ETHI Réunion de comité

    Comme nous avons déjà perdu une heure à cause des votes, nous passons sans plus tarder aux présentations des témoins, pour une durée de 10 minutes chacune. Il y aura ensuite une période de questions et réponses. Nous avons aussi les travaux du comité à l'ordre du jour. Nous devrons peut-être prolonger la réunion après 13 heures, si nous sommes d'accord. Nous commençons par les présentations de 10 minutes.

     Monsieur Kerr, vous avez la parole.

    Bonjour.

    Il y a presque exactement un an, je me trouvais dans une salle qui ressemblait beaucoup à celle-ci, mais qui était beaucoup plus sophistiquée. La réunion, qui durait toute la journée, avait lieu au 1601, avenue South California, à Palo Alto, en Californie. Si l'adresse ne vous dit rien, il s'agit du campus de Facebook. Un certain Mark Zuckerberg y travaille. C'est spectaculaire — vivant, débordant d'énergie et tout le monde est branché sur leurs écouteurs. Je me sentais comme un enfant dans une confiserie.

    Puisque j'ai dû signer une entente de confidentialité à mon arrivée, je ne peux pas vous dire une bonne partie de choses intéressantes que j'ai apprises sur Facebook ce jour-là. Il semble que le titre d'appel sur le compte Facebook de Zuckerberg — « j'essaie de faire du monde un endroit plus ouvert en aidant les gens à rester en contact et à communiquer entre eux », ne s'applique pas aux activités de l'entreprise.

    Toutefois, je peux vous dire ceci: j'ai eu mal au coeur ce jour-là parce que j'ai mangé trop de bonbons surs de marque Sour Patch Kids. Mon palais était pratiquement râpé. Imaginez une confiserie très bien approvisionnée — Sugar Mountain ou Bulk Barn — qui semble avoir des ressources inépuisables dans chaque café partout sur le campus de Facebook.

    Pour défendre ma gloutonnerie, permettez-moi de vous dire que je n'étais pas le seul. Ce jour-là, j'ai vu 25 des spécialistes et défenseurs de la protection de la vie privée les plus importants au monde se bourrer de bonbons et en mettre dans leur poche et dans leur sac à dos — on parle d’adultes qui gagnent des centaines de milliers de dollars par année. Nous n’étions pas en train de voler. La consommation excessive et gratuite était encouragée. Nous répondions simplement à l’offre abondante de source d’énergie qui crée une grande dépendance.

    Pourquoi ai-je passé 3 de mes 10 précieuses minutes à vous parler de ma consommation de bonbons Sour Patch Kids sur le campus de Facebook? C’est que l’information, c’est la nouvelle friandise: prenez-en, prenez-en.

    À une époque où les professionnels de la santé nous recommandent de diminuer notre consommation de sucres raffinés et d’adopter des politiques contre les habitudes alimentaires de plus en plus malsaines des Canadiens, je comparais devant vous aujourd’hui à titre de spécialiste de la protection de la vie privée pour vous inciter à protéger les citoyens canadiens et les multinationales du désir complexe et de plus en plus ingérable d’obtenir, d’utiliser et de divulguer de plus en plus de renseignements personnels.

    L'information est la nouvelle friandise: plus elle est abondante, agréable, efficace et profitable, plus nous en voulons. Parfois, plus nous en voulons, moins nous voyons les conséquences. Nous sommes sur le point de faire du diabète, et nous devrions intervenir bien davantage.

    Vous avez déjà entendu le témoignage de deux formidables commissaires, Ann Cavoukian et Elizabeth Denham, et aussi de mes très talentueux collègues de l’Université d’Ottawa, les professeurs Scassa, Geist et Steeves. Ils ont fait un certain nombre de recommandations importantes similaires que le comité doit suivre. Je vais récapituler rapidement quatre d'entre elles.

    Premièrement, il faut terminer ce que vous avez commencé. On accuse beaucoup de retard pour un certain nombre de réformes nécessaires à la LPRPDE, la Loi sur la protection des renseignements personnels et les documents électroniques. L’étude des médias sociaux peut faire les manchettes, mais le comité de l’éthique devrait d’abord se concentrer sur l’examen de la LPRPDE. Quand j’étais jeune, j’ai appris qu’il faut d’abord apprendre les rudiments avant de faire un solo. Ce n’est pas aussi intéressant, mais les rudiments doivent passer en premier.

    Deuxièmement, l’élément qui est peut-être le plus important, c’est que la commissaire à la protection de la vie privée a besoin de beaucoup plus de pouvoir, incluant celui de prendre des ordonnances, d’accorder des dommages-intérêts et d’infliger des sanctions. Ces pouvoirs de contrainte doivent avoir beaucoup plus de mordant.

    Troisièmement — et cela fait aussi partie des rudiments — ce sont les exigences en matière de notification obligatoire pour un type d’atteinte à la sécurité en particulier.

     Quatrièmement, et c’est le dernier élément fondamental qui a été soulevé lors des discussions précédentes, il faut améliorer la transparence, non seulement pour la collecte de renseignements personnels, mais aussi la façon dont ils sont utilisés et à qui ils sont divulgués. Cela doit s'appliquer à tous les aspects des transactions des médias sociaux.

    En clair, il ne s’agit pas seulement de modifier légèrement les politiques sur la protection de la vie privée ou d’adopter des dispositions relatives aux avis plus claires. Il s’agit d’adopter des mesures législatives sur ce que j’appellerais des normes minimales obligatoires pour la transparence en matière de protection de la vie privée, ce qui requiert leur intégration dans les technologies et les techniques sociales. Nous ne vendons pas des voitures sans indicateur de vitesse, compteur kilométrique, jauge à essence ou indicateur de pression. De même, nos médias sociaux devraient comprendre des mécanismes de rétroaction qui nous permettraient d’y voir de plus près et qui nous avertiraient lorsque nous ne serions plus en sécurité.

    J'ai deux autres recommandations à faire. La première concerne les paramètres par défaut. Lors de sa comparution devant le comité, M. Geist a fait abondamment référence à mon article intitulé The Devil is in the Defaults. En bref, l'architecture de chaque technologie inclut un certain nombre de choix dans la conception. Certains de ces choix créent des états par défaut. Par exemple, par défaut, une voiture est à l'état d'arrêt. Lorsque nous la faisons partir, elle est dans la position « stationnée ». Pour des raisons de sécurité, nous devons embrayer pour partir. Même s'il est possible de concevoir la voiture autrement, nous savons que ce serait dangereux si les voitures étaient réglées par défaut à l'état « départ », et nous avons des règlements qui l'interdisent.

    Il devrait en être de même pour le respect de la vie privée, mais ce n'est pas le cas. Par exemple, après la longue enquête sur Facebook en 2008 et en 2009, la commissaire à la protection de la vie privée a dit qu'il devrait y avoir plus de mesures de protection de la vie privée sur Facebook. En répondant avec une révision complète de son volet sur la protection de la vie privée, Facebook a offert de nouveaux paramètres à ses utilisateurs, soit presque 500 millions de personnes. Bien que les principaux médias jugeaient que c'était un virage à 180 degrés à l'époque, ironiquement, l'intégration des nouveaux paramètres s'est traduite par une saisie sans précédent de renseignements par Facebook, et je serai ravi de vous en dire davantage à ce sujet lorsque vous me poserez des questions.

    De façon plutôt subtile et ingénieuse, Facebook a très poliment donné à notre commissaire à la protection de la vie privée les nouveaux paramètres qu'elle demandait. Toutefois, Facebook donne d'une main et reprend de l'autre. En choisissant de créer des paramètres par défaut qui enregistrent encore plus de renseignements qu'auparavant, Facebook savait parfaitement bien que de 80 à 92 p. 100 de ses utilisateurs ne les changeraient jamais. L'économie comportementale a très clairement montré que, comme de mauvaises habitudes alimentaires, Facebook peut nous pousser de plus en plus à adopter de mauvaises habitudes de consommation d'information.

    À l'heure actuelle, la commissaire à la vie privée ne peut rien y faire. En ne modifiant pas nos lois, les législateurs canadiens permettent aux sites de médias sociaux de construire des véhicules qui sont réglés à « départ » plutôt qu'à « arrêt ». Zuckerberg sait à quel point ce n'est pas sûr. C'est pourquoi il a réorganisé ses propres paramètres de confidentialité. Il sait que les paramètres par défaut comportent un danger. Mais alors, pourquoi ce qui est bon pour lui, ne l'est-il pas pour tout le monde?

    Le coeur du problème se situe dans les valeurs par défaut. Nous devons le régler par l'adoption de mesures législatives qui prévoient la protection de la vie privée par défaut. Même si, comme le dit M. Geist, on doit féliciter Twitter pour sa fonction de non-suivi, et Google pour son tableau de bord, j'irais encore plus loin. Nous avons besoin de mesures législatives qui rendraient obligatoires certains de ces éléments extraordinaires. Ils devraient être intégrés dès le début et la protection de la vie privée devrait se faire par défaut.

    Je vais expliquer ma dernière recommandation beaucoup plus brièvement, puisqu'elle ressemble à ce que j'ai dit lors de mon témoignage dans le cadre de l'étude sur la LPRPDE il y a quelques années. Ce ne sont pas les réseaux sociaux qui constituent la plus grande menace à la protection de la vie privée. Il ne s'agit pas non plus des caméras de surveillance, des dispositifs mobiles sans fil, des bases de données ou des dispositifs de repérage GPS, etc. La plus grande menace à la vie privée, c'est le contrat type. Dans le cadre des dispositions actuelles sur la vie privée, presque toutes les mesures de protection prévues peuvent être contournées facilement par n'importe quel fournisseur de biens et de services au moyen d'un contrat type. En exigeant de l'utilisateur qu'il clique sur « j'accepte les conditions », les entreprises peuvent utiliser le droit contractuel pour esquiver leurs obligations en matière de protection de la vie privée. Bref, c'est fondé sur une mauvaise conception de la question du consentement. Dans le mémoire que je soumettrai au comité, je propose des réformes législatives détaillées qui empêcheraient les entreprises de contourner les mesures mises en place dans les lois en matière de protection de la vie privée. C'est essentiel.

    Je vous remercie d'étudier ces questions. J'espère que les membres du comité me donneront la possibilité d'en dire davantage au sujet de mes trois recommandations principales: normes minimales obligatoires pour la transparence; paramètres de protection de la vie privée par défaut obligatoires; et mécanismes qui empêchent de contourner les mesures de protection au moyen d'un contrat type.

    Merci.

    Je vous remercie de nous avoir livré votre présentation.

    Je cède maintenant la parole à M. Levin pour 10 minutes.

    Merci, monsieur le président.

    Je vous remercie beaucoup de l'invitation.

    Le greffier a eu la gentillesse de faire circuler un mémoire, mais afin de gagner du temps, je vais vous le laisser et ne l'utiliserai que comme point de départ.

    La constatation principale présentée dans notre mémoire est troublante. Les gens disent se soucier de la protection de la vie privée, mais ils ne sont pas vraiment prêts à agir lorsqu'on leur offre les outils pour ce faire. À cet égard, certaines entreprises ont pris de bonnes mesures en permettant à des utilisateurs de Facebook, de Google, etc., de voir les outils qu'ils ont à leur disposition, mais nous remarquons la même tendance inquiétante.

    Parallèlement, cela constitue, à mon avis, un appel à des mesures réglementaires. Je ne vois aucune raison de ne pas tenir compte de l'intérêt marqué des gens et de leur respect pour le droit à la vie privée et d'y accorder moins d'importance qu'à leur désir d'agir ou de ne pas agir.

    Les gens ont donc des craintes fondées au sujet de la protection de la vie privée, mais ils n'agissent pas. Que faut-il faire? À mon avis, il faut intervenir.

    Voici à quelle conclusion j'en suis venu en réfléchissant à la façon d'intervenir. M. Kerr et d'autres témoins vous ont parlé avec beaucoup d'éloquence de la façon dont la LPRPDE devrait être réformée, des modifications, du retard, etc. Je crois que les modifications habituelles ne seront pas très utiles pour la protection de la vie privée dans les médias sociaux.

    Je pense que c'est parce que concernant les médias sociaux et la protection de la vie privée — si vous me permettez de faire une petite transition —, nous faisons face à des problèmes beaucoup plus importants que ceux qui sont survenus avec les annonces en ligne et la monétisation des renseignements personnels, qui sont sans aucun doute importants. Il y a une idée qui est très liée à la protection de la vie privée dans la société, et c'est celle de la confidentialité en réseau, dont je veux vous parler très brièvement.

    Cela nous fait prendre conscience d'une autre énigme. Nous savons tous que les gens disent se soucier de la protection de la vie privée, mais ils affichent tout de même beaucoup de renseignements personnels dans les médias sociaux. Il est toujours difficile pour les gens de concilier les deux. Comment est-ce possible? Pourquoi les gens ne se rendent pas compte de ce qu'ils font? Ne savent-ils pas qu'il s'agit de réseaux publics, etc.?

    Il faut comprendre que lorsque les gens communiquent ou affichent des renseignements, ils ne pensent pas au nombre de personnes qui peuvent y avoir accès; ils se concentrent vraiment sur les personnes qui y ont accès dans l'immédiat.

    C'est ainsi que les gens se comportent dans la vie. Cela ne se passe pas seulement en ligne. Nous agissons de cette façon quotidiennement.

    Je suis ici à titre d'universitaire, mais vous connaissez peut-être d'autres aspects de ma vie. Vous pouvez peut-être obtenir certains renseignements à mon sujet en faisant une recherche dans Google. Si j'étais inscrit sur Facebook, vous pourriez probablement obtenir beaucoup de renseignements à mon sujet. Cependant, dans la vie courante, vous ne savez peut-être pas, par exemple, que j'ai deux filles. Vous ne savez peut-être rien au sujet de ma situation familiale ou de ma religion, la religion juive.

    Dans notre vie, nous avons la capacité de décider à qui nous voulons divulguer notre identité ou nos renseignements. Les médias sociaux nous enlèvent ce pouvoir.

    C'est le problème de base auquel nous devons nous attaquer. Il existe des frontières dans le monde réel, mais elles s'estompent dans le monde virtuel. Cela porte atteinte à notre vie privée et, de façon plus fondamentale, à notre sens de l'identité, surtout pour les jeunes et le développement de leur identité, leur cheminement professionnel et bien d'autres questions liées à la capacité d'isoler des renseignements.

    Même si vous le savez peut-être déjà, je veux dire aux membres du comité que conformément à l'interprétation de la commissaire à la protection de la vie privée de la LPRPDE, tout ce problème n'est pas lié à l'information commerciale, et ne doit donc pas être traité par la LPRPDE. Lorsque la commissaire a fait ses constatations sur Facebook en 2009, ce genre d'utilisation de renseignements qui passent peut-être d'un utilisateur à un autre n'était pas considérée comme commerciale.

    Il y a une question qu'il faut se poser au sujet de Facebook et d'autres médias sociaux; c'est-à-dire, de quoi s'agit-il? S'agit-il d'un réseau social utilisé pour bavarder, ou encore d'une base de données dans laquelle on recueille des renseignements? Je dirais qu'à notre époque, il s'agit probablement des deux, et le comité doit se rappeler qu'on ne peut pas se concentrer sur un aspect et oublier l'autre. Il faut se préoccuper des deux.

    Comment faire? Je dirais qu'il faut probablement apporter des modifications plutôt radicales au modèle actuel de dispositions sur la protection de la vie privée qui existe depuis 30 ans dans d'autres pays et, sous une forme ou une autre, depuis la moitié du XX^e siècle au Canada.

    Ce serait probablement une erreur de... Ou nous devons peut-être considérer comme inévitable que la collecte et la divulgation de renseignements personnels sont un fait de la vie qui demeureront dans les médias sociaux. Je propose que nous axions nos efforts sur la façon dont les renseignements sont utilisés, les formes d'utilisation qui sont acceptables et celles qui ne devraient pas l'être.

    Par analogie, je parlerais des motifs de distinction illicite visés par les lois provinciales et canadiennes sur les droits de la personne que vous connaissez bien. Vous vous souviendrez peut-être que certains renseignements sont facilement accessibles lorsque les gens veulent prendre une décision liée à l’emploi ou au logement — par exemple, des renseignements sur la race, l’âge, le sexe et l’invalidité d’une personne —, mais des lois nous interdisent de les utiliser. Nous devons comprendre que les renseignements en ligne peuvent être accessibles et trouver de quelle façon nous allons permettre ou non leur utilisation.

    Bien entendu, il ne faut pas promulguer l’interdiction pour tous les renseignements qui sont en ligne ou sur les médias sociaux. Par exemple, je propose que si les renseignements sont liés à des activités criminelles, nous voudrons peut-être que leur utilisation soit permise. Toutefois, s’ils concernent un aspect de la vie privée d’une personne, comme la religion, la famille, une incapacité, les gens ne devraient pas avoir le droit de les utiliser. Lorsque je dis « les gens », je parle des annonceurs, des employeurs éventuels, des développeurs d’applications, par exemple.

    Je propose au comité de vraiment tenir compte du fait — en raison de la situation au Canada, c’est-à-dire qu’aucune modification de fond majeure n’a été apportée à la LPRPDE au cours des dernières années — que les problèmes que posent les médias sociaux sont beaucoup plus graves pour la vie privée et le sentiment d’identité des gens que la collecte de renseignements. Nous devons vraiment réfléchir et regarder vers l’avenir afin d’adopter des mesures législatives qui résistent à l’épreuve du temps, du moins, pour le début du XXI^e siècle, disons, et nous concentrer sur ce en quoi consisterait l’utilisation permise de ces renseignements et les règles et les contraintes que nous voulons imposer à cet égard. C’est ce que je proposerais au comité, et je serai ravi de répondre à toute question à ce sujet, si nous en avons le temps.

    Merci beaucoup.

    Je vous remercie.

    Je cède maintenant la parole à M. Gautrais pour 10 minutes.

    Merci, monsieur le président.

    En 10 minutes, je voudrais vous faire part du point de vue de quelqu'un qui n'est pas tout à fait un spécialiste des questions liées à la vie privée. Ce qui m'intéresse depuis une vingtaine d'années, déjà, est le lien entre le droit et les technologies. C'est dans cette perspective que je voudrais développer trois points. Très souvent, je développe ces points pour gérer la complexité qui caractérise une nouvelle technologie. Ces trois points sont des questions très simples: qui, quoi et comment.

    Parlons d'abord du « qui ». Qui doit intervenir relativement à ces questions? Le premier point que je voudrais soulever est le premier réflexe que l'on a, celui de penser que le législateur doit intervenir relativement à ces questions. J'aimerais quand même rappeler le point de vue d'un vieux civiliste qui disait qu'il faut légiférer en tremblant. Cela veut dire que, dans un domaine aussi nouveau, aussi peu maîtrisé, le fait d'adopter une loi très rapidement est souvent un facteur qui empêche l'évolution de nos habitudes.

    Je crois donc qu'en matière de législation, il faut avoir une petite gêne, comme on dit au Québec. Il faut un certain recul et considérer qu'il faudrait davantage développer une approche strictement minimaliste sur le plan législatif, sans développer, me semble-t-il, de nouveaux concepts. D'ailleurs, on a pu voir de tels concepts en Europe, notamment, le « droit à l'oubli », qui a été développé dans plusieurs travaux européens et qui m'apparaît excessivement difficile à appliquer.

    En revanche, même si on veut limiter le rôle du législateur, cela ne veut pas dire qu'il ne faut rien faire. Il y a des possibilités quant à la gestion de la vie privée sur le plan de l'organisation. Je crois que les voies qui ont été développées dans le projet de loi C-12 sont très intéressantes, notamment dans l'optique de donner un peu plus de pouvoir au Commissariat à la protection de la vie privée du Canada.

    Ce qui veut dire que mon deuxième intervenant en matière de vie privée est le commissariat. Comparons ce qui se fait ici à ce qui se fait ailleurs, dans l'ensemble des démocraties occidentales ou, à tout le moins, en Europe. On se rend alors compte que le commissariat dispose de prérogatives passablement limitées, si on fait la comparaison avec des pays comme l'Allemagne, la Suède ou la France. Globalement, les ressources et le nombre de personnes qui travaillent au sein du commissariat à la vie privée est, au Canada, deux fois moins important qu'en Europe. Il semble qu'il pourrait y avoir un peu plus de ressources pour développer des habitudes. C'est un point dont je vais vous parler plus tard. Il s'agit donc de normes informelles relativement à la gestion de la vie privée.

    Quant au troisième intervenant qui serait susceptible d'intervenir en matière de vie privée, il s'agit, en fait, des organisations elles-mêmes, c'est-à-dire les entreprises et les organisations publiques qui gèrent les données. Conformément à un point que je développerai plus tard, il me semble qu'elles sont de plus en plus redevables de la manière dont elles doivent gérer les renseignements personnels. La notion d'accountability se traduit mal en français. Elle est développée dans tous les forums internationaux, de plus en plus depuis quelques années, soit depuis 2004-2005. La notion d'obligation de rendre des comptes est un concept qui, à mon avis, devrait être valorisé dans les projets du présent comité.

    Voilà pour le « qui », voilà sur les intervenants qui doivent intervenir relativement à ces questions.

    Parlons du « quoi » maintenant. J'aimerais résumer cela par une phrase: j'ai beaucoup plus peur de l'ombre que de la lumière. Qu'est-ce que j'entends par cela? En fait, il y a beaucoup de fantasmes et de peurs quand on parle des médias sociaux. Il y a des peurs réelles, bien sûr. D'ailleurs, j'ai des divergences d'opinons avec mes collègues, mais il y a des peurs véritables. Il y a aussi des fantasmes de peurs. À certains égards, ce que je peux mettre sur une page Facebook ne me fait absolument pas peur. J'incite mes trois enfants à fréquenter Facebook, mais ils ne veulent pas, à mon grand malheur.

    Cependant, on peut tout à fait bien utiliser Facebook sans porter atteinte à la vie privée. Dans la mesure où on reçoit une éducation des écoles et du commissariat, on doit savoir comment gérer cela. Je fais référence à Twitter. Il y a deux jours, le commissariat y a diffusé une bande dessinée pour expliquer comment on doit gérer la vie privée. Ce type de solution n'est pas strictement juridique. Il n'y a pas que le droit dans la vie, il y a d'autres solutions qui peuvent permettre de modifier les comportements des usagers de Facebook ou de Google.

    À bien des égards, je n'ai pas peur de l'utilisation qui peut être faite par Facebook. Je n'ai pas peur non plus de Google Street View, et c'est un point que j'aime relever. Je le dis parce que le commissariat a fait certaines recommandations à l'encontre de Google Street View. Or Google Street View n'est pas dangereux. Je ne vois pas de problème à ce qu'on me voie devant ma maison en train de sortir mes vidanges. C'est un exemple de fantasmes de peur qui sont parfois associés aux médias sociaux.

    Cela dit, il y a malgré tout de vrais problèmes et des peurs véritables. Il est nécessaire d'encadrer les nouveaux comportements, et je suis d'accord avec mes collègues là-dessus. Ce qui me fait davantage peur, c'est quand on change la finalité, la raison pour laquelle des informations ont été mises sur Facebook ou sur Google. À bien des égards, ces changements de finalité passent par un contrat que personne ne lit. Un usager moyen des médias sociaux devrait passer 20 heures par mois pour lire les politiques concernant la vie privée qui s'appliquent à Google et à tous les sites qu'il visite. C'est infaisable. Dire que la protection passe par l'information et par le consentement est un leurre. C'est un outil juridique, comme le disait le professeur Kerr, qui est totalement inapplicable.

    Comme le disait mon collègue, il y a des cas où le consentement ne doit pas être donné. Par exemple, certains bureaux d'avocats, tant au Québec que dans le reste du Canada, demandent à leurs étudiants leur compte Facebook pour voir qui ils sont dans la vraie vie. Un cas de ce genre devrait contrevenir au droit et un juge pourrait le considérer comme étant contraire au droit. Effectivement, il serait peut-être utile de le préciser expressément dans une loi.

    J'ai parlé du « quoi », mais je vais maintenant parler du comment. Là, je voudrais revenir sur la notion d'accountability, ou d'imputabilité, qui est de plus en plus développée. Selon cette notion, les organisations se doivent de développer des politiques qui permettront d'objectiver, si je puis dire, la diligence qu'elles utilisent pour gérer les données personnelles. Le fait d'obliger Facebook, Google ou n'importe quelle entreprise ou organisation du secteur public à montrer à tout le monde la façon dont elles gèrent les données à l'interne serait un moyen de vérifier leur niveau de diligence. Cette notion est fondamentale et très intéressante. C'est d'ailleurs le fondement d'un accord qui a été conclu au mois de novembre dernier entre la Federal Trade Commission, aux États-Unis, et Facebook, en vertu duquel ce dernier s'est engagé sur une période de 20 ans à ouvrir ses livres et à montrer la gestion qu'il fait de ces données. L'avenir est dans cette voie et dans la notion d'imputabilité.

    Là encore, il faut faire attention. C'est le spécialiste des technologies qui va au-delà de la notion de la vie privée qui vous parle. Il y a des cas assez malheureux qui se sont produits, notamment dans le domaine des valeurs mobilières, des securities. En 2002, il y a eu plusieurs scandales financiers aux États-Unis. Pour y remédier, on a demandé à toutes les compagnies cotées en bourse d'ouvrir leurs livres et de faire des rapports internes pour montrer comment elles géraient l'information financière. Plusieurs auteurs aux États-Unis ont démontré que des quantités de documentation avaient été produites et financées par des sociétés de comptables, dont certaines étaient à la source des scandales financiers. Quelque 60 ou 70 milliards de dollars plus tard, on se retrouve avec une splendide documentation qui, en fin de compte, est parfois difficile à appliquer.

    C'est la raison pour laquelle cette notion d'imputabilité ne devrait pas être introduite par une loi, mais plutôt par des normes de pratique informelles, des codes de conduite. Avec une approche plus négociée, il n'y aurait pas de loi imposant des choses dans un délai généralement assez court et on favorisait le dialogue pour élaborer des normes de pratique. Les normes informelles et les codes de conduite sont souvent critiqués parce qu'ils ne sont pas assez contraignants. Quand je compare notre système de protection de la vie privée avec celui de l'Europe, où il y a des ressources parfois assez conséquentes pour vérifier l'application stricte de la loi, il me semble qu'une approche plus intermédiaire, plus négociée, pourrait avoir de meilleurs résultats.

    Je vous remercie.

    Merci.

    Je vais ouvrir le micro de Mme Borg, pour une période de questions et réponses de sept minutes.

    Merci beaucoup.

    J'aimerais remercier les témoins de leur présence et de leurs présentations fort intéressantes.

    Les utilisateurs des réseaux sociaux ont l'impression que ces services sont gratuits. Toutefois, compte tenu de l'évolution de cette étude, on réalise de plus en plus qu'on paie pour ces services, avec nos renseignements personnels.

    Ma question s'adresse au Dr Kerr et au professeur Levin. Lorsqu'on transmet nos renseignements personnels aux sites de réseaux sociaux, où vont-ils?

    Devrais-je commencer?

    Mme Charmaine Borg: D'accord.

    M. Ian Kerr: M. Levin en sait probablement plus que moi à ce sujet, mais je crois que l’important...

    Au cours de mon exposé, j’ai dit que « cela doit s'appliquer à tous les aspects ». Pour répondre à votre question, je veux d’abord faire un lien avec une chose qu’a dite M. Gautrais. En faisant référence à Facebook et à Google Street View, il a dit qu'il n'est pas tellement inquiet de certaines choses par rapport à d'autres — par exemple, si l'application Google va dans son quartier lorsqu’il est en train de sortir les poubelles. Je comprends et considère cela comme des observations sur ce qui se passe en surface. Les problèmes se posent sur le fond des choses.

     Votre question est formidable, et je pense qu’aucun spécialiste au Canada ne serait en mesure de vous donner une réponse satisfaisante, ou du moins la réponse que je voudrais obtenir. C’est en partie précisément parce que — comme j’ai tenté en quelque sorte d’y faire allusion en vous parlant de ma visite chez Facebook, où la première chose qu’on m’a demandé, c’est de signer une entente de confidentialité —, une bonne partie de la valeur de ces renseignements... Et il n’en résulte pas des transactions gratuites avec Facebook, puisqu’on paie cher par les coûts liés aux renseignements personnels. Une grande partie de la valeur des renseignements repose sur l’idée qu’ils portent sur des choses que nous ne connaissons pas nécessairement beaucoup.

    Il est vraiment important de comprendre que ce qui donne entre autres une aussi grande valeur à ces renseignements, et cela nous donne une idée de ce qui se passe, c’est qu’ils sont utilisés pour créer un ensemble de ce que nous pourrions appeler des « catégories sociales ». Nous sommes tous classés quotidiennement dans de telles catégories, sur la base du traitement de l’information.

    Je sais que certains d’entre vous se rendent dans leur circonscription en avion. Par exemple, Air Canada sait très bien si vous êtes un passager élite, prestige ou régulier. On vous classera dans une catégorie sociale qui, par exemple, vous permettra de voir les différents vols accessibles, etc.

    Lorsque je prends l’avion et que la femme assise à côté de moi dit « Oh, nous sommes tellement chanceux d’être assis dans la rangée qui offre plus d’espace pour les jambes », je sais qu’elle peut avoir eu de la chance, mais ce n’est pas mon cas: la raison pour laquelle j’ai obtenu ce siège, c’est que je prends souvent l’avion. Air Canada le sait et me récompense en me donnant la possibilité de choisir. On lui a donné le siège encombré dans le coin, mais elle a un peu d’espace supplémentaire pour les jambes. Elle croyait que c’était une question de chance.

    Ce que je veux dire, c’est que les renseignements sont utilisés pour nous classer dans des catégories sociales, et ces catégories ont des effets sur notre vie de tous les jours. Dans certains cas, il s’agit du fait d’avoir un bon ou un mauvais siège dans un avion. Dans des cas plus graves, les choix qui sont faits à notre sujet peuvent avoir des effets discriminatoires de l’ampleur dont parlait M. Levin.

    Ce que je veux dire, c’est que toutes ces entreprises de réseaux sociaux et de renseignements et d’autres courtiers en information collaboreront avec qui ils veulent pour établir des ententes lucratives, dont l’objectif est d'établir des liens entre ces éléments d’information afin de créer certains types de profils sur nous leur permettant de nous classer dans des catégories à des fins qui nous avantagent, etc.

    Quant à la façon exacte — ce ne sont pas détails auxquels vous ou moi aurions accès, à moins que nous convoquions ces personnes pour qu’ils en parlent sous serment. J’ai signé une entente de confidentialité. Je suis au courant de certaines choses dont je ne peux vous faire part si vous n'avez pas le pouvoir de les obtenir.

    Le vrai problème, c’est que c’est tellement un mystère pour nous; ce qui n’est pas mystérieux, c’est la partie que nous connaissons, c’est-à-dire que des catégories sociales sont créées. C’est ce qui devrait nous inquiéter.

    Merci.

    Monsieur Levin, voulez-vous dire quelque chose?

    Merci.

    Ma réponse sera brève et peut-être insatisfaisante. Ce qui se passe, c’est que l’information est vendue, n’est-ce pas? Nous le savons. C’est le modèle de gestion de ces organisations, d'où la plus grande entrée en bourse de l'histoire, dont bon nombre de gens aiment voir les ratés, je suppose; tout dépend si l'on achète des actions ou non.

    Quoi qu’il en soit, l'information est vendue. Je vais vous donner un exemple en parlant de Twitter. Je pense que Twitter a vendu les deux dernières années de fils à deux entreprises de commercialisation, ce qui a créé cette sorte de segmentation fondée sur les produits. Nous avons des entreprises qui souhaitent extraire l’information. Il s'agit de toutes sortes de gazouillis — personnel, peu importe —, mais on cherche différents produits, différents sujets, etc., et on les utilise pour cibler ensuite des annonces. Il nous faut comprendre que tant que le service sera gratuit — à première vue —, c’est de cette façon que ces entreprises justifieront à leurs investisseurs qu’ils feront de l’argent.

    Parallèlement, je dois dire que, encore une fois, lorsqu’on examine le comportement des gens et qu’on leur demande leur préférence, dans le cadre de notre recherche, seulement un Canadien sur cinq paierait un dollar par mois pour empêcher la collecte de renseignements personnels, et 30 p. 100 seraient prêts à être payés un dollar par mois pour recevoir des annonces ciblées. Il y a donc un problème, et je vous dirais que c’en est un parce que… Je ne veux pas être dur envers les commissaires. Ils travaillent en fonction du contexte et dans la mesure du possible, mais du point de vue réglementaire, on n’a pas réussi à contrôler cela au cours des dernières années, du moins depuis l’adoption de la LPRPDE et avant que le modèle de code ou du moins les médias sociaux prennent une plus grande place en 2006-2007.

    Ce n’est pas contrôlé. La question qui se pose est la suivante: est-ce que la question nous préoccupe au point où nous voulons contrôler et réglementer le tout? À mon avis, à la lumière de la recherche, il est clair que — on ne peut pas mâcher nos mots — si on laisse cela entre les mains des gens, ils n’y feront pas grand-chose, mais il en est de même pour n’importe quoi. Si l’on me demandait si je suis prêt à payer un dollar pour que la police ou les pompiers viennent m’aider plus vite que n’importe qui, je refuserais; je pense que ce doit être un service public.

    Tout dépend donc de l’analogie utilisée. Il est fort possible que les gens ne voient la protection de leurs renseignements personnels que comme un droit pour lesquels les gouvernements provinciaux ou fédéral devraient intervenir et nous protéger et non comme une chose pour laquelle ils doivent payer.

    Merci.

    Est-ce qu'il me reste du temps?

    Non, votre temps est écoulé. La question et la réponse sont incluses dans les sept minutes.

    Monsieur Calkins, vous disposez de sept minutes.

    Merci, monsieur le président.

    Merci aux témoins d'être ici aujourd'hui.

    J'ai une liste de questions. Je précède généralement mes questions d'un court monologue, mais comme le temps nous presse, je vais passer aux questions directement.

    Monsieur Kerr, vous nous avez dit que le coeur du problème se situait dans les valeurs par défaut. Je suis d'accord avec vous. Voici ma question. Pouvons-nous établir une série de règles qui vont s'appliquer à toute une gamme d'expériences utilisateur et répondre à diverses attentes à l'égard de la protection des renseignements personnels, qu'on parle d'un site de commerce électronique sur lequel on effectue des transactions par carte de crédit, d'une application gratuite à l'intention des adultes sur un site de média social, d'un site de rencontres ou encore de sites Web destinés aux enfants?

    C'est une excellente question. En un mot, la réponse est non, mais j'ajouterais que c'est le modèle actuel.

     À l'instar des lois internationales qui s'appuient sur les lignes directrices de l'OCDE sur la protection des données dans la circulation transfrontalière, la LPRPDE suit actuellement un modèle fondé sur la notion de neutralité technologique: on établit quelques principes de base qui doivent pouvoir s'appliquer à l'ensemble d'une technologie, peu importe la technologie. Donc, les 10 principes énoncés en annexe de la LPRPDE — les points sur la responsabilité, le consentement, etc. — visent précisément à faire en sorte que la loi s'applique à toute situation, comme vous venez de le dire.

    Je ne suis pas convaincu que ce soit efficace partout. Ceci dit, j'en déduis par votre question que vous voulez éviter d'avoir 10 lois différentes pour 10 sortes de transactions électroniques différentes, voire des centaines, mais cela ne m'inquiète pas.

    Je pense que dans le contexte que vous décrivez — par exemple pour le commerce électronique, les médias sociaux et les sites pour enfants —, les valeurs par défaut seraient tout de même établies en fonction des principes de pratique équitable entourant la collecte, l'utilisation et la communication d'information. Tout dépendrait donc de la collecte d'information et des renseignements recueillis. Je crois que nous allons être en mesure d'étudier suffisamment la question pour définir les valeurs par défaut qui pourraient s'appliquer à une vaste gamme de technologies, dont le but est la collecte, l'utilisation et la communication de l'information, les trois mots clés de la LPRPDE.

    Je ne vois pas pourquoi ce serait nécessairement le cas, parce que les valeurs par défaut portent sur la collecte d'information, alors soit on fait la collecte d'information, soit on ne la fait pas. Si oui, les valeurs par défaut doivent répondre aux besoins dans le contexte en question.

    Il existe des centaines de modèles de voiture et de motocyclette, les rues d'Ottawa sont même envahies par ces vélos électroniques ces temps-ci, et pourtant, il n'a pas été tellement difficile de trouver comment fabriquer des compteurs de vitesse pour tous ces modèles. Nous avons normalisé différents outils de rétroaction, je pense que nous pouvons le faire dans ce contexte également.

    C'est drôle que vous en parliez, parce que nous avons justement du mal à les normaliser. Pas à l'intérieur de nos frontières, mais cela se complique grandement quand il s'agit d'enjeux internationaux. Les systèmes d'exploitation conçus pour telle ou telle plateforme, que ce soit Mac OS, Microsoft, Open Source ou un autre, ne vont pas tous nécessairement respecter toutes les restrictions.

    Si les joueurs internationaux n'harmonisent pas leurs règles, et si nos lois en matière de protection des renseignements personnels et les valeurs par défaut que nous privilégions ne cadrent pas, comment faire pour définir les différences territoriales? Par exemple, si le serveur transactionnel est situé ailleurs qu'au Canada, mais que l'interface utilisateur se fait, elle, à l'intérieur du Canada, comment pouvons-nous appliquer les lois de façon égale?

    Oui. Vous avez parfaitement démontré pourquoi notre commissaire à la protection de la vie privée doit avoir plus de pouvoirs en matière d'application de la loi, parce qu'il arrive que des entreprises soient établies dans des pays qui n'ont pas les mêmes exigences que nous.

     Si nous pensons que certaines normes sont fondamentales et que les Canadiens devraient pouvoir en bénéficier, nous devrons peut-être alors nous doter d'une loi différente. Et vous savez quoi? Ces entreprises qui font des affaires au Canada vont devoir se plier aux lois canadiennes, au même titre que toutes les autres entreprises.

    D'accord. C'est sensé. Je pense que c'est ce que veulent la plupart des Canadiens raisonnables. Il veulent que leurs renseignements personnels soient protégés. Mais si nous mettons en place une réglementation trop musclée ou si nous adoptons une approche maladroite, n'allons-nous pas faire fuir ces entreprises et ces personnes, la technologie comprise, qui préfèrent fonctionner dans un milieu plus libre?

    Oui, le risque est certainement là, et c'est pour cette raison qu'il faut éviter d'adopter des approches maladroites, comme vous dites. Je veux plutôt parler des principes auxquels nous adhérons déjà, et auxquels le reste du monde adhère aussi, et les appliquer à l'établissement des valeurs par défaut fondamentales. Je ne crois pas qu'il faille tellement aller dans le détail.

    Je suis d'accord avec vous. Je pense qu'il faut d'abord s'attaquer aux valeurs par défaut.

    Monsieur Levin, monsieur Gautrais, avez-vous quelque chose à ajouter aux commentaires qu'a formulés M. Kerr en réponse à l'une ou l'autre de mes questions? Non?

    Je vais donc passer à un autre sujet. J'ai déjà été administrateur de base de données. Je travaillais avec Oracle; je gérais, entre autres choses, des bases de données Oracle. Je ne prétends pas une seule seconde être un spécialiste du domaine qui nous occupe; toutefois, on peut dire que j'ai mérité la désignation de professionnel de la TI à un certain moment de ma vie.

    Pour avoir travaillé avec des bases de données, notamment des bases de données relationnelles qui étaient liées à des comptes client contenant des informations précises, je peux vous dire qu'il y a une énorme différence entre désactiver quelque chose et supprimer quelque chose. Je ne pense pas que nous disposions d'un cadre réglementaire ou législatif très explicite à l'égard de la protection des renseignements personnels et du droit des citoyens d'être oubliés, c'est-à-dire le droit de faire supprimer toutes leurs informations des bases de données de différentes organisations.

    Ce qui est plus compliqué encore, c'est évidemment lorsque l'information est recueillie lors du téléchargement d'une application gratuite, par exemple. L'information peut ensuite être vendue ou distribuée à des tiers. Je peux demander à l'entreprise qui a recueilli mes coordonnées au départ de les supprimer, mais si elles ont déjà été vendues, les dommages sont faits. Il est impossible de retracer tout cela.

    Qu'est-ce que vous en pensez? Ai-je raison de craindre de ne pas pouvoir faire supprimer mes informations d'une base de données précise si c'est ce que je veux?

    Je peux commencer. Je ne suis pas certain si la question m'était adressée.

    M. Blaine Calkins: Elle s'adresse à vous tous.

    M. Ian Kerr: En tant qu'ancien employé d'Oracle, j'imagine que vous êtes particulièrement conscient des...

    Non, non, je n'ai jamais travaillé pour Oracle. Permettez-moi de préciser que j'étais administrateur de base de données Oracle.

    Je vois.

    Quoi qu'il en soit, vous allez comprendre la fameuse citation de Larry Ellison, le PDG d'Oracle, datant du début des années 2000, peu après les attaques du 11 septembre. Il a dit qu'il ne fallait pas renoncer à sa vie privée, mais plutôt renoncer à l'illusion qu'elle est protégée.

    Des voix: Oh, oh!

    M. Ian Kerr: Il tentait de vendre aux États-Unis une base de données qui leur permettrait d'adopter une carte d'identité nationale utilisant la biométrie, qu'il aurait ensuite administrée.

    Alors dans ce contexte, et dans d'autres aussi, je comprends très bien que vous puissiez avoir des inquiétudes. Vous avez raison, il y a une importante distinction à faire entre la désactivation et la suppression de l'information. Le Canada devra réfléchir plus longuement aux politiques de conservation des données, parce que la version modérée du droit à l'oubli, le droit de supprimer...

    Autrefois, c'était une question de manque d'espace pour stocker l'information, mais maintenant...

    C'est exact. Le stockage d'information coûte presque rien. C'est donc plus sensé, d'un point de vue commercial, de... Je fais la même chose avec mon ordinateur...

    Je vous demanderais de donner une réponse de 30 secondes chacun.

    Le problème, en ce qui concerne le droit à l'oubli et à son application, c'est qu'on est face à deux principes reconnus par la Constitution. Il faut établir une sorte d'équilibre entre les deux. Malheureusement, vu cette tentative d'objectiver dans un article le principe du droit à l'oubli, on a plus de problèmes interprétatifs que de solutions à apporter.

    Encore une fois, les Européens se sont rués sur ce principe. C'est inapplicable sur le plan des décisions judiciaires. Un juge sera dans l'impossibilité d'objectiver cela.

    Je ne pense pas que ce soit possible. Technologiquement, ce n'est pas possible de supprimer l'information. Nous en avons eu un exemple avec cette vidéo horrible du meurtre qui a été filmé.

    C'est pourquoi j'avance dans mon mémoire qu'il faut se concentrer sur la façon dont cette information pourra être utilisée au bout du compte. Je pense qu'on pourrait remédier à bien des préoccupations, sinon toutes, si la réglementation mettait l'accent sur l'utilisation adéquate ou permissible de l'information recueillie.

    Merci.

    Je vais accorder la dernière période de questions et réponses à M. Andrews.

    Merci.

    Nous avons trois excellents témoins, et seulement sept minutes chacun pour leur poser des questions, dans une séance qui a commencé en retard.

    Je pense que je vais prendre une approche quelque peu différente, monsieur Kerr, alors permettez-moi de vous demander ceci. Nous avons décidé de convoquer à la fin de nos séances les représentants de Google, de Facebook et de Twitter, pour qu'ils prennent connaissance de ce que nous avons entendu. Si vous en aviez l'occasion, quelles questions aimeriez-vous leur poser?

     C'est difficile de répondre à cette question de but en blanc, mais je parle à des gens qui travaillent avec eux très souvent. J'imagine qu'une question qu'il serait intéressant de leur poser est celle que m'a adressée Mme Borg tout à l'heure, à savoir ce qui arrive exactement à l'information qu'ils ont recueillie. Je crois qu'il est très important de connaître le fin fond des transactions effectuées.

    Je pense qu'il est aussi utile et important de voir si on peut avoir une idée de ce qui se prépare pour les années à venir d'après ces joueurs clés. Je ne sais pas dans quelle mesure ils seront prêts à en parler, car ils ne voudront sans doute pas dévoiler leurs stratégies commerciales, mais je peux vous donner un exemple rapidement. Dans la dernière année, Facebook a lancé deux applications, une qui s'appelle « Open Graph » et l'autre « Personnalisation instantanée ». Je crois que Facebook tente ainsi de créer un graphique social. Je veux dire par là qu'on reprend le principe de Google Street View, mais avec chacun de nous. De la même façon que Google Street View peut prendre des clichés de chaque voiture et de chaque maison et joindre le tout sans couture, Facebook veut faire de même avec son nouveau journal et quelques-unes de ses dernières applications, en reliant les différents volets de notre vie afin de mieux nous connaître.

    Il n'est plus question de simples coordonnées sur un profil, on a maintenant une version numérique parfaitement intégrée de nous-mêmes. Ce serait très intéressant de savoir où ils ont l'intention d'amener la personnalisation instantanée et Open Graph, et de comprendre quelle est l'intention derrière l'idée de construire un graphique social autour de nous.

    Ce serait donc une question pour Google et une pour Facebook.

    En parlant de Facebook — je sais que vous y avez fait allusion et que vous vouliez y revenir —, c'est évident qu'ils vont nous brosser un tableau idyllique de la situation. Ils vont probablement tenter de nous séduire avec leurs graphiques et leurs présentoirs. Mais comment aborder la question des paramètres de confidentialité? Je sais que vous vouliez l'expliquer. J'utilise Facebook moi-même, et je me souviens d'avoir vu passer un message à propos de la confidentialité un moment donné, mais je suis trop occupé à naviguer dans Facebook et à faire autre chose pour aller changer les paramètres.

    Croyez-moi, vous n'avez pas à vous sentir coupable. J'essayais récemment d'expliquer comment fonctionnent exactement les paramètres par défaut de Facebook. J'en parle depuis deux ans sans arrêt. J'ai des étudiants qui ne vivent que pour Facebook et qui s'en abreuvent jour et nuit, tout comme moi, et je ne pouvais pas l'expliquer.

    Pour pouvoir connaître les paramètres par défaut actuels de Facebook, nous avons dû créer un nouveau compte sur une nouvelle identité. Les paramètres par défaut ont changé tellement souvent depuis que j'ai commencé à en parler il y a deux ans, que je ne suis pas surpris que vous n'ayez pas pu suivre le fil. On ne sait plus qu'est-ce qui va automatiquement aux amis, ce qui va aux amis des amis, et ce qui va au public. Je n'ai pas pu suivre le fil moi non plus.

    C'est pour cette raison qu'il faut établir, selon moi, des paramètres repères ou un point d'ancrage. Il faudrait leur demander sur quoi ils se basent pour décider de modifier les paramètres par défaut, et tenter de connaître leur motivation derrière tout cela. S'ils vous répondent honnêtement, ils vous diront sans doute que c'est dans le but de recueillir plus d'information, certainement pas moins. Si les paramètres par défaut peuvent leur permettre de recueillir plus de données, ils vont les utiliser. C'est ainsi qu'ils ont conçu leur système. C'est simplement un moyen de contourner les règles que notre commissaire à la protection de la vie privée a tenté d'établir avec eux.

    Je sais que lorsqu'on crée un compte sur Facebook, on nous demande peu de choses. On veut votre nom, et votre date de naissance absolument — et je dois vous demander pourquoi au juste —, et plus le temps passe, plus vous êtes appelé à divulguer des renseignements.

    Cela revient à votre commentaire sur les conditions d'utilisation et l'option « J'accepte ». Je défile vers le bas et je clique sur « J'accepte ».

    Mais vous ne le faites pas par insouciance. Vous le faites parce que c'est cela ou rien. Si vous utilisez Facebook, vous cliquez sur « J'accepte ». Un étudiant en droit à l'université qui n'utilise pas Facebook n'a plus accès à tout ce qui se passe dans le monde qui l'entoure; il est mis à l'écart.

    Comment faire pour écourter et simplifier ces contrats et exiger qu'il revienne aux utilisateurs de décider de ce qui est important? Et quel est le nombre...? Au lieu de 100, est-ce que cela devrait être 5 ou 50?

    Ce qui est intéressant, c'est que la communauté de Facebook a réussi à faire changer le contrat de Facebook non pas pour ce qui est de la politique de confidentialité, mais pour ce qui est des modalités d'utilisation. Il y a deux ans, Facebook a changé la clause portant sur le droit d'auteur, et plusieurs centaines de milliers d'usagers ont dit qu'il fallait faire attention, parce que c'était grave. Facebook, qui est très brillant sur le plan du marketing, a dit qu'il y avait un problème et il a créé ce site qui existe toujours, qui est le « site de gouvernance », qui traite notamment des droits et obligations. Il a changé ce site, il a demandé aux usagers ce qu'ils voulaient que Facebook change dans le contrat, et une entente a été conclue entre Facebook et les usagers, qui a amélioré des choses.

    Pour l'instant, c'est impossible de faire infléchir Facebook sur les questions de vie privée. En effet, comme l'ont dit mes collègues, c'est son pétrole, il a besoin des données pour vivre. C'est impossible de faire bouger Facebook en ce qui a trait à un contrat qui ferait... Une politique de vie privée, comme celle de Facebook, peut être faite en une demi-page. C'est possible de le faire, mais on refuse de le faire, parce que, sciemment, on veut noyer cela dans la longueur en sachant que personne ne lit le foutu contrat.

    Je crois, malheureusement, que ce n'est pas une loi canadienne qui va changer ça. Je crois davantage à une sorte de pression internationale. Quand je parlais de normes informelles, je pensais à un regroupement des usagers eux-mêmes avec des regroupements internationaux de tous les commissariats. Depuis deux ou trois ans, il y a des regroupements beaucoup plus forts, dont fait partie le Commissariat à la protection de la vie privée du Canada, qui peuvent tenter d'infléchir une politique par la négociation pour avoir au bout du compte un contrat qui soit lisible, raisonnable, d'une demi-page au maximum.

    Malheureusement, le temps est écoulé, je dois vous arrêter. Je sais qu'il est déjà 13 heures et qu'on devra ajourner la réunion très bientôt.

    Juste avant de quitter, je voudrais mentionner que, jeudi prochain, il n'y aura pas de réunion, car on sera vraisemblablement en train de voter. Si j'en ai la permission, on va assigner à comparaître, le 21 juin, les témoins qui étaient supposés comparaître le 14. Ils viendraient donc le jeudi 21 juin au lieu du jeudi 14 juin, car on sera en train de voter. Je pense que cela va faire l'affaire de tout le monde. On n'avait rien planifié le jeudi 21 juin. Ça fait donc l'affaire de tous.

    Sur ce, je remercie les témoins d'être ici aujourd'hui, bien qu'on n'ait pas eu tout le temps qu'on aurait aimé avoir. Peut-être nous reverrons-nous ultérieurement. Merci à vous.

    La séance est levée.