INDU Réunion de comité

     Je déclare la séance ouverte.

    Bon après-midi à tous et à toutes.

    Je vous souhaite la bienvenue à la 98^e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.

    La réunion d'aujourd'hui se déroule dans un format hybride, conformément au Règlement.

    Conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois.

    J'aimerais souhaiter la bienvenue à nos témoins d'aujourd'hui. Nous accueillons M. Michael Beauvais, candidat au doctorat à la Faculté de droit de l'Université de Toronto, par vidéoconférence; M. Avi Goldfarb, professeur de marketing et titulaire de la chaire de recherche Rotman, de l'école de gestion Rotman de l'Université de Toronto; Mme Michelle Gordon, avocate et fondatrice de GEM Privacy Consulting; M^eAntoine Guilmain, avocat-conseil et cochef du Groupe de pratique national Cybersécurité et protection des données chez Gowling WLG; et, de IQVIA Solutions Canada, M. Luk Arbuckle, méthodologiste en chef et agent de la protection de la vie privée.

    Chacun de vous disposera de cinq minutes.

    Je vous remercie tous de prendre le temps de venir nous accompagner dans cette étude cet après-midi. Sans plus tarder, je cède la parole à M. Beauvais pour cinq minutes.

     Merci, monsieur le président, et merci aux membres du Comité de m'avoir invité aujourd'hui.

     Je suis candidat au doctorat à la Faculté de droit de l'Université de Toronto et boursier diplômé du Schwartz Reisman Institute. J'ai publié plus d'une douzaine de publications examinées par des pairs et de nombreuses interventions stratégiques sur la protection de la vie privée et des données au Canada, en Union européenne et aux États-Unis.

    J'ai présenté un mémoire sur les questions relatives aux enfants dans la Loi sur la protection de la vie privée des consommateurs avec ma collègue, Mme Leslie Regan Shade, qui est professeure à la Faculté d'information de l'Université de Toronto et membre du corps professoral affilié au Schwartz Reisman Institute. Je comparais aujourd'hui à titre personnel.

     Il est essentiel de protéger la vie privée des enfants dans l'environnement numérique pour protéger leur agentivité, leur dignité et leur sécurité. En effet, les lois sur la protection des données sont cruciales pour contrer le fait toujours plus évident que la surveillance et les conceptions persuasives des entreprises nuisent à l'agentivité et au bien-être des enfants. Malgré cela, les technologies numériques sont vitales pour l'inclusion et la participation des enfants dans la société. Mesdames et messieurs les membres du Comité, vous êtes particulièrement bien placés pour veiller à ce que l'environnement numérique respecte les droits des enfants.

     Avant de souligner quelques-unes des recommandations formulées dans notre mémoire, permettez-moi de souligner que le Comité des droits de l'enfant des Nations unies a toujours recommandé l'établissement de mécanismes plus robustes et normalisés pour obtenir le point de vue des enfants sur les questions juridiques et politiques qui les touchent. Il est donc regrettable que l'on ne semble pas avoir consulté des jeunes sur cet important projet de loi. Je vous exhorte respectueusement à solliciter leurs points de vue.

    Je vais maintenant vous présenter brièvement nos recommandations.

    Premièrement, il serait nécessaire de préciser plusieurs définitions importantes. Il s'agit notamment de la définition de « mineur » et de celle de la capacité de déterminer quand un mineur est « capable » d'exercer des droits et des recours en vertu de la loi. La loi doit également préciser la portée et le lien entre la prise de décisions des parents et celle des enfants. En outre, il faut préciser davantage ce qui se passe lorsque les mineurs atteignent l'âge de la majorité. De plus, les renseignements sur l'enfance d'une personne devraient demeurer des « sensibles » même après l'âge de la majorité.

    Deuxièmement, l'intérêt supérieur de l'enfant devrait faire partie des principes fondamentaux de la loi. Cela ferait de l'intérêt de l'enfant une priorité dans tous les aspects du projet de loi. Par exemple, l'intérêt supérieur des enfants devrait avoir de l'importance lorsqu'il s'agit de préciser les objectifs de la collecte, de l'utilisation et de la divulgation des données ainsi que la conservation des données.

    Troisièmement, il faudrait inclure des exigences et des limites pour la vérification de l'âge des enfants et du consentement parental. Traiter les mineurs et les adultes différemment fait de la vérification de l'âge et du consentement parental un élément important de la conformité. Toutefois, cette vérification risque de s'avérer très intrusive, peu fiable et peu sûre. La vérification constitue également une grave menace pour la liberté d'expression de tous les internautes.

    Quatrièmement, le Commissariat à la protection de la vie privée devrait avoir le mandat d'élaborer un code de conception pour les enfants, en invitant des jeunes à y collaborer sérieusement. Ces codes de conception sont des normes adaptées à l'âge pour les produits destinés aux jeunes afin d'assurer le plus haut niveau de protection de la vie privée dès la conception. Ils contribuent également à éviter que les produits destinés aux jeunes ne portent atteinte aux droits des enfants. Les entreprises apprécient beaucoup la certitude que ces codes leur génèrent. Comme elles ne s'appuient que sur des principes généraux et des obligations découlant de la loi, de solides mesures de protection de la vie privée et du mandat doivent figurer dans la loi elle-même.

    Enfin, je vous prie de reconnaître que le fait d'offrir des protections robustes aux enfants ne devrait pas justifier l'établissement de piètres protections pour les adultes.

    Avant de conclure, je tiens à rappeler respectueusement au Comité que le manque constant d'accès à Internet haute vitesse dans les collectivités nordiques, rurales, inuites et métisses ainsi que dans les communautés des Premières Nations empêche les enfants et les adultes de ces collectivités de jouir de toutes les occasions offertes ailleurs au Canada. Les promesses et le potentiel de la Loi sur la protection de la vie privée des consommateurs sont illusoires sans un accès équitable à Internet.

     Je vous remercie pour votre travail dans le cadre de cette importante étude, et je me ferai un plaisir de répondre à vos questions.

     Merci.

     Je cède maintenant la parole au professeur Goldfarb.

    Je vous remercie pour votre aimable invitation à comparaître devant le Comité pour discuter du projet de loi C‑27.

    Je suis professeur de marketing à l'Université de Toronto, où je suis titulaire de la chaire de recherche Rotman en intelligence artificielle et en soins de santé. Mes recherches portent sur l'économie de la technologie de l'information. J'ai publié plusieurs articles sur la réglementation de la protection de la vie privée et sur l'intelligence artificielle, l'IA.

    Le Canada est chef de file en recherche sur l'IA. Un grand nombre des technologies de base qui ont déclenché la passion récente pour l'IA ont été mises au point ici même, dans des universités canadiennes. Malheureusement, notre productivité laisse à désirer. Mes recherches ont démontré que l'intelligence artificielle et les outils qui l'accompagnent et qui sont axés sur les données sont des technologies particulièrement prometteuses pour accélérer l'innovation, la productivité et la croissance économiques. À mon avis, nous n'avons pas suffisamment d'intelligence artificielle, ce qui nuira à l'avenir de l'économie canadienne. Notre niveau de vie, notamment notre capacité de financer les soins de santé et l'éducation, risque de stagner. Il serait dommage que le succès de la recherche menée au Canada ne débouche pas sur des applications qui accroissent la prospérité de notre pays.

    Ce projet de loi a été soigneusement rédigé de façon à ce que les Canadiens profitent de l'intelligence artificielle et des technologies connexes axées sur les données, tout en protégeant la vie privée et en réduisant le risque que ces technologies nuisent à des gens.

    Je vous présenterai ensuite des commentaires précis sur la réglementation de l'IA de la partie 3 et sur la réglementation de la protection des renseignements personnels de la partie 1. J'ai des commentaires précis [difficultés techniques] sur la Loi sur l'intelligence artificielle et les données.

    Premièrement, le projet de loi reconnaît très justement qu'il y a toujours un humain ou une équipe d'humains derrière les décisions rendues possibles par l'IA. Dans la partie 1, le paragraphe 5(2) proposé souligne que toute « personne est responsable d'un système d'intelligence artificielle ». Les articles 7 à 9 proposés précisent ces responsabilités. D'après mon expérience, une telle clarté sur le rôle des humains dans les systèmes d'IA est à la fois inhabituelle et louable.

    Deuxièmement, ce projet de loi définit de façon constructive la capacité d'explication et la transparence dans les articles 11 et 12 de la partie 1. En précisant clairement comment et pourquoi on utilise le système à incidence élevée au lieu de se concentrer sur le fonctionnement interne de l'algorithme, on fournira des renseignements utiles sans forcer une simplification excessive, et potentiellement trompeuse, du fonctionnement des algorithmes.

    Troisièmement, bien que dans ses détails, le projet de loi reconnaisse implicitement le rôle que pourrait jouer l'intelligence artificielle pour accroître la prospérité du Canada, son préambule ne reconnaît pas que les progrès technologiques sont essentiels à notre prospérité. Il se concentre plutôt sur la réglementation et sur les préjudices.

    Quatrièmement, deux articles de ce projet de loi pourraient inciter à ne pas adopter l'aspect bénéfique de l'intelligence artificielle, parce que la responsabilité n'est pas explicitement définie en fonction d'un certain niveau de performance humaine [difficultés techniques] et de la sécurité.

    Dans la partie 1, le paragraphe 5(1) proposé définit les résultats biaisés. Cette définition laisse entendre que la loi interdira tous les biais. Les systèmes d'intelligence artificielle seront sûrement imparfaits, car ils seront souvent conçus à partir de décisions humaines imparfaites et biaisées. Par conséquent, cette définition des résultats biaisés encourage le recours continu à des processus décisionnels humains biaisés plutôt qu'à des décisions potentiellement moins biaisées, mais vérifiables, appuyées par l'IA.

    Dans la partie 2 du projet de loi, l'alinéa 39a) proposé examine les dommages physiques et psychologiques. Comme dans le cas des résultats biaisés, le point de repère semble être la perfection. Par exemple, les véhicules autonomes vont presque certainement causer de graves dommages physiques et matériels, parce que les véhicules sont dangereux. Toutefois, si le système de véhicules autonomes produit beaucoup moins de dommages que les systèmes de conduite humaine actuels, il serait avantageux de permettre son adoption.

    Le cinquième commentaire sur ce projet de loi porte sur la définition d'un système d'IA à l'article 2 proposé, « l'utilisation d'algorithmes génétiques, de réseaux neuronaux, d'apprentissage automatique ou d'autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions ». Cette définition est trop vague. Elle comprend une analyse de régression et pourrait même être interprétée comme incluant le calcul des moyennes. Par exemple, si un employeur reçoit des milliers de demandes d'emploi, calcule la note moyenne à un test normalisé et utilise cette note pour sélectionner automatiquement des demandes supérieures à la moyenne à envoyer à un travailleur des ressources humaines pour un examen plus approfondi, la règle de pointage serait considérée comme un système d'intelligence artificielle, si je comprends bien la définition actuelle.

    J'ai deux observations bien précises qui touchent la Loi sur la protection de la vie privée des consommateurs.

    Premièrement, l'objet du projet de loi, à l'article 5 proposé, énonce clairement les objectifs souvent contradictoires de protéger la vie privée tout en facilitant l'activité économique. Je comprends le vœu pieux de ne pas compromettre la protection de la vie privée et l'innovation, mais la recherche a toujours documenté ces compromis. La vie privée n'est pas gratuite, mais elle est précieuse. Les gens se soucient de leur vie privée. Pour protéger la vie privée, cette loi exigera que les entreprises [difficultés techniques] engagent un expert juridique en matière d'interprétation. Cette expertise est facilement accessible pour de grandes entreprises solidement établies, mais elle est coûteuse pour les petites entreprises et les entreprises en démarrage. Il serait bon qu'en effectuant la mise en vigueur de cette loi, le commissaire inclue des directives visant à réduire un fardeau inutile imposé aux petites entreprises et aux entreprises en démarrage.

    Le paragraphe 15(5) proposé impose le coût d'une vérification à la personne vérifiée, même si le commissaire à la protection de la vie privée n'a pas gain de cause. Cela imposera un lourd fardeau aux petites entreprises et aux entreprises en démarrage qui feront l'objet d'une vérification inutile.

     En conclusion, malgré les suggestions précises que je vous ai présentées pour ajouter plus de clarté au libellé du projet de loi C‑27, je trouve que nous avons là une tentative minutieuse de veiller à ce que les Canadiens profitent de l'intelligence artificielle et des technologies connexes axées sur les données tout en protégeant la vie privée et en réduisant le risque que ces technologies nuisent à des gens.

    Je vous remercie de m'avoir invité à présenter mes résultats de recherche. J'ai hâte d'entendre vos questions.

    Merci beaucoup.

    Je vais céder la parole à Mme Gordon.

    Je vous remercie de m'avoir invitée à comparaître devant le Comité pour cette importante étude du projet de loi C‑27.

    Je suis avocate et consultante en protection de la vie privée à Toronto. Ayant travaillé dans le domaine de la protection de la vie privée pendant plus de 15 ans, tout en élevant trois fils, j'ai développé toute une passion pour la protection de la vie privée des enfants, et je vais me concentrer sur ce domaine aujourd'hui.

    J'ai commencé à m'intéresser au droit de la vie privée lorsque j'étais étudiante en droit à l'Université d'Ottawa. J'ai participé à des études de recherche du professeur Michael Geist et du regretté professeur Ian Kerr à l'époque où la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, était un nouveau projet de loi qui faisait l'objet d'un débat semblable à celui d'aujourd'hui. Lorsque M. Geist a comparu ici il y a quelques semaines, il nous a rappelé sa première comparution devant ce comité pour discuter de la LPRPDE, soulignant qu'il était important de bien faire les choses plutôt que de les faire rapidement. Lorsque le professeur Kerr a comparu en 2017 pour discuter de la réforme de la LPRPDE, il a déclaré qu'à l'époque, tout cela lui rappelait la principale métaphore du roman 1984 de George Orwell et sa maxime « Big Brother vous regarde ». Il a ensuite souligné que les progrès technologiques réalisés depuis la LPRPDE vont bien au‑delà d'une simple surveillance.

    Les professeurs Geist et Kerr avaient raison, surtout en ce qui concerne la protection de la vie privée des enfants. Comme les enfants sont inondés de technologies émergentes bien plus avancées que celles qu'imagine George Orwell dans 1984 — des outils d'intelligence artificielle aux technologies d'enseignement, la réalité virtuelle et notre réalité actuelle de regarder la guerre et la haine qui l'accompagne se dérouler sur les médias sociaux —, il est plus important que jamais de soigneusement protéger la vie privée des enfants.

    Lorsque ce projet de loi C‑11 a été présenté à la fin de 2020, il ne mentionnait pas du tout les enfants. Comme je l'ai fait valoir dans un article sur les options stratégiques en 2021, c'était une occasion manquée, car le nombre d'activités en ligne pour les enfants avait atteint un sommet record à cause de la pandémie.

    Je félicite les législateurs d'avoir abordé la question de la protection de la vie privée des enfants dans le projet de loi C‑27 en déclarant que « les renseignements personnels d'un mineur sont considérés comme étant de nature sensible » et en incluant un libellé qui pourrait fournir aux mineurs un moyen plus direct de supprimer leurs renseignements personnels, aussi appelé le droit à l'oubli. Je crois aussi comprendre que le ministre Champagne propose d'autres modifications pour renforcer la protection des mineurs.

    Cependant, comme l'a dit le premier témoin, je pense que ce projet de loi peut en faire plus pour bien protéger la vie privée des enfants. Je vais me concentrer sur deux points: premièrement, créer des définitions claires et, deuxièmement, observer les meilleures directives établies par les principales administrations.

    Premièrement, ce projet de loi devrait définir les termes « mineur » et « sensible ». Sans ces définitions, les entreprises, qui ont déjà la mainmise sur cette loi, décideront elles-mêmes de ce qui est sensible et approprié pour les mineurs. La Loi sur la protection de la vie privée des consommateurs, la LPVPC, devrait suivre l'exemple d'autres grandes lois sur la protection des renseignements personnels. La California Consumer Privacy Act des États-Unis, le Règlement général sur la protection des données de l'Union européenne et la Loi 25 du Québec établissent un âge minimum de consentement allant de 13 à 16 ans.

    En outre, ce projet de loi devrait définir explicitement le terme « sensible ». Le libellé actuel reconnaît que les données des mineurs sont de nature délicate. Par conséquent, il faut déterminer le traitement des renseignements de nature délicate en interprétant d'autres dispositions du projet de loi au moyen d'une analyse contextuelle, que ce soit à des fins de protection, de consentement ou de conservation. À l'instar de la Loi 25 du Québec, ce projet de loi devrait définir le terme « sensible » et fournir des exemples non exhaustifs de données sensibles afin de fournir aux entreprises, aux organismes de réglementation et aux tribunaux des lignes directrices sur l'application du cadre législatif.

    Deuxièmement, je recommande que vous révisiez ce projet de loi — en l'amendant ou en y ajoutant un règlement — afin d'harmoniser la LPVPC avec les lois des principales administrations, notamment celles du Royaume-Uni et de la Californie, au sujet des codes de conception adaptés à l'âge. Dans les lois de ces deux pays, la réglementation des renseignements personnels des enfants est plus prescriptive.

    Le code californien pour les enfants exige qu'en concevant leurs produits, les entreprises accordent par défaut la priorité à la vie privée des enfants. Par exemple, les paramètres par défaut des applications et des plateformes pour les utilisateurs de moins de 18 ans doivent être réglés au niveau de confidentialité le plus élevé. C'est une chose qui pourrait également être envisagée dans la LPVPC.

    De plus, le code de la Californie exige que les plateformes exercent une diligence fiduciaire de très haut niveau afin qu'en cas de conflit entre l'intérêt supérieur de la plateforme et celui des utilisateurs de moins de 18 ans, l'intérêt supérieur des enfants prime. Cela correspond à la recommandation présentée par l'ancien commissaire Therrien et par d'autres témoins lors des audiences sur l'inclusion dans la loi d'un libellé concernant « l'intérêt supérieur de l'enfant ».

     La LPVPC devrait contenir des exigences sur la façon dont les entreprises utilisent les données des enfants afin qu'elles tiennent compte de leur intérêt supérieur. Par exemple, l'utilisation des données sur les enfants pourrait se limiter aux mesures nécessaires pour fournir un service adapté à l'âge.

    Comme je l'ai fait valoir dans mon article sur les options politiques publié en janvier 2023, nous devrions adopter une approche collaborative qui inclut des législateurs et des décideurs de tous les ordres de gouvernement. Nous devrions coordonner le contenu avec celui des lois d'autres pays sur la protection de la vie privée. Nous devrions également mobiliser les parents et coordonner la rédaction du projet de loi avec des éducateurs. Pour que cette approche réussisse, le projet de loi doit établir un équilibre entre la protection de la vie privée et l'innovation. Nous voulons des lois suffisamment souples pour être durables en s'adaptant aux progrès de la technologie. Elles devront aussi s'adapter à de nouvelles idées d'entrepreneuriat afin de permettre aux jeunes d'innover tout en grandissant dans un monde qui reconnaît leurs besoins et leurs droits particuliers.

     Merci beaucoup, madame Gordon.

    Je cède maintenant la parole à M^e Guilmain.

     Monsieur le président du Comité, mesdames et messieurs les membres du Comité, je vous remercie de m'avoir invité à commenter le projet de loi C‑27.

    Bien que je témoignerai en anglais aujourd'hui, je répondrai à vos questions en français ou en anglais.

    Je suis codirecteur du groupe national de cybersécurité et de protection des données du cabinet d'avocats Gowling WLG. J'ai été admis aux barreaux du Québec et de Paris. Mon témoignage d'aujourd'hui représente mes propres opinions. Je suis ici à titre personnel et je ne représente ni mon cabinet d'avocats, ni mes clients, ni des tiers.

    Une grande partie de ma carrière juridique est axée sur l'analyse comparative des régimes juridiques d'ailleurs au monde. Je conseille aussi mes clients sur leurs obligations en matière de conformité dans les régions où j'ai l'autorisation d'exercer ma profession.

    Le projet de loi C‑27 offre une occasion en or de moderniser le régime fédéral de protection des renseignements personnels du Canada. Il est possible, voire essentiel, de protéger les droits et les intérêts du public tout en facilitant la concurrence, l'investissement et l'innovation ambitieuse.

    Bon nombre des propositions contenues dans ce projet de loi ont une grande incidence, mais je vais me concentrer aujourd'hui sur la Loi sur la protection de la vie privée des consommateurs et sur deux aspects en particulier que je considère comme étant très importants. Il y a d'abord les leçons tirées de la Loi 25 du Québec.

    La majorité des dispositions de la Loi 25 sont entrées en vigueur en septembre 2023. L'été dernier, le cabinet Gowling WLG, en collaboration avec le Bureau de la publicité interactive du Canada, a mené un sondage sur cette nouvelle loi auprès de plus de 100 organismes. Les résultats du sondage ont démontré clairement que l'industrie était mal préparée pour l'entrée en vigueur de cette loi. Plus précisément, 69 % des répondants ont demandé de meilleures précisions, et 52 % ont indiqué qu'ils manquaient de ressources pour s'y conformer. Cela montre également que le fardeau de la conformité est particulièrement lourd pour les PME.

    Je vais souligner aujourd'hui quatre leçons tirées de la Loi 25.

    Premièrement, le projet de loi C‑27 ne devrait pas dépasser les normes établies par le Règlement général sur la protection des données de l’Union européenne. Par exemple, le Règlement général et les lois d'autres pays considèrent l'intérêt légitime comme un fondement juridique souple, mais ces lois exigent qu'il soit toujours justifié et documenté par une évaluation distincte. Le projet de loi C‑27 pourrait contenir une norme similaire.

    Deuxièmement, le projet de loi C‑27 ne devrait pas justifier toutes ses exigences dans ses règlements. Cela générera beaucoup de retards et d'incertitude. Par exemple, au Québec, l'organisme de réglementation considère actuellement l'anonymisation comme étant impossible, parce que les règlements de la Loi 25 ne sont pas encore entrés en vigueur.

    Troisièmement, il faudrait prévoir un calendrier de mise en œuvre du projet de loi C‑27 suffisamment long. Selon l'expérience tirée de la Loi 25, la mise en œuvre devrait durer au moins 36 mois après l'entrée en vigueur du projet de loi.

    Enfin, il faudrait harmoniser les concepts clés du projet de loi C‑27 avec ceux de la Loi 25, comme les fondements juridiques du traitement des données et les exceptions commerciales légitimes. Ces concepts sont très importants dans le cas de la vie privée des enfants.

    J'ai moi-même deux jeunes enfants, alors je tiens beaucoup à la protection des enfants dans l'économie numérique. C'est un sujet que j'aborde régulièrement dans le cadre de mon travail. Je crois que ces amendements au projet de loi C‑27 sont nécessaires pour que les données des mineurs soient protégées de façon raisonnable, significative et cohérente.

    J'aimerais souligner quatre sujets clés à examiner.

    Premièrement, contrairement au Règlement général sur la protection des données de l’Union européenne, le projet de loi C‑27 ne prévoit pas de seuil déterminant quels services sont destinés aux enfants. En pratique, les organismes seront obligés de tenir compte de l'âge et devront donc demander l'âge des utilisateurs chaque fois qu'ils communiqueront avec eux. Cela risque de nuire à la protection de la vie privée des utilisateurs et à la minimisation des données.

    D'autres bases juridiques pour le traitement des données devraient être disponibles en fonction du processus de maturité du jeune. Plus précisément, la capacité juridique devrait constituer une base de référence pour l'évaluation des fondements légitimes et non se fonder uniquement sur l'âge de la majorité.

    Le processus d'obtention du consentement des parents est souvent extrêmement compliqué. Le projet de loi C-27 devrait fixer un âge précis auquel le consentement parental est requis. L'âge de 14 ans semble être la norme la plus raisonnable.

    Enfin, le concept de l'intérêt supérieur de l'enfant devrait être présenté comme un déterminant clé de la façon de traiter les renseignements personnels des mineurs, plutôt que de s'appuyer principalement sur le consentement explicite.

    Avec la permission du président, je serais heureux de soumettre au Comité un exemplaire du rapport du sondage ainsi qu'un court mémoire rédigé en français et en anglais sur les questions que j'ai abordées dans ma déclaration préliminaire.

    Je tiens à remercier M. Michael Walsh de m'avoir aidé à préparer ce document.

    Merci. Je me ferai un plaisir de répondre aux questions du Comité.

     Merci beaucoup, monsieur Guilmain.

    Finalement, je cède maintenant la parole à M. Arbuckle.

    Merci.

    Je suis très heureux d'avoir été invité à participer aux travaux du Comité permanent de l'industrie et de la technologie de la Chambre des communes sur le projet de loi C‑27. J'espère pouvoir répondre à vos questions sur les sujets relatifs aux services et aux technologies liés à la protection de la vie privée et à l'intelligence artificielle.

    Bien que ma présentation se fasse en anglais, sachez que je répondrai avec plaisir à vos questions en anglais ou en français.

     Je m'appelle Luk Arbuckle. À titre de méthodologiste en chef, je suis responsable de la protection de la vie privée à Privacy Analytics, une entreprise d'IQVIA d'Ottawa qui emploie plus de 100 experts en protection de la vie privée.

    Mon rôle à Privacy Analytics consiste à veiller à ce que notre entreprise et nos clients de partout au monde appliquent de façon cohérente les technologies qui améliorent la protection des renseignements personnels. Je suis aussi chargé d'éclairer nos pratiques à partir des directives en vigueur et des méthodes émergentes. Je donne également des conseils sur l'application pratique de l'intelligence artificielle à des applications réelles et sur les risques que cela pose. Mon rôle s'est profondément enrichi lorsque j'ai occupé le poste de directeur de l'analyse technologique au Commissariat à la protection de la vie privée du Canada et lorsque j'ai rédigé des lignes directrices sur l'anonymisation pour le Commissariat.

    L'entreprise Privacy Analytics fonctionne comme une entité indépendante au sein du groupe mondial d'entreprises IQVIA. Nous fournissons à IQVIA et à nos clients de l'étranger des services et de la technologie leur permettant d'utiliser et d'échanger des données de façon sécuritaire et responsable. La plateforme de Privacy Analytics a été déployée à l'échelle mondiale pour protéger la vie privée de près d'un milliard de patients. Par exemple, notre logiciel a permis de réaliser des recherches sûres qui améliorent les résultats des patients cancéreux grâce au réseau européen de données probantes en oncologie et à CancerLinQ de l'American Society of Clinical Oncology. Nous avons également travaillé avec de nombreux organismes gouvernementaux au Canada, en Europe, aux États-Unis et ailleurs dans le monde pour mettre en œuvre des modèles d'accès sécuritaire qui permettent d'accéder plus rapidement aux données, qui favorisent la recherche et l'innovation et qui mettent en œuvre un processus décisionnel axé sur les données.

    C'est dans ce contexte que je souhaite vous présenter quelques observations aujourd'hui. Plus particulièrement, je vais souligner l'importance des données et des analyses en santé pour les Canadiens. La recherche liée aux soins de santé est de plus en plus motivée par des analyses qui s'appuient sur des données probantes réelles afin de révéler l'efficacité des traitements au-delà de la phase d'essai clinique. Le succès de cette approche dépend de la disponibilité des données tirées de diverses sources d'un système de soins de santé pertinent et sur la capacité d'analyser des données venant de différents systèmes de soins.

    Pour que le Canada puisse participer à cette nouvelle frontière de la recherche en soins de santé, il est important que nous accordions la priorité à un modèle d'accès responsable aux données. Ce modèle doit établir un juste équilibre entre la protection de la vie privée et l'obtention des données utiles aux fins prévues. Nous avons également besoin d'un cadre de protection des données qui permette d'échanger des données de façon efficiente et efficace avec les intervenants du monde entier, notamment des États-Unis et de l'Europe. Comme la COVID‑19 l'a démontré, il est essentiel que le Canada demeure actif et concurrentiel dans le domaine des sciences de la vie. Autrement dit, nous devons élaborer une approche de la protection de la vie privée qui appuie la recherche et l'innovation locales et qui permette à la recherche en soins de santé du Canada de s'harmoniser avec les efforts déployés à l'extérieur du pays.

    Je ne résumerai que trois recommandations dans ma déclaration préliminaire. Je vous invite à consulter le document de commentaires complet de l'IQVIA sur le projet de loi C‑27 pour obtenir des commentaires et des détails supplémentaires.

    Premièrement, nous recommandons d'inclure le concept de raisonnabilité dans la définition du verbe « anonymiser ». L'utilisation de données anonymisées dans l'analyse des soins de santé est un élément clé des activités de recherche et d'innovation qui contribuent à orienter l'avenir des soins de santé au Canada. Un groupe très divers d'intervenants en soins de santé du Canada utilisent de l'information anonymisée pour cerner les inefficacités et affecter les ressources plus efficacement, pour accélérer l'élaboration et l'approbation de nouveaux traitements et pour comprendre les besoins des patients et des professionnels de la santé. Grâce à ces utilisations de l'information anonymisée, ils produisent de meilleurs résultats pour la santé ainsi que d'autres avantages notables.

    L'inclusion du concept de la raisonnabilité dans la définition de l'anonymisation du projet de loi s'harmoniserait mieux avec d'autres cadres canadiens, comme la Loi 25 du Québec et la Loi sur la protection des renseignements personnels de l'Ontario. Cette raisonnabilité correspondrait également mieux à la demande, que l'on trouve de plus en plus dans la documentation universitaire et technique, d'ajouter une définition réaliste du risque dans la description de l'information anonymisée. Prenons, par exemple, la norme internationale de dépersonnalisation des données améliorant la protection des renseignements personnels, appelée techniquement ISO 27559. Cette norme technique a été élaborée par des experts du monde entier. Elle est conforme à l'ébauche d'orientation que j'ai produite pendant que je travaillais au Commissariat à la protection de la vie privée.

    Deuxièmement, nous recommandons d'élargir l'exception relative au consentement à des « fins socialement bénéfiques » pour y inclure les organismes du secteur privé. Une approche de principe consisterait à permettre l'échange responsable des données entre un plus grand nombre d'intervenants tout en exigeant des pratiques exemplaires adéquates en matière de surveillance et de protection des données.

    Troisièmement, nous recommandons d'ajouter une exception au consentement à des fins de recherche, d'analyse et de développement menés à l'extérieur. Il serait plus avantageux d'éliminer le qualificatif « internes », car on l'harmoniserait avec l'orientation existante. Le modèle serait alors plus utile pour la recherche et pour l'innovation en soins de santé.

    Sur ce, je tiens à remercier une fois de plus le Comité de m'avoir invité à comparaître aujourd'hui. Je crois fermement qu'il est possible d'utiliser et d'échanger les données de façon sûre et responsable pour protéger la vie privée tout en favorisant l'innovation au profit des Canadiens. Je me ferai un grand plaisir de poursuivre ces discussions.

    Je resterai à votre disposition au cours des discussions.

    Je vous remercie de votre attention.

    Merci beaucoup à vous tous.

    Pour lancer la discussion, je vais maintenant céder la parole à M. Vis pour six minutes.

     Merci, monsieur le président.

    Madame Gordon, merci beaucoup pour vos commentaires. Merci à tous. Tous les témoignages d'aujourd'hui étaient phénoménaux.

    Madame Gordon, vous avez parlé de vos trois enfants, et c'est en quelque sorte ce qui me motive. J'ai moi aussi trois enfants, et je tiens à ce que ce projet de loi protège bien la vie privée des enfants.

    J'ai posé des questions à d'autres témoins sur l'article 9 du projet de loi, sur les programmes de gestion de la protection des renseignements personnels. Si j'ai bien compris votre témoignage, dans certains cas, nous devrions ajouter des dispositions plus prescriptives sur les programmes de gestion, surtout dans le cas des enfants.

    Seriez-vous en faveur d'apporter des amendements à l'article 9 ou de faire d'autres ajouts plus prescriptifs à ce projet de loi, particulièrement dans le cas des enfants? Peut-être que l'article 9, dans sa forme actuelle, pourrait s'appliquer de façon générale aux préoccupations relatives à la protection des renseignements personnels, en offrant des protections et en veillant à ce que les entreprises fournissent ces protections dans les produits qu'elles fabriquent. Toutefois, que devrions-nous faire exactement à l'égard des programmes de gestion des renseignements personnels des enfants?

     Comme je l'ai dit dans ma déclaration préliminaire, je crois que ce projet de loi devrait être plus prescriptif à l'égard de la protection des renseignements personnels des enfants. D'autres pays l'ont fait. Ils ont rédigé une loi distincte qui prévoit un code particulier pour les enfants. Je pense que nous devrions apporter certains amendements à ce projet de loi ou y ajouter un règlement distinct.

    Comme l'a dit M. Guilmain, il faut parfois une éternité pour que les règlements entrent en vigueur et soient observés, alors il n'est pas toujours préférable de s'en remettre à la réglementation. Cependant, c'est une façon de procéder. Je crois qu'il serait possible d'amender certaines dispositions pour les rendre plus prescriptives afin de rendre ce projet de loi plus efficace.

    Au lieu de mettre en place des programmes de gestion de la protection des renseignements personnels, seriez-vous en faveur de baser la conception des produits sur la protection des renseignements personnels en exigeant que les entreprises créent des produits conçus pour protéger avant tout les renseignements personnels des enfants?

    Je ne pense pas qu'il s'agisse de deux choses distinctes. Il me semble qu'un programme de gestion de la protection des renseignements personnels peut comprendre cette protection par définition.

    Merci. C'est ce que je cherchais, en fait. C'est très utile.

    Comment définiriez-vous les renseignements de nature délicate?

    Je n'ai pas de définition précise, mais je crois que nous pourrions l'illustrer à l'aide d'exemples à partir d'une liste non exhaustive, comme nous l'avons fait pour la Loi 25 au Québec.

    Pouvez-vous énumérer quelques-uns de ces exemples?

    Bien sûr. Il y a les données biométriques, les données sur la santé, les données financières et les données sur les enfants. Ce sont les exemples qui me viennent à l'esprit, mais je pourrais certainement vous en fournir d'autres.

    Si on applique une liste d'exemples non exhaustive sans inclure les technologies futures, ne risque‑t‑on pas de laisser les entreprises enfreindre l'esprit de la loi en évitant de prévoir une forme de confidentialité ou la protection des renseignements de nature délicate?

    C'est certainement un risque, mais je ne pense pas que ce soit une raison de ne pas le faire maintenant. La Loi sur la protection des renseignements personnels et les documents électroniques fonctionne très bien depuis 20 ans. Les lois sont continuellement modernisées, mais en attendant, je pense qu'il s'agirait d'obtenir cette liste d'ores et déjà, tout en sachant qu'on pourra la mettre à jour au fur et à mesure.

    D'accord.

    Le modèle du Royaume-Uni en matière de protection de la vie privée comprend certains seuils, tout comme la loi californienne, je crois. Je crois que l'esprit de la loi sous-entend que les enfants, à différentes étapes, peuvent prendre des décisions différentes.

    Comment pensez-vous que ce genre de libellé prescriptif pourrait être inclus dans le projet de loi C‑27dont nous sommes saisis aujourd'hui?

    Je n'ai pas de commentaires précis à formuler à ce sujet. Encore une fois, il faudrait que j'y revienne.

    C'est quelque chose dont mon collègue, M. Guilmain, a également parlé, alors il a peut-être des remarques à faire.

    Avez-vous quelque chose à dire, monsieur?

    Oui. J'aimerais examiner ce qui se fait actuellement en Europe. Bien sûr, le Règlement général sur la protection des données, ou RGPD, a été une nouveauté pour ces pays, et la protection de la vie privée, celle des enfants, était un facteur clé.

    Comme il est extrêmement difficile d'imposer des exigences normatives, on s'est plutôt fortement appuyé sur la notion de l'« intérêt supérieur de l'enfant », et ça marche. Pourquoi? Eh bien, parce que ce n'est pas donner carte blanche aux organisations ni les exonérer de quoi que ce soit simplement parce qu'il s'agit d'enfants. Elles doivent documenter tout ce qu'elles font.

    J'aimerais souligner un deuxième aspect. Bien entendu, l'avocat que je suis aime que les définitions soient claires, mais il est tout aussi important que la loi recueille des concepts en pleine évolution comme « l'intérêt supérieur de l'enfant », par opposition à des concepts très clairs comme le consentement explicite, où il faudrait essentiellement obtenir le consentement chaque fois, qu'il s'agisse d'un adolescent ou d'une personne de moins de 13 ans.

    Je pense que c'est ce que nous voyons partout dans le monde, car de nombreux parlements ont compris que nous vivons dans un monde en constante évolution, qu'il nous faut des concepts à l'épreuve de l'avenir, et que l'intérêt supérieur de l'enfant n'a rien de critiquable. C'est un bon concept. C'est du moins mon opinion personnelle.

     Monsieur le président, combien de temps me reste‑t‑il?

    Il vous reste trois secondes.

    M. Brad Vis: Ça va. Merci.

    Le président: Je cède maintenant la parole à M. Sorbara pour six minutes.

    Merci, monsieur le président.

    Je remercie tous les témoins de leurs commentaires sur un projet de loi tellement important.

    Si vous me le permettez, je vais adresser ma première question à M. Goldfarb.

    Monsieur Goldfarb, vous avez mentionné dans votre exposé que le Canada est un chef de file en recherche sur l'intelligence artificielle et que l'intelligence artificielle et les outils axés sur les données sont prometteurs pour la croissance économique, mais qu'ils doivent évidemment être utilisés. Dans la même veine, vous avez publié en septembre 2023 un article intitulé « The Economics of Digital Privacy ». Je me demandais si vous pouviez nous en dire davantage sur l'incidence du projet de loi sur l'innovation, et donc sur la productivité, et donc sur notre niveau de vie sous l'angle des entreprises et de l'économie canadiennes.

    Je vous remercie de la question.

    Il y a deux forces en jeu ici. La première, c'est que chaque fois que l'on réglemente des entreprises qu'elles soient en démarrage ou non, surtout des petites entreprises, elles auront besoin d'avocats pour faire des affaires. Cela va ralentir ce qu'elles peuvent faire. Voilà un côté. De l'autre, s'il n'y a pas de loi en place, les clients potentiels de ces entreprises ne leur feront pas confiance. Même si le besoin d'obtenir des conseils juridiques — je m'excuse auprès des avocats ici présents — est un véritable obstacle pour les petites entreprises et celles qui démarrent à peine, il faut une loi pour que les gens puissent leur faire confiance.

     À mon avis, le projet de loi concilie très bien ces deux éléments, à quelques exceptions mineures près que j'ai mentionnées. Il protège contre les atteintes les plus graves à la vie privée, afin que nous ayons davantage confiance dans ce que les organisations font des données. Cela, à son tour... Pour ce qui est de l'ensemble des règlements décrits, oui, il s'agit d'un projet de loi qui fait des dizaines et des dizaines de pages — vous aurez besoin d'expertise —, mais il n'est pas onéreux au point de me faire augurer que les petites entreprises et les entreprises en démarrage qui misent sur l'intelligence artificielle devront fermer leurs portes.

    À mon avis, tout compte fait, il mettra le Canada en bonne position pour commercialiser l'intelligence artificielle.

    Dans le même ordre d'idées, pour ce qui est de comparer les lois de différents pays, comment décririez-vous le cadre en Europe — le Règlement général sur la protection des données de l’Union européenne, ou RGPD — par rapport à ce que contient le projet de loi C-27 et à son incidence sur l'innovation et l'économie?

    Nous avons de nombreuses preuves que le RGPD, quand et où il est appliqué, a réduit l'innovation, a nui à l'industrie européenne du logiciel par rapport à l'américaine, et a aidé les plus grandes entreprises, en particulier dans le domaine de la technologie publicitaire, à faire de mieux en mieux. Ce règlement a entraîné des coûts réels au chapitre de la protection de la vie privée.

    Lorsque je regarde la façon dont ce projet de loi a été rédigé, je pense qu'en ce qui concerne la protection de la vie privée et la réflexion sur les méfaits potentiels de l'intelligence artificielle, il est clair pour moi que l'on cherchait à faire en sorte que les petites entreprises et celles en démarrage puissent faire concurrence aux plus grandes sur un pied d'égalité. À mon avis, ce projet de loi est plus favorable à l'innovation, particulièrement pour les petites entreprises et les entreprises en démarrage, que le RGPD.

    D'accord. C'est bon à entendre, pour ce qui est de l'incidence de la loi sur l'innovation et la productivité, car nous savons que l'innovation est un élément très important de l'intelligence artificielle et de son incidence sur notre économie et notre mode de vie quotidien.

    Monsieur Arbuckle, je crois comprendre que vous êtes une entreprise du secteur privé. C'est bien cela? Vous êtes un expert de la protection de la vie privée. Selon les notes que j'ai prises lors de votre exposé ou de vos commentaires, vous avez parlé de l'approche de ce qui est raisonnable et d'un cadre réaliste du risque en ce qui concerne les renseignements anonymes. Pouvez-vous nous en dire plus à ce sujet en songeant que, contrairement à vous, nous ne sommes pas des experts en matière de protection de la vie privée et d'intelligence artificielle et que nous ne faisons que nous efforcer de saisir l'information qui nous est présentée dans ce projet de loi, et nous dire de façon réaliste, à quel point c'est important pour les Canadiens ordinaires? Pouvez-vous nous expliquer ce que vous entendez par là et mettre les choses en contexte, s'il vous plaît?

     Oui. Le mot « contexte » est également important ici, parce que c'est un peu la façon dont nous voulons envisager l'anonymisation. Nous voulons voir où nous utilisons cette information.

    Lorsque Statistique Canada produit des statistiques ou des données qu'il rend publiques, les risques sont très élevés parce qu'elles sont sur Internet. N'importe qui peut y accéder. Les données sont également saisies dans un centre de recherche sans connexion Internet. L'accès à ces données est contrôlé et on sait donc qui y a accès, ce qui peut être consulté et l'usage qu'on a l'intention de leur donner. Les risques sont beaucoup plus faibles, alors c'est contextuel à cet égard.

    L'idée d'une approche raisonnable consiste à tenir compte du contexte. Lorsque nous examinons les normes internationales, par exemple, elles sont principalement fondées sur des données scientifiques, et les risques ne sont jamais nuls. Par conséquent, en examinant les choses de cette façon contextuelle, nous pouvons gérer les menaces et utiliser des outils autres que de simples moyens d'agrégation et de création de moyens, comme il en a été question plus tôt. Nous pouvons faire des choses un peu plus complexes, et nous pouvons avoir des environnements solides qui contrôlent cette information.

    Avant d'occuper ce poste privilégié et honoré, j'ai travaillé dans le secteur privé pendant très longtemps, pour une très grande organisation du secteur des services financiers. Comment expliquez-vous l'utilisation et la conformité de votre entreprise à la Loi sur la protection des renseignements personnels et les documents électroniques?

    La technologie que nous utilisons et sa complexité sont conformes aux pratiques exemplaires que nous étudions. Nous examinons les normes internationales. Nous examinons les directives qui sont produites et nous nous assurons que l'anonymisation que nous faisons respecte ces normes.

    Nous avons des lignes directrices en Ontario, par exemple. Nous avons la loi elle-même, par exemple, au Québec. Nous avons toute une jurisprudence, qui n'est pas de mon ressort, bien sûr. Nous examinons les pratiques exemplaires en matière de technologie. Nous surveillons la documentation et la conjoncture, et nous modifions les choses en conséquence.

    Combien de temps me reste‑t‑il? C'est tout? D'accord.

    Merci beaucoup.

    Nous aurons peut-être du temps à la fin.

     Monsieur Lemire, vous avez maintenant la parole.

    Merci, monsieur le président.

    Je remercie l'ensemble des témoins. Je crois que nous avons aujourd'hui une rencontre de très grande qualité, et je leur en suis très reconnaissant.

    Monsieur Guilmain, je vais commencer par vous. Je vais poursuivre dans le même esprit qu'une des questions de mon collègue M. Sorbara. Selon une lettre publiée sur le site du Comité, bien que le ministre assure que la loi québécoise prévaudra dans la province, Jim Balsillie, notamment, exprime des inquiétudes selon lesquelles, si le projet de loi C‑27 établit des normes inférieures à celles de la loi 25 du Québec, cela pourrait entraver l'innovation et compromettre les investissements dans l'économie québécoise.

    Dans cette perspective, comment évaluez-vous l'incidence potentielle du projet de loi C‑27 sur le paysage économique du Québec, notamment sur les investissements et l'innovation?

    En ce moment, sur le plan conceptuel, le projet de loi C‑27 est assez compatible avec la loi 25. Je vous dirais même qu'à bien des égards, la loi 25 est plus stricte que le projet de loi C‑27. Je vais aller plus loin que cela: la loi 25 est l'une des lois les plus strictes au monde. Cela, il faut le reconnaître.

    Dans le cadre de ma pratique, je travaille avec des clients de l'international, qu'ils soient basés aux États‑Unis, en Europe ou en Amérique latine, et aujourd'hui, ils regardent la loi 25 en se disant que c'est vraiment une des lois les plus compliquées à mettre en œuvre et qu'il est difficile de s'y conformer. Or ce n'est pas une bonne chose.

    Ma position, aujourd'hui, bien sincèrement, c'est que les deux lois compatibles. En revanche, je pense qu'il y a des enseignements à tirer de la loi 25. Je me suis permis de citer le Règlement général sur la protection des données de l'Union européenne, le RGPD, et je crois que c'est un modèle très intéressant dont pourrait s'inspirer le projet de loi C‑27. C'est véritablement ma position.

     Il y a de très bonnes choses dans le projet de loi C‑27. Il faut bien noter que, sur le plan législatif, il apporte un changement très différent. La loi 25 est venue modifier des lois existantes en faisant un peu du rapiéçage. On a essayé d'ajouter une loi qui datait de 1994. La beauté du projet de loi C‑27, c'est que le texte a son unité. Il y a véritablement une compréhension collective.

    Alors, mon intervention à ce sujet consiste à dire que de considérer la loi 25 comme un étalon de mesure n'est peut-être pas la meilleure approche, de mon humble point de vue.

    Je vous remercie de votre réponse.

    Dans ce cas, quels amendements serait-il intéressant d'apporter au projet de loi C‑27 pour assurer une meilleure compatibilité?

    Je suis particulièrement sensible à la nécessité d'avoir un environnement propice à l'innovation et à l'investissement. Dans le contexte actuel, risque-t-on d'établir des normes qui pourraient nuire aux investissements et à l'innovation au Québec?

     Il y a une nuance assez fondamentale. Vous n'êtes pas sans savoir que, en matière de vie privée, la notion de consentement est centrale. Tout passe par le consentement. On parle soit d'un consentement express implicite ou d'exception au consentement. C'est ainsi que sont bâtis le projet de loi C‑27, la loi fédérale actuelle et la loi québécoise.

    À l'heure actuelle, le Québec a une approche très différente de celle du reste du Canada. En effet, il a décidé d'inscrire dans la loi que, en matière de collecte de renseignements personnels, il ne serait pas toujours nécessaire d'obtenir un consentement, sous réserve qu'on divulgue les raisons pour lesquelles on collecte, utilise ou communique des renseignements personnels. Cela a d'ailleurs été récemment confirmé dans les lignes directrices de la Commission d'accès à l'information du Québec.

    Qu'est-ce que cela veut dire concrètement? C'est très théorique, mais ce ne l'est pas tant que cela. Quand on visite un site Internet, on se fait « attaquer » par différentes méthodes de consentement. C'est ce qu'on veut imposer aux enfants. En tant qu'adulte, notre capacité de concentration est très limitée. Personnellement, je m'intéresse à la question à temps plein, et je ne lis pas tout.

    Le Québec a décidé d'adopter une approche différente: on ne force pas les gens à donner un consentement express, à cliquer, on leur donne juste l'information et, ensuite, ils peuvent continuer dans le cadre du processus. Cet aspect de transparence est propre au Québec.

    En ce moment, la loi fédérale, telle qu'elle est rédigée, semble indiquer qu'il faudrait chaque fois avoir un geste positif dans certains cas de figure. Je pense qu'il s'agit d'une différence assez importante. Encore une fois, ce n'est pas mauvais. En fait, on prend le problème différemment. On vient donner un peu plus de transparence, plus de contrôle, au lieu de forcer les gens à consentir de manière presque fictive.

    J'ai le goût de vous poser de brèves questions sur les délais d'adoption du projet de loi C‑27, puisque vous avez ouvert une porte à cet égard. Y a-t-il urgence d'agir? Quelles en seraient les conséquences, si nous prenions notre temps, dans un contexte parlementaire comme le nôtre? Que pensez-vous du délai d'application de la loi par le gouvernement?

    Je tiens d'abord à mentionner que notre loi fédérale, soit la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, est une loi de qualité. Je ne dirais pas qu'il y a urgence d'agir, mais c'est un avis bien personnel. Dans la LPRPDE, il y a des notions assez larges qui permettent déjà à des entreprises de faire de très bonnes choses. On n'est pas dans le néant, à l'heure actuelle.

    Cela dit, le projet de loi C‑27 est très ambitieux. Je parle de la partie qui porte sur la protection des renseignements personnels. Il ne faudrait pas sous-estimer le temps qui sera nécessaire pour ajuster les processus. Il ne faut pas oublier que les entreprises se sont coltiné la loi 25 du Québec, il y a quelques mois, et s'y sont conformées en septembre dernier. Il s'agissait d'un véritable travail à l'interne.

    Je pense qu'il y a intérêt à éviter une duplication des ressources, au risque de créer une espèce de fatigue des entreprises à l'égard des exigences. Les entreprises ne comprendront plus le message qu'on leur envoie. Je pense qu'il est important de garder en tête la période de transition importante.

    Selon moi, il n'y a pas urgence d'agir, mais c'est mon avis très personnel.

    Qu'en est-il de l'arrimage avec l'Union européenne?

    Pour ce qui est de l'arrimage avec l'Union européenne, je dois dire qu'il faudra une analyse qui pourra prendre des années. Le Japon a récemment reçu une décision d'adéquation; il est considéré comme un bon pays pour le transfert de renseignements personnels. C'est le résultat d’années de travail de la Commission européenne.

    Je pense que le projet de loi C‑27 est un très bon projet de loi pour ce qui est de coller aux normes européennes, en l'occurrence au Règlement général sur la protection des données de l'Union européenne. On y retrouve tout un tas de concepts « canadianisés », si j'ose dire. C'est formulé d'une manière un peu différente, notamment ce qui porte sur les données délicates. Je pense quand même que le projet de loi C‑27 est un bon projet à cet égard, mis à part certains aspects sur l'anonymisation et sur les fondements légaux pour traiter les renseignements personnels, comme je l'ai mentionné.

    Merci beaucoup.

    Merci, monsieur Lemire.

    Monsieur Masse, la parole est à vous.

     Je remercie les témoins de leur présence.

    Je vais peut-être vous parler de façon générale.

    Pour les Américains, l'ordre exécutif de Biden donne à l'administration plus de contrôle et de capacité, de haut en bas. Essentiellement, cela empêche le Congrès, à bien des égards, de prendre des décisions, et c'est presque comme un décret en conseil des nôtres. Nous avons eu la chance d'être à Washington, et lorsque notre analyste était là‑bas, elle a clarifié cela également. C'était un point intéressant que nous n'avions pas compris — la mesure dans laquelle les choses se sont déroulées en marge des couloirs du Congrès, voire du Sénat.

    Je me demande ce que vous pensez de la façon dont nous allons aborder l'ordre exécutif des États-Unis, puisqu'il s'agira en fait d'une approche de haut en bas. Comment pouvons-nous avoir une certaine cohérence à ce chapitre au cours de nos audiences?

    Madame Gordon, je ne sais pas si vous voulez commencer, puis nous passerons à l'autre côté de la table.

     Il faudrait que j'y réfléchisse un instant, alors peut-être qu'un de mes collègues pourrait commencer.

    Je vais être très direct. Je ne suis pas en mesure de répondre à votre question.

     C'est une question intéressante. Parlons-nous de l'ordre exécutif sur l'intelligence artificielle?

    Oui. Je suis désolé. J'aurais dû être plus précis.

    Ça va. Je voulais simplement vérifier. Il y en a peut-être un autre. On ne sait jamais.

    C'est intéressant. Il y a beaucoup d'activité. Il se fait beaucoup de travail aux États-Unis. Le National Institute of Standards and Technology, par exemple, a fait de l'excellent travail sur les cadres de gestion des risques liés à l'intelligence artificielle et sur la façon de les gérer. Nous avons entendu beaucoup de bonnes choses dans l'ordre exécutif. Donc, du point de vue de la technologie, je crois qu'il est emballant de voir la discussion sur l'intelligence artificielle sécuritaire, digne de confiance et responsable. Quelle que soit la procédure — je ne peux pas vraiment en parler —, il est stimulant de voir qu'il y a tout un élan.

    Le Canada est reconnu pour la protection de la vie privée par définition, par exemple. Nous avons donc l'occasion de prendre l'initiative et d'avancer dans le domaine de l'intelligence artificielle. Comme il en a été question tantôt, nous avons des chercheurs qui ont fait un travail remarquable, vraiment, pour faire avancer ce dossier. Quelle que soit la démarche suivie, je trouve intéressant qu'ils insistent autant.

    Si vous n'avez pas de commentaires à ce sujet, ça va. La raison pour laquelle j'ai décrit la procédure, c'est qu'elle viendra directement du président et qu'elle contournera, dans une certaine mesure, la surveillance exercée par le Congrès et le Sénat.

    C'est ainsi que les Américains ont abordé la question. Ils ont pratiquement tout servi dans un plateau au président, alors que nous en sommes encore au stade du comité chez nous. Nous devons encore suivre un processus législatif, puis renvoyer ce projet de loi au Sénat et le faire adopter. En même temps, nous ne savons pas si ce sera un peu la même chose qu'aux États-Unis. Nous devons trouver une solution. On dirait presque que si nous voulons avoir quelque chose de semblable ou de comparable, il nous faudrait un traité à certains égards.

    Bien sûr, nous tenons à notre souveraineté, mais ce qui m'inquiète, c'est que... Si notre loi diffère foncièrement de celle des États-Unis, qu'en sera‑t‑il de notre capacité de retenir les investissements et l'intelligence artificielle ici, en souffrira‑t‑elle ou pourrions-nous nous retrouver en meilleure position, potentiellement? Je me demande ce que vous en pensez, parce que nous pourrions avoir deux modèles différents en Amérique du Nord sur la façon de traiter l'intelligence artificielle. Qu'en pensez-vous?

    De façon générale, je ne vois pas vraiment de problème, puisque c'est ce que nous voyons. J'ai vu des lois du monde entier, et elles ne sont jamais unifiées. Je pense que c'est impossible. Même au Canada, nous avons des lois sur le secteur privé en Colombie-Britannique, en Alberta et au Québec, ainsi que la loi fédérale actuelle. Elles ne sont pas homogènes. Elles sont différentes.

    Ce qui importe, c'est l'interopérabilité. C'est la capacité de s'entendre sur les diverses lois. Je pense que c'est quelque chose que nous devrions rechercher, plutôt qu'une copie conforme de ce qui se fait aux États-Unis. J'en dirais tout autant pour l'Europe. Je pense qu'il s'agit simplement d'examiner ce qu'ils font et de veiller à ce que nos concepts soient suffisamment souples pour tenir compte du régime juridique qui est adopté aux États-Unis.

    D'accord, c'est une bonne distinction.

    Ce qui m'inquiète, venant de mon milieu, c'est que pendant des années, nous avions deux ensembles différents de pare-chocs sur les voitures. Il n'était plus question de marchander, et nous avions en fait des entreprises qui faisaient les choses en double. Je n'en sais pas assez pour savoir si cela nuit ou non... Contrairement à l'Union européenne, à bien des égards, nous avons beaucoup de partenaires nord-américains et de subventions dans les deux sens. J'essaie simplement de comprendre.

    Combien de temps me reste‑t‑il, monsieur le président?

    Il vous reste environ une minute et demie.

    Rapidement, quelqu'un a‑t‑il des commentaires à faire sur les recommandations du commissaire à la protection de la vie privée? Êtes-vous en faveur ou contre ses recommandations? Y a‑t‑il quelque chose de flagrant à signaler? Quelqu'un a‑t‑il des commentaires à ce sujet?

    Vous faites allusion aux 15 recommandations?

    Oui.

    Si je peux me prononcer sur un aspect, il y a des idées intéressantes. Je pense qu'il y a une volonté d'ajouter une obligation de reddition de comptes pour les entreprises. Je pense que c'est quelque chose qui est proposé. J'ai quelques réserves à cet égard, compte tenu de ce qui se passe au Québec en ce moment, surtout pour les petites et moyennes entreprises, qui ont vraiment de la difficulté à tout devoir documenter.

    Ce pourrait être une bonne idée, dans la mesure où il y a des seuils. Je pense que c'est l'aspect clé de ce genre de lois, le fait d'avoir la notion et le principe, sans oublier l'exception et les seuils. C'est ma principale préoccupation à l'égard de cette recommandation.

    J'ajouterais qu'il importe de reconnaître qu'il y a des compromis à faire. Au fur et à mesure que nous resserrons les règles de protection de la vie privée dans cette loi, dans bien des cas, nous allons obtenir moins d'innovation, surtout de la part des entreprises en démarrage et des petites entreprises. Ça ira tout seul pour les grandes entreprises, mais les plus modestes auront plus de difficulté à recueillir et à organiser des données.

    Dans la mesure où ces recommandations seront retenues, il s'agira de surveiller la situation et de veiller à ne pas trop alourdir le fardeau des entreprises plus modestes.

    Pour répondre rapidement à la question de M. Masse au sujet de l'ordre exécutif, je dirais qu'il y aurait moyen d'atteindre une certaine harmonisation sous réserve de pouvoir intégrer des mesures législatives dans une loi ou un règlement secondaire. Cependant, il n'est pas évident de trouver un juste milieu à l'heure de décider ce qui devrait figurer dans la loi principale et ce qui devrait figurer dans la loi secondaire.

    Merci.

    Merci beaucoup.

    Monsieur Williams, vous avez la parole.

    Merci, monsieur le président.

    Je veux poursuivre dans la même veine. Je pense que c'est une excellente discussion.

     Nous croyons évidemment que la protection de la vie privée est un droit fondamental, mais en même temps, les entreprises doivent pouvoir recueillir et utiliser des données. Nous nous trouvons actuellement dans une situation unique avec le projet de loi C‑27 parce que le Règlement général sur la protection des données de l'Union européenne, le RGPD, vient d'entrer en vigueur avec certains de ses... Je n'aime pas parler de paperasserie, mais il s'agit des formalités que les entreprises, petites et autres, doivent respecter.

    Nous essayons de trouver de bons amendements dans ce projet de loi pour que la vie privée soit considérée comme un droit fondamental de la personne, mais aussi pour protéger les entreprises contre les fardeaux et les politiques et procédures qui vont peser sur leur capacité de faire des affaires et de recueillir et d'utiliser des données à bon escient.

    Je vais commencer par Mme Gordon.

     Que pouvons-nous faire dans ce projet de loi pour nous assurer que les modèles de collecte et de consentement sont faciles pour les entreprises tout en protégeant la vie privée? Qu'avons-nous appris du RGPD?

     C'est une très bonne question.

     J'appuie généralement les nouvelles exceptions au consentement prévues dans le projet de loi C‑27, qui sont semblables à celles du RGPD. Elles ne diffèrent que très légèrement. Je conviens que l'application de l'exception relative à l'intérêt légitime, qu'il s'agisse d'un droit distinct ou d'une exception au consentement appliqué, aidera à effectuer une analyse contextuelle et favorisera l'innovation et permettra de faire une différence entre... la façon dont les organisations envisagent leurs programmes et la reddition de comptes et la transparence.

    Appuieriez-vous un amendement au projet de loi pour exempter les entreprises d'une certaine taille des exigences de déclaration?

    Encore une fois, je ne suis pas tout à fait qualifiée pour faire des commentaires à ce sujet.

    Merci.

    Monsieur Guilmain, pourriez-vous répondre à cette question précise, mais aussi parler du fardeau pour les entreprises?

    J'aimerais commencer par dire quelque chose. Cela semble paradoxal, mais je crois que c'est vrai. Des exigences plus normatives ne mèneront pas nécessairement à une meilleure protection des renseignements personnels. Je pense qu'il faut que ça se sache. Ce n'est pas parce que nous imposons un lourd fardeau aux organisations que ce sera mieux pour le public. J'aimerais commencer par cette déclaration.

    Cela dit, je vais vous donner un exemple. Lorsqu'on entend les mots « intérêt légitime », on a peut-être l'impression qu'il s'agit d'un laissez-passer pour faire ce que bon vous semble. Il n'y a pas de consentement, alors vous faites ce que vous voulez. Or, le RGPD exige que tout soit documenté.

    Pour répondre à votre deuxième question, au sujet des petites et moyennes entreprises, je ne pense pas qu'il soit logique d'avoir des obligations différentes en fonction du nombre d'employés. Ce qui compte, c'est la confidentialité de l'information et le volume des données. De ce point de vue, cela devrait être le déclencheur pour dire essentiellement qu'ils ont besoin de plus de documents pour expliquer ce qu'ils font. Ils devraient être les déclencheurs. C'est mon humble opinion.

    Encore une fois, je ne pense pas que nous devrions avoir peur d'utiliser certains termes. De plus, le mot « exception » ne signifie pas qu'il n'y a rien en place. En définitive, je constate qu'il y a beaucoup de documentation à cet égard.

    Pour poser de nouveau cette question précise, seriez-vous en faveur d'une modification du projet de loi pour exempter les entreprises d'une certaine taille des exigences de déclaration?

    Non.

    Il faudrait que toutes les entreprises remplissent ces documents.

    Ce serait dans la mesure où nous ajoutons suffisamment de déclencheurs en fonction du type d'information.

Ces questions ont été soulevées dans le cadre de la Loi 25. De toute évidence, la question était de savoir que faire avec une entreprise qui...? Disons qu'un dépanneur de La Tuque a des renseignements personnels. Qu'en faisons-nous? Le fait est qu'il pourrait avoir des renseignements personnels non sensibles. Par conséquent, il ne devrait pas être nécessaire d'avoir un agent de protection de la vie privée. C'est logique.

    Cependant, disons que nous avons une entreprise en croissance qui compte 20 employés et qui élabore un modèle d'intelligence artificielle très intéressant avec des données biométriques ou des renseignements sur la santé. À ce moment‑là, je pense qu'il serait logique d'avoir une certaine obligation.

    Encore une fois, il faut que ce soit proportionnel. Je veux donner mon opinion. Je ne pense pas qu'il soit logique de considérer le nombre d'employés comme un facteur. Même le revenu n'est pas un bon seuil, à mon avis.

     Ce dépanneur serait situé dans la circonscription du ministre François‑Philippe Champagne.

     Est‑ce que d'autres témoins veulent intervenir?

    Allez‑y, monsieur Goldfarb.

    La création de seuils fondés sur le nombre d'employés incite les entreprises à rester petites. Bien qu'on veuille imposer ces fardeaux supplémentaires aux entreprises, il faut reconnaître qu'il y a un compromis à faire si cela dépend du nombre d'employés, car les entreprises doivent nécessairement penser qu'on ne veut pas qu'elles prennent de l'expansion.

    Monsieur Arbuckle, avez-vous quelque chose à ajouter?

    J'appuie sans réserve tous les commentaires qui ont été faits. Nous avons eu ce débat lorsque j'étais au Commissariat à la protection de la vie privée. Nous avons mené une consultation publique, et la question a été soulevée au sujet d'une entreprise en démarrage qui traite des téraoctets de données. Ce n'est pas une question de taille; c'est une question de quantité et de type de données.

    Pour répondre à la question que vous avez posée plus tôt, j'aimerais ajouter quelque chose au sujet des exceptions relatives au consentement. Je pense qu'il y a une possibilité de s'aligner davantage sur le RGPD en ciblant un plus vaste éventail d'organisations — petites, grandes, etc.

    Lorsqu'il s'agit de données sur la santé, par exemple — et j'ai vu cela en travaillant partout au Canada —, il y a de petits groupes de population vulnérables, et il est impossible d'anonymiser ces renseignements avec une si petite population, alors comment réunir ces données? Comment réunir les données sur les soins de santé? C'est en partie grâce à certaines des dispositions actuelles qu'il y a une dépersonnalisation. Nous retirons le nom de la personne et nous inscrivons un pseudonyme à la place, mais nous continuons à établir un lien et à produire des statistiques extrêmement importantes.

    C'est ce que je voulais dire.

    Monsieur Beauvais, allez‑y.

    La question des obligations en matière de tenue de dossiers est intéressante. À ma connaissance, la seule branche d'olivier que le RGPD tend aux petites et moyennes entreprises concerne leurs obligations en matière de tenue de dossiers.

    Je signale qu'un code pour enfants, dont Mme Gordon et moi-même avons parlé, peut être très utile aux entreprises, car il leur fournit un genre de manuel pour réfléchir au départ à la façon dont elles devraient concevoir les produits et services destinés aux enfants. On peut augmenter les protections tout en étant clair et en aidant les entreprises à s'y conformer.

    Merci.

    Monsieur Turnbull, vous avez la parole.

    C'est merveilleux, monsieur le président, et c'est une belle surprise que d'avoir une réunion avec des témoins aussi formidables et sans que les conservateurs présentent une motion pour perturber la réunion.

     Nous sommes très heureux de vous accueillir aujourd'hui.

    Monsieur Goldfarb, je vais commencer par vous.

    Je sais que vous avez parlé d'une définition trop large de l'IA et que vous avez cité des exemples, comme l'analyse de régression et d'autres, qui pourraient être inclus dans la définition actuelle de l'IA. Je me demande comment on pourrait restreindre la définition. Je ne sais pas si vous avez des suggestions précises sur le libellé ou les amendements, mais j'aimerais savoir ce que vous en pensez.

    Avec plaisir.

    Dans mes notes d'allocution, j'ai mis une note en bas de page, et je vais donc simplement la lire: « l'utilisation d'un algorithme génétique, d'un réseau neuronal, de l'apprentissage automatique ou d'une autre technique d'intelligence artificielle afin de générer du contenu ou de prendre des décisions ».

    La définition actuelle concerne n'importe quel modèle de prévision, et une moyenne ou une régression est un modèle de prévision. La définition d'une technique d'IA évoluera au fil du temps. L'utilisation d'une « autre technique d'intelligence artificielle » permet à la technologie d'évoluer au fil du temps, mais elle ne commence pas à réglementer des technologies statistiques qui existent depuis des siècles.

    D'accord. Merci.

    Je sais qu'il y a un thème récurrent ici, à savoir que le fardeau de la conformité est peut-être assez élevé pour les PME.

    Monsieur Goldfarb, vous avez parlé d'un ou de plusieurs compromis à faire. Vous avez dit que la vie privée n'est pas gratuite, mais que les Canadiens s'en soucient. Je pense que bon nombre d'entre nous sont probablement d'accord avec ces affirmations.

    Ce que je veux comprendre, c'est comment on peut alléger ce fardeau sans aller trop loin. J'ai pensé qu'il s'agissait d'un exercice d'équilibre — comme c'est le cas pour de nombreuses mesures législatives — entre les intérêts de différents groupes. Il y a des gens qui disent que le droit fondamental à la vie privée devrait avoir préséance sur tout, mais il semble que nous pourrions aller un peu trop loin dans cette voie et vraiment étouffer l'innovation et imposer un fardeau de conformité indu aux petites et moyennes entreprises.

     Je sais que vous en avez parlé. Je me demande si vous pourriez nous faire des suggestions sur la façon d'alléger ce fardeau en particulier.

     Pour commencer, je pense que ce projet de loi est déjà un bon point de départ. La situation actuelle est bonne. Ce qui me préoccupe au sujet des compromis, c'est si nous y ajoutons des éléments.

    Cela dit, il y a deux éléments qui me semblent particulièrement importants. Premièrement, le commissaire reconnaît le fardeau qui pèse sur les petites entreprises et les entreprises en démarrage. Surtout, à l'heure actuelle, le coût est assumé par la personne qui fait l'objet de l'audit, même si le commissaire ne trouve rien. Cela me semble très risqué. Si un commissaire décide, pour une raison ou une autre, qu'une entreprise en particulier, surtout une petite entreprise ou une entreprise en démarrage, mérite un audit et qu'il suit ce processus, pour les entreprises en démarrage qui travaillent avec le Creative Destruction Lab, cela pourrait très bien tuer l'entreprise. À mon avis, certaines dépenses raisonnables devraient être couvertes par le commissaire ou par le gouvernement lorsque l'audit ne montre aucune contradiction avec les articles 6 à 12 proposés.

    D'accord. C'est intéressant. Je n'y avais pas pensé avant, mais je comprends votre argument selon lequel le fait d'être audité ou le risque de l'être, lorsqu'il est prouvé par la suite qu'il n'est pas justifié au départ, pourrait coûter très cher si le fardeau est imposé aux petites et moyennes entreprises. Je comprends cela.

    Monsieur Guilmain, vous avez également parlé de cela comme une sorte de thème récurrent dans votre déclaration préliminaire. Vous avez dit que l'industrie était mal préparée. Vous avez même dit que le délai de mise en œuvre devrait aller jusqu'à trois ans. Que pensez-vous de la façon de trouver un juste équilibre tout en réduisant le fardeau? Avez-vous d'autres réflexions que vous n'avez pas pu partager sur les compromis à faire?

    Oui. Je pense qu'il y a deux sous-aspects de mon point de vue.

    Le premier est la période de transition. Je pense que nous ne devrions pas minimiser le fait que, même s'il y a déjà des processus en place avec la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, et peut-être avec la loi 25, il faut du temps pour constituer quelque chose de significatif.

    Comme je suis avocat, j'aimerais pouvoir vous dire que ce n'est qu'une question de paperasserie, de politiques et de progrès. Le fait est que la protection de la vie privée ne se limite pas aux seuls professionnels du droit. Je pense qu'il y a une compréhension interne au sein de toute organisation pour comprendre ce qui se passe en ce qui concerne les flux de données et ce que nous faisons pour protéger l'information qui est en notre possession.

    C'est la raison pour laquelle j'ai tendance à penser que 36 mois est le strict minimum. En fait, c'est ce que nous constatons partout dans le monde. Nous avons constaté avec la loi 25 que 24 mois n'étaient pas suffisants. À l'heure actuelle, les entreprises ont beaucoup de mal à se conformer à la loi 25, qui est en grande partie entrée en vigueur.

    Pour ce qui est du deuxième aspect de votre question, à savoir ce qu'on peut changer, je vais vous donner un exemple simple. Si nous examinons l'article 8 proposé de la Loi sur la protection de la vie privée des consommateurs, la LPVPC, il se lit comme suit: « L'organisation désigne un ou plusieurs individus chargés des questions relatives aux obligations qui lui incombent sous le régime de la présente loi. » Je reviens à mon exemple du dépanneur de La Tuque. Ce commerce détient très peu de renseignements personnels. La première question qu'ils me posent est la suivante: « Qui dois‑je nommer? Qui est mon responsable de la protection des renseignements personnels? »

    Je pense que c'est là que le bât blesse. Ce n'est pas en fonction de la taille de l'entreprise; c'est plutôt une question de volume et de sensibilité de l'information, la bonne nouvelle étant que ce seuil est présent dans le projet de loi C‑27 dans une certaine mesure. En particulier, lorsque je regarde le programme de gestion de la protection des renseignements personnels à l'article 9 proposé, il y a une mise en garde, selon le « volume et la nature des renseignements personnels ». Je pense que l'élément clé serait simplement d'examiner ces exigences absolues et de se demander si nous avons un seuil fondé sur le volume et la nature des renseignements personnels. Je pense que ce pourrait être un bon exercice dans la version complète de la LPVPC du moins.

    Merci. C'est très bien.

    Monsieur Arbuckle, j'ai une question pour vous, s'il me reste du temps.

    Pour faire suite aux commentaires de mon collègue, M. Sorbara, que j'ai trouvés très intéressants, en ce qui concerne le caractère raisonnable des données anonymisées dont vous avez parlé, ce que je veux mieux comprendre, c'est ce qui est en jeu. Pourriez-vous nous donner un exemple où les résultats sur la santé pourraient être compromis?

     Je pense que ce que vous avez laissé entendre, c'est que si l'on ajoutait cet élément de caractère raisonnable aux dispositions du projet de loi concernant les données anonymisées, on faciliterait en fait cette mise en contexte et peut-être un environnement de solide protection, auquel cas on pourrait utiliser ces données à des fins qui sont bénéfiques. Vous avez parlé des résultats en matière de santé. Pourriez-vous nous donner un exemple?

     Bien sûr. Nous l'avons même observé dans d'autres pays. Essentiellement, le meilleur exemple est probablement celui des petites populations. Lorsque vous voulez réunir des données et produire... En gros, qu'est‑ce que l'anonymisation? Un processus qui permet de produire des statistiques. Nous avons entendu parler de moyens, d'agrégats, de moyennes, et ainsi de suite. C'est essentiellement ce que nous voulons faire lorsque nous parlons d'anonymisation.

    Si nous fixons un seuil de risque nul, et si j'ai 100 personnes... Si je prends l'âge moyen de tout le monde dans cette salle, vous direz que ce n'est pas suffisamment anonyme, mais qui sera en mesure de m'identifier à partir de l'âge moyen dans cette pièce? Voilà le risque. Vous allez tellement loin et vous vous dites que 100 personnes n'est pas assez, et qu'il faut passer à 1 000. Tout à coup, nous ne pouvons plus générer les statistiques que nous produisons actuellement pour des choses comme... Dans notre mémoire, nous avons inclus les opioïdes et la santé mentale. Ce sont des exemples où il serait très difficile de créer des données granulaires pour voir les tendances au fil du temps dans différents groupes d'âge et dans différentes provinces.

    Merci beaucoup de cet échange. Je l'ai trouvé très utile.

    Monsieur le président, je crois que mon temps est probablement écoulé.

    Oui.

    Merci beaucoup.

    Merci beaucoup.

    Monsieur Lemire, allez‑y.

     Merci, monsieur le président.

    Ma question s'adresse à M. Goldfarb.

    Au cours des dernières semaines, certains députés du Bloc québécois ont entendu des craintes de créateurs qui pensent que la future Loi sur l’intelligence artificielle et les données, soit la LIAD, ne protégera pas suffisamment leurs droits d'auteur. Cette question est encore plus importante au Québec, où les arts, la musique et la littérature sont au cœur de la vitalité culturelle et de la vitalité linguistique.

    Quelles modifications précises pourrait-on apporter à la LIAD proposée pour renforcer la protection du droit d'auteur des créateurs, en particulier dans un contexte où la préservation culturelle et linguistique est une priorité?

    D'après ma lecture du projet de loi, il n'est pas question de l'intelligence artificielle sous l'angle du droit d'auteur.

     Je pense qu'il y a d'importants compromis à reconnaître dans cette réflexion. D'une part, il est très important que les artistes et les autres créateurs soient rémunérés. Il est également important de reconnaître qu'il doit y avoir un aspect de leur utilisation... Lorsque nous lisons nous-mêmes un document et que nous rédigeons quelque chose deux ou trois ans plus tard, ce document nous vient peut-être à l'esprit pendant que nous rédigeons. Nous pourrions citer cet auteur initial, ou nous pourrions ne pas le faire, mais nous ne lui devons pas de fonds pour les droits d'auteur.

    La première réponse est que, d'après ce que je comprends, le projet de loi ne traite pas de cet aspect. Il y a des raisons de croire que la clarté sera au rendez-vous. Où que nous arrivions, avec un manque de clarté, il sera difficile pour les entreprises de bâtir des systèmes d'intelligence artificielle, et il sera difficile pour les titulaires de droits d'auteur d'être rémunérés pour leur travail. La clarté devra y être. Selon ce que je comprends, ce n'est pas dans ce projet de loi.

    Deuxièmement, je pense qu'il est important de reconnaître que certaines des façons dont les œuvres protégées par le droit d'auteur sont entrées comme données dans les systèmes d'intelligence artificielle sont très clairement liées à la valeur du droit d'auteur. Si vous demandez à l'IA d'écrire une chanson du style de The Tragically Hip, elle le fera. C'est le style de The Tragically Hip, et cela semble lié au droit d'auteur de The Tragically Hip. Par contre, si vous lui demandez de créer des phrases qui riment et que, d'une façon ou d'une autre, dans l'ensemble de données, il y a une œuvre protégée par le droit d'auteur dans laquelle les phrases riment, il sera cauchemardesque de réfléchir à la façon de rémunérer chaque titulaire de droit d'auteur qui a écrit des phrases qui riment.

    Si on pousse la réflexion un peu plus loin, dans quelle mesure la protection insuffisante du droit d'auteur pourra-t-elle affecter la créativité culturelle? Comment peut-on s'inspirer de pratiques internationales exemplaires pour atténuer les répercussions négatives potentielles?

     J'ai assisté récemment à une lecture de poésie, entre autres, à une conférence sur l'intelligence artificielle. La poète a utilisé l'intelligence artificielle pour développer sa poésie, et c'était incroyable, fascinant et agréable à écouter. C'est un bon exemple de créativité rendue possible par l'intelligence artificielle. Cette poète a obtenu le droit d'auteur sur son travail. Les autres poèmes qui ont été entrés dans la base de données globale à ce moment‑là n'ont pas bénéficié de leur droit d'auteur.

    La raison pour laquelle j'en parle, c'est pour reconnaître que pour la créativité culturelle, il y a des raisons de vouloir une utilisation très ouverte de ces systèmes d'intelligence artificielle. Il y a une créativité incroyable qui émane de ces systèmes d'IA; pas les [inaudible], pour être clair. L'une des choses que j'aime du projet de loi en soi, c'est qu'il est si clair que ce sont les humains qui prennent les décisions, et non les machines, que la créativité humaine est rendue possible par les systèmes d'intelligence artificielle.

    Dans le processus, cependant, nous devons nous assurer que lorsque le droit d'auteur est enfreint d'une façon particulière — par exemple, s'il est clair que vous tentiez d'imiter le style d'un artiste en particulier —, il est protégé.

     Merci beaucoup.

    Merci.

    Monsieur Masse, vous avez la parole.

    Merci, monsieur le président.

    À l'heure actuelle, les partis fédéraux ne sont pas inclus dans le projet de loi. Quelqu'un a‑t‑il une opinion à ce sujet et croit‑il que l'inclusion des partis fédéraux devrait en faire partie? Nous avons été exemptés d'autres lois par le passé. La liste des numéros exclus est une exemption.

    Y a‑t‑il quelqu'un qui pense que les partis fédéraux devraient faire partie du projet de loi? Ce sont habituellement les commissaires à la protection de la vie privée et d'autres qui s'en occupent.

    D'autres témoins ont dit qu'ils devraient être inclus dans le projet de loi. Je suis d'accord avec eux et avec leur raisonnement.

    Il n'est pas nécessaire que ce soit exactement la même chose que dans le secteur des entreprises non plus; cela pourrait se faire d'une façon différente. Il n'est pas nécessaire que ce soit tout à fait la même chose, mais je pense qu'on pourrait faire valoir que les partis fédéraux devraient en faire partie.

    Oui. Je suis également d'accord.

    Ma seule préoccupation — et je suis peut-être un peu trop rigide — c'est que le titre de la loi est « Loi sur la protection de la vie privée des consommateurs ». La notion de « consommateur » est trompeuse à ce stade. Je pense que c'est un point à souligner, même si je ne suis pas en désaccord avec le principe selon lequel les partis politiques fédéraux pourraient être assujettis à la loi.

    Eh bien, si vous êtes ici depuis assez longtemps, vous savez que les titres des projets de loi sont souvent dissociés de la réalité.

    Vous avez raison, et je ne critique pas votre analyse, au contraire, je vous en félicite.

    Quelqu'un d'autre a‑t‑il quelque chose à dire à ce sujet?

    Je sais que Colin Bennett, entre autres, qui a comparu devant ce comité, a également soulevé ce point. Compte tenu des campagnes politiques axées sur des mégadonnées, je pense qu'il est très difficile de justifier pourquoi les partis politiques ne devraient pas être assujettis aux lois sur la protection des données. Je serais certainement en faveur de leur inclusion.

    S'il y a des préoccupations particulières, il peut y avoir un équilibre, car les lois sur la protection des données établissent souvent un équilibre avec les fins journalistiques et ce genre de choses. S'il y a des préoccupations très précises au sujet des campagnes, du processus politique et de l'influence de la loi sur la protection des données sur ce processus, je pense que cela devrait être considéré de façon très précise, mais certainement de façon générale, je pense que les partis politiques devraient effectivement être assujettis à la loi sur la protection des données.

    Merci, monsieur le président.

    Merci.

    Monsieur Généreux, vous avez la parole.

     Merci, monsieur le président.

    Je remercie tous les témoins. Leurs commentaires sont vraiment très intéressants.

    Monsieur Guilmain, je me tourne vers vous.

    Je vais retourner à l'exemple que vous avez donné, soit le dépanneur de La Tuque. Nous avons tous compris que vous aviez choisi cet endroit, le dépanneur étant dans la circonscription du ministre François-Philippe Champagne. Celui-ci pensait probablement, jusqu'à maintenant, mener une petite vie privée, mais, avec cette histoire de dépanneur, sa vie est maintenant devenue publique.

    Je me sers de votre exemple pour parler des petites entreprises de partout au Canada. On sait que 95 % des entreprises au Canada sont le pilier de notre économie. Au moyen de ce projet de loi, on s'adresse autant aux individus qu'aux entreprises et aux entrepreneurs qui devront s'adapter à cette loi.

    Tantôt, vous avez fait référence à un sondage que vous avez mené concernant la loi 25 du Québec. Près de 70 % des répondants avaient besoin de plus d'informations ou de clarifications sur cette loi.

    Croyez-vous que le processus sera possiblement le même pour ce qui est du projet de loi C‑27?

    On parle de consultations. Vous trouvez que c'est un bon projet de loi, d'après ce que j'ai pu comprendre. Par contre, il faut que je dise que ce n'est pas tout à fait ce qu'on a entendu depuis le début des consultations.

    Plusieurs personnes nous ont dit qu'elles n'avaient pas été consultées. Les représentants d'organismes, qui sont venus témoigner à notre comité jusqu'à maintenant, ont dit qu'ils n'avaient pas été consultés. Certains nous ont dit que ce serait préférable qu'ils soient consultés. D'ailleurs, je pense qu'un des témoins l'a dit tantôt. Il a dit que ce serait bien qu'il y ait plus de consultations.

    Trouvez-vous qu'il y aurait lieu, effectivement, de mener plus de consultations?

    On nous a dit à plusieurs reprises qu'on aurait dû normalement, au départ, séparer toute la question de l'intelligence artificielle de celle de la vie privée, parce que ce sont deux choses totalement différentes.

    Quelles sont les conséquences réelles ou possibles des éléments qui vont venir, en quelque sorte, enterrer les PME de bureaucratie?

    Si vous me le permettez, je vais répondre en trois phases.

    D'abord, il y a le projet de loi C‑27 en soi. Je vous l'accorde, à mon humble avis, la partie 3 et les parties 1 et 2 n'ont probablement aucun lien entre elles. C'est un véritable problème. Je ne vous cache pas que, lorsque je parle de l'aspect du projet de loi C‑27 que j'aime — c'est toujours comme ça dans une relation, on aime ou on aime moins —, je parle des parties 1 et 2, pour être bien franc avec vous. C'est la première chose. Je pense que la partie 1 est un très bon début. Il y a des lacunes. Comme je vous l'ai dit, ce n'est pas parfait sur le plan de l'indemnisation et de la flexibilité des consentements, entre autres. Toutefois, à mon avis, le projet de loi est une très bonne base.

    Ensuite — je reviens à mon commentaire de tout à l'heure —, je pense qu'il y a une règle de bon sens vis-à-vis de ce texte de loi. Il s'agit tout simplement de regarder les obligations de manière très froide. Il faut se poser des questions. Je reviens à l'exemple du fameux dépanneur de La Tuque, auquel on fait une belle publicité, en passant. Je ne sais pas s'il y en a deux, cela dit. Toujours est-il que, si j'étais propriétaire de ce fameux dépanneur et que je voyais ce texte, je me demanderais si cela va m'aider dans mon mode de fonctionnement. Ce texte de loi va-t-il véritablement changer quelque chose dans ma manière de faire? C'est cela, l'objectif. Il faut vraiment montrer aux entreprises qu'on ne veut pas leur créer des problèmes seulement pour leur créer des problèmes. Il faut leur dire qu'on veut les aider à focaliser leur attention sur les bonnes choses.

    Je vous ai donné l'exemple du responsable de la protection des renseignements personnels. Je crois, personnellement, que notre dépanneur n'a pas besoin d'un responsable de la protection des renseignements personnels. Je pense que c'est ce genre d'analyse qui pourrait aider véritablement les petites et moyennes entreprises. Il faut se mettre à leur place et se demander si, selon ce que l'on voit, selon les données non délicates... Encore une fois, je pense que c'est un élément important, parce que les petites et moyennes entreprises ont une voix qui est entendue, évidemment, mais cela va dépendre des données. Les données constituent vraiment l'aspect central. Toutefois, je pense qu'il faut regarder certains de ces éléments; or, manifestement, cela a été pris en compte dans certaines dispositions, mais pas dans d'autres.

    Peut-être qu'il faut faire un effort de cohérence et qu'il faut s'assurer de véritablement prendre en compte cet aspect. Cela pourrait aider, je pense.

    Pendant que j'y suis, puisque vous êtes avocat, je vais vous poser une question au sujet d'une proposition qui a été faite dans le texte de loi pour mettre en place un tribunal.

     Si cette question interpelle M. Arbuckle et Mme Gordon, ils peuvent également y répondre.

    Certains nous ont dit qu'il faudrait mettre de côté la mise en place d'un tribunal. Par exemple, M. Balsillie, du Centre pour les droits numériques, a dit que c'était de la bouillie pour les chats, que cela ne donnerait absolument rien. D'autres témoins ont dit que cela allait retarder le processus.

    Qu'en pensez-vous?

    J'aimerais entendre la réponse des trois témoins.

    Je ne suis pas d'accord sur cette affirmation, je le dis bien franchement.

    Je pense qu'il faut regarder la nature de l'organisme. Le Commissariat à la protection de la vie privée a été créé comme l'aurait été un ombudsman, et c'est son rôle. Le Tribunal de la protection des renseignements personnels aurait un rôle différent, purement juridictionnel. Je pense que c'est une approche intéressante.

    Je vais me permettre de regarder ce qu'on fait au Québec. Cela pourrait vous intéresser. Nous avons la Commission d'accès à l'information du Québec, qui porte deux casquettes. Elle a un pouvoir de surveillance, de manière généralisée, sur tout ce qui concerne les plaintes, les enregistrements, et ainsi de suite. Elle a une section juridictionnelle, où des juges administratifs rendent des décisions.

    Je trouve que c'est un élément de complexité. Je pense que c'est favorable d'avoir deux entités distinctes. C'est un point de vue qui m'appartient. Je pense que ce n'est pas une mauvaise idée en tant que telle.

    Qu'en pensez-vous, madame Gordon?

     Pour ce qui est du tribunal, j'appuie cette idée. Je pense que le rôle actuel du commissaire à la protection de la vie privée... Ce bureau a fait un travail remarquable, mais il joue plusieurs rôles. Le commissaire joue le rôle d'un défenseur et d'un éducateur et mène des enquêtes, mais ce qu'on a toujours dit au sujet de ce rôle, c'est qu'il n'a pas de mordant, que la personne responsable n'a pas le pouvoir requis pour imposer des amendes. Si le tribunal joue un rôle distinct, le processus législatif sera plus rigoureux et les fonctions du commissaire seront distinctes.

     Monsieur Arbuckle, je crois que vous n'êtes pas avocat, mais avez-vous une opinion à cet égard?

    Non, pas vraiment.

    Merci beaucoup.

    Monsieur Gaheer, vous avez la parole.

    Merci, monsieur le président.

    Merci à tous les témoins d'avoir pris le temps de venir nous rencontrer.

    Mes questions s'adressent à M. Guilmain.

     Je pense que vous avez répondu à cette question à la pièce, mais je voulais vous poser la question directement, à savoir comment la Loi sur la protection de la vie privée des consommateurs, la LPVPC, s'harmonise avec d'autres régimes de protection de la vie privée et des données? J'aimerais que vous vous concentriez sur le Règlement général sur la protection des données, ou RGPD. Compte tenu de votre expertise, comment pensez-vous que cela se compare dans l'ensemble?

    Il y a deux ou trois choses à signaler ici.

    Je pense que le premier aspect, c'est que l'idée de demander à l'organisation d'expliquer ce qu'elle fait en matière de protection de la vie privée est très semblable à ce que fait le RGPD, et à ce que nous voyons en ce moment. Je pense que c'est positif en soi.

    Le deuxième aspect, c'est qu'il y a des bases juridiques intéressantes et des façons de rendre légal le traitement des renseignements personnels, et je vais donner l'exemple des exemptions pour les entreprises légitimes. Malheureusement, je tiens à dire qu'elles ne vont pas aussi loin que le RGPD, et je pense que c'est quelque chose qui devrait être examiné, à tout le moins.

    Le troisième aspect — et je pense qu'il est important —, c'est que la LPVPC fait de la protection de la vie privée la pierre angulaire de la société, tout comme le RGPD. Je tiens à préciser que le RGPD a causé un choc en Europe. Tout le monde en a entendu parler. C'était un tremblement de terre. J'ai tendance à penser que la version actuelle de la LPVPC, avec quelques améliorations, pourrait avoir le même effet, ce qui pourrait pousser les organisations à en faire encore davantage en matière de protection de la vie privée, en s'appuyant sur ce qu'elles ont fait jusqu'ici.

    Je pense que ce sont les éléments communs entre les deux régimes.

    Merci.

    Comment les entreprises européennes ont-elles reçu le RGPD? Y a‑t‑il eu une réception chaleureuse? Ont-elles pu s'y adapter et s'y conformer?

    Les premiers mois ont été difficiles. Soyons honnêtes. Je pense que tout le monde essayait de s'ajuster. Il ne faut pas oublier que c'était en mai 2018, alors c'était le premier grand changement dans le monde. Je tiens à préciser que c'est la même chose partout dans le monde. Le Brésil a récemment adopté ses propres lois sur la protection de la vie privée, Singapour... C'était vraiment le début. Disons les choses ainsi.

    Par la suite, je pense que les organismes de réglementation, en consultation avec les organisations, ont pu s'assurer que les organisations comprenaient ce qu'on attendait d'elles. Je pense qu'à ce stade‑ci, les attentes sont grandes, parce que les entreprises veulent réussir. C'est ce que je constate dans ma pratique. Elles veulent se conformer. Personne ne veut dire: « Eh bien, vous savez quoi? Nous n'allons pas nous y conformer. » Le problème est toujours d'être clair quant aux exigences et d'être raisonnable.

    En ce qui concerne le RGPD, en ce moment, en Amérique du Nord, nous utilisons le RGPD comme norme de référence pour les transactions entre les États-Unis et le Canada. Nous utilisons le libellé du RGPD. De toute évidence, cela montre que cela a été un succès pour l'Europe, en toute honnêteté. C'est ma position.

    Dans votre deuxième point, vous avez mentionné que l'exception prévue dans la LPVPC ne va pas assez loin. Pourriez-vous nous parler des exceptions en général et peut-être de l'exemption pour fins commerciales en particulier?

    Oui. Je sais que vous avez discuté de cette notion d'intérêt légitime. Lorsque nous entendons l'expression « intérêt légitime », cela semble être un laissez-passer pour faire ce que nous voulons, mais je tiens à souligner que, si vous examinez attentivement la LPVPC, il y a toujours un aspect d'évaluation, c'est-à-dire qu'il faut expliquer pourquoi nous pouvons vraiment nous fier à l'intérêt légitime.

    Le fait que nous limitions... Par exemple, pour influencer la décision, on ne veut pas utiliser l'intérêt légitime. C'est ce que prévoit actuellement la loi. Je pense que c'est une erreur, parce que l'influence pourrait être mauvaise ou bonne. Je vais vous donner un exemple. Par exemple, mes enfants sont en ligne sur les médias sociaux. Ils peuvent voir de la publicité ciblée, contextuelle, sans contexte, concernant l'alcool ou un produit que je n'aime pas nécessairement en tant que parent. Je préférerais qu'ils se contentent de faire de la publicité spécialement conçue pour les enfants. C'est ce que je préférerais. Je pense que l'on pourrait invoquer des intérêts légitimes.

    Je pense que c'est la transition parfaite entre l'intérêt légitime et les enfants. Si j'ai bien compris, ce sont des sujets dont vous avez beaucoup parlé dernièrement. Je pense que les intérêts potentiellement légitimes ne sont pas nécessairement mauvais. Je pense que c'est une question de documentation. En Europe, nous disons que l'intérêt légitime vient avec l'évaluation de l'intérêt légitime. Il s'agit d'un document, d'un rapport, qui explique pourquoi et comment vous comptez sur ces éléments juridiques. Je pense qu'on pourrait faire la même chose ici.

     C'est très bien. Merci.

     Merci.

    Monsieur Lemire, vous avez la parole.

    N'est-ce pas plutôt à la fin du deuxième tour?

    Vous avez raison.

    Je vous remercie. Je suis chanceux de vous avoir comme vice-président, monsieur Lemire, pour me rappeler à l'ordre.

    Monsieur Perkins, vous avez la parole.

     Merci, monsieur le président.

    C'est fascinant, tout comme les témoignages que nous avons entendus.

    Monsieur Guilmain, vous avez deux doctorats, si j'ai bien compris. Vous avez bien mérité notre respect. Vous avez un parcours très impressionnant.

    Toutes les questions les plus populaires semblent vous être adressées. J'aimerais vous parler de deux choses. Il y a d'abord la question du consentement, que nous avons déjà soulevée. J'en ai déjà parlé devant le Comité avec d'autres témoins, l'événement mémorable qui s'est produit sur Zoom cet été. Je sais, d'après votre curriculum vitæ, que vous avez déjà travaillé pour Meta.

    Je vais vous lire l'article 15.2 de la clause de consentement de Zoom sur la protection de la vie privée que nous acceptons tous — même la plupart des avocats — sans vraiment en lire la majeure partie. Je cite: « Vous acceptez que Zoom puisse modifier, supprimer et compléter ses guides, déclarations, politiques et avis, avec ou sans préavis, ainsi que les guides, déclarations, politiques et avis similaires relatifs à votre utilisation des Services en publiant une version actualisée de ces éléments sur la page Web applicable. »

    Pour moi, cela ne ressemble pas à un consentement. On dirait plutôt qu'on change les modalités sans votre consentement. Le projet de loi interdit‑il cette pratique?

    Je vais insister sur l'évidence. D'abord, je rappelle que je suis ici à titre personnel.

    Le deuxième aspect, c'est que ce que vous montrez en ce moment, ce sont les limites du consentement. C'est de cela qu'il s'agit. Il s'agit essentiellement de montrer un gros morceau de texte et de s'attendre à ce que la personne donne son consentement. C'est la raison pour laquelle les exemptions au consentement sont intéressantes, parce que vous allez vous concentrer sur le moment important d'un flux de données. Essentiellement, si vous voulez un consentement exprès pour les données biométriques, vous allez demander le consentement.

    À mon avis, la notion d'intérêt légitime aurait pu englober ce genre de choses. Si l'organisme de réglementation, le Commissariat à la protection de la vie privée, le CPVP, a des questions, il peut aller frapper à votre porte et demander: « Pourquoi faites-vous cela? Montrez-nous l'évaluation. »

    C'est la raison pour laquelle le consentement, à mon avis, n'est pas nécessairement la solution. Ce n'est pas mauvais. Je pense qu'il y a un consensus à l'échelle mondiale. Tout le monde comprend la raison d'être du consentement. L'idée nous plaît. Je pense que cela semble bien. Par contre, il a ses limites. Si nous voulons un consentement valable, nous devrions nous concentrer sur le consentement exprès dans des certaines de situations. Autrement, nous consacrerons notre temps à consentir et à ne pas consentir de façon significative. Je pense que c'est mon...

    Je suis désolé de vous interrompre, mais mon temps est limité.

    Le paragraphe 15(5) proposé dit qu'un consentement implicite peut être utilisé, et vous avez parlé du paragraphe 18(3) proposé. Quand on ajoute tout cela à l'article 5 proposé, l'article de l'« objet », en vertu duquel l'intérêt d'une entreprise a la même valeur que le droit d'un individu à la protection de sa vie privée, cela ne me permet‑il pas, en tant qu'ancien spécialiste du marketing, d'utiliser ce que je veux et de faire ce dont mon entreprise a le plus besoin, plutôt que de servir vos intérêts personnels?

    Ce n'est pas nécessairement le cas, parce que l'équilibre consiste toujours à penser aux droits et aux intérêts de la personne. Cela ne se fait pas en vase clos. Ce sont des analyses de proportionnalité et de nécessité. C'est une longue évaluation. Cela ne tient pas dans un document de deux pages. Je pense qu'il n'y a pas que cela.

     Merci, monsieur Guilmain.

    Monsieur le président, j'aimerais proposer une motion, parce que la bête en moi a été provoquée. Je n'avais pas l'intention de le faire, mais je vais le faire maintenant, de toute façon.

    Je propose que, conformément à la demande de documents adoptée par le Comité le 21 novembre 2023, le Comité ordonne au ministre de l'Innovation, des Sciences et du Développement économique de remettre des exemplaires non caviardés des contrats visant l'usine de batteries Stellantis-LGES aux membres du Comité dans les deux langues officielles — autrement dit, qu'il les fasse traduire — d'ici le mardi 28 novembre. De plus, que le Comité suspende l'étude du projet de loi C‑27 jusqu'à ce que les contrats aient été distribués.

     La raison, monsieur le président, est que nous savons tous que le gouvernement a embauché, au cours des dernières années, une autre centaine de milliers de fonctionnaires de plus. Ils peuvent sûrement les faire traduire si les contrats n'ont pas été présentés dans les deux langues officielles. Cela m'étonne que le gouvernement n'ait pas demandé que les contrats soient dans les deux langues officielles avant de les signer.

    Je demande que tous les efforts soient déployés sur cette question cruciale, lorsqu'il s'agit d'une subvention gouvernementale aussi importante et lorsqu'il y a des rapports publics aussi contradictoires au sujet de ce qui se passe, afin que nous puissions avoir accès, en tant que membres du Comité, aux modalités énoncées — tel que modifiées par le député Turnbull et tel qu'adoptées par les libéraux, en fin de compte — dans la motion présentée à notre dernière réunion. Faites-les traduire en français rapidement. Le gouvernement ne devrait pas avoir besoin d'un délai indéfini pour les présenter. Nous ne pouvons pas avancer dans le dossier urgent que nous avons adopté à la dernière réunion sans, à juste titre, une version française et une version anglaise des contrats.

    Je pense que les gens du gouvernement doivent traiter cette question le plus rapidement possible et consacrer toutes les ressources possibles à répondre aux besoins du Comité. Je leur demande de produire les documents traduits très rapidement. Une fois que nous les aurons, nous ferons une pause d'une journée ou deux pour examiner les contrats. Il ne s'agit pas d'une pause indéfinie. C'est pour nous donner l'occasion de les examiner. Disons que nous les recevions d'ici jeudi. Au lieu de la réunion de jeudi, nous prendrions la journée de jeudi pour examiner les contrats, si c'est ainsi que les choses se passent.

    Merci, monsieur le président.

    Sur le plan de la procédure, monsieur Perkins, je crois comprendre que vous donnez avis de la motion. Vous ne la déposez pas, parce que si l'avis n'a pas été donné, pour déposer une motion, il faut qu'elle porte sur le sujet discuté. Nous parlons du projet de loi C‑27.

     Je crois comprendre qu'il y a une phrase à la fin qui interromprait l'étude du projet de loi C‑27. Ce n'est pas exactement le sujet à l'étude. Je suis tenté de dire qu'on ne peut pas en discuter pour l'instant, parce que l'avis n'a pas été donné, mais je vais vous entendre à ce sujet, monsieur Perkins.

    Je vous en remercie, mais nous étudions maintenant le projet de loi C‑27. C'est de cela que nous discutons. Nous pouvons poser toutes les questions que nous voulons aux témoins au sujet du projet de loi C‑27, qui est très volumineux. Nous devons déterminer la relation entre deux études et le projet de loi C‑27. Je pourrais vous renvoyer au Cahier des procédures, le « grand livre vert », comme nous l'appelons tous. On y précise qu'il est permis de renvoyer à l'affaire en cours d'examen par le Comité. Ce serait donc une procédure recevable.

    La greffière pourrait peut-être y jeter un coup d'œil. Je sais qu'elle connaît ce livre à fond, parce que je lui en ai déjà beaucoup parlé. Elle s'y connaît très bien.

    Si vous le voulez, je peux prendre une minute, ou je peux lire le passage en question. Je ne pense pas que ce soit nécessaire, probablement, puisque la greffière l'a. C'est à la page 1061 dans la version anglaise.

    Je vais prendre quelques instants pour la lire moi-même afin de déterminer si cette motion, qui vient d'être proposée inopinément, est recevable.

    Je vais faire une brève interruption. Je m'en excuse auprès des témoins.

     À l'ordre, chers collègues. Nous reprenons la discussion.

    Nous discutons de la motion qui vient d'être déposée par M. Perkins

    Après avoir examiné les arguments de M. Perkins et consulté la greffière, je tiens à faire remarquer que pour nos motions de régie interne — sur lesquelles le Comité s'est prononcé au début de la présente législature et qui ont été adoptées à l'unanimité —, il est clairement précisé « qu'un préavis de 48 heures soit donné avant que le Comité soit saisi d'une motion de fond qui ne porte pas directement sur l'affaire que le Comité étudie à ce moment ».

     Je ne pense pas que la motion de M. Perkins dont est actuellement saisi le Comité porte directement sur le sujet à l'étude, c'est-à-dire le projet de loi C‑27. J'en conclus donc qu'il s'agit d'un préavis et que la motion sera recevable à la prochaine réunion du Comité, mardi prochain.

    Sur ce, monsieur Perkins, il vous reste une minute pour interroger les témoins. Autrement, nous passerons au prochain intervenant.

    Merci, monsieur le président.

    Je remercie également nos témoins.

    Monsieur Goldfarb, je ne sais pas si vous avez un lien de parenté avec le célèbre sondeur Goldfarb. Oui, d'accord. Il a été l'un des grands innovateurs dans son domaine au Canada. J'ignore si c'est votre père, mais il a fait de l'excellent travail.

    J'aborde ce sujet dans l'optique d'un spécialiste du marketing, et je sais à quel point mes collègues — pour ne pas dire moi-même — sont prêts à aller beaucoup plus loin dans l'analyse des données. Il s'agit d'un projet de loi tout nouveau — je parle de la partie sur la protection de la vie privée des consommateurs — qui remplacerait tout. Comme je l'ai dit à M. Guilmain, le trou dans cet assemblage de dispositions commence à l'article intitulé « Objet » et va jusqu'à l'article 15 proposé, « Consentement », et au paragraphe 18(3). Je n'ai pas mentionné l'article 35 proposé, qui autorise la communication de données sans le consentement de la personne, sans préciser si c'est uniquement aux fins d'étude ou de recherche, comme le fait la Loi sur la protection des renseignements personnels et les documents électroniques.

    Cela ne crée‑t‑il pas un grand vide dont pourraient profiter les spécialistes du marketing, en plus des dispositions peu contraignantes sur le consentement qui sont toujours présentes et qui permettent aux entreprises de continuer d'utiliser vos données, de modifier les modalités d'utilisation, de créer de nouvelles façons d'utiliser les données sans votre autorisation et même — dans le cas du paragraphe 18(3) proposé —, de vous causer un préjudice. Ils peuvent en fait les utiliser pour vous causer un préjudice.

    N'est‑ce pas exact?

    Je vais faire preuve de prudence. Je ne suis pas avocat, je suis économiste. Quand je lis le libellé en tant qu'économiste, je constate qu'il offre une bonne protection contre les préjudices pouvant être causés par l'utilisation des données, tout en permettant, parallèlement, aux entreprises et autres organisations d'utiliser les données dans le but d'offrir de meilleurs produits et services aux consommateurs. Je précise toutefois que je lis ces dispositions avec les yeux d'un économiste et non d'un juriste.

    Le paragraphe 18(3) proposé dit que vous pouvez utiliser les données même si cela porte préjudice à la personne.

    Je vais aussi poser la question à M. Guilmain, qui est avocat. Elle porte sur le paragraphe 18(3) proposé qui autorise l'utilisation de données même si cela porte préjudice à la personne. Je vais vous donner un moment pour l'examiner.

    Pouvez-vous répéter la question, s'il vous plaît?

    Voici le libellé: « l'organisation a un intérêt légitime qui l'emporte sur tout effet négatif que la collecte ou l'utilisation peut avoir pour l'individu ». On parle de préjudice, essentiellement.

    Là encore, compte tenu de mon expertise en tant qu'économiste, le fait de reconnaître explicitement qu'il y a des compromis à faire est positif; de plus, la suite de la phrase précise clairement que c'est ce à quoi la personne doit s'attendre si elle interagit avec cette entreprise. Cela laisse entendre qu'une évaluation minutieuse entre les avantages tirés des flux de données et les avantages découlant du respect de la vie privée est effectuée.

    Merci.

    Puis‑je ajouter qu'il y a une autre mise en garde à cet égard. Cette mise en garde est toujours là, ce sont les mots « personne raisonnable ». Le problème, c'est que beaucoup de gens n'ont pas ce niveau de connaissances au sujet de l'utilisation des données. L'Europe applique peut-être une norme différente qui protège mieux les personnes vulnérables que le font ces deux mots.

    Permettez-moi de vous donner un exemple très simple concernant les témoins ou cookies. Nous avons tous entendu parler des témoins utilisés sur les sites Web. Il y a 10 ans, ces témoins étaient tout à fait nouveaux et les gens ne comprenaient pas de quoi il s'agissait. Aujourd'hui, 10 ans plus tard — en fait, 15 ou 20 ans plus tard —, les personnes raisonnables savent très bien ce que c'est. Pour que ce soit bien clair, ce n'est pas mauvais que les choses évoluent. Je pense que nos lois reposent justement sur l'idée que nous faisons évoluer les choses.

    Ce que je vois dans l'article 18 proposé, pour être franc, c'est qu'il prévoit une évaluation. Cette évaluation me rassure et me permet de penser que c'est une démarche rationnelle. Elle est amplement expliquée. Il n'y a donc aucun risque que quelqu'un vienne simplement prétendre avoir un intérêt légitime.

     Je le répète, ces préoccupations sont tout à fait légitimes. Je vous entends, mais je constate aussi que le monde change rapidement. Je pense que nous pouvons faire beaucoup de travail et que le projet de loi C‑27 offre un grand potentiel. Nous devons toutefois accepter que l'évolution fulgurante de la technologie nous oblige à enchâsser ce genre de concepts dans la loi.

    C'est mon point de vue.

    Merci beaucoup.

    Monsieur Beauvais, je vais vous donner la parole parce que vous avez été patient.

    Je vous remercie.

    Monsieur Perkins, je pense que n'importe quelle loi visant à protéger les données nécessitera forcément un exercice de pondération. C'est quelque chose que M. Goldfarb a aussi fait remarquer. Il faut soupeser différents intérêts.

    Je pense qu'il serait possible d'étoffer grandement l'alinéa 18(4)c) si les exigences prescrites par le ministre s'ajoutaient aux conditions énoncées précédemment. Le Comité pourrait réfléchir sérieusement à la possibilité d'énoncer des conditions précises ou de répondre aux préoccupations particulières liées aux vulnérabilités de différents utilisateurs. Par ailleurs, je signale que la vulnérabilité est un concept qui revient tout au long du Règlement général sur la protection des données, en particulier dans ses considérants.

    Voulez-vous dire qu'il faut ajouter une définition à l'alinéa 18(4)c) proposé dans le cadre de la loi ou du règlement?

    Je veux dire qu'il serait possible de répondre aux préoccupations au moyen d'un règlement prescrit par le ministre ou lieu de les intégrer dans la loi en soi. Je pense qu'il est déraisonnable de prétendre qu'absolument aucune donnée utilisée ne pourrait causer un préjudice quelconque à un utilisateur donné. Cela reviendrait à considérer la vie privée comme un absolu. Pour moi, qui ai toujours préconisé de solides mesures de protection de la vie privée, cela me semble déraisonnable.

     Merci.

    Monsieur Van Bynen, vous avez la parole.

    Merci, monsieur le président.

    Ma première question est pour M. Beauvais.

     Avez-vous l'impression que le projet de loi C‑27 donne au commissaire à la protection de la vie privée du Canada suffisamment d'outils pour s'assurer que les entreprises adoptent des pratiques de gestion des données, compte tenu de la nature délicate des renseignements personnels sur les mineurs?

    Je dirais que le projet de loi confère au commissaire à la protection de la vie privée le pouvoir d'imposer des sanctions administratives pécuniaires, ce qui est un ajout très bien accueilli.

    Ce qui me frappe, et je tiens à le souligner, c'est le fait que le Commissariat à la protection de la vie privée ne peut pas imposer de sanctions administratives pécuniaires pour violation de l'article 12 proposé. Je trouve que cet article est très important, puisque les objectifs du traitement des données constituent le pilier sur lequel s'appuie la loi pour déterminer ce qui constitue une utilisation légitime des données. Par conséquent, je recommanderais d'inclure l'article 12 proposé comme une sorte de motif contraignant pour le CPVP.

    Monsieur Goldfarb, qu'en pensez-vous?

    Je suis désolé, mais quelle était la question?

     Avez-vous l'impression que le projet de loi C‑27 donne au commissaire à la protection de la vie privée du Canada suffisamment d'outils pour s'assurer que les entreprises adoptent des pratiques de gestion des données, compte tenu de la nature délicate des renseignements personnels?

    Je vais faire preuve de réserve quant à mon expertise en la matière. Je ne suis pas spécialiste, mais je pense que le projet de loi est clair quant aux pouvoirs qu'il confère au commissaire. En fait, je suis venu ici en me disant que le projet de loi accordait beaucoup de pouvoir au commissaire pour qu'il puisse intervenir sur le fonctionnement des petites entreprises et des entreprises en démarrage. Je pense que cela permet d'assurer un juste équilibre.

    Revenons à l'article que vous avez corédigé et publié en septembre dernier sur l'économie de la vie privée numérique, intitulé « The Economics of Digital Privacy », dans lequel vous affirmez que la réglementation en matière de protection de la vie privée numérique peut « avoir des conséquences négatives sur les résultats du marché, en particulier en ce qui concerne la concurrence, l'innovation et les surplus des producteurs et des consommateurs ».

     Selon vous, y a‑t‑il lieu d'amender le projet de loi C‑27 dans le but de protéger la compétitivité des entreprises canadiennes?

    Je pense qu'à bien des égards, l'élément le plus important de toute mesure — et, jusqu'à un certain point, d'une mesure visant à protéger la vie privée — est de veiller à protéger la concurrence.

    En même temps, je ne sais pas à quoi ressemblerait un amendement visant à protéger la concurrence autour de la technologie de la prochaine génération. Il vaut la peine de maintenir l'application rigoureuse de la réglementation antitrust par le Bureau de la concurrence et d'exercer une vigilance constante sur la manière dont les grandes entreprises de technologie et autres se servent de leur position dominante dans certains marchés pour se connecter à de nouveaux marchés et en tirer profit.

     Je ne suis pas certain que ce soit le rôle du projet de loi C‑27, en ce sens que l'interopérabilité entre les systèmes existants et les nouvelles technologies est très précieuse.

    Nous constatons des déséquilibres assez importants au sein de l'économie, notamment la présence de joueurs dominants par rapport aux mégadonnées et aux ressources financières.

    Quels éléments devrions-nous prendre en considération pour niveler ces déséquilibres concurrentiels ou, à tout le moins, pour assurer un meilleur équilibre? Au comité HUMA, des témoins nous ont dit qu'il y aura polarisation des capitaux et que l'écart entre les riches et les pauvres se creusera encore davantage.

    Que devons-nous faire pour assurer un certain équilibre?

    Quand il est question des technologies et de leur évolution, la technologie de l'information constitue un capital et les propriétaires de ce capital n'ont cessé d'en tirer des avantages. Toutes ces études qui prédisent une diminution de la main-d'œuvre et une augmentation du capital au sein de l'économie s'appuient en partie sur la capacité des entreprises de prendre de l'expansion grâce à la technologie de l'information.

    L'impact de ces technologies de données sur le pouvoir de marché est plus difficile à cerner. La raison en est que nous constatons, au sens purement statistique — et j'ignore si et quand vous avez suivi un cours de statistiques —, une diminution des rendements d'échelle et des données au sens purement technique. Voici un exemple: si vous avez 10 personnes et que vous en ajoutez une onzième, vous apprenez beaucoup; si vous avez un million de personnes et que vous en accueillez une de plus, vous n'apprendrez pas grand-chose de plus. Sur le plan technique, il n'y a pas d'économies d'échelle dans les données.

     En ce qui concerne les technologies de données et l'apprentissage automatique, il y a des raisons de ne pas s'attendre à une monopolisation. Il y a d'autres forces qui s'exercent dans le sens contraire et ce sont justement ces forces que nous devrions surveiller et réglementer. Les forces qui vont dans l'autre direction sont des choses comme... La capacité d'utiliser des données requiert d'autres technologies ou peut bénéficier de certains autres marchés où il y a dominance. Pour être capables d'utiliser des données, et de bien les utiliser, nous avons besoin de l'informatique, de sorte que si le marché des services infonuagiques est un monopole ou a forte puissance commerciale, cela nuira à l'innovation et posera un véritable problème sur le plan de la concurrence. Par ailleurs, si les médias sont des monopoles et si, par conséquent, la capacité de comprendre les utilisateurs lorsqu'ils interagissent avec les médias en devient également un, ce serait une autre façon de [difficultés techniques] la concurrence.

     À mon avis, tout cela est lié, mais seulement indirectement, à la majeure partie du contenu du projet de loi C‑27.

    Monsieur Van Bynen, je crains que votre temps soit écoulé.

    Voilà qui met fin à notre troisième série de questions. Nous sommes maintenant prêts à lever la séance.

    Monsieur Masse, allez‑y.

    Merci, monsieur le président.

    Je n'ai pas mon dernier tour de parole, et c'est correct, mais je tiens à vous remercier. Je comprends votre décision. C'est la bonne décision, compte tenu de la procédure que j'ai observée ici.

    Je tiens à exprimer mon inquiétude face à la situation des emplois. Quand je suis venu ici lundi, certains collègues ont ri de moi à la Chambre des communes parce qu'on avait dit qu'un seul emploi serait offert aux travailleurs sud-coréens. Nous avons appris mardi qu'il s'agissait plutôt de 100 emplois. Aujourd'hui, nous avons appris qu'il pourrait y en avoir 900 — la nouvelle vient de tomber. Avant cela, il avait aussi été question de 1 600 emplois. Nous ne savons toujours pas ce qui se passera pour les emplois dans les secteurs de la construction, du transfert de la technologie et de l'exploitation.

    Je pense qu'il en va de la confiance du public et que nous devons aborder ces questions à un moment ou l'autre. J'apprécie les efforts que vous faites pour nous guider sur ce plan. À mon avis, ce sont des investissements importants qui sont en jeu, mais nous devons préserver la confiance du public parce qu'il ne s'agit pas seulement de l'usine dans ma région, mais des trois autres qui s'y ajouteront.

    Je comprends votre décision. Je tiens toutefois à dire officiellement que je pense que c'était la réponse appropriée, compte tenu de la procédure et de l'importance de la question qui sera abordée la semaine prochaine.

    Je vous remercie, monsieur le président.

    Nous ne lançons pas le débat. M. Masse a accepté de renoncer à ses deux dernières minutes de questions parce que nous avons manqué de temps. Je lui ai donc donné la parole.

    Pour que ce soit clair, j'espère que nous obtiendrons les contrats très bientôt. Je crois savoir que le ministère y travaille.

    Sur ce, je remercie sincèrement les témoins de leur présence ici aujourd'hui.

    Je remercie les interprètes, le personnel de soutien, notre greffière et les analystes.

    La séance est levée.