste que ces noms ne sont pas divulgués automatiquement. Par exemple, si je me fais arrêter pour conduite en état d'ébriété, mon nom va sûrement paraître quelque part. Cependant, personne ne décide si mon identité doit être divulguée ou non.
    J'aimerais savoir s'il existe d'autres lois en vertu desquelles le nom des délinquants n'est pas automatiquement rendu public. Est-ce que ma question est mieux formulée ainsi?

[Traduction]

    Aucune loi du genre ne me vient à l'esprit.

[Français]

    Je vous remercie beaucoup. Vous avez donné une bonne réponse. Il n'y avait pas de mauvaise réponse. En fait, je voulais savoir ce que vous en pensiez. Cela m'éclaire beaucoup, malgré ce que vous pouvez en penser.
    Des porte-parole du ministère de l'Industrie sont venus témoigner au comité et ils nous ont appris que la Loi sur la protection des renseignements personnels faisait l'objet d'une contestation d'ordre constitutionnel devant la Cour d'appel du Québec.
    Êtes-vous au courant de cette démarche et de ses enjeux? Pourriez-vous faire des commentaires à ce sujet?

[Traduction]

    Non, je crains que je ne puisse parler de ces questions. Comme d'autres avocats, j'attends de voir comment se terminera la contestation. Pour ce qui est des enjeux, je ne suis vraiment pas en position de parler. La section n'a pas non plus fait d'analyse aux fins de l'examen de la LPRPDE.
    M. Kerr, avez-vous quelque chose à dire à cet égard?
    Je n'ai pas, moi non plus, d'expertise dans ce dossier. C'est une question de nature constitutionnelle, bien sûr, qui est liée au fait que la LPRPDE, comme d'autres témoins l'ont déclaré, tente d'atteindre des objectifs pouvant être perçus comme relevant à la fois de la compétence du fédéral et des provinces.
    Je n'ai rien à dire qui pourrait éclairer le comité. Par conséquent, je préfère ne pas offusquer personne en faisant connaître mon opinion.
    Qu'en est-il de l'ACTI?
    L'association n'a pas abordé cette question. Nous n'avons donc pas d'expertise à partager.

[Français]

    J'ai une autre question à poser aux représentants de l'Association du Barreau canadien et peut-être aux autres personnes qui voudront faire valoir leur point de vue.
    La commissaire à la protection de la vie privée nous a parlé des difficultés qu'elle avait rencontrées lorsque, dans le cadre d'enquêtes, elle avait voulu avoir accès à des documents protégés par le secret professionnel. Elle a dit que cela nuisait à ses pouvoirs d'enquête.
    Avez-vous une opinion à ce sujet?

[Traduction]

    Nous avons entendu les remarques qu'elle a faites au comité, mais nous ne nous sommes pas encore arrêtés sur cette question. Je pourrais peut-être faire un renvoi aux recommandations que nous avons formulées concernant le fonctionnement général du commissariat à l'heure actuelle. Cependant, je dois m'excuser une autre fois du fait que nous n'avons pas encore abordé directement ce point.
    Je me ferai un plaisir d'apporter quelques précisions.
    J'étais présent quand madame la commissaire a fait sa présentation au comité. Je serais franchement très surpris si le secret professionnel s'appliquait différemment dans les enquêtes de la commissaire que dans celles des autres organismes d'enquête. D'après ce qui a été dit ce jour-là, je n'ai pas compris exactement ce qu'on cherchait à faire. Si des renseignements sont visés par le secret professionnel et que d'autres organismes d'enquête n'y ont pas accès, je ne vois pas pourquoi la commissaire à la protection de la vie privée y aurait accès plus que les autres.
(1625)

[Français]

    Monsieur Courtois.
    Nous n'avons pas abordé cette question non plus. Les commentaires de M. Kerr me semblent raisonnables, mais ce n'est pas une raison pour ajouter des pouvoirs spéciaux dans la loi. Je n'ai rien d'autre à ajouter.
    Franchement, je n'ai pas été chanceuse, monsieur le président.

[Traduction]

    En fait, vous avez eu des réponses.

[Français]

    Les réponses sont intéressantes.
    Me reste-t-il du temps?

[Traduction]

    Non.

[Français]

    Merci.

[Traduction]

    M. Tilson.
    Vous savez, vous êtes les premiers à soulever ce point. Il n'a pas vraiment été question du secret professionnel depuis le passage de la commissaire. Vous êtes, pour la plupart, sinon tous, des avocats. J'ai toujours pensé que cette question intéresserait au plus haut point les avocats. Le secret professionnel est très important et elle recommande qu'on le modifie.
    Mme Siegel, qu'en pensez-vous?
    Je ne vois pas pourquoi on traiterait différemment les documents dans le cadre d'une enquête de la commissaire à la protection de la vie privée que dans tout autre examen ou tout autre activité d'un protecteur du citoyen, particulièrement étant donné le rôle de la commissaire. Je crois comprendre qu'elle joue un rôle de protecteur du citoyen qu'elle juge indiqué et qu'elle ne cherche pas à obtenir des pouvoirs exécutoires.
    Je ne connais aucune situation où les documents visés par le secret professionnel devraient faire partie du processus d'enquête de la commissaire.
    Je ne m'attarderai pas plus. Je m'attends à ce que vous soyez tous d'accord.
    Pour ce qui est des pouvoirs exécutoires, cependant, Mme Siegel, c'est deux à un contre vous. Je ne sais quel est le compte global, mais c'est une question intéressante. C'est très certainement une question dont le comité doit discuter.
    J'irais juste un peu plus loin. La difficulté est que, bien sûr... La commissaire a dit — comme quelqu'un vient tout juste de le signaler — que c'était au cas par cas, et M. Bowman a signalé qu'il n'existait pas de façon de réparer une perte. Je crois que c'est M. Bowman qui a dit cela.
    Il y a aussi la question des infractions: absence de consentement, absence d'avis, non-respect de la loi. Mais il faut en être informé. Je ne peux pas croire qu'il n'y aura pas toutes sortes de cas dont nous ne serons même pas au courant. Par exemple, la circulation de listes. On nous a dit que la commissaire avait rarement exigé que le public soit avisé des violations, comme l'exige la règle.
    Je sais que vous avez tous fait des observations à cet égard, mais c'est très important, car si cette loi doit être musclée — et je m'adresse vraiment à vous, Mme Siegel, car vous avez dit que le rôle de protecteur du citoyen doit être maintenu. La loi sera-t-elle musclée sans pouvoirs exécutoires?
    Je peux simplement parler d'expérience, l'expérience des membres de mon association et ma propre expérience de conseillère en matière de conformité auprès des sociétés.
    Je crois qu'il faut d'abord faire la distinction entre les pouvoirs exécutoires et l'obligation d'aviser. Premièrement, les pouvoirs exécutoires n'accroîtront pas la protection de la vie privée au pays. Je ne crois pas que la commissaire à la protection de la vie privée souhaite obtenir des pouvoirs exécutoires. Par ailleurs, l'établissement d'un genre de tribunal pour la commissaire à la protection de la vie privée nous obligerait à complètement revoir notre perception du rôle du Commissariat à la protection de la vie privée. Le commissariat ne jouerait plus un rôle de protecteur du citoyen et d'intervenant-éducateur, mais il deviendrait un tribunal, ce qui est considérablement différent.
    Les pouvoirs exécutoires, à mon avis, ne sont pas indiqués pour les questions concernant la vie privée. Pour ceux qui connaissent le processus relatif au différend en matière de protection de la vie privée, j'ai eu l'occasion de participer à des médiations avec la commissaire à la protection de la vie privée. Les sociétés en cause dans ce genre de médiation, de différend ou de plainte exposent leurs processus d'affaires les plus complexes.
    Il faut se demander si on doit créer un tribunal pour examiner des processus ou en ordonner de nouveaux à une société. Selon moi, ce n'est pas souhaitable. Il existe très peu d'organismes et même de personnes qui ont une expertise dans ce genre de processus d'affaires pointus à la base de certaines des questions dont nous discutons aujourd'hui.
(1630)
    M. Bowman a parlé d'indemnisation pour les pertes. Les clients de M. Bowman devront-ils s'en remettre au droit de la responsabilité délictuelle ou au droit des contrats? Est-ce bien ce que vous dites?
    Mais c'est le cas de tous les plaignants dans la société qui s'estiment lésés ou qui estiment avoir perdu quelque chose.
    Les atteintes à la vie privée peuvent parfois entraîner une perte, mais dans la vaste majorité des cas il n'en est rien. Quand cela est indiqué et que des pertes ont été subies, les plaignants, comme tous les autres plaignants dans la société, peuvent aller en cour fédérale et demander d'être indemnisés. Je ne crois pas qu'il faille nécessairement avoir un système complètement différent pour les pertes dans le contexte de la protection de la vie privée.
    La commissaire elle-même, je crois, voit qu'elle peut très bien façonner et changer la façon dont les sociétés se conforment aux exigences en matière de vie privée. Par exemple, si vous avez visité le site de la commissaire...
    Comme M. Bowman désire prendre la parole, je vous inviterais à conclure.
    Le site Web de la commissaire à la protection de la vie privée, par exemple, contient de nombreuses conclusions et il est rare qu'elle ait eu quelque difficulté que ce soit à convaincre une organisation de changer d'une façon ou d'une autre son processus. Je dirais que le fait qu'elle puisse nommer les organisations qui ne changent pas leurs pratiques est l'un des principaux outils dont elle dispose.
    Je parie qu'elle l'a fait deux ou trois fois.
    M. Bowman.
    Merci.
    Il nous faut préciser que l'ABC, à notre avis, a une approche équilibrée relativement à plusieurs de ces questions. Pour ce point en particulier, je crois que c'est assez évident. Dans mes déclarations, j'ai voulu renforcer le fait que notre recommandation sur les pouvoirs exécutoires est conditionnelle à l'établissement d'un modèle de tribunal impartial. Nous ne pensons pas nécessairement que le statu quo soit parfait ou qu'il suffise d'attribuer des pouvoirs exécutoires à la commissaire à la protection de la vie privée.
    Dans l'Ouest — je ne sais pas si c'est en Alberta ou en Colombie-Britannique — il existe un pouvoir de décision sans appel. Que pensez-vous de ce modèle?
    Nous avons examiné le modèle de l'Alberta et celui de la Colombie-Britannique pour formuler nos recommandations, mais malgré cela et malgré les observations des membres de ces administrations, nous recommandons en fait de créer un modèle qui conserve les points forts des enquêtes de défense des droits et d'établir un tribunal assorti de pouvoirs exécutoires. À l'heure actuelle, les sociétés qui manipulent des renseignements personnels n'ont pas peur des conséquences qu'entraîne le non-respect de la LPRPDE. Je conviens que nommer des noms est une sanction. Ce n'est pas une sanction importante et je crois que notre mémoire le reflète. Il faut dire que cette observation provient d'organisations et d'entreprises comme la mienne qui conseillent les sociétés privées.
    M. Tilson, vous avez dépassé le temps qui vous était accordé, mais je vois que Ian a levé la main. Je lui donne donc la parole.
(1635)
    M. Kerr ne lève pas la main très souvent.
    Des voix: Oh, oh!
    M. Ian Kerr: Je pense que, dans le cadre de cette conversation, il serait utile de souligner que, sur un total de plus de 1 400 plaintes reçues par le commissaire à la protection de la vie privée, seulement neuf plaintes ont fait l'objet d'une décision de la Cour fédérale, si je me souviens bien, et pas une seule d'entre elles n'a donné lieu à des dommages-intérêts. Trois plaignants se sont vu rembourser leurs frais juridiques. Dans quatre causes, le tribunal a laissé les parties s'acquitter elles-mêmes de leurs frais. Dans deux causes, le plaignant a dû payer les frais de l'autre partie. Je dirais que l'adoption de la LPRPDE a été motivée en partie par la constatation que le droit privé ne suffisait pas pour remédier à tous les problèmes potentiels pouvant survenir à l'ère de l'information.
    Je pense que la question n'est pas tant de savoir si cette législation a des dents en l'absence de pouvoir de rendre des ordonnances, mais bien de savoir quel genre de dents font le meilleur système. Si vous voulez que je continue, je vous dirai pourquoi je pense que le pouvoir de rendre des ordonnances est important, mais je laisse le président en juger.
    Je vais laisser quelqu'un d'autre poser cette question parce que le temps est expiré.
    Pour que nous puissions tirer parfaitement au clair la question du secret professionnel de l'avocat, j'aimerais citer un extrait du témoignage de la commissaire, lorsqu'elle a comparu devant nous. En passant, j'aimerais savoir si les membres de la table ronde ont pu lire le jugement comme tel dans l'affaire Blood Tribe. Non?
    Voici ce qu'a dit la commissaire:
Elle [la décision] permet ainsi aux organisations de refuser à nos enquêteurs d’avoir accès à des renseignements personnels, sans vérification indépendante à l’effet que les documents visés contiennent bien des renseignements assujettis au secret professionnel.
    Voilà ce qu'elle a dit. Si je la comprends bien, elle craint qu'une personne puisse refuser l'accès à des renseignements sous prétexte qu'ils seraient protégés par le secret professionnel, sans qu'on l'on puisse vérifier si c'est bel et bien le cas, conformément au droit. Si telle était la décision, vous opposeriez-vous à ce qu'il y ait un mécanisme indépendant de prévu pour vérifier, selon le cas, s'il y a effectivement lieu d'invoquer le secret professionnel?
    Je vois les gens me répondre non par un signe de la tête. Sommes-nous tous d'accord pour dire qu'il serait raisonnable qu'une personne puisse au moins déterminer si on a des motifs suffisants pour invoquer le secret professionnel?
    Des voix: D'accord.
    Le président: Bien. Merci.
    Nous allons passer à la deuxième partie, où les interventions sont de cinq minutes chacune. Nous prévoyons entendre pour l'instant M. Peterson, M. Wallace, M. Van Kesteren et M. Stanton. Si quelqu'un d'autre veut intervenir, il n'a qu'à lever la main.
    Pour faire suite à la question de M. Tilson concernant le pouvoir de rendre des ordonnances, j'imagine que l'une des plaintes porte sur la pertinence de recourir à la Cour fédérale. Présenter une cause devant la Cour fédérale exige beaucoup d'argent et de temps. Pour un particulier, il est intimidant d'envisager une telle démarche.
    Cela dit, serait-il envisageable d'avoir recours à un tribunal qui pourrait...? On donnerait au commissaire le pouvoir de rendre des ordonnances, puis on permettrait à un tribunal de décider. Il s'agirait d'un tribunal plutôt simplifié, comme l'a suggéré l'Association du Barreau canadien.
    M. Courtois.
    Cette idée ne me plaît pas tellement. Compte tenu de ce qu'on observe essentiellement et des statistiques fournies par M. Kerr, je pense qu'il n'y a pas vraiment de problème. Je suis réticent à l'idée de légiférer pour créer un nouvel organisme de réglementation simplement parce que nous pensons pouvoir ainsi améliorer les choses.
    Nous ne sommes pas en présence d'une mécanique défectueuse. Nous n'avons pas besoin d'imposer davantage de règles et de créer un nouveau tribunal.
    J'aimerais dire qu'il y a plus d'une façon d'interpréter ces statistiques pour déterminer s'il y a un problème ou non. C'est probablement une évidence pour les membres du comité, mais je tiens à le dire pour que ce soit consigné officiellement.
    Notre message, et c'est d'ailleurs la raison pour laquelle nous proposons la formule du tribunal, s'appuyait en partie sur notre constatation d'un conflit potentiel entre les responsabilités concurrentes du commissariat. Si l'on y réfléchit bien, le commissariat est chargé de faire de l'éducation, des enquêtes, de la médiation, mais également d'intervenir comme juge. Cette prise de conscience d'un conflit potentiel nous amène à proposer un tribunal.
    Les gens devront retenir les services d'un avocat s'ils se présentent devant un tribunal, n'est-ce pas?
    Je ne pense pas. Je ne suis pas à la recherche d'un nouvel emploi.
(1640)
    Je pensais à mon ami Paul.
    Nous pensons à un tribunal informel, rien de plus; les gens ne seront pas traduits en justice. Actuellement, il faut aller devant la justice et attendre parfois un an la recommandation du commissariat. Je ne pense pas que la structure actuelle profite...
    Dans sa question, M. Tilson envisageait le retrait de la Cour fédérale, qui serait remplacée par ce tribunal moins cérémonieux, et il n'y aurait plus d'appels devant la Cour fédérale.
    Ce n'est pas ce que nous recommandons. En définitive, la Cour fédérale devrait toujours pouvoir se prononcer.
    Un organisme bien nanti devrait donc passer d'abord par la médiation, puis devant le tribunal, puis se rendre à la Cour fédérale, n'est-ce pas?
    Vous avez tous étudié trois législations provinciales différentes, ainsi que la loi fédérale. Qu'avez-vous appris? Quelle est la meilleure des quatre? Est-ce que les changements que vous proposez sont fondés sur la formule qui vous semble préférable? Et à quel niveau y a-t-il un manque d'harmonisation?
    Lequel d'entre vous veut répondre?
    C'est le barreau qui a parlé d'un manque d'harmonisation. Commençons donc par lui. On verra ensuite quelle est la formule recommandée.
    Bien. En deux mots, ce sont les lois provinciales, en particulier celles de l'Alberta et de la Colombie-Britannique, qui ont eu la préférence.
    Je passe maintenant à la partie sur les transactions commerciales, et c'est un exemple où l'on peut voir que la législation provinciale s'est inspirée de la LPRPDE. Les rédacteurs provinciaux ont remarqué les insuffisances et le manque de clarté de la LPRPDE, en particulier en ce qui a trait à la rapidité des enquêtes en cas de vente d'une entreprise, et ils ont reconnu que le manque de clarté de la LPRPDE nuisait aux entreprises. Elles ne favorisent pas davantage la protection des renseignements personnels et ne facilitent pas...
    Est-ce dans ces domaines que vous voulez qu'on peaufine les définitions, comme dans l'annexe?
    Oui, et pour les transactions commerciales, sans y faire référence, les lois de la Colombie-Britannique et de l'Alberta, en particulier, indiquent expressément ce que doivent faire les organismes pour protéger les renseignements personnels.
    Par exemple, lors de la cession d'une entreprise, si le vendeur souhaite qu'un acheteur éventuel prenne connaissance des renseignements personnels détenus, la LPRPDE n'indique pas précisément quand, comment ni si même il peut en prendre connaissance. La loi albertaine l'indique expressément. Et pour les organismes qui n'ont pas les poches bien garnies, la loi est beaucoup plus conviviale et ils n'ont pas besoin de retenir les services de gens comme moi.
    Merci, monsieur Peterson.
    Monsieur Wallace.
    Merci, monsieur le président.
    Je vous remercie des exposés présentés ce soir.
    J'ai quelques questions à vous poser. Au cours des dernières semaines, il a été beaucoup question de cet organisme et de cette loi.
    Pour enchaîner sur la question de M. Peterson, qui correspond à une question que j'ai moi-même posée à l'Association canadienne de la technologie de l'information, vous vous dites satisfaits de l'actuel régime des pouvoirs d'ordonnance. Comme vous êtes un organisme canadien et qu'à ma connaissance, les pouvoirs d'ordonnance existent en Colombie-Britannique, par exemple, est-ce que ces pouvoirs ont posé des problèmes à certains de vos membres? Pouvez-vous me donner quelques détails à ce sujet?
    Je dirais que rien ne nous porte à croire que le pouvoir de rendre des ordonnances favorise la protection de la vie privée. Autrement dit, le recours à un ombudsman est plus simple et plus direct tant pour les plaignants que pour les entreprises concernées, et on semble obtenir ainsi de bons résultats. On ne m'a fourni aucune information montrant que la vie privée est mieux protégée en Colombie-Britannique. Les avocats y ont peut-être un peu plus de travail, je suppose. Ce que nous disent non seulement les statistiques, mais aussi nos membres, c'est qu'une enquête du commissaire à la protection de la vie privée entraîne suffisamment de pression pour qu'on change son comportement.
    Pour m'aider à comprendre, pourriez-vous me dire qui sont vos membres?
    Environ 70 p. 100 de nos membres sont des PME et 30 p. 100 sont des grandes entreprises. Ils se trouvent au Canada dans une proportion de 70 p. 100. C'est un secteur très international où l'on trouve 30 p. 100 de multinationales. Les deux derniers pourcentages ne recoupent pas la même réalité, car certaines entreprises canadiennes sont des multinationales. Elles oeuvrent dans le domaine de l'informatique, des technologies mobiles, des télécommunications, des logiciels, des services de technologies de l'information et des services de conseils. On trouve parmi elles beaucoup de micro-entreprises de développement de logiciels et beaucoup d'autres petites entreprises. Par exemple, le Canada est un chef de file à l'échelle mondiale en ce qui a trait aux logiciels de sécurité et ce genre de...
(1645)
    Y a-t-il eu une augmentation des coûts après l'entrée en vigueur de la LPRPDE?
    Oui, au début, il a fallu s'adapter à la nouvelle loi et créer des mécanismes en conséquence au sein de chaque entreprise. Mais, les entreprises ne sont pas amères parce que c'est un secteur dont la vigueur même dépend d'une bonne protection de la vie privée. Il ne faut cependant pas oublier que les gens ont quand même eu à traverser toute une période d'apprentissage. Comme je l'ai dit, il y a deux niveaux. Il y a l'auto-réglementation. Les entreprises elles-mêmes doivent apprendre ces règles et s'y conformer. C'est ce qui m'inquiète quand il est question de modifications à la loi pouvant obliger les entreprises à recommencer leur apprentissage.
    Après quelques années, nous sommes encore en train d'intégrer les changements et de permettre aux gens de s'habituer à leurs obligations. Et les technologies évoluent si rapidement que les gens doivent constamment s'adapter à cet égard aussi. Donc, ils ont suffisamment de pain sur la planche.
    Monsieur Kerr, j'aurais simplement deux questions à vous poser.
    J'ai besoin d'y voir clair parce que nous n'avons pas votre exposé sous les yeux. La question du formulaire normalisé a trait en fait au consentement. Est-ce bien exact?
    Tout à fait.
    La version écrite de votre exposé, que vous allez nous remettre plus tard, portera sur ces questions. Est-ce bien exact? Y a-t-il autre chose que nous n'avons pas sous les yeux et dont vous voudriez nous parler brièvement, relativement à la question du consentement et du formulaire normalisé? Je pense avoir compris, mais...
    Certainement, je serais heureux de vous communiquer aussi les observations que j'ai présentées oralement. J'avais déjà fourni un mémoire par écrit, qui était de nature beaucoup plus officielle, mais je serais heureux de fournir aussi mes observations orales.
    Le mémoire officiel contient des recommandations, n'est-ce pas?
    Il contient plusieurs recommandations.
    D'accord. Prenons votre exemple du Hilton. Je ne suis pas certain s'ils lisent notre courriel ou s'ils savent que je l'utilise à 22 heures. Je l'envoie à l'autre bout du monde, et les hôtels Hilton pourraient avoir besoin d'un autre fournisseur de services. Mais, quand suis-je responsable? Il y a un formulaire de consentement que je suis censé lire, puis accepter ou refuser. N'ai-je pas la responsabilité de le lire?
    Vous avez la responsabilité entière de le lire, et le droit contractuel canadien est très clair à cet égard, pourvu que la personne ait été suffisamment avertie... Il ressort d'une affaire comme celle de Rudder et Microsoft, qui est l'une des plus importantes au Canada, que c'est à la personne qui clique sur « j'accepte » qu'incombe la responsabilité de lire les conditions ou de les accepter sans les avoir lues. Cependant, il y a un autre enjeu que l'obligation de lire, de connaître et de comprendre les conditions. Il y a aussi l'idée qu'à l'ère de l'information, l'utilisateur n'a pas le choix. Ou bien il accepte les conditions, ou bien il ne participe pas. C'est le pouvoir de négociation de la personne qui est en cause. Je parie qu'à de nombreuses reprises au cours de votre vie, vous vous êtes retrouvé dans une situation où vous n'aviez aucun...
    Mais c'est un choix. N'est-ce pas merveilleux de vivre dans un pays où nous avons le choix? Ou bien j'utilise l'Internet pour parler à mon ami David ce soir-là, ou bien je décide d'attendre parce que je crains que la connexion ne soit pas bien sécurisée. Quand l'État peut-il laisser les gens faire le choix eux-mêmes?
    Je dirais...
    Merci.
    Monsieur Kerr, c'était une question de pure forme. Nous n'allons pas en débattre maintenant.
    Je trouve que c'est une bonne question.
    C'est une question très importante, et j'aimerais y répondre si vous voulez bien.
    D'accord. Je vous accorde tous les deux la parole... et je vois une autre main levée.
    Votre question consiste à savoir dans quelles circonstances les tribunaux et l'État devraient intervenir à propos de ces contrats. Dans mes recommandations, je vous propose d'adopter les normes de protection les plus élevées, comme celles qui ont cours par exemple en Colombie-Britannique, où la loi dit qu'on n'a pas le droit d'empêcher quiconque de retirer ultérieurement son consentement. La même logique s'appliquerait à la LPRPDE qu'au droit contractuel, où les tribunaux peuvent invalider tout contrat parce qu'il contient des dispositions contraires aux politiques publiques ou à la loi. Autrement dit, personne ne devrait être obligé de renoncer à la protection prévue dans la LPRPDE pour pouvoir obtenir des services. Voilà mon point de vue.
(1650)
    Madame Siegel, vous avez la parole pour répondre.
    Premièrement, le droit dans ce domaine est passablement développé. Comme M. Kerr le sait, la loi oblige les entreprises non seulement à fournir leurs conditions d'utilisation et à obtenir le consentement des utilisateurs, qui cliquent sur « j'accepte », mais elle oblige aussi les entreprises à mettre en évidence tout élément particulièrement important des conditions, à l'intention de leurs clients. Vous avez probablement déjà vu de tels passages dans les conditions d'utilisation. Il y a des lignes complètes en caractères gras qui attirent l'attention du lecteur sur les points importants.
    Deuxièmement, dans le cas d'un ensemble de renseignements personnels, comme dans l'exemple présenté, où l'on a recueilli trop d'information, la LPRPDE contient une disposition tout à fait apte à empêcher un tel abus. La LPRPDE dit clairement qu'on devrait uniquement recueillir les renseignements personnels dont on a besoin et les utiliser dans des limites raisonnables. Il y a toute une série de décisions du commissaire à la protection de la vie privée qui concernent directement cette question. Lorsqu'une entreprise ou un organisme recueille trop d'information ou l'utilise de façon déplacée, dans un cadre trop vaste, il y a un recours de prévu, et le commissaire peut présenter des constatations et des recommandations blâmant l'intimé. Je sais d'expérience que les entreprises sont absolument terrifiées à la pensée d'une intervention du commissaire à la protection de la vie privée. On n'a qu'à brandir l'affaire ayant mis en cause Air Canada, il y a de nombreuses années, pour les entendre dire qu'elles ne voudraient surtout pas que pareille chose leur arrive. C'est l'instrument le plus important dont dispose le commissaire.
    La protection de la vie privée n'est pas mieux assurée dans les États américains où la loi exige une notification, États qui étaient au nombre de 22 aux dernières nouvelles, je crois. C'est même le contraire. Combien parmi vous ont vu les lettres de notification qui sont envoyées par la poste? Dans certains États, on peut en recevoir des dizaines par semaine, et elles perdent ainsi tout leur sens. Elles mettent tout simplement de nombreux consommateurs en rogne. Ils se demandent: « Mon Dieu! est-ce bien sérieux? Que suis-je censé faire? » Il est de loin préférable de disposer d'un mécanisme où l'industrie et le commissaire à la protection de la vie privée établissent ensemble des lignes directrices à suivre concernant les intrusions dans les systèmes informatiques et les notifications. Je suis certaine que la plupart des entreprises et des organismes se plieraient volontiers à ces lignes directrices.
    Merci.
    Pour ma part, je pense que le contrat proposé au Hilton, qui vise tout l’univers, a une portée beaucoup trop vaste. Il devrait être limité à la planète Terre.
     Monsieur Plamondon, s'il vous plaît.

[Français]

    Ma question sera brève parce que je devrai quitter à 17 heures.
    Monsieur Kerr, pouvez-vous me donner une précision? Lorsque vous avez parlé des pouvoirs de la commissaire, l'interprète a employé le mot « décret ». J'ai cru comprendre qu'elle pourrait présenter des décrets. C'est du moins la traduction française qu'on nous a donnée.
    Avez-vous parlé de décret? Si oui, pouvez-vous nous donner des précisions sur la recommandation que vous faites à cet égard?

[Traduction]

    Non, je n’ai pas parlé de décrets.

[Français]

    Je pense que l'intention était de parler du pouvoir de rendre une ordonnance, comme le fait une cour.
     L'interprète ne m'a donc pas fourni le bon mot.
    Pouvez-vous quand même me donner des précisions?

[Traduction]

    Vers la fin de mon allocution, j’ai fait une recommandation concernant le pouvoir de rendre des ordonnances, dont nous avons parlé un peu aujourd’hui. Je n’ai jamais dit que la commissaire avait actuellement ce pouvoir.

[Français]

    Lorsque la commissaire a témoigné devant le comité, elle ne semblait pas très favorable à l'idée d'avoir un tel pouvoir, qu'elle ne recherche pas. J'ai donc été surpris de la contradiction à l'égard d'une certaine obligation qu'on aurait donnée à la commissaire.

[Traduction]

    J’aimerais dire quelques mots à ce sujet, si vous permettez. Je suis venu entendre la commissaire et j’ai aussi entendu le commissaire Loukidelis, de la Colombie-Britannique. De plus, je suis ce qui se dit dans les carnets web à ce sujet.
    J’aimerais beaucoup donner mon point de vue à ce sujet, car je pense que je n’ai pas entendu la même chose que d’autres personnes, qui ont pris la parole par la suite. J’ai entendu la commissaire dire que pour l’instant, elle n’est pas favorable à l’obtention du pouvoir de rendre des ordonnances. Cependant, elle a dit aussi très clairement qu’elle ne rejetait pas l’idée de pouvoir les obtenir un jour. Elle a également parlé de ce que certains peuvent avoir associé aux transitions qui ont eu lieu au commissariat au cours des dernières années.
    En outre, j’ai entendu le commissaire Loukidelis décrire le pouvoir de rendre des ordonnances comme un pouvoir de dernier recours, alors que certaines personnes ici présentes semblent plutôt croire qu’il considère ce pouvoir comme inutile et qu’il l’a balayé du revers de la main. Je pense qu’un pouvoir de dernier recours est un pouvoir extrêmement important. Lorsqu’un funambule marche sur la corde raide, le filet est un instrument de dernier recours, ce qui ne lui enlève aucunement son importance. En fait, il s’agit probablement de l’instrument le plus important.
    Par conséquent, je ne tirerais pas la conclusion voulant qu’après avoir été commissaire au Québec, où elle avait le pouvoir de rendre des ordonnances, puis commissaire à la protection de la vie privée, à l’échelon fédéral, et après avoir dit qu’il n’était pas opportun pour l’instant d’obtenir le pouvoir de rendre des ordonnances, elle soit contre cette idée.
    En tant que gestionnaire, elle sait que le commissariat a traversé de fortes turbulences au cours des dernières années. Elle est donc d’avis, comme mes collègues qui se trouvent là, qu’il est peut-être trop tôt pour obtenir ce pouvoir. Il faut qu’il soit bien clair qu’elle n’est pas du tout en train de dire qu’elle est contre l’idée du pouvoir de rendre des ordonnances.
(1655)

[Français]

    Merci, monsieur le président.
    Nous reste-t-il du temps?
    S'il en reste un peu, je le donne à ma consoeur.
    Oui, il vous reste une minute.
    Merci beaucoup, monsieur Plamondon.
    J'aimerais revenir au débat qui était bien entamé au sujet du consentement des consommateurs. Je ne sais pas si cela a été qualifié d'abusif, mais c'est le qualificatif qui m'est venu à l'esprit. On parlait du consentement qui était demandé par l'hôtel Hilton et de tous les consentements qui nous sont demandés. Nous les signons en pensant que de toute façon, les demandeurs ne pourront pas faire grand-chose avec cela. Or, souvent, les renseignements se retrouvent sur le web.
    Par ailleurs, les consommateurs ne sont pas très au courant de la Loi sur la protection des renseignements personnels. Ils ne sont pas très au courant, non plus, de leurs droits. Il s'agit peut-être d'une des raisons pour lesquelles il n'y a pas vraiment beaucoup de plaintes.
    Le fait que la publication du nom des délinquants soit laissée à la discrétion de la commissaire ne nous aide pas, non plus, à mieux connaître et comprendre la loi. Souvent, nous apprenons nos droits en lisant les journaux et en entendant parler de cas d'individus qui ne se sont pas conformés à la loi. Je relie aussi cela au USA PATRIOT Act, où on suggère d'aviser les consommateurs lorsque leurs renseignements personnels s'en vont à l'étranger. Je vois mal où s'inscrit la protection du consommateur dans ce système. Comment fait-il pour refuser de donner son consentement?
    Je ne sais pas si vous voulez commenter chacun votre tour, si M. le président le veut, évidemment.

[Traduction]

    Quinze secondes chacun.
     Évidemment, compte tenu de mes propos précédents, je partage vos inquiétudes relativement à la protection des consommateurs. Franchement, je m’étonne que l’on considère ma recommandation comme une mesure extraordinaire. Je ne demande aucune refonte majeure ayant trait à la LPRPDE. Selon moi, nous devrions simplement préciser dans la loi que, lorsqu’un contrat entre en conflit avec des dispositions de protection de la vie privée résultant de la loi, qui doivent prédominer, ce contrat est invalide.
    Je suis d’accord avec notre collègue, à savoir que l’article sur le caractère raisonnable peut avoir cet effet. En théorie, c’est l’effet qu’il devrait avoir. Cependant, il y a des situations où les consommateurs vont se faire simplement dire : « Regardez notre contrat. Comment pouvez-vous dire que nos pratiques de collecte d’information sont déraisonnables, selon la LPRPDE, alors que vous les avez acceptées en même temps que le contrat? »
    Vous êtes en train de renforcer mon argument d’une certaine manière.
    Qu’en pense l’Association du Barreau canadien?
     Selon nous, le modèle actuel de consentement n’a pas besoin d’être révisé. Le principe illustré voulant que l’on puisse lire le contrat et prendre une décision constitue une approche raisonnable.
    Cela dit, les Hilton de la terre s’en tirent avec des clauses de consentement qui ont peut-être une trop grande portée. Voilà pourquoi nous avons concentré nos efforts sur les mécanismes d’application de la loi, c'est-à-dire sur l’attribution d’un pouvoir de rendre des ordonnances de concert avec l’établissement d’un tribunal.
(1700)
    Merci.

[Français]

    La loi actuelle ne permet pas un comportement abusif. Ce n'est donc pas nécessaire de l'amender pour permettre...
    D'après-vous, est-ce que le comportement de l'hôtel Hilton est abusif?
    À mon avis, si quelqu'un faisait une plainte à la commissaire, vous constateriez assez rapidement un changement de comportement de la part de l'entreprise. Je ne vois pas la nécessité de donner un pouvoir d'ordonnance afin qu'une entreprise comme celle-là se conforme. Je crois que cela irait assez vite.

[Traduction]

     Merci.
    J’aimerais rappeler aux membres du comité ce que la commissaire a dit, et je cite :
Nous ne demanderons pas des pouvoirs d’exécution accrus. Nous ne sommes pas convaincus que le moment soit bien choisi pour apporter un changement aussi fondamental aux mécanismes d’exécution, et ce, pour diverses raisons à la fois d’ordre pratique et administratif.
    Elle a précisé sa pensée à cet égard lorsqu'elle a répondu aux questions.
    M. Van Kesteren.
    Merci, monsieur le président.
    Merci à tous d’être venus.
    J’aimerais poser une question à Mme Siegel ou à M. Courtois. Quels sont les tenants et les aboutissants de la question dont a parlé le professeur Kerr, c'est-à-dire les contrats que nous ne signons pas, mais que nous acceptons en cliquant? Pourquoi les hôtels et les entreprises comme...
    Je pense qu’il est injuste d’employer constamment l’exemple des hôtels Hilton, mais en général, les hôtels essaient de trouver le juste équilibre entre la protection de leurs intérêts et la protection des renseignements personnels de leurs clients. Comme tout autre hôtel, le Hilton n’a probablement pas du tout intérêt à recueillir des renseignements personnels ou à exercer ce genre de pouvoir. Cependant, il doit formuler ses contrats de manière à se protéger concrètement, compte tenu de la réalité.
    Que se passe-t-il, par exemple, si un client utilise un ordinateur de l’hôtel pour accéder à des sites web illicites et commettre des actes illégaux? L’hôtel doit être en mesure de dire à la personne qu’il a un droit de regard et que c’est une utilisation inadmissible. Que ce soit légal ou non, l’hôtel doit concilier toute une gamme d’intérêts, non seulement canadiens, mais également étrangers. Il peut être tenu de se conformer à des exigences américaines ou de tenir compte d’exigences européennes.
    Selon l'expérience que j'en ai, de nombreuses entreprises font tout leur possible pour marier les conditions d'utilisation et les politiques de respect de la vie privée. Elles doivent concilier toute une variété d'obligations et de problèmes de conformité, y compris le respect de la vie privée. Peut-être qu'on n'a pas examiné assez attentivement la formulation en ce qui a trait à la protection de la vie privée. Mais, je parie que si vous demandiez aux hôtels Hilton ou à d'autres entreprises qui ont des politiques semblables si elles ont vraiment l'intention d'utiliser les renseignements personnels à ces fins, je suis certaine qu'elles répondraient non. En fait, elles veulent seulement se protéger et s'assurer qu'elles sont capables de se conformer à leurs diverses obligations.
    M. Kerr, plutôt que de réinventer la roue, en ce qui a trait au courriel et aux autres procédés de ce genre, ne pourrait-on pas adopter une loi ayant pour effet d'étendre la protection de la vie privée à ces procédés? Ainsi, le problème dont parle Mme Siegel serait réglé. Nous savons tous qu'elle parle du courriel. C'est ce qui fait peur à tout le monde. Que pourrait-on faire?
    Je suppose qu'on pourrait y arriver. Ce serait contraire à ce que la plupart des gens ayant comparu devant ce comité ont dit, y compris le commissaire à la protection de la vie privée de la Colombie-Britannique. Il a fait des observations importantes à propos du principe de la neutralité technologique, auquel je souscris dans une certaine mesure.
    Je ne pense pas qu'il y ait nécessairement quelque chose de magique dans le courriel qui voudrait dire que nous aurions besoin d'une loi spéciale. Je pense que la recommandation que je fais s'inscrit dans le même esprit que ce que vous proposez. Je dis simplement que, lorsqu'on demande à une personne de donner, au moyen d'un accord standard, un consentement excessif et déraisonnable, la LPRPDE devrait prévoir qu'un tel contrat est invalide.
(1705)
    J'ai une autre question, et elle s'adresse également à vous, M. Kerr.
    Vous parliez de l'iPod et de ses possibilités, notamment pour savoir exactement ce que les gens écoutent. Est-ce si important? Les gens se fichent pas mal de savoir que j'écoute Alabama. Quel scandale!
    Je dirais que cette question dénote l'incompréhension fondamentale du public en général à propos de la protection des données et en banalise l'importance, c'est-à-dire la raison pour laquelle nous sommes ici.
    L'ancien commissaire, M. Bruce Phillips, décrivait la LPRPDE comme une mesure nécessaire pour compenser en partie la perte de confidentialité attribuable à l'informatique et à la réseautique, dans le but éventuel d'inverser la tendance.
    Si vous compreniez jusqu'à quel point on peut fusionner les renseignements collectés dans un but avec ceux qui sont collectés à des fins secondaires, et si vous connaissiez mes collègues et leur facilité à glaner de l'information par l'exploration des données, puis à assembler cette information, vous verriez que ces systèmes offrent la possibilité de constituer des bases de données sur tous les produits intellectuels que vous consommez et de relier les éléments d'information entre eux pour former une trame révélatrice.
    Il ne s'agit pas tellement de savoir que vous avez écouté Alabama un soir, mais bien de pouvoir faire le portrait de votre vie. C'est le genre de scénario qui a effrayé le juge Bork, aux États-Unis, dans le cas de la location de vidéos. Lorsqu'on a voulu le nommer à la Cour suprême, une assignation à témoigner a été délivrée pour savoir quels vidéos il collectionnait. Imaginez qu'on puisse savoir tout ce que vous lisez, regardez et écoutez. Tout ce à quoi vous pensez. Une fois numérisés, les produits intellectuels pourraient tous servir à ce genre d'observation.
    Me reste-t-il encore du temps?
    Non, vous en êtes à six minutes déjà, j'ai bien peur. Nous pourrons vous donner de nouveau la parole lors d'un prochain tour de table, cependant.
    Monsieur Peterson.
    En ce qui concerne les notifications d'intrusion, pensez-vous qu'on devrait être obligé de consulter le commissariat si on n'envoie pas de notification?
    La question s'adresse-t-elle à tous?
    À Mme Siegel. Je suis désolé.
    C'est une question qu'il faudrait soumettre à nos membres. Mais, je connais de nombreuses entreprises qui consultent souvent le commissariat à la protection de la vie privée, et je ne pense pas qu'elles y verraient une obligation supplémentaire.
    Nous avons déjà une loi qui permet au commissariat de déterminer quand il est raisonnable de notifier les gens et quand ce n'est pas le cas. Alors, pourquoi faudrait-il légiférer pour adopter une disposition qui sera nécessairement plus contraignante que le concept de caractère raisonnable.
    Quelqu'un a-t-il un argument contraire?
    Certains invités d'aujourd'hui ont déjà parlé des difficultés associées à l'obligation de notifier les gens, notamment de l'état de saturation qui peut en résulter. Le document détaillé qui accompagne notre témoignage précise notre point de vue en ce qui a trait à la notification en cas de perte. Nous disons que, si on intègre directement ou indirectement à la LPRPDE l'obligation de notifier, on devrait le faire selon une approche équilibrée.
    J'ai prêté mon concours à la rédaction du projet de loi 200 au Manitoba, qui est, dans sa substance, semblable à la LPRPDE et qui prend pour modèle la loi albertaine. L'obligation de notifier y est prévue. La formule employée est à peu près celle que nous proposons dans notre document et que nous qualifions d'approche équilibrée. Par exemple, nous disons qu'il y a obligation de notifier lorsque les renseignements concernent une personne identifiable, lorsque les renseignements ne sont pas lisibles, notamment parce qu'ils sont chiffrés, ou encore lorsque l'entreprise ou l'organisme est avisé que le dispositif de protection a été contourné, qu'on a percé l'algorithme de chiffrement et que les renseignements appartiennent à l'une des catégories bien définies d'information sensible.
    Lorsque l'obligation de notifier s'applique en toutes circonstances, la saturation s'installe et la méthode devient inefficace. En fin de compte, dans la réalité, certaines entreprises et certains organismes reviennent au statu quo et décident de ne pas envoyer de notification, ce qui n'est peut-être pas susceptible d'assurer une bonne protection de la vie privée.
(1710)
    Je n'ai rien à ajouter.
    Monsieur Kerr, vous avez dit que le commissariat avait traversé de fortes turbulences au cours des dernières années. Pourriez-vous nous en dire davantage à ce sujet?
    Je ne tiens pas particulièrement à en parler. Les médias ont bien fait leur travail en décrivant les difficultés du commissariat pendant le mandat du commissaire précédent. Je n'ai rien à ajouter.
    Merci.
    Merci, Monsieur Peterson.
    Monsieur Tilson.
    J'aimerais parler d'un domaine en posant une question à tous les témoins. Il s'agit des PME. Dans ma circonscription, les gens ont entendu parler dans le passé du scandale impliquant l'un des commissaires à la protection de la vie privée et ils craignent le vol d'identité, avec son cortège de problèmes. Mais, les gens qui viennent me parler ne savent rien de ce dont nous discutons actuellement. Et pourtant, la commissaire à la protection de la vie privée est venue nous dire, dans son témoignage, qu'elle consacre une grande partie de ses efforts à la sensibilisation du public. Je m'attends d'ailleurs à ce que la LPRPDE prévoie que l'on poursuive dans cette veine.
    Il y a des gens dans ma circonscription qui ont des PME, qui travaillent chez eux — j'ai mentionné au cours de la dernière séance un nettoyeur à sec, et il pourrait aussi s'agir d'un petit commerçant ou d'un autre propriétaire de PME — et qui ne connaissent absolument rien sur le sujet. Ils n'en savent vraiment rien. La commissaire peut bien vouloir sillonner le pays à donner des discours et elle peut bien vouloir diffuser de la documentation.
    J'adresse ma question aux trois groupes. Avez-vous des recommandations à faire sur les moyens législatifs qui viendraient en aide aux gens des PME?
    Nous pourrions commencer par entendre Mme Siegel.
    Je ne pense pas qu'on puisse aider les PME en modifiant la loi. On peut aider les PME premièrement en investissant pour se doter de ressources de sensibilisation. Deuxièmement, on peut diffuser des lignes directrices pratiques que les entreprises pourront toutes appliquer. Troisièmement, on peut former des groupes de travail chargés d'établir des précédents et des modèles d'accord dont les PME pourront s'inspirer. Quatrièmement, on peut avoir recours aux nouvelles technologies et investir dans les nouvelles technologies pouvant être employées par les PME pour protéger les données.
    Ce sont ces moyens concrets qui aideront le plus les entreprises et, par ricochet, les consommateurs.
    Nombre d'études dont les résultats ont paru au cours des derniers mois indiquent que ce sont les PME qui forment le plus gros de l'économie canadienne. Or, les PME canadiennes ont besoin d'en savoir davantage sur l'utilisation des technologies. Nous allons améliorer les choses dans la mesure ou nous pourrons les faire progresser à cet égard ou encore les inciter à investir davantage dans les technologies, notamment par des mesures fiscales. Mais, pour l'instant, il y a un grand retard dans l'utilisation des technologies par les PME canadiennes.
    Je souscris à tout ce qui a été dit jusqu'à maintenant, et certaines de mes recommandations visant à resserrer les dispositions sur le consentement sont formulées dans l'optique de permettre aux PME de mieux s'y retrouver dans ce domaine, en fin de compte. Dans une certaine mesure, on peut également améliorer la situation par des lignes directrices et des systèmes de sensibilisation.
    Je sais que le Commissariat à la protection de la vie privée est déjà bien engagé sur la voie des campagnes de sensibilisation. Le commissariat est en train d'étoffer considérablement ses modules en ligne. Je suis particulièrement au courant de cet effort puisque mes collègues et moi avons contribué à l'élaboration de certains de ces outils. En outre, le Commissariat à la protection de la vie privée est en train de faire école avec une initiative que je n'ai vue dans aucune autre administration publique s'occupant de la protection de la vie privée. C'est un programme de contributions destiné à susciter la participation d'universitaires de partout au pays, en vue d'élaborer les outils dont vous parlez.
    Ce programme en est encore au premier stade. Et, comme vous avez pu l'entendre de la bouche de certains témoins, on en est d'ailleurs encore au premier stade en général, ce qui fait que les réflexions n'ont pas encore cristallisé dans l'esprit des PME. Alors, ne changez pas les règles. Le même raisonnement vaut en ce qui concerne le mandat de sensibilisation. On est en train de s'y mettre, et j'encourage les gens à en faire encore davantage sur ce plan. Néanmoins, il faut rendre justice à la commissaire à la protection de la vie privée, qui s'est beaucoup activée à cet égard et qui a considérablement amélioré la sensibilisation. Je ne pense pas que les retombées aient pu encore se faire sentir partout au pays, dans chaque circonscription. Je suis d'accord là-dessus.
(1715)
    Avez-vous un mot à dire, M. Bowman?
    Certainement. J'aimerais me faire l'écho de ceux qui ont souligné le travail formidable de sensibilisation réalisé par le personnel du Commissariat à la protection de la vie privée. Vous constatez à juste titre que beaucoup de PME ne s'intéressent pas à la loi ou ne la comprennent pas. Toutefois, nous ne pensons pas que la solution à ce problème se trouve dans une refonte radicale de la loi, pas plus qu'il ne serait souhaitable de conserver certaines formules obscures et subjectives.
    La réalité que j'observe quotidiennement est celle des PME qui se sentent écrasées par la loi. Elles ne la comprennent pas — et c'est vrai que la loi n'est pas claire —, alors elles ne s'y intéressent pas et ne s'y conforment pas. En regardant du côté du Commissariat à la protection de la vie privée, elles constatent qu'il n'y a pas de pouvoir de rendre des ordonnances, ni de mécanismes d'application de la loi du genre de ceux dont nous avons parlé ici, ce qui les incite encore une fois à se désintéresser de la question. Ce problème devrait inquiéter tout le monde, y compris les entreprises et les organismes qui ont consacré beaucoup de ressources à essayer de se conformer à la loi. Les changements que nous proposons nous apparaissent modestes et aideraient les PME. Dans notre témoignage, nous nous sommes beaucoup inspirés des lois de l'Alberta et de la Colombie-Britannique, qui sont beaucoup plus efficaces pour aider les PME à comprendre ce qu'elles doivent faire concrètement pour se conformer à la loi.
    Merci, monsieur Tilson.
    Monsieur Van Kesteren, vous avez le temps de prendre la parole si vous voulez poursuivre.
    Nous voulions qu'il y ait une discussion. Je comprends, monsieur Kerr, le point de vue que vous avez exprimé et le droit à la vie privée. Je m'inquiète simplement un peu à propos de nos responsabilités à nous.
    Vous avez parlé du type aux États-Unis qui a été choqué d'apprendre qu'on pouvait savoir quels films il avait regardés. N'y a-t-il pas une responsabilité à assumer? À une certaine époque, je devais prendre garde en pareil cas pour ne pas avoir à répondre de mes actes devant ma femme. Aujourd'hui, je dois me préoccuper de mes électeurs. Ne devons-nous pas nous sentir responsables?
    Je n'ai jamais nié qu'on engageait sa responsabilité en acceptant les conditions d'un contrat. Ce n'est jamais ce que j'ai soutenu. D'ailleurs, il y a une cause intéressante dont nous n'avons pas encore parlé et dans laquelle les tribunaux au Canada ont adopté votre position. Il s'agit de l'affaire Kanitz contre Rogers Cable Inc. Rogers voulait changer les conditions d'un contrat après l'avoir conclu. Il s'agissait de savoir si l'entreprise pouvait changer les conditions après coup sans invalider le contrat. Dans le jugement rendu, on a notamment indiqué qu'il revenait aux clients de consulter le site web de Rogers pour y trouver les nouvelles conditions et déterminer s'ils les acceptaient ou non.
    Si vous demandiez à votre adjoint législatif ou à une autre personne qui vous aide dans votre travail de s'occuper de lire systématiquement tous les contrats standards que vous avez acceptés seulement ce mois-ci, vous l'occuperiez tant que vous seriez obligé de vous occuper du reste tout seul. L'acceptation des contrats de ce genre est tellement automatisée qu'une telle approche serait impraticable. De plus, comme vous l'avez mentionné précédemment, vous ne saviez même pas que vous aviez signé le contrat en question.
    Il y a des responsabilités des deux côtés. Vous avez peut-être raison de dire qu'au bout du compte, le consommateur est responsable en pareil cas, mais si les contrats automatisés sont conçus pour répondre aux besoins de la partie qui les rédige, quelle que soit la lecture qu'on en fait, ils seront susceptibles de faire du tort au petit, qu'il s'agisse d'une PME ou de ce que vous considérez comme un consommateur irresponsable.
    Madame Siegel, voudriez-vous clore la discussion à ce sujet?
    Oui, merci.
    Je suis heureuse que M. Kerr ait soulevé ce point, parce que cela nous ramène à la question constitutionnelle. La LPRPDE, ou la réglementation sur les renseignements personnels dans la société, n'est pas mise en application dans un vacuum. Par exemple, concernant l'avis de modifications importantes à un contrat, la toute nouvelle Loi ontarienne sur la protection du consommateur fait exactement cela. Elle exige qu'un avis explicite soit donné aux consommateurs, si un organisme désire changer les conditions d'un contrat dans un délai de 30 jours. C'est donc un domaine dans lequel les provinces ont beaucoup de pouvoir sur les règles de conclusion de contrats entre organismes privés et particuliers. La LPRPDE reste générale parce qu'elle doit laisser du jeu aux provinces, dans leur champ de compétence, par rapport au champ de compétence fédéral. Plusieurs de nos lois de protection des consommateurs traitent exactement de ce point.
(1720)
    Merci beaucoup.
    Avez-vous d'autres questions?
    Très brièvement, M. Peterson.
    Si le système fonctionne, il ne faut pas le réparer. Cependant, monsieur Bowman, pour ce qui est des pouvoirs exécutoires, connaissez-vous des histoires d'horreur qui auraient pu être évités si la commissaire avait eu de tels pouvoirs?
    N'importe quelle histoire d'horreur qui serait survenue si le commissaire avait eu…
    Toute histoire d'horreur qui aurait pu être évitée.
    ... qui aurait pu être évitée si la commissaire avait eu des pouvoirs exécutoires? Il n'y en a aucune qui me vienne à l'esprit. C'est pourquoi nous n'avons pas recommandé que le commissaire obtienne ces pouvoirs.
    Monsieur Kerr.
    Oui. Ce ne sont que des spéculations, mais ce serait intéressant de savoir comment un bureau — et pas nécessairement le commissaire, mais un bureau — ayant des pouvoirs exécutoires aurait traité la situation, quand la revue Maclean's a jeté sur le bureau de la commissaire tous les détails sur l'utilisation qu'elle avait faite de son téléphone cellulaire, information obtenue d'un courtier en données américain. Ce serait une question intéressante à poser.
    En effet.
    Je n'ai qu'une question. Avez-vous dit, monsieur Kerr, que les gens mettaient sur leur blogue ce qui se passe à notre comité?
    Oui, tout le temps.
    Mais c'est incroyable!
    Je remercie nos témoins. C'est toujours de l'information intéressante. Nous apprécions les recommandations qui ont été formulées et les réponses qu'on nous a données. Nous remercions nos témoins de s'être déplacés et d'avoir partagé leurs connaissances. Nous apprécions.
    Je m'adresse maintenant aux membres du comité. Nous avons encore quelques minutes pour traiter de certaines affaires. Nous travaillons au troisième rapport du comité directeur, et des événements qui sont survenus l'ont un peu mis en veilleuse.
    Cela me fait penser que je voulais rappeler aux membres du comité que nous aurons une réunion spéciale demain matin. Elle débutera à 9 h 30, et non à 9 heures, alors n'arrivez pas trop tôt. Le seul but de cette réunion est d'interroger Robert Marleau, qui a été proposé comme nouveau commissaire à l'information du Canada.
    Tout le monde a le troisième rapport en main. Vous pouvez sauter le premier paragraphe étant donné ce que je viens de dire.
    Nous passons au deuxième paragraphe. Vous ne pouvez rien sauter, dans ce paragraphe. Nous allons en parler. De toute évidence, nous aurons une réunion de plus à notre disposition, parce que nous n'aurons pas besoin de la rencontre du 30 janvier pour interroger M. Marleau.
    Madame Lavallée.

[Français]

    Je voudrais vérifier s'il est possible d'ajouter un troisième paragraphe dans lequel on dirait qu'on se réserve du temps, le 15 décembre, au cas où le ministre de la Justice viendrait déposer son projet de loi modernisé et renforcé sur l'accès à l'information.
    J'en fais la proposition.

[Traduction]

    Nous n'avons pas encore abordé cette question. Vous aurez donc une chance d'y revenir. Comme toujours, nous sommes à la disposition du comité. Pour le moment, nous discutons du deuxième paragraphe. Y a-t-il des observations sur le paragraphe 2? Vous remarquerez que certaines échéances sont fixées dans ce paragraphe.
    Je posais simplement la question. S'il n'y a pas d'observations à formuler, je demande que quelqu'un propose l'adoption du deuxième paragraphe.
    Quand revenons-nous?
    Nous revenons dans la dernière semaine de janvier. On me dit que nos dates de rencontre ont été changées, ou le seront. Nous ne nous rencontrerons plus les lundi et mercredi, mais les mardi et jeudi, de 9 heures à 11 heures. Notre première réunion sera donc le mardi 30 janvier.
    Cela ne laisse que six autres réunions pour entendre des témoins.
    Oui.
    Monsieur le président, dois-je présumer que c'est en raison du premier paragraphe qu'il y aura une autre réunion?
    C'est exact.
    Donc, le jour de notre retour, nous aurons…
    Oui, ce sera le mardi 30 janvier, et nous commencerons tout de suite avec la Loi sur la protection des renseignements personnels et les documents électroniques.
    Nous avons donc un jour de plus.
    C'est cinq jours de plus pour entendre les témoins.
    Monsieur le président, j'aimerais que vous me disiez, ou peut-être le greffier pourrait-il nous le dire, combien d'autres témoins veulent comparaître.
    Monsieur Peterson, le comité directeur a examiné la liste de témoins et a jugé à l'unanimité que ce nombre de jours suffirait pour rencontrer les témoins qui ont demandé à comparaître et traiter les questions dont ils veulent nous parler.
    Et je crois comprendre que la commissaire à la protection de la vie privée reviendra pour nous consacrer deux heures à la dernière réunion?
    Oui, et nous voulons aussi rencontrer le ministre de l'Industrie. Vous vous souviendrez que le personnel nous a dit qu'il lui faudrait les instructions du ministre pour être en mesure de nous conseiller quant à ce qui convient ou non. Nous aurons donc une rencontre avec le ministre ainsi qu'avec la commissaire à la protection de la vie privée.
(1725)
    Combien de réunions reste-t-il pour rencontrer les témoins?
    Deux.
    Sur six réunions? Nous en avons une pour M. Marleau, une pour la commissaire à la protection de la vie privée puis une pour le ministre…
    Oublions M. Marleau, parce que nous en avons une supplémentaire. Nous en avons une mercredi, deux au cours de la dernière semaine de janvier, ce qui fait trois, deux dans la première semaine de février, ce qui fait cinq, et enfin deux autres la semaine suivante, ce qui fait sept. Cela devrait être suffisant. De ces sept rencontres, deux seront consacrées à la commissaire à la protection de la vie privée et au ministre. Il reste donc cinq réunions, et nous…
    Pour les témoins.
    Rien n'est gravé dans la pierre. Nous croyons avoir le temps de terminer. Sinon, nous reviendrons et ferons une recommandation supplémentaire.
    Y a-t-il d'autres questions ou observations?
    Qui aimerait proposer l'adoption du deuxième paragraphe?
    Je propose.
    M. Wallace propose.
    Il faut un amendement? Quel genre d'amendement voulez-vous? Nous ajoutons le 30 janvier au paragraphe 2 ou quoi?
    Le fait que Robert Marleau comparaîtra demain.
    D'accord.
    Que le comité invite Robert Marleau à une rencontre prévue le 12 décembre 2006.
    Je propose l'adoption du paragraphe modifié.
    Tous en faveur? Y en a-t-il qui s'y opposent?
    (La motion modifiée est adoptée.)
    Il nous reste deux minutes.
    Madame Lavallée, avez-vous une motion dont vous voudriez discuter durant deux minutes?
    Mme Lavallée a dit qu'elle en parlerait mercredi, et je pense que nous devrions reporter la question à la séance de mercredi.

[Français]

    Non, on va en parler maintenant. Il ne reste que quatre jours avant le 15 décembre, comme vous le savez, monsieur le président.
    Nous avons adopté à la majorité des voix une motion demandant au ministre de la Justice de présenter à la Chambre des communes un projet de loi modernisé et renforcé sur l'accès à l'information d'ici le 15 décembre.
    Je pense que ce serait de bon ton que de le rappeler au ministre. On pourrait lui demander où en sont rendus ses travaux et à quel moment, d'ici le 15 décembre, il compte déposer le projet de loi. Comme la motion lui demandait de le déposer  d'ici le 15 décembre, il pourrait le déposer à la Chambre demain.
    Je demande que cette motion soit adoptée pour que nous puissions communiquer avec lui le plus rapidement possible afin qu'il nous dise à quel moment, d'ici vendredi, il va le déposer.
    Merci, monsieur le président.

[Traduction]

    Monsieur Peterson.
    Son idée serait de le rencontrer. Il pourrait alors déposer le nouveau projet de loi ici, au comité, le 15 décembre.
    Des voix: C'est une bonne idée.
    Y a-t-il d'autres observations?

[Français]

    Ce serait parfait, mais pas le 15, parce que nous ne serons pas ici, monsieur Peterson.

[Traduction]

    Monsieur Dhaliwal.
    Monsieur le président, si Mme Lavallée présente la motion, je pense que nous devrions l'étudier en premier lieu à la prochaine réunion.
    Monsieur Dhaliwal, nous avons invité ces témoins, et le comité était d'accord. Par courtoisie envers eux, nous allons mettre cette motion à l'article 2 de l'ordre du jour, après l'audition des témoins. Autrement, il risque d'y avoir de l'obstruction — c'est possible, mais je ne suggère pas de le faire — et nos témoins, qui peuvent être venus de loin, resteront assis à nous écouter pendant deux heures. Je pense que ce sera plus productif d'entendre d'abord nos témoins et de discuter de la motion de Mme Lavallée s'il reste du temps.
    Monsieur Wallace.
    Il y a quelque chose que je ne comprends pas. Je n'essaie pas de tuer le temps. Je n'ai pas d'objection à ce que nous votions là-dessus. Si la proposition est adoptée aujourd'hui… Je pense que Mme Lavallée la présente. Ai-je tort?
    Non, vous avez raison.
    Nous allons donc entendre nos témoins avant de faire revenir le ministre au comité pour traiter de cette question particulière?
    Non. La motion demande simplement que le président écrive au ministre et lui demande ou en sont ses travaux.
    Donc il ne s'agit que d'écrire une lettre.
    Ce n'est que ça.
    Pourquoi ne pas l'avoir dit la semaine dernière?
    Il ne s'agit que d'écrire une lettre. C'est la réponse. Nous allons entendre nos témoins de toute façon.
    Je vois qu'il est 17 h 30.
    La séance est levée.