ETHI Réunion de comité

    Je déclare la séance ouverte.

    Bienvenue à la 24^e réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes. Conformément à l'alinéa 108(3)h) du Règlement, le Comité étudie l'objet du Budget principal des dépenses 2022‑2023.

     J'aimerais maintenant souhaiter la bienvenue à notre témoin d'aujourd'hui, M. Daniel Therrien, commissaire à la protection de la vie privée du Canada. Je ne veux pas m'avancer sur ce qu'il nous dira, mais je vous signale qu'il quittera bientôt son poste pour prendre sa retraite. Ce sera notre dernière occasion de le recevoir au Comité. Je le remercie à l'avance pour ses longs services au Canada et à ce comité.

    Sur ce, nous vous laissons nous présenter votre exposé, monsieur Therrien.

    Merci beaucoup, monsieur le président. C'est très gentil.

     Bonjour, monsieur le président et mesdames et messieurs les députés.

    Je vous remercie de m'avoir invité aujourd'hui pour vous faire part de certaines leçons tirées des huit dernières années, ainsi que de quelques recommandations générales sur l'orientation que devait prendre la réforme des lois.

    Nous vivons dans la quatrième révolution industrielle, celle des technologies numériques. Ces technologies sont perturbatrices.

    Comme nous avons pu le constater pendant la pandémie, cela peut représenter de réels avantages, par exemple dans le domaine de la télésanté ou de l'éducation en ligne, ou encore en environnement. Ces technologies peuvent véritablement servir l'intérêt public.

    Nous avons aussi appris, au cours des ans, que le modèle du consentement comme mode de protection de la vie privée comporte de sérieuses limites. Il n'est ni réaliste ni raisonnable de demander aux individus de consentir à toutes les utilisations possibles de leurs données dans une économie de l'information aussi complexe que celle d'aujourd'hui, par exemple, dans certaines situations où l'on fait appel à l'intelligence artificielle. Le rapport de force est trop inégal et l'asymétrie dans le contrôle des renseignements, trop importante.

    En fait, le consentement peut servir à légitimer des usages qui, objectivement, sont complètement déraisonnables et contraires à nos droits et valeurs. Le refus de donner son consentement peut parfois desservir l'intérêt public.

    Au cours de mon mandat, nous avons également pu observer, par notre travail d'enquête, que ces technologies peuvent non seulement présenter des risques pour la vie privée, mais aussi causer de réels préjudices.

    Par exemple, notre enquête sur Clearview AI a révélé qu'une entreprise avait utilisé la technologie de reconnaissance faciale d'une façon qui représentait une surveillance de masse. Notre enquête sur l'utilisation de la technologie de Clearview AI par la GRC a fait ressortir les risques des partenariats publics-privés en l'absence d'un cadre juridique pour régir l'utilisation des données biométriques.

    De son côté, l'affaire Cambridge Analytica, qui fut étudiée par un grand comité composé de membres du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique et de législateurs d'autres pays, a montré que les violations de la vie privée peuvent mener à des violations des droits démocratiques.

    Enfin, notre enquête sur Statistique Canada a révélé qu'une institution fédérale pensait qu'il était justifié, à des fins d'élaboration de politiques fondées sur des données probantes, de colliger des renseignements extrêmement détaillés sur les transactions financières de citoyens, ce qui constituait une forme de surveillance.

    Cela nous amène à la conclusion suivante. Les technologies perturbatrices présentent des avantages indéniables, mais ce qui n'a pas besoin d'être perturbé, tant s'en faut, c'est l'idée qu'un gouvernement démocratique doit conserver la capacité de protéger les valeurs et les droits fondamentaux de ses citoyens.

    Nous avons donc besoin d'une véritable réglementation des technologies numériques, et non de plus d'autoréglementation.

    L'ancien projet de loi C‑11 aurait malheureusement apporté plus d'autoréglementation en accordant aux entreprises la liberté presque totale de fixer les règles selon lesquelles elles interagissent avec leurs clients et en leur permettant de fixer les conditions de leur responsabilité.

    Si nous tirons des leçons des dernières années, nous adopterons dans le secteur privé des lois sur la protection des renseignements personnels qui permettent l'innovation, parfois sans consentement, pour des intérêts commerciaux légitimes et à des fins socialement bénéfiques, dans un cadre qui protège nos valeurs et nos droits fondamentaux.

    Dans le secteur public, nous avons aussi besoin de lois qui limitent la capacité de l'État de recueillir des renseignements au sujet des citoyens au‑delà de ce qui est nécessaire et proportionnel à l'atteinte d'objectifs importants.

    En somme, nous avons besoin de lois fédérales, dans les secteurs public et privé, qui sont fondées sur les droits, qui ont des principes similaires et idéalement communs pour les deux secteurs, qui se fondent sur la nécessité et la proportionnalité, qui sont interopérables tant à l'échelle nationale qu'à l'échelle internationale, et qui confèrent à l'organisme de réglementation les pouvoirs de vérification et d'application de la loi qui sont nécessaires pour assurer la conformité.

    Il n'est pas suffisant d'adopter des lois qui protègent bien la vie privée. L'organisme de réglementation doit également disposer de pouvoirs d'application de la loi adéquats, recevoir le financement nécessaire et se voir accorder un pouvoir discrétionnaire pour gérer sa charge de travail, afin de pouvoir protéger efficacement le plus grand nombre de personnes avec ses ressources limitées.

    En juillet, le Décret d'extension de la Loi sur la protection des renseignements personnels entrera en vigueur, accordant aux ressortissants étrangers le même droit que celui dont disposent les ressortissants canadiens de demander de se faire communiquer les renseignements personnels les concernant et relevant d'institutions fédérales.

    Le gouvernement prévoit une augmentation importante des demandes de renseignements personnels, ce qui se répercutera sur le nombre de plaintes. Le Commissariat a fait part de ses besoins en matière de financement au gouvernement. À ce jour, aucun nouveau financement n'a été accordé. Il s'agit d'un grave problème pour le Commissariat, car celui‑ci a besoin de fonds supplémentaires pour s'acquitter des nouvelles fonctions qui lui sont confiées.

    En ce qui concerne les répercussions financières de la réforme législative, plus en général, nous estimons, à la lumière de l'expérience d'autres autorités de protection des données, que notre budget devrait approximativement doubler, si la nouvelle loi pour le secteur privé devait être comparable à l'ancien projet de loi C‑11. Nous prévoyons aussi un élargissement de notre fonction de services-conseils et l'obligation d'examiner les codes de pratique de l'industrie.

    Nous voyons d'un bon œil ces nouvelles responsabilités, car celles‑ci favoriseront la conformité à la loi au moment où les programmes sont à l'étape de la conception. Nous craignons néanmoins que le caractère obligatoire de ces activités et de notre travail d'enquête nous empêche de gérer notre charge de travail en fonction des risques, et ainsi d'accorder une plus grande priorité aux dossiers qui présentent un risque plus élevé. Nous vous exhortons donc, lorsqu'un projet de loi vous sera présenté, d'accorder au Commissariat un plus grand pouvoir discrétionnaire pour gérer sa charge de travail, afin de lui permettre de choisir les dossiers pour lesquels il offrira des services-conseils et ses dossiers d'enquête, pour protéger efficacement le plus grand nombre de Canadiens avec ses ressources limitées. Cela nous permettrait non seulement de mener nos activités de manière plus efficace, mais aussi de réaliser, selon nos calculs, une économie de près de 12 millions de dollars par année.

    En ce qui concerne les pouvoirs d'application de la loi, je n'ai jamais cessé de réclamer des recours rapides et efficaces, en particulier le pouvoir de rendre des ordonnances et d'imposer des sanctions pécuniaires importantes, qui soient proportionnelles aux gains financiers que peuvent réaliser les entreprises en faisant fi de la vie privée. Une preuve supplémentaire qu'il est nécessaire de disposer de ces pouvoirs a été présentée hier à la suite de la publication des résultats de notre enquête sur Tim Hortons.

    À l'instar de nombreuses autres autorités de protection des données au Canada et à l'étranger, le Commissariat devrait aussi être autorisé à mener des vérifications proactives afin de s'assurer de la conformité à la loi. La nécessité de mener des vérifications a été largement démontrée dans la récente affaire concernant l'utilisation, par l'Agence de la santé publique du Canada, de données sur la mobilité obtenues dans un format modifié auprès d'organisations du secteur privé. Dans un monde où l'innovation nécessite la confiance, un facteur important pour gagner la confiance des citoyens serait l'assurance qu'un expert indépendant veille à leurs intérêts, vérifie et assure la conformité à la loi, et prend les mesures qui s'imposent pour corriger les comportements non conformes ou y mettre fin. Encore une fois, bon nombre de nos homologues provinciaux, au sein même du Canada, et de nos partenaires internationaux dans les pays de common law, comme le Royaume-Uni, disposent de ce genre de pouvoirs.

    J'aimerais, en terminant, vous faire part de mes dernières observations sur l'avenir des lois fédérales sur la protection des renseignements personnels, ainsi que sur leur interopérabilité avec les lois d'autres administrations, tant à l'échelle nationale qu'à l'échelle internationale.

    Au pays, les trois provinces les plus populeuses ont proposé récemment des lois en faveur d'une innovation responsable dans un cadre juridique qui reconnaît la vie privée comme un droit fondamental. Le Québec a adopté une telle loi en 2021.

    Toutes ces provinces confèrent le pouvoir de rendre des ordonnances aux autorités de protection de la vie privée et proposent de leur donner le pouvoir d'imposer directement des sanctions pécuniaires, sans passer par un palier d'appel administratif, mais sous réserve d'un contrôle judiciaire. Nous demandons des pouvoirs similaires, d'une part pour donner accès aux Canadiens à des recours rapides et efficaces en cas de violation de leur vie privée, et d'autre part pour faire en sorte que le Commissariat demeure une voix influente et souvent unificatrice pour ce qui est de l'évolution du droit sur la protection des renseignements personnels au Canada. Si les pouvoirs des autorités provinciales et fédérales sont différents, si le processus fédéral est plus long que dans les provinces, je crains que les citoyens s'adressent aux autorités provinciales et que l'influence de l'autorité fédérale diminue.

     Sur la scène mondiale, il est aussi essentiel que les lois canadiennes soient interopérables et qu'elles ne soient pas trop différentes des normes internationales. Selon certains intervenants du milieu des affaires, l'approche adoptée par le Canada à ce jour a été bénéfique pour le pays, et une approche fondée sur les droits nuirait à l'innovation.

     L'idée qu'une loi fondée sur les droits nuirait à l'innovation est un mythe et est tout simplement sans fondement. En fait, c'est l'inverse qui est vrai. Il ne peut y avoir d'innovation sans confiance, et il ne peut y avoir de confiance sans la protection des droits.

    Selon nous, il ne serait pas dans l'intérêt des entreprises canadiennes que le Canada adopte une approche qui serait trop différente de ce qui est en train de devenir la référence à l'échelle mondiale. En réalité, il est dans l'intérêt du Canada de disposer de lois interopérables.

    Pour conclure, le message que je souhaite transmettre aux membres du Comité est le suivant: continuez le travail que vous et vos prédécesseurs avez entrepris dans ces dossiers importants. En tant que législateurs, vous avez le pouvoir d'apporter de vrais changements à notre régime de protection des renseignements personnels et, jusqu'à maintenant, vos rapports vont dans la bonne direction.

    Rappelez-vous aussi que nos lois devraient protéger le droit à la vie privée dans son sens véritable: l'absence d'une surveillance injustifiée. Ainsi, la législation devrait reconnaître et protéger la liberté de vivre et de s'épanouir de façon autonome, à l'abri du regard scrutateur d'un État ou d'un capitalisme de surveillance.

    En d'autres termes, la loi devrait protéger nos valeurs et nos droits, acquis souvent de haute lutte au fil des siècles, qui n'ont aucunement à être mis de côté pour profiter des avantages du numérique.

    Ce fut un honneur de travailler avec vous. Je vous remercie de m'avoir accordé un peu plus de temps cet après-midi.

    Je répondrai maintenant volontiers à vos questions.

    Merci, monsieur Therrien.

    Oui, en effet, pour les membres qui se posaient la question, je lui ai accordé le temps dont il avait besoin pour faire sa déclaration préliminaire.

    Sur ce, je voudrais juste vous dire rapidement comment je compte procéder pour cette réunion.

    Nous avons commencé avec un peu de retard. Je veux tenir notre premier tour normal de six minutes chacun. Au deuxième tour, ce sera les conservateurs et les libéraux, puis deux minutes et demie chacun pour le Bloc et le NPD, et enfin un retour à cinq minutes pour les conservateurs et les libéraux. Cela nous mènera autour de 16 h 50.

    Je propose de faire un troisième tour s'il y a de l'intérêt. Si ce n'est pas le cas, nous pourrons suspendre la séance à ce moment‑là, mais si vous le souhaitez, nous pourrons continuer et nous devrions avoir assez de temps pour faire un troisième tour complet. Il faut aussi nous réserver quelques minutes à la fin pour discuter des travaux du Comité, nous avons quelques questions d'ordre administratif à régler.

    Je quitterai le fauteuil un petit bout de temps pour prendre la parole à la Chambre, mais je reviendrai à temps pour la courte partie sur les travaux du Comité, puisque comme je l'ai dit, nous avons quelques questions d'ordre administratif à régler.

    Nous essaierons de laisser les gens partir à temps. Je sais qu'il y en a qui ont des vols à prendre ce soir, aussi.

    Sur ce, monsieur Kurek, vous avez six minutes.

    Merci beaucoup, monsieur le président.

    Tout d'abord, permettez-moi de vous remercier, monsieur le commissaire, pour votre travail au cours des dernières années et pour les bons services que vous avez rendus au Canada. Je vous félicite et j'espère que vous pourrez profiter de votre retraite imminente.

    Monsieur le commissaire, je suis curieux, et je pourrais peut-être commencer par poser une question très générale, afin de savoir si vous pensez que les lois sur la protection des dénonciateurs au Canada sont adéquates.

    Ce n'est pas une question que nous avons examinée très souvent. Des dispositions dans les lois sur la protection de la vie privée protègent les dénonciateurs qui souhaitent porter plainte, par exemple, contre une entreprise ou une institution gouvernementale. Il est extrêmement rare qu'on les utilise. En fait, je ne me souviens d'aucun cas. Je ne pourrais pas parler d'expérience à ce sujet.

    Merci, monsieur le commissaire.

     Je sais qu'il y a une enquête en cours sur une fuite de certains renseignements de l'ARC.

     Pourriez-vous dire au Comité si vous avez des recommandations sur la façon de protéger les dénonciateurs afin de garantir que, lorsque des renseignements sont communiqués dans l'intérêt public, ceux qui les communiquent ne subissent pas de répercussions?

    En général — et je n'ai pas examiné récemment la Loi sur la protection des renseignements personnels ou la Loi sur la protection des renseignements personnels et les documents électroniques à cet égard —, il est évident qu'un dénonciateur doit être protégé. Son identité doit être protégée par le tribunal ou le bureau qui examine sa plainte. En même temps, la plainte doit être examinée de manière équitable envers l'institution ou l'organisation qui fait l'objet de l'enquête.

    Toutefois, je n'aurais vraiment rien d'autre à dire à part qu'il est évident que l'identité du plaignant, qui est un dénonciateur et qui peut faire l'objet de représailles, doit être protégée.

     Merci, monsieur le commissaire.

    Je me demande quelque chose. Avez-vous eu l'occasion d'examiner le projet de loi S‑7, Loi modifiant la Loi sur les douanes et la Loi sur le précontrôle, dont le Sénat est saisi actuellement, et d'offrir des conseils à son sujet?

    Oui, et des représentants du Commissariat à la protection de la vie privée témoigneront lundi devant le Sénat au sujet de ce projet de loi. Puisque nous nous y sommes préparés, je peux dire certaines choses.

    Il est clair que l'un des secteurs d'activité que nous avons examinés et sur lequel nous avons enquêté au cours de mon mandat, ce sont les fouilles d'appareils cellulaires ou d'appareils électroniques à la frontière. Il ne fait aucun doute que les intérêts en matière de vie privée à la frontière sont moins importants qu'à l'intérieur du pays lui-même, ce qui donne plus de latitude aux agents des services frontaliers pour fouiller les bagages, les personnes et les appareils électroniques.

     Dans le cadre de nos enquêtes, nous avons souligné le fait qu'un appareil cellulaire ou un appareil électronique n'est pas comparable à un bagage ou à une lettre. Un appareil électronique contient beaucoup plus de renseignements personnels très sensibles. Par conséquent, bien que nous soyons à la frontière, les intérêts en matière de vie privée concernant les renseignements trouvés dans un appareil électronique signifient que ces appareils ne peuvent pas être fouillés sans aucun motif.

    Les tribunaux en ont convenu...

    Oui.

    ..., laissant au Parlement le pouvoir ou le choix d'élaborer une norme raisonnable permettant aux agents des services frontaliers d'exercer leurs fonctions.

    Je terminerai simplement en disant que je sais que le projet de loi S‑7 propose une nouvelle norme pour autoriser les agents des services frontaliers à exercer leurs fonctions. En fin de compte, je dirais qu'il me semble qu'aucune norme ne tiendra devant les tribunaux à moins qu'il y ait un fondement objectif permettant à un agent des services frontaliers de croire qu'il trouvera du matériel illégal. Pour cette raison, je ne suis pas sûr qu'une loi puisse avoir une norme inférieure aux motifs raisonnables de soupçonner, qui est une norme connue, car les tribunaux, me semble‑t‑il, exigeront inévitablement un fondement objectif de la part de l'agent pour effectuer la fouille.

    Pour les quelques secondes qu'il me reste, j'aimerais savoir si, à votre avis, le projet de loi, tel qu'il est rédigé, pose alors problème en ce sens qu'il ne crée pas un seuil approprié.

    Dans le cadre du projet de loi, on tente de donner suite à une décision des tribunaux et d'élaborer une norme. J'ai entendu parler de problèmes opérationnels à la frontière, mais je n'ai pas encore entendu d'arguments ou d'éléments qui répondraient à la question que je soulève, à savoir qu'il me semble que les tribunaux exigeront un fondement objectif. Je n'ai pas encore entendu cette information de la part du gouvernement. Elle existe peut-être, mais je ne l'ai pas encore entendue.

    Merci, monsieur le commissaire.

    Merci.

    C'est maintenant au tour de Mme Saks, qui dispose de six minutes.

    Merci, monsieur le président.

    J'aimerais remercier le commissaire.

     C'est un plaisir de vous revoir et de vous remercier en personne pour les services que vous rendez aux Canadiens et à nous tous en tant que parlementaires. En tant qu'agent du Parlement, votre rôle consiste vraiment à veiller au respect de la Loi sur la protection des renseignements personnels, ainsi qu'à promouvoir la protection des renseignements personnels des Canadiens dans le travail que nous faisons dans de nombreuses sphères.

     Je ne siège pas au Parlement depuis longtemps, mais depuis mon arrivée, l'environnement numérique s'est développé. Il est utilisé dans tous les volets de notre vie, avec ces téléphones, particulièrement pendant la pandémie de la COVID. Comme nos milieux de travail sont devenus les milieux où nous vivons, les questions relatives à la protection de la vie privée ont certainement pris de l'importance dans de nombreux aspects de notre vie quotidienne.

    Le ministre de la Justice a reçu le mandat d'élaborer des modifications à la Loi sur la protection des renseignements personnels. J'aimerais vous demander si vous appuyez ce travail et à quels changements il devrait accorder la priorité, maintenant que vous en êtes à la fin de vos années de service.

    Le ministère de la Justice a publié un document de consultation il y a environ un an sur les principes potentiels d'une nouvelle loi visant le secteur public. Nous avons recommandé certains changements, mais dans l'ensemble, nous étions assez satisfaits de la teneur générale du projet de loi et de ses principes.

     L'une des questions, si ce n'est la principale question, à laquelle les parlementaires devraient réfléchir concernant une loi visant le secteur public est l'utilisation croissante de la technologie. Il est beaucoup plus facile pour les entreprises et les ministères et organismes gouvernementaux de recueillir des renseignements. Il est donc important de veiller à ce que cette facilité sur le plan technique soit soumise à des normes rigoureuses. La norme internationale à cet égard est la nécessité et la proportionnalité. Je pense que c'est le principal point à souligner en ce qui concerne la Loi sur la protection des renseignements personnels.

    Je vous remercie.

    J'aimerais intervenir à ce sujet, si vous me le permettez. Vous avez récemment collaboré avec cinq autres pays au sujet de la protection de la vie privée dans les logiciels de vidéoconférence et de téléconférence. Pouvez-vous expliquer ce que cela signifie pour les Canadiens ordinaires, en particulier dans cette nouvelle ère de Zoom? Aujourd'hui même, des membres de notre comité participent à la présente réunion par vidéoconférence.

    C'est une question intéressante. Elle porte sur le rôle, entre autres, du Commissariat non seulement en tant qu'organisme d'enquête, mais aussi en tant qu'organisme qui peut fournir des conseils aux entreprises ou aux ministères sur la façon de se conformer aux lois sur la protection de la vie privée.

    Cet exercice réunissait, comme vous l'avez dit, cinq autorités de protection des données dans le monde. Le Royaume-Uni en faisait partie, ainsi que nous. En raison de la COVID et de l'utilisation accrue de plateformes comme Zoom et Microsoft Teams, ces plateformes ont été extrêmement utiles, voire nécessaires, pour que les gens puissent communiquer, travailler, etc. Il y avait certainement des questions, voire des préoccupations, quant à savoir si ces plateformes protégeaient correctement les renseignements personnels des utilisateurs. Plutôt que d'enquêter officiellement sur la question de savoir si les plateformes respectaient la loi, nous avons communiqué de façon plus informelle avec un certain nombre de ces plateformes. On nous a montré certaines des technologies utilisées et la façon dont elles étaient utilisées, et nous avons donné certains conseils pour améliorer la protection de la vie privée.

    Cet exercice n'a pas débouché sur une approbation par les autorités de protection des données — nous avons tout examiné et nous pensions que tout était conforme à la loi. Nous avons pensé qu'il était tout de même utile d'avoir des discussions avec ces entreprises pour voir si quelque chose se passait clairement mal, ce que nous n'avons pas constaté, et pour essayer d'élever le niveau de protection de la vie privée dans l'utilisation de ces technologies.

    C'est un point très important. Il va sans dire que la protection de la vie privée des employés qui travaillent à domicile, en particulier par le biais de ces plateformes, est une préoccupation nationale pour les Canadiens. C'est un sujet dont nous avons même discuté ici, concernant une motion potentielle sur une étude de ce comité. Malheureusement, ce ne sont pas tous mes collègues qui s'entendaient là‑dessus.

     Pensez-vous qu'il est important que nous fassions une recherche exploratoire sur ce sujet? Si cela doit constituer la norme technologique pour nos employés à l'avenir, tant dans le secteur public que dans le secteur privé, les employés doivent savoir que leur vie privée est protégée dans le lien avec leurs employeurs lorsqu'ils utilisent ces plateformes et que l'utilisation de cette technologie est une exigence de travail.

    Avez-vous des choses à dire à ce sujet?

    C'est certainement une question qui doit être examinée. Il peut y avoir des questions de compétence pour savoir si cela relève de la compétence provinciale ou fédérale. Je ne dirai pas que ce n'est clairement pas du ressort du fédéral. Il y a des entreprises qui sont visées par la Loi sur la protection des renseignements personnels et les documents électroniques, la loi applicable au secteur privé, qui jouent un rôle dans ce secteur, alors je ne dis pas qu'il ne faut pas vous lancer, mais si vous voulez le faire, et c'est certainement une question intéressante à examiner, assurez-vous qu'il y a bien compétence fédérale.

    Vaudrait‑il la peine de faire une étude sur la question, oui ou non?

    Oui, sur le fond.

    Merci.

    La parole est maintenant à M. Lemire.

     Monsieur le président, je vous remercie de m'accueillir à votre comité.

    Monsieur Therrien, j'aimerais d'abord vous remercier de l'ensemble de votre carrière.

    Je suis normalement membre du Comité permanent de l'industrie et de la technologie, qui vous a d'ailleurs déjà accueilli.

    Je considère votre témoignage un peu comme un legs. Il comporte beaucoup d'éléments, dont je me ferai le messager afin que tout ce que vous recommandez puisse être fait, notamment en ce qui concerne notre rôle de législateur et l'importance de doubler le budget du commissariat pour améliorer son efficacité face à — j'aime l'expression — ce « capitalisme de surveillance ».

    Cela dit, dans le dossier concernant l'utilisation de données sur la mobilité par le gouvernement fédéral, ce dernier vous a informé de ses intentions, mais il a également choisi de consulter d'autres experts pour examiner les moyens techniques de dépersonnalisation des données. Au bout du compte, il y a eu des moments, au cours de votre mandat, où vous vous êtes peut-être senti de trop. C'est du moins la perception qu'on peut avoir.

    Vous êtes-vous parfois senti mis de côté par le gouvernement?

    Certaines entreprises et certains ministères ne rêvaient pas la nuit de faire l'objet d'une enquête par le commissaire à la vie privée, et je le comprends. Dans le cas des données sur la mobilité, le gouvernement avait recours à des experts. Sur le plan légal, il n'avait pas à nous consulter sur les détails.

    Selon moi, la question de fond, c'est que les citoyens n'ont pas les renseignements nécessaires. De toute façon, les règles d'utilisation de la technologie et des renseignements sont tellement complexes et les contrats sont tellement compliqués, qu'on ne peut pas s'attendre à ce que la façon normale et usuelle pour un citoyen ou un consommateur de déposer une plainte pour un problème potentiel soit d'en saisir le commissariat.

    Cela nous amène donc à parler des audits proactifs. Je suis d'avis que, pour restaurer la confiance envers le gouvernement et envers les entreprises à l'égard de l'utilisation des données sur la mobilité, ces audits seraient une très bonne chose. Ils sont déjà utilisés dans d'autres États, et même dans certaines provinces canadiennes. Cela permettrait au commissariat de vérifier la conformité, autrement dit, afin de garantir aux citoyens que leurs données sont correctement utilisées. De temps en temps, le commissariat pourrait procéder à des vérifications ponctuelles pour s'assurer que, dans tel secteur ou telle compagnie, les renseignements que l'entreprise ou le ministère dit utiliser conformément à la Loi le sont véritablement.

    En fin de compte, ce que le gouvernement a fait était légal compte tenu de la Loi actuelle. Toutefois, selon moi, cela n'a malheureusement pas inspiré une très grande confiance aux citoyens et aux consommateurs. Il faudrait outiller le commissariat pour qu'il puisse réaliser ces vérifications proactives. Elles ne devraient pas être tous azimuts et viser à examiner l'ensemble des activités commerciales ou gouvernementales, mais plutôt consister à évaluer le risque et l'environnement pour s'assurer que certaines pratiques susceptibles de causer des problèmes à la population fassent l'objet d'une enquête. Il faudrait également que les préoccupations soient confirmées, auquel cas le commissariat pourrait recommander ou, mieux encore, ordonner des changements ou confirmer que tout a été fait correctement. Si tel était le cas, les citoyens pourraient avoir confiance.

    Tout à fait. Comme vous le savez, la GRC a obtenu des licences de l'entreprise Clearview AI. Je cite votre rapport du 2 février 2021:

    Pouvons-nous parler de négligence ou de manquement pour qualifier l'utilisation des technologies de reconnaissance faciale par la GRC?

     Je ne parlerais pas de négligence. J'ai parlé plus tôt de partenariats public-privé. Le gouvernement et ses institutions font de plus en plus appel, ce qui est normal, aux entreprises privées qui ont développé des technologies pour aider le gouvernement à mettre en œuvre ses programmes. Dans ce cas-ci, il s'agit de la GRC.

    Il est normal qu'une institution gouvernementale fédérale fasse appel au secteur privé, mais, en faisant appel au secteur privé, elle ne devrait pas pouvoir utiliser des données qu'elle ne pourrait recueillir elle-même. On ne peut pas sous-traiter au secteur privé des violations aux lois.

     Dans ce cas-ci, la compagnie avait clairement violé la loi pour le secteur privé, c'est-à-dire la Loi sur la protection des renseignements personnels et les documents électroniques — la LPRPDE. La GRC a fait appel à cette compagnie qui avait violé cette loi.

    Selon nous, l'interprétation raisonnable de la loi pour le secteur public, qui régit la GRC, est que cette dernière aurait dû vérifier la légalité des pratiques de la compagnie qu'elle a engagée à forfait. C'est vrai pour la GRC, mais également pour tous les ministères du gouvernement.

    Tout à fait.

    Merci, monsieur le président.

     C'est maintenant au tour de Mme Collins, qui dispose de six minutes.

    Merci, monsieur le président.

     Je tiens également à remercier M. Therrien pour tout le travail qu'il a accompli. Je me souviens du projet de loi C‑51 du gouvernement Harper en 2015. Je vous suis tellement reconnaissante de vos critiques et de votre engagement à faire respecter le droit à la vie privée des Canadiens. Cela s'est fait de façon continue. Je vous remercie pour votre service.

     Dans votre plan ministériel, vous avez indiqué que votre commissariat examine des changements structurels et opérationnels potentiels. Pouvez-vous décrire les changements que vous envisagez et les répercussions qu'ils pourraient avoir?

    Je serai ravi de le faire.

     Si je me souviens bien, le projet de loi C‑11 a été déposé à l'automne 2020. Le gouvernement a annoncé qu'un autre projet de loi serait déposé en 2022, peut-être avant l'été.

    J'ai pensé qu'il était important que le Commissariat commence à réfléchir à la façon dont il serait organisé pour assumer les nouvelles responsabilités que l'ancien projet de loi C‑11 lui aurait confiées. Nous ne savons pas ce que contiendra le nouveau projet de loi, mais il est possible, bien sûr, qu'il reprenne de nombreux éléments du projet de loi C‑11. L'idée est de prendre de l'avance et de réfléchir à la façon dont nous exercerions ces responsabilités, afin de ne pas être pris au dépourvu si la période de transition après l'adoption du projet de loi est plus courte que nous l'aurions espéré.

    Parmi les responsabilités que le projet de loi C‑11 aurait confiées au Commissariat — et nous pensons qu'il est probable que cela continuera d'être le cas —, figure celle de rendre des ordonnances. Cela pourrait faire l'objet d'un appel devant un tribunal, ce qui nous semble inutile... mais il s'agit tout de même de rendre des ordonnances. Cela nécessiterait, à notre avis, la création d'une direction générale de l'arbitrage composée d'arbitres. À l'heure actuelle, nous avons des enquêteurs qui font des recommandations, mais avec la nouvelle mesure législative qui prévoit le pouvoir de rendre des ordonnances, nous aurions probablement besoin d'avoir des arbitres quelque peu coupés des enquêteurs pour garantir l'équité des processus.

    Voilà un aspect que nous examinons.

    Le projet de loi prévoyait également une fonction d'examen du code de pratique.

    Nous avons examiné tous les nouveaux pouvoirs que le projet de loi C‑11 aurait conférés au Commissariat à la protection de la vie privée, et nous avons réfléchi à la façon dont nous exercerions ces responsabilités.

    Merci beaucoup.

    Vous avez également mentionné qu'en juillet, les ressortissants étrangers auront le même droit que celui dont les Canadiens disposent de demander l'accès à des renseignements personnels.

     Pouvez-vous expliquer en quoi le décret d'extension aura une incidence sur les activités de votre commissariat et dans quelle mesure vous vous attendez à recevoir plus de plaintes?

    J'aurai ensuite quelques questions sur les budgets.

    Je vais commencer par expliquer la loi actuelle.

     La Loi sur la protection des renseignements personnels donne aux citoyens canadiens le droit d'accéder aux renseignements personnels les concernant détenus par le gouvernement. Ce droit n'existe pas pour les ressortissants étrangers, sauf lorsqu'ils passent par des agents canadiens...

    Comme nous n'avons pas beaucoup de temps — nous avons environ une minute —, voulez-vous...

    Brièvement, le gouvernement s'attend à ce qu'il y ait un volume très important de demandes d'accès par des ressortissants étrangers, dont certains sont des immigrants qui veulent connaître leur statut d'immigration, et proportionnellement, il y aura une hausse du nombre de plaintes auprès du Commissariat. Nous pensons que la demande de ressources pour le Commissariat sera importante. Nous avons fait une demande au gouvernement, qui n'a pas été refusée. Elle est en cours d'examen. Nous pensons qu'il est vraiment important de recevoir du financement pour cette activité.

    Vous avez déclaré que vous aviez dit au gouvernement que vous aviez besoin de fonds supplémentaires, mais aucun nouveau financement n'a été accordé.

    Pas encore.

    Le gouvernement a‑t‑il expliqué pourquoi il a refusé d'augmenter le financement de votre commissariat? Avez-vous l'impression que le gouvernement fédéral est à l'écoute des besoins de votre commissariat?

    Pour le décret d'extension, il n'y a pas eu de refus. La demande est toujours à l'étude.

    Et globalement?

    Globalement, je pense que le fait est que nous allons hériter de nombreuses nouvelles responsabilités, d'abord en vertu de ce décret, puis en vertu de nouvelles lois applicables au secteur privé ou au secteur public. C'est pourquoi nous pensons que nous devons augmenter nos ressources de manière significative, probablement les doubler. Quand on regarde du côté des autres autorités de protection des données, c'est généralement la tendance.

     Nous avons bénéficié de certaines hausses de budget de la part du gouvernement, mais il est certain qu'avec de nouvelles responsabilités, nous aurons besoin d'un financement supplémentaire important.

    Vous avez parlé brièvement de l'arriéré et du financement temporaire. Vous attendez-vous à ce qu'il y ait encore des arriérés de plaintes à l'avenir?

    À l'heure actuelle, nous sommes dans une situation où, à moins que nous recevions un financement supplémentaire, oui, nous nous attendons à ce que les arriérés augmentent. Mais je suis optimiste, et avec de nouvelles lois et un nouveau décret d'extension, j'espère certainement que nous aurons des fonds qui nous permettront de traiter ces plaintes en temps opportun.

    Merci.

    Merci.

    Monsieur Williams, vous disposez de cinq minutes.

    Merci, monsieur le président.

    Merci, monsieur Therrien. Je joins ma voix à celle de mes collègues en vous remerciant pour les services rendus.

    Vous avez fait une affirmation fort intéressante dans vos observations préliminaires en indiquant qu'il « n'est ni réaliste ni raisonnable de demander aux individus de consentir à toutes les utilisations possibles de leurs données dans une économie de l'information aussi complexe que celle d'aujourd'hui » en donnant l'exemple de l'intelligence artificielle. Vous avez ajouté que « les technologies perturbatrices présentent des avantages indéniables, mais ce qui n'a pas besoin d'être perturbé, loin s'en faut, c'est l'idée qu'un gouvernement démocratique doit conserver la capacité de protéger les valeurs et les droits fondamentaux de ses citoyens. »

    Nous allons débuter par une étude de cas afin de voir en quelque sorte ce qu'il en est. J'essaie en fait d'établir le lien avec les modifications que nous devrons apporter au projet de loi C-11 lorsqu'il nous reviendra. Vous avez fait hier une déclaration concernant la surveillance de masse des Canadiens au moyen de l'application de Tim Hortons. Les Canadiens qui ont téléchargé cette populaire application ont appris que leurs déplacements étaient suivis, presque à la minute près. Vous avez noté à juste titre que l'entreprise peut ainsi savoir à quel endroit les gens habitent, travaillent et étudient, et même où ils se rendent pour leurs rendez-vous médicaux.

    Quels changements devrions-nous apporter au projet de loi C-11 pour éviter que des Canadiens se retrouvent à nouveau dans une situation semblable?

    Avant de vous donner une réponse plus détaillée, je vous invite à revoir les recommandations principales concernant une nouvelle loi pour le secteur privé qui accompagnait une lettre que j'ai envoyée au Comité dans le cadre de son étude des données sur la mobilité. Il y avait de trois pages de recommandations bien précises. Je vais vous parler uniquement de celles qui sont les plus pertinentes à votre question.

    Lorsqu'il est approprié d'obtenir le consentement — ce qui n'est pas toujours le cas —, il est primordial que ce consentement soit éclairé. Le projet de loi C‑11 supprimerait dans la loi en vigueur l'exigence suivant laquelle les consommateurs doivent pouvoir savoir et comprendre suffisamment de quoi il en retourne pour que leur consentement soit jugé éclairé. J'estime que cette notion de savoir et de compréhension qui est absente du projet de loi C‑11 devrait se retrouver à nouveau dans la loi.

    Le projet de loi C-11 permettrait en outre aux entreprises de définir les fins pour lesquelles elles vont collecter de l'information, et ce, presque sans restriction. Les autres lois établissent des paramètres à cet égard. Les entreprises peuvent seulement recueillir des données pour des finalités qui sont « déterminées, explicites et légitimes ». Ainsi, l'instance réglementaire peut décider si les finalités définies par une entreprise sont effectivement déterminées, explicites et légitimes.

    Le concept de responsabilité est un autre élément important. Il nous semble que ce concept est défini de façon trop large dans le projet de loi C‑11. Il est important que la responsabilité d'une entreprise soit définie en fonction d'une norme objective, c'est‑à‑dire qu'elle soit tenue de mettre en place des mécanismes lui permettant de se conformer à une loi. Le projet de loi C‑11 stipule simplement qu'il suffit à une entreprise de mettre en place des mécanismes pour démontrer qu'elle s'acquitte de ses responsabilités. C'est un critère trop subjectif. La loi doit établir des normes objectives comme des mesures de reddition de comptes et des mécanismes permettant de se conformer à la loi.

    D'une façon générale, la loi ne devrait pas s'en remettre aux normes subjectives définies par les entreprises ou les ministères. La loi devrait définir des normes objectives pouvant être connues des citoyens et des entreprises. Ces dernières sauraient ainsi exactement à quoi s'en tenir. L'instance réglementaire pourrait s'appuyer sur ces normes objectives pour déterminer si l'entreprise s'est acquittée de ses responsabilités conformément à la loi ou si le consentement du consommateur était suffisamment éclairé au vu de sa capacité de savoir et de comprendre de quoi il était question.

    Merci beaucoup. Ces précisions vont grandement nous éclairer dans nos efforts pour que le système soit aussi efficace que possible pour les Canadiens et les entreprises canadiennes.

    Je veux revenir un instant à l'affaire de Tim Hortons. Est‑ce que l'entreprise a cessé ses activités de géolocalisation à la suite de votre intervention?

    L'application de Tim Hortons permettait de suivre chaque jour les déplacements des utilisateurs, presque à la minute près. Je crois que cela montre notamment très bien que la loi en vigueur — en partie en raison de l'absence de sanctions, et aussi parce que le concept de responsabilité n'y est pas défini comme je l'ai suggéré — permet aux entreprises d'utiliser la technologie simplement parce qu'elle existe et parce que cela pourrait leur être utile, et même pour collecter des données qu'elles ne peuvent pas nécessairement utiliser directement.

    Les entreprises qui ont recours à cette technologie devraient être tenues par la loi de bien évaluer les risques d'une telle activité pour la protection de la vie privée, et ne devraient être autorisées à collecter de l'information que dans la mesure où leurs objectifs commerciaux le justifient.

    Merci.

    En toute franchise, j'ai bien de la difficulté à voir comment il pourrait être légitime et justifié pour une entreprise, autre qu'un fournisseur de services téléphoniques, de suivre à la trace ses clients chaque jour, presque à la minute près.

    Merci beaucoup. C'est tout le temps que vous aviez, monsieur Williams.

    Nous passons maintenant à M. Bains pour les cinq prochaines minutes.

    À vous la parole.

    Merci, madame la présidente.

    Merci aux témoins qui sont des nôtres aujourd'hui.

    Dans votre mémoire au ministre de la Justice et procureur général dans le cadre de la consultation publique sur la modernisation de la Loi sur la protection des renseignements personnels, vous avez indiqué que vous étiez en faveur des améliorations à la transparence proposées dans le document de discussion du gouvernement. Des exigences de transparence explicites dans la Loi sur la protection des renseignements personnels renforceraient-elles les principes d'un gouvernement ouvert et de confiance du public envers les institutions gouvernementales?

    Je suis désolé, mais je n'ai pas entendu la question.

    Est‑ce que vous m'entendez bien?

    Oui.

    Je vais la répéter.

    J'ai entendu votre préambule, mais pas la question.

    Est‑ce que des exigences de transparence explicites dans la Loi sur la protection des renseignements personnels renforceraient les principes d'un gouvernement ouvert et de confiance du public envers les institutions gouvernementales? Pouvez-vous nous dire ce que vous en pensez?

    Certainement. La transparence et l'ouverture sont des principes reconnus aux fins de la protection de la vie privée, et leur intégration à la Loi constituerait certes une amélioration.

    Vous indiquez dans votre plan ministériel que vous anticipez des changements législatifs qui conféreront à votre commissariat « de plus grands pouvoirs d'application de la loi » et que vous allez vous préparer en conséquence. Avez-vous entrepris ces préparatifs? Dans l'affirmative, en quoi consistent-ils exactement?

    Nous en sommes à l'étape de l'analyse et de la conceptualisation. Nous n'avons pas encore embauché qui que ce soit parce qu'aucune nouvelle loi n'a été adoptée. J'estime toutefois important de faire le nécessaire pour ne pas être pris au dépourvu et de réfléchir à l'interne à la façon dont nous allons nous y prendre et aux professionnels dont nous aurons besoin pour exercer les nouvelles responsabilités qui pourraient nous incomber, notamment en matière d'arbitrage. Ainsi, dans l'éventualité où l'on adopterait une nouvelle loi renfermant des dispositions similaires à celles du projet de loi C‑11, nous aurions une longueur d'avance et pourrions procéder rapidement à l'embauche de personnel et à l'élaboration des procédures et des politiques requises.

    Nous allons notamment devoir prendre des dispositions concernant la prise d'ordonnances et l'arbitrage. Il faudra sans doute établir des règles de pratique pour ce secteur d'activité étant donné l'impact sur les entités réglementées qui voudront bien sûr que notre évaluation des plaintes soit juste et équitable. Nous avons commencé à réfléchir à la forme que pourrait prendre ce processus d'arbitrage, ce qui nous permettra de consulter les intéressés pour savoir si nous faisons fausse route et ainsi accélérer l'éventuelle adoption de ces règles.

    Merci.

    Avez-vous progressé vers la mise en oeuvre d'une forme améliorée du consentement éclairé et quelles sont vos attentes envers le futur commissaire à cet égard?

    Vous voulez savoir quelles sont mes recommandations concernant le consentement éclairé?

    Oui, le consentement éclairé.

    Si nous parlons du secteur privé, je vous renverrais encore une fois à notre document de deux pages présentant nos recommandations principales. Nous y préconisions principalement la réinsertion dans la loi de l'exigence voulant que le consommateur connaisse et comprenne les fins pour lesquelles ses renseignements personnels vont être utilisés avant de donner son consentement. Cette exigence ne se trouve pas dans le projet de loi C‑11, et je pense que c'est vraiment problématique. Il n'y aurait pas alors consentement éclairé.

    Combien de temps me reste‑t‑il, madame la présidente?

    Vous avez environ une minute.

    La commissaire à l'information a témoigné devant notre comité. En réponse à une question sur les répercussions du travail à distance pour son bureau, elle a dit avoir été ravie et surprise de constater que son personnel avait pu fermer un nombre sans précédent de 6 800 dossiers l'an dernier. Comment les choses se sont-elles passées avec le travail à distance pour le Commissariat à la protection de la vie privée? Vos résultats ont-ils été aussi positifs que ceux du Commissariat à l'information?

    Le travail à distance est efficace. Dès le début de la pandémie, en mars 2020, nous sommes passés à un régime de télétravail. La vaste majorité de nos employés travaillent donc efficacement à distance. Cette période a coïncidé pour nous avec l'expiration des fonds d'un budget spécial visant à diminuer notre arriéré de plaintes. Nous avons presque éliminé cet arriéré. Il a recommencé à augmenter légèrement, mais nous sommes toujours dans l'ensemble en assez bonne posture.

    Merci beaucoup.

    Merci, monsieur Bains.

     Monsieur Lemire, pourriez-vous commencer, s'il vous plaît?

    Merci, madame la présidente.

    Je vous remercie également d'avoir fait un effort pour parler en français.

    Monsieur Therrien, durant l'hiver et le printemps de 2022, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique a mené une étude sur la collecte et l'utilisation de données sur la mobilité par le gouvernement fédéral. À la suite de vos réponses écrites aux questions des membres de ce comité et du rapport qui s'en est suivi, à quel point est-il urgent que le Parlement entreprenne un examen ou une révision législative des lois fédérales en matière de renseignements personnels?

    Pensons notamment à la Loi sur la protection des renseignements personnels et les documents électroniques. On sait que le ministre Champagne devait déposer, cet hiver, une réforme de la Loi.

    C'est pour le moins urgent et cela aurait dû être fait il y a un certain temps. Je pense que le gouvernement sait qu'il y a un problème de confiance dans l'économie numérique. C'est pourquoi le projet de loi C‑11 avait été déposé à l'époque. Nous avions certaines réserves quant au contenu du projet de loi.

    Dans le secteur public, la Loi a 40 ans, tandis qu'elle a environ 20 ans dans le secteur privé, et elle précède de cinq ans la création de Facebook. Le monde a complètement changé depuis l'adoption de ces lois et il est évident qu'elles doivent être modifiées urgemment.

    C'est fascinant, en effet.

    Monsieur Therrien, y a-t-il des moments au cours de votre mandat où vous avez été témoin d'actions que le gouvernement a posées, ou même d'inactions, qui ont eu des conséquences sur la vie privée des Canadiens et des Canadiennes?

    Avez-vous été témoin de moments où on aurait donné la priorité à l'intérêt politique plutôt qu'à l'intérêt commun?

    Le fait que nous n'ayons pas de lois adaptées aux technologies de la quatrième révolution industrielle du début du XXI^e siècle crée en soi un environnement qui donne lieu non seulement à des risques potentiels, comme je le disais, mais à de réels préjudices pour les individus.

    Est-ce que la situation relative à l'application de Tim Hortons se serait quand même produite si les lois avaient été modernisées? Peut-être, mais les chances auraient été bien moindres. Est-ce que le problème chez Clearview AI se serait produit si les lois avaient été adaptées aux technologies modernes? Encore une fois, les chances auraient été bien moindres. La réglementation ne pourra pas tout régler, mais une loi forte, appliquée de façon rigoureuse, et parfois avec des sanctions, est un incitatif à respecter la loi pour l'ensemble des acteurs, des ministères et des compagnies. Manifestement, le retard du Canada dans l'adoption de lois modernes a donné lieu à des situations qui ont causé des préjudices aux Canadiens.

    Il y a certainement un danger à ne pas agir.

    Merci, monsieur Lemire.

    Nous passons maintenant à Mme Collins pour une période de deux minutes et demie.

    À vous la parole.

    Merci, madame la présidente.

    Selon l'indicateur de résultat pour le plus récent exercice financier que l'on trouve dans votre plan ministériel, seulement 45 % des Canadiens croient que les entreprises respectent leur droit à la vie privée.

    D'après vous, pourquoi cette proportion est-elle si peu élevée? La cible est fixée à 90 % pour cet indicateur. Quelles mesures doivent être prises pour atteindre cet objectif? Croyez-vous qu'il est possible de l'atteindre en respectant l'échéancier de mars 2023?

    Probablement pas d'ici mars 2023.

    Est‑ce réaliste de penser que l'on peut en arriver à une proportion de 90 % de Canadiens qui estiment que leurs données sont adéquatement protégées par les entreprises et par le gouvernement? Je pense que oui. Combien de temps cela pourrait‑il prendre...

    Quelles mesures devraient être prises pour atteindre cette cible?

    Je pense qu'il faudra toute une série de mesures. Il faut d'abord une loi qui protège véritablement la vie privée des citoyens et des consommateurs. C'est le point de départ essentiel. Comme je le disais, il faut également que l'instance réglementaire dispose de ressources suffisantes. J'indiquais à ce propos que notre budget devra être doublé pour nous permettre d'assurer l'application des nouvelles lois qui entreront en vigueur. Il faudra en outre que l'on retrouve dans ces lois des mesures incitant les entreprises et les ministères à s'y conformer. C'est l'une des lacunes principales de notre régime actuel.

    Ces technologies existent. Elles ont un pouvoir d'attraction et...

    Je suis désolée de devoir vous interrompre, mais nous disposons vraiment de très peu de temps.

    Vous avez aussi mentionné dans vos observations préliminaires la nécessité de mener des audits proactifs indépendants.

    Pouvez-vous nous expliquer pourquoi de tels audits sont essentiels et en quoi ils pourraient améliorer le travail de votre commissariat?

    Étant donné que les technologies actuellement utilisées font en sorte qu'il est impossible pour la personne de savoir et de comprendre comment ses données sont collectées et utilisées, il est nécessaire qu'une tierce partie indépendante comme notre commissariat puisse examiner la situation de plus près en menant des audits proactifs. C'est ainsi que nous pourrons rehausser le niveau de confiance. Nous ne pouvons pas nous contenter d'attendre les plaintes des consommateurs pour détecter les situations problématiques.

    Merci beaucoup, madame Collins.

    Nous passons à M. Bezan pour une période de cinq minutes.

    À vous la parole, monsieur Bezan.

    Merci, madame la présidente.

    Je tiens à féliciter et à remercier M. Therrien pour sa très brillante carrière et les services qu'il a rendus au Parlement et à l'ensemble des Canadiens dans le cadre de son important mandat à titre de commissaire.

    Vous avez dit dans vos observations préliminaires qu'il ne peut pas y avoir d'innovation sans confiance, et qu'il ne peut y avoir de confiance sans la protection des droits. Vous avez parlé de l'industrie et des différents intervenants. Vous avez aussi indiqué qu'il est dans l'intérêt du Canada de disposer de lois interopérables.

    Comme vous l'avez exprimé fort éloquemment, il nous incombe en notre qualité de législateurs au sein de ce comité, à la Chambre des communes et au Sénat d'élaborer ces nouvelles lois. Quel est l'étalon or dont nous devrions nous inspirer pour assurer l'interopérabilité avec les autres pays de telle sorte que nos entreprises et nos industries soient concurrentielles, et que le droit à la vie privée soit protégé pour tous les Canadiens?

    J'hésite à parler d'un étalon or. Si vous posez la question, bien des gens vous répondront que l'étalon or devrait être le Règlement général sur la protection des données (RGPD) de l'Union européenne. C'est assurément un excellent exemple à suivre. Il y a des similitudes entre les réformes législatives que nous recommandons et les dispositions du RGPD. D'autres pays ont adopté des lois qui vont dans le même sens, même si elles ne sont pas totalement identiques.

    Je ne suis pas en train de dire que le Canada devrait adopter une copie conforme du RGPD, mais on trouve dans ce règlement des éléments tout à fait judicieux comme le fait qu'il soit fondé sur les droits, les audits proactifs et les normes objectives. Soit dit en passant, on qualifie parfois, et même assez souvent, le RGPD de « prescriptif », en ce sens que ses règles trop précises et détaillées nuisent aux activités commerciales. Cela le distingue des lois canadiennes qui sont fondées sur les principes, comme c'est le cas pour la LPRPDE.

    Je pense que l'on fait fausse route en affirmant qu'une loi basée sur les droits est forcément prescriptive. Il est préférable pour le Canada d'avoir une loi fondée sur des principes. Dans le secteur technologique, il est tout à fait logique de vouloir compter sur des lois applicables à l'ensemble des technologies et des industries. De la même manière, une loi basée sur les droits protège les citoyens au moyen de règles dont le niveau de généralité est le même que celles d'une loi fondée sur des principes. Par conséquent, les deux types de loi sont tout aussi souples et adaptables à la réalité du monde numérique, ce qui est absolument primordial.

    Parallèlement à ce monde numérique avec lequel nous devons composer, nous devons aussi travailler à l'intérieur des cadres d'une confédération. Comme nous le savons, ce sont en définitive les provinces qui réglementent la majorité des entreprises et des industries, notamment du point de vue de la protection de la vie privée, comme nous avons pu le constater récemment avec l'enquête sur l'application de Tim Hortons que vous avez menée avec vos homologues provinciaux.

    Est‑ce que des provinces s'apprêtent à adopter de nouvelles lois dont nous devrions nous inspirer ou est‑ce au gouvernement fédéral à montrer la voie à suivre en laissant les provinces s'adapter à ses lois? Comme vous le disiez, ces lois devraient être fondées sur des principes de manière à permettre l'innovation en ne créant pas trop de tracasseries administratives pouvant entraver l'essor de nos entreprises.

    À l'heure actuelle, la loi la plus moderne est celle du Québec qui est également basée sur les droits. D'aucuns la jugent trop prescriptive à certains égards, et notamment quant au traitement des transferts transfrontaliers de données. C'est peut-être là une critique justifiée, mais il n'en demeure pas moins que de nombreux éléments de cette loi récemment adoptée par le Québec sont à prendre en considération.

    Pour sa part, l'Ontario n'a pas adopté de nouvelle loi, mais a publié des documents de consultation très détaillés et réfléchis portant sur les moyens à prendre pour réglementer le secteur privé. C'est un outil qui peut également être précieux. La Colombie-Britannique a mandaté un comité parlementaire qui a produit un rapport dans le même sens. Ces trois gouvernements provinciaux préconisent des lois fondées sur les droits.

    Merci pour ces précisions.

    J'aurais une dernière question — car j'ai bien l'impression qu'il me reste peu de temps, madame la présidente — concernant l'enquête que vous avez menée au sujet de Tim Hortons. Pouvez-vous nous dire brièvement comment vous pouvez vous assurer que toutes les données collectées ont été définitivement expurgées de la base de données de l'entreprise?

    J'aimerais aussi savoir s'il y a, à votre connaissance, d'autres enquêtes en cours sur des entreprises ayant des applications permettant de collecter des données sur la mobilité des Canadiens.

    C'est tout le temps que vous aviez, monsieur Bezan, mais je vais demander à M. Therrien s'il souhaite répondre brièvement.

    Les gens de Tim Hortons se sont engagés à supprimer ces données. Si nous avons des motifs de croire qu'ils ne le font pas, nous disposons de moyens technologiques nous permettant de nous en assurer.

    Il n'y a pas actuellement d'autres enquêtes relevant de nos services pour des affaires de géolocalisation. Nous espérons que les autres entreprises sauront tirer des leçons de ce qui est arrivé avec Tim Hortons

    Merci.

    Merci beaucoup.

    Nous passons maintenant à Mme Saks pour les cinq prochaines minutes.

    À vous la parole, madame Saks.

    Merci, madame la présidente.

    Merci, monsieur Therrien.

    Nous avons déjà pu discuter avec vous ici même de la notion de données dépersonnalisées dans le contexte de l'Agence de la santé publique du Canada. J'aimerais que vous puissiez faire le point brièvement avec nous sur l'enquête que vous menez à ce sujet.

    Cette enquête est toujours en cours.

    D'accord. On n'en a donc pas encore tiré de conclusions?

    Non.

    Cela m'amène à la question plus générale de l'état de la situation actuelle. Étant donné que vous avez exprimé votre soutien à l'innovation tout en tenant compte de son applicabilité en matière de protection de la vie privée, et étant donné que les données sur la mobilité peuvent améliorer tellement de choses, de la gestion de la santé publique à l'emplacement des magasins — et Google sait où nous faisons tous notre épicerie chaque semaine — en passant par les mesures de protection de la vie privée connexes nécessaires pour soutenir l'innovation, êtes-vous pour l'établissement d'une norme liée à la dépersonnalisation des données? Nous avons entendu parler ici, par exemple, de la protection de la vie privée dès la conception. Êtes-vous pour l'établissement d'un ensemble de normes à cet égard?

    Oui, si l'on veille à tenir compte de l'évolution de la technologie. Par exemple, une norme qui serait adéquate en 2022 pourrait ne plus l'être en 2028. Il faudrait donc réévaluer les normes en fonction de la technologie. En effet, il y aura peut-être, en 2028, une technologie qui facilitera grandement la réidentification des données, par exemple, et il faudra donc adapter la norme en conséquence. Mais il est certainement approprié d'envisager d'établir des normes à cet égard.

    J'aimerais maintenant aborder une autre question.

    Nous vivons à une époque... J'ai ici une stagiaire de l'Ukraine dans le cadre du Programme de stages parlementaires. Sur son téléphone, elle m'a montré son passeport numérique avec son code de passeport et ses documents essentiels, y compris son certificat de naissance et d'autres pièces d'identité importantes auxquelles elle peut avoir accès, ce qui lui est très utile, puisqu'elle vient d'un pays déchiré par la guerre et que les documents peuvent se perdre, etc.

    La notion de pièces d'identité numériques et la possibilité d'y avoir accès suscitent un grand intérêt. Pourriez-vous expliquer comment une telle technologie pourrait potentiellement renforcer la protection de la vie privée? Les Canadiens ont des questions sur la façon dont tout cela pourrait fonctionner.

    Les pièces d'identité numériques, comme toutes les technologies, peuvent être utiles et protéger la vie privée ou au contraire nuire à la protection de la vie privée, selon leur conception. Il est certainement concevable que les pièces d'identification numériques puissent améliorer les processus de vérification et d'authentification, ce qui permettrait aux citoyens d'avoir accès aux services.

    Il est certainement concevable que les pièces d'identification numériques offrent une meilleure protection de la vie privée que les numéros d'assurance sociale et les moyens archaïques dont nous disposons actuellement pour nous identifier. Tout dépend de la manière dont la technologie serait conçue. Il est certainement possible que les pièces d'identification numériques mettent les données à la disposition de nombreux intervenants, qu'il s'agisse d'entreprises ou de gouvernements, qui ne devraient pas avoir accès à toutes ces données, mais il serait aussi possible de les concevoir autrement. Par exemple, on pourrait les concevoir de façon à ce qu'elles permettent l'authentification, ce qui serait la première partie du processus, et on pourrait ensuite contrôler adéquatement les personnes qui, dans un ministère ou une entreprise, ont accès à certains renseignements parce qu'elles en ont un besoin légitime.

    Je vous remercie de votre réponse.

    Dans le contexte canadien dans lequel nous nous trouvons — et manifestement, il y a aussi la question de la compétence — , certaines de nos pièces d'identité comme le permis de conduire et la carte d'assurance-maladie — la mienne est de l'Ontario — relèvent de la compétence provinciale, mais en même temps, nous avons des numéros d'assurance sociale et des numéros de passeport qui relèvent de la compétence fédérale. Pensez-vous qu'à titre de parlementaires, nous devrions nous pencher sérieusement sur la façon dont nous pouvons servir au mieux les Canadiens tout en protégeant leur vie privée et en leur permettant de se déplacer dans cet espace numérique avec facilité, ainsi qu'en toute sécurité?

    Oui. Je pense que les pièces d'identification numériques représentent certainement un enjeu qui a le potentiel d'améliorer l'accès aux services d'une manière qui protège la vie privée. Il est donc important de les concevoir correctement. C'est certainement une question qui mérite d'être approfondie.

    Avez-vous observé des pratiques exemplaires dans d'autres pays? J'ai donné l'exemple de l'Ukraine, mais avez-vous vu d'autres exemples?

    On cite souvent l'exemple de l'Estonie, mais c'est un très petit pays avec une très petite population. Mais c'est un modèle, et au besoin, mon bureau pourrait fournir d'autres exemples, si vous le souhaitez.

    J'aimerais beaucoup obtenir une sorte de résumé écrit des pratiques exemplaires utilisées à l'échelle internationale. Je vous remercie.

    Certainement.

    Je crois que mon temps est écoulé. Je vous remercie.

    Je vous remercie beaucoup, madame Saks.

    Je vous remercie, monsieur Therrien.

    J'aimerais informer les membres du Comité qu'il nous reste quelques minutes avant de nous réunir à huis clos pour les travaux du Comité. Si des membres du Comité souhaitent poser de brèves questions, ils n'ont qu'à me le faire savoir.

    J'ai une question, si vous le permettez.

    D'accord. Nous suivrons donc l'ordre établi. Je vais vous donner la parole, puis je la donnerai ensuite aux libéraux, au Bloc et enfin au NPD.

    Vous avez la parole, monsieur Kurek.

    Certainement. Je vous remercie.

    Je vous remercie, monsieur le commissaire. J'espère que c'était une bonne façon de terminer votre service distingué avec nous.

    Dans votre déclaration préliminaire, vous avez parlé de Statistique Canada. J'aimerais vous donner l'occasion d'aborder un peu plus en détail certaines de vos préoccupations concernant les renseignements financiers et certains autres renseignements sur les Canadiens que Statistique Canada aurait pu obtenir.

    Statistique Canada est un bon exemple pour illustrer ma réponse à la question de Mme Saks, c'est‑à‑dire que la principale modification à apporter à la loi qui régit le secteur public consisterait à établir un critère de nécessité et de proportionnalité en vue de limiter la collecte de renseignements par les institutions gouvernementales.

    Statistique Canada s'était fixé l'objectif louable de mieux comprendre certains problèmes éprouvés par les personnes démunies qui tentaient d'avoir accès aux programmes, et a donc entrepris d'obtenir des rapports financiers extrêmement détaillés — en fait, ligne par ligne — auprès des banques et des institutions financières, afin de mieux comprendre les citoyens et de leur donner accès à de meilleurs services. À notre avis, cet examen très approfondi des dossiers financiers n'était pas proportionnel et pas nécessaire. Nous n'avons pas dit que l'objectif n'était pas louable et légitime, mais cette institution gouvernementale avait tout simplement obtenu trop de renseignements. Nous collaborons depuis ce temps‑là avec Statistique Canada pour aider cet organisme à améliorer ses systèmes, mais je pense que la principale leçon à tirer de cette expérience, c'est qu'il est essentiel que le critère de nécessité et de proportionnalité soit intégré à toute future loi sur le secteur public.

    Merci beaucoup, monsieur Kurek.

    Si les membres du Comité n'y voient pas d'inconvénient, je vais poser une très brève question au nom du président.

    Monsieur Therrien, compte tenu de votre expérience dans ce domaine, auriez-vous des recommandations à formuler à l'intention d'un futur commissaire à la protection de la vie privée sur la façon de mieux travailler avec le gouvernement et de s'attaquer aux enjeux liés à l'incidence de la gouvernance numérique et de la technologie sur la vie privée des Canadiens? De plus, avez-vous des conseils à donner aux Canadiens sur la façon dont ils peuvent protéger, de manière proactive, leur propre vie privée dans cet espace numérique?

    En fait, au cours de mon mandat pour le CPVP, j'ai entamé un certain nombre d'activités, non seulement pour enquêter sur les violations après coup, mais aussi pour donner des conseils aux entreprises et aux ministères qui élaborent des programmes pour s'assurer que ces programmes sont conformes à la loi.

    Nous avons déjà lancé plusieurs activités de mobilisation avec les ministères, où elles sont de plus en plus populaires. J'encourage donc le nouveau commissaire à poursuivre dans cette voie. Manifestement, il est incontestablement préférable de penser à la protection de la vie privée — et cela revient à la notion de la protection de la vie privée dès la conception — au début de l'élaboration d'un programme ou d'une initiative plutôt qu'à la fin. Nous avons donc entamé certaines discussions sur ces questions et nous encourageons la tenue d'autres discussions.

    Soit dit en passant, ces discussions permettront — nous l'espérons — au gouvernement d'acquérir une meilleure connaissance des principes de protection de la vie privée. De notre côté, ces discussions fournissent une assise plus solide pour les réalités opérationnelles dans lesquelles nos principes de protection de la vie privée doivent être mis en œuvre. Il s'agit donc d'une discussion bidirectionnelle fructueuse et utile. Je ne dis pas qu'elle est toujours aussi fructueuse et utile, mais il pourrait s'agir d'une amélioration à apporter. Nous devrions poursuivre ces discussions pour nous assurer qu'il y a un véritable dialogue entre les entités réglementées qui travaillent avec nous, et pour bien connaître le contexte dans lequel les ministères mènent leurs activités.

    En ce qui concerne les Canadiens, je leur conseillerais de rester vigilants. Dans l'ensemble, je pense qu'étant donnée la complexité des nouvelles technologies et des nouveaux modèles d'affaires, je ne m'attends pas à ce que les gens lisent des politiques de confidentialité de 50 pages pour protéger leur vie privée. C'est la raison pour laquelle un organisme de réglementation ne représente pas une panacée, mais cela reste une entité fondamentale et essentielle. Cet organisme ne résoudra pas le problème à lui seul, mais il est vraiment important que les citoyens disposent d'un organisme expert comme le CPVP pour défendre leurs intérêts, les soutenir et les protéger.

    Oui, certaines mesures peuvent être prises, mais de nos jours, la mesure dans laquelle les gens peuvent réellement protéger leur vie privée est grandement limitée.

    Je vous remercie beaucoup.

    La parole est maintenant à monsieur Lemire.

     Je vous remercie, madame la présidente.

    Monsieur Therrien, j'espère que vous allez demeurer actif et continuer de servir l'intérêt public, peut-être à titre de professeur, qui sait? Enfin, je souhaiterais voir la suite.

    En terminant, j'aimerais vous entendre concernant l'intégrité qu'exige votre mandat de commissaire à la protection de la vie privée. J'aimerais donc vous poser très directement la question suivante.

    Qu'aimeriez-vous ajouter aujourd'hui à tout ce qui a déjà été dit?

    Je pense que le niveau de compréhension et de connaissances sur la question de la vie privée dans la population est meilleur maintenant qu'il l'était il y a huit ans. C'est l'une des choses dont je suis assez fier. Je ne prétends pas que les gens sont des experts en vie privée, loin de là, mais la vie privée, auparavant, était souvent vue comme une question qui intéressait les experts, les technologues ou les gens qui ne sont peut-être pas, tout à fait, sur Terre. Maintenant, nous voyons que la vie privée est reliée à l'exercice de droits fondamentaux: la démocratie, dans le cas de Cambridge Analytica, la surveillance, dans le cas de Clearview AI et de Tim Hortons, etc.

    La vie privée est importante, et je crois que les gens la comprennent mieux. C'est un peu confus, mais les gens ont une meilleure compréhension. Cela peut amener certains changements de comportement dans la population. J'espère que cela va surtout amener les gens à presser davantage les élus d'adopter les lois requises pour les protéger.

    Je pense qu'aucun consommateur ne réclame le droit d'avoir plus de politiques de vie privée à lire pour être capable de donner son consentement. Je crois que les citoyens veulent participer à l'économie numérique et recevoir des services numériques du gouvernement de façon sécuritaire, en sachant que des lois ont été adoptées pour les protéger et que des instances publiques ont été nommées pour s'assurer du respect de leurs droits.

     Ce n'est pas banal.

    Merci beaucoup.

    Je vous remercie beaucoup.

    Enfin, nous entendrons Mme Collins. Vous avez la parole.

    Je vous remercie encore une fois.

    Si vous réfléchissez aux huit dernières années, quel est, selon vous, le plus grand défi que vous avez eu à relever, et quels conseils donneriez-vous aux députés pour qu'ils puissent bien soutenir le prochain commissaire à la protection de la vie privée?

    Je pense que le plus grand défi est l'attrait des nouvelles technologies. En effet, elles peuvent être très utiles à la société et aux entreprises. Certaines entreprises sont d'ailleurs devenues extrêmement prospères. Elles fournissent des services très utiles, mais puisque les nouvelles technologies sont attrayantes et peu coûteuses à utiliser, nous oublions souvent qu'elles causent aussi des préjudices. Il est essentiel que les lois et la manière dont elles sont appliquées continuent à favoriser l'innovation responsable, mais il faut également réintroduire l'idée selon laquelle ce ne doit pas être un espace où règne l'anarchie, et que l'Internet est loin d'être un espace non réglementé. Cet espace doit être correctement réglementé, mais il doit l'être de manière à ce que — et j'insiste là‑dessus — les droits que nous avons acquis au fil des années, voire des siècles, comme la protection de la vie privée, ne soient pas mis de côté parce que la technologie est si facile à utiliser, en plus d'être attrayante et rentable.

    Je vous remercie beaucoup.

    J'aimerais maintenant profiter de l'occasion pour vous remercier, monsieur Therrien, de votre travail et je vous remercie également d'avoir comparu aujourd'hui pour répondre à nos questions. Au nom du Comité, je vous offre mes meilleurs vœux.

    Monsieur Williams, je vois que vous avez la main levée.

    Madame la présidente, j'aimerais seulement poser une petite question, si vous me le permettez, puisque M. Therrien est ici pour la dernière fois.

    Si vous posez votre question en 30 secondes ou moins, nous permettrons à M. Therrien d'y répondre brièvement. Vous avez la parole.

    Je vous remercie beaucoup.

    Monsieur Therrien, j'aimerais vous poser une question sur les exceptions au consentement. Le projet de loi C‑11 mentionne certaines exceptions au consentement, et vous avez parlé des entreprises de télécommunications. Quels autres exemples d'exemptions avez-vous vus pour ceux qui tentent d'obtenir un consentement dans le cadre du projet de loi C‑11?

    Nous avons abordé cette question de façon approfondie dans notre mémoire sur le projet de loi C‑11.

    Je dirais qu'un cas qui me vient à l'esprit concernerait la recherche, par exemple. Plus tôt dans la conversation, on a aussi parlé de la santé. La recherche à des fins de santé pourrait obtenir, selon certains paramètres, une exception au consentement. Le projet de loi C‑11 prévoyait des exceptions au consentement qui avaient une portée beaucoup trop vaste, mais comme je l'ai dit, le consentement n'est pas une solution universelle. Il est donc normal qu'il y ait des exceptions au consentement.

    Je vous remercie beaucoup.

    Je vous remercie, monsieur.

    Je vous remercie beaucoup, madame la présidente. Je vous suis très reconnaissant.

    Merci encore, monsieur Therrien.

    Nous allons maintenant suspendre la séance pendant environ cinq minutes afin de nous réunir à huis clos pour les travaux du Comité.

    [La séance se poursuit à huis clos.]