ETHI Réunion de comité

    La séance est ouverte.

    Bienvenue à toutes et à tous. Je suis ravi de vous voir. Il s'agit de la 29^e séance du Comité. Nous poursuivons notre étude en vue de la réforme de la Loi sur la protection des renseignements personnels.

    Nous recevons seulement deux témoins aujourd'hui. Nous avons perdu un témoin, malheureusement, et nous espérons que tout se passera bien. Nous sommes tout de même heureux d'accueillir M. Michael Karanicolas, conseiller juridique principal, Centre for Law and Democracy; et M. Vincent Gogolek — les membres du Comité le connaissent —, directeur général de la B.C. Freedom of Information and Privacy Association.

    Chers amis, normalement, les témoins présentent des exposés d'environ 10 minutes, puis nous passons à la période de questions. Nous tentons de faire en sorte que tous les députés aient l'occasion de poser des questions, et nous les encourageons à le faire.

    Michael, êtes-vous prêt? Est-ce que cela vous convient?

    Certainement.

    Je suis habituellement l'ordre que nous avons ici, et votre nom est le premier. Je crois que c'est la première fois que vous comparaissez devant le Comité. Nous vous souhaitons la bienvenue. Nous avons hâte d'entendre votre exposé et de discuter avec vous.

    La parole est à vous, monsieur.

    Merci beaucoup pour l'invitation.

    Je vais d'abord vous donner un peu d'information à propos de mon organisation. Le Centre for Law and Democracy est une ONG d'Halifax qui oeuvre à la promotion des droits fondamentaux à l'égard de la démocratie. Nous menons surtout des activités à l'échelle internationale, mais nous sommes une organisation canadienne et nous travaillons aussi ici.

    Nous nous intéressons principalement à la liberté d'expression, mais depuis les dernières années, notre travail nous mène de plus en plus vers la défense de la vie privée, car il y a un consensus croissant que la vie privée a une importance plus vaste relativement à la liberté d'expression. Le Rapporteur spécial de l'ONU sur la liberté d'expression l'a souligné en 2013, de même que le Haut-Commissariat des Nations unies aux droits de l'homme, dans son rapport de 2014.

    Bien sûr, le doit à la vie privée est en soi un droit de la personne reconnu à l'échelle internationale et protégé par l'article 12 de la Déclaration universelle des droits de l'homme, ainsi que par le Pacte international relatif aux droits civils et politiques, que le Canada a ratifié.

    Je vais ajouter que la valeur d'un droit comme le droit à la vie privée doit être considérée d'un point de vue global, et non dans l'optique de sa perception personnelle de la vie privée. Trop souvent, dans nos activités de défense des droits, nous entendons des déclarations comme: « Personnellement, ma vie privée ou l'intégrité de mes renseignements personnels ne me préoccupent pas tellement. Je ne suis pas une personne très privée. Comme je n'ai pas grand-chose à cacher, je ne vois pas l'importance de ces questions. » À mon sens, cette façon de penser équivaut à une personne qui dirait que puisqu'elle n'est pas religieuse, elle ne voit pas le besoin de protéger la liberté de religion. Tout le monde profite des avantages sociaux généraux que donne un droit à la vie privée solide et bien protégé.

    Par rapport aux recommandations qui font l'objet de la discussion actuelle, nous appuyons généralement les propositions du CPVP. Par souci de concision, je n'entrerai pas dans les détails pour chacune des recommandations; nous soutenons toutes celles que je ne mentionnerai pas.

    Pour commencer, nous appuyons fortement le besoin de préciser les exigences concernant les ententes de communication d'information visées par les alinéas 8(2)a) et 8(2)f) de la Loi sur la protection des renseignements personnels. Il y a une tendance mondiale chez les gouvernements, y compris chez nos voisins du Sud, d'adopter des stratégies en matière de vie privée qui offrent une certaine protection à ses propres citoyens, mais pas aux étrangers. Dans ce contexte, les Canadiens doivent compter sur leur gouvernement pour qu'il protège leurs droits à la vie privée dans des situations qui concernent des acteurs externes.

    La précision, la transparence et un contrôle rigoureux sont des ingrédients clés de la protection, et les recommandations du CPVP représentent un pas nécessaire dans la bonne direction. En fait, nous irions plus loin que les recommandations du CPVP. Selon nous, ces ententes devraient être publiques et elles devraient fixer des limites précises par rapport aux fins auxquelles les communications sont autorisées. En outre, il devrait y avoir un processus de divulgation quand les conditions ne sont pas respectées et des recours efficaces pour les personnes touchées.

    Ensuite, le CLD appuie la recommandation selon laquelle on ne devrait permettre la collecte de renseignements personnels que lorsqu'elle est explicitement nécessaire. Il n'est pas seulement question ici de tenter d'éviter les atteintes à la protection des renseignements personnels qui peuvent se produire durant la collecte et le traitement des renseignements. La collecte excessive amplifie la menace à la sécurité des données puisque la facilité avec laquelle les organismes publics peuvent stocker d'immenses quantités de renseignements peut attirer davantage de pirates informatiques. Les spécialistes en sécurité informatique soutiennent depuis longtemps que la minimisation des données compte parmi les mesures les plus importantes de protection des renseignements personnels.

    L'an dernier, lorsque des pirates informatiques ont lancé une attaque catastrophique contre le Bureau de la gestion du personnel des États-Unis et qu'ils ont rendu publics, notamment, les résultats de la vérification des antécédents de millions d'employés, actuels et anciens, une des grandes questions que les spécialistes en sécurité informatique ont posées, c'était: « Pourquoi, mais pourquoi stockait-on toutes ces données? ». Il n'existe pas de système de sécurité parfait, mais en gérant et en limitant la quantité de données conservées, un organisme peut atténuer de manière proactive les dommages causés par une brèche éventuelle.

    Accroître la capacité du commissaire à communiquer des renseignements à ses homologues aux échelles nationale et internationale est aussi une bonne idée, surtout compte tenu du dynamisme de la circulation mondiale de l'information. Internet ébranle les définitions traditionnelles des frontières et des territoires, ce qui rend difficile la protection des droits en ligne. Lorsque le profil Ashley Madison d'un homme d'Arabie saoudite, pays où l'adultère est un acte criminel, est rendu public en raison des mesures de protection inadéquates de l'entreprise, quel recours a-t-il? C'est sans parler des presque 1 300 utilisateurs d'Ashley Madison qui se sont inscrits au service en indiquant qu'ils étaient homosexuels et dont les données d'ouverture de session provenaient de pays où l'homosexualité est un crime.

    Les fuites de ce genre ont des conséquences très graves à l'échelle internationale. Il n'y a pas de frontières sur Internet, et tout organisme qui cherche à protéger les droits des Canadiens en ligne doit collaborer avec les autres pays.

    Le CLD appuie l'idée de renforcer les exigences en matière de rapports de transparence imposées aux institutions gouvernementales. Toutefois, au lieu d'intégrer des normes précises dans la loi, nous pensons qu'il serait préférable que la portée des exigences soit à la discrétion du commissaire à la protection de la vie privée ou de la commissaire à l'information, et qu'elle soit définie dans leurs règlements. Ainsi, on pourrait traiter les nouvelles questions à mesure qu'elles apparaîtraient, sans avoir à réformer la loi.

    Il y a deux recommandations que nous n'approuvons pas. La première concerne l'exception relative aux renseignements personnels prévue par la Loi sur l'accès à l'information. Le Commissariat à l'information soutient qu'il faudrait la limiter afin qu'elle s'applique uniquement aux renseignements personnels dont la communication représenterait une atteinte injustifiée à la vie privée. Ce changement transformerait l'exception objective actuelle relative aux renseignements personnels en exception subjective, conformément aux pratiques exemplaires internationales.

    Le CPVP s'oppose à la modification de la définition proposée par le CI. Pour sa part, le CLD appuie fortement la recommandation du CI de limiter la définition, pour deux raisons.

    Premièrement, il y a des quantités énormes de renseignements personnels qui ne sont pas confidentiels — par exemple, les renseignements qui sont déjà facilement accessibles par tous —; conséquemment, leur communication ne causerait aucun préjudice matériel. Un critère de préjudice — c'est ce que nous recommandons — préciserait que dans de tels cas, il faudrait toujours communiquer les renseignements. Un critère de ce genre permet d'éviter les retards indus dans le traitement des demandes, et c'est une caractéristique centrale d'une bonne loi sur l'accès à l'information.

    Deuxièmement, le CPVP préconise l'adoption d'une formule qui fait pencher la balance en faveur de la vie privée en exigeant qu'on démontre, pour que les renseignements soient communiqués, que l'intérêt public justifiant la communication dépasse clairement l'intérêt privé. Cette approche est erronée. Le droit à l'information est un droit de la personne généralement reconnu à l'échelle internationale; c'est aussi un droit constitutionnel limité et dérivé. Il devrait avoir le même poids que le droit à la vie privée.

    Pour ce qui concerne le pouvoir de rendre des ordonnances, le CLD ne s'oppose pas nécessairement à l'idée. En même temps, l'argument selon lequel il faudrait conférer le pouvoir de rendre des ordonnances au commissaire à la protection de la vie privée pour qu'il y ait parité avec la commissaire à l'information n'est pas vraiment convaincant. Il existe des différences importantes entre les deux organismes. La différence principale, c'est que le CI procède presque exclusivement à des examens d'organismes publics, tandis que le CPVP est chargé de surveiller tant les organismes publics que privés.

    C'est un facteur important à prendre en considération lorsqu'on parle de donner un plus gros bâton au commissariat. Il intensifie les questions relatives à l'équité procédurale et aux enquêtes. Le CPVP a lui-même reconnu que c'était là un défi.

    Il faut aussi se demander ce qui arriverait à la collaboration et aux relations avec les défendeurs du secteur privé. Y aurait-il des répercussions sur la capacité du CPVP d'en arriver à des règlements informels? Si le CPVP avait des pouvoirs accrus, les acteurs du secteur privé avec lesquels il communiquerait pour procéder à des enquêtes se mettraient-ils sur la défensive et embaucheraient-ils un avocat?

    Encore une fois, je n'essaie pas de dire que nous nous opposons au pouvoir de rendre des ordonnances. D'après moi, il faut se poser deux questions fondamentales. Premièrement, le pouvoir de rendre des ordonnances est-il nécessaire pour obliger le respect des recommandations émises? Deuxièmement, permettra-t-il au CPVP de jouer plus efficacement son rôle de surveillance? Aussi, motivera-t-il plus les organismes à suivre les recommandations du CPVP? Ce pouvoir renforcera-t-il le commissariat ou prolongera-t-il encore plus le processus en mettant les entreprises sur la défensive durant les enquêtes? Je ne connais pas les réponses à ces questions, mais je pense qu'il faut en tenir compte dans la réflexion à ce sujet.

    Il faut également prendre en considération la déclaration du CPVP selon laquelle la plupart des organismes finissent par accepter ses recommandations, bien qu'il y ait parfois de longs délais. À la lumière de ce fait, évidemment, on a raison de s'inquiéter des délais, mais si c'est là la préoccupation principale, je ne vois pas vraiment en quoi le pouvoir de rendre des ordonnances constituerait une solution plus efficace que le modèle hybride déjà suggéré.

    Sans me prononcer contre le pouvoir de rendre des ordonnances, je veux centrer la discussion sur les questions d'efficacité et de nécessité, plutôt que sur la parité entre des organismes très différents.

    Voilà qui conclut mon exposé. Merci beaucoup. J'ai hâte d'échanger avec vous.

    Merci, monsieur Karanicolas.

    Nous passons maintenant à M. Gogolek, pour 10 minutes.

    Merci, monsieur le président.

    Je remercie le Comité de nous avoir invités à comparaître encore une fois pour parler d'une question d'intérêt public fondamentale et d'une grande importance pour le public.

    C'est un soulagement de voir que le Comité examine la Loi sur la protection des renseignements personnels à peu près en même temps que la Loi sur l'accès à l'information, parce que ces deux lois ont évidemment été présentées ensemble. Il est important que le Comité les étudie simultanément. Je suis très heureux de votre façon de procéder. Je pense que c'est une excellente approche.

    Vous avez reçu notre mémoire, qui traite de chacune des recommandations du commissaire à la protection de la vie privée. Nous présentons quelques-unes de nos réflexions à la fin du document. Je vais suivre l'exemple de...

    Veuillez m'excuser, monsieur Gogolek.

    Je tiens à indiquer aux membres du Comité que le mémoire de M. Gogolek a été envoyé à la traduction et que nous l'aurons bientôt.

    Merci, monsieur Gogolek.

    Il n'y a pas de quoi; je vous remercie.

    Quoi qu'il en soit, je vais m'attarder aux points sur lesquels il convient d'insister, selon moi. Nous souscrivons à bon nombre des recommandations du commissaire, comme vous pourrez le voir dans le mémoire, lorsque vous l'aurez enfin reçu.

    De façon générale, je pense que les témoignages que vous avez entendus jusqu'à maintenant démontrent que tous s'entendent pour dire que la Loi sur la protection des renseignements personnels est obsolète et qu'elle doit faire l'objet d'une révision complète pour assurer une protection adéquate des droits des Canadiens en matière de protection de la vie privée. Cette révision devrait aussi viser une meilleure harmonisation de la loi, non seulement avec des lois en matière de protection de la vie privée plus modernes et assurant une meilleure protection, mais aussi à la loi fédérale équivalente pour le secteur privé, la LPRPDE, qui est aussi administrée par ce même commissaire.

    Il y a évidemment des différences entre le secteur public et le secteur privé. Toutefois, je suis certain que les Canadiens qui se tournent vers le commissaire à la protection de la vie privée — pour trouver des solutions, pour connaître leurs droits ou pour savoir quelle aide le commissaire à la protection de la vie privée peut leur apporter — s'interrogent sur les raisons pour lesquelles il y a une si grande disparité entre ces dispositions et procédures et celles qui s'appliquent au secteur privé en vertu de la LPRPDE. Nous vous exhortons à apporter les changements requis pour éliminer cette disparité et cette confusion.

    Je vais maintenant examiner brièvement les recommandations du commissaire.

    La première est l'inclusion d'une disposition visant à exiger explicitement la conformité aux critères de la nécessité dans le cadre de la collecte de renseignements. Il s’agit de la norme établie dans la Freedom of Information and Protection of Privacy Act de la Colombie-Britannique de même que dans un certain nombre d’autres lois. Cette notion a fait l'objet de nombreuses interprétations, judiciaires et quasi judiciaires, de sorte que son fonctionnement est bien compris. Nous recommandons d'inclure de manière explicite le critère de la nécessité à la loi. Nous sommes d'accord avec le commissaire sur ce point.

    Nous aimerions également faire remarquer que l’une des nombreuses critiques concernant la récente Loi sur la communication d’information ayant trait à la sécurité du Canada, qui faisait partie du projet de loi C-51, est qu’elle permet la communication d’information selon la norme la plus faible possible, à savoir que l’information doit se rapporter à la compétence ou aux attributions de l’institution destinataire à l’égard d’« activités portant atteinte à la sécurité du Canada » notamment en ce qui touche « la détection, l’identification, l’analyse, la prévention ou la perturbation » de ces activités ou une enquête sur celles-ci.

    Nous sommes d'avis que cette loi est subordonnée à la Loi sur la protection des renseignements personnels. Toutefois, le document d'information du gouvernement relatif au Livre vert est contradictoire sur ce point, en fait. À un endroit, on indique que la loi a préséance, tandis qu'ailleurs, on indique le contraire, soit que la loi est subordonnée à d'autres mesures législatives, y compris la Loi sur la protection des renseignements personnels. Il semble que le gouvernement lui-même n'ait pas une certitude à cet égard. Étant donné les lacunes — l'absence d'une disposition explicite sur le critère de la nécessité dans la loi sur la protection des renseignements personnels —, nous considérons que cette recommandation pourrait aider à éliminer cette ambiguïté.

    J'aimerais aussi souligner que la loi sur le SCRS comprend également le critère de la nécessité.

    En ce qui concerne l'accroissement des motifs de recours devant la cour prévus à l'article 41, nous appuyons cette recommandation. Il convient de souligner que le Comité législatif de la Colombie-Britannique qui a récemment examiné la loi de la province a recommandé d'augmenter la pénalité afin d'accroître la vigilance de ceux qui n'accordent pas une attention suffisante aux droits à la protection des renseignements personnels ou qui les ignorent totalement.

    Un des exemples qui témoigne de la nécessité d'une telle mesure est le cas de Sean Bruyea, un défenseur des anciens combattants. Ses renseignements personnels — y compris ses dossiers financiers, médicaux et psychiatriques —, qui étaient détenus par le ministère des Anciens Combattants, ont été consultés des centaines de fois par des centaines de personnes. En fait, certains de ces renseignements se sont retrouvés non pas dans une, mais dans deux notes d'informations ministérielles distinctes.

    M. Bruyea a finalement obtenu un dédommagement, mais seulement parce qu'il avait déjà intenté une action en dommages-intérêts pour violation de ses droits garantis par la Charte. Il s'agit d'une mesure exceptionnelle et, à l'instar du commissaire, nous sommes d'avis qu'il convient d'accroître la portée et l'accessibilité des sanctions prévues dans la Loi sur la protection des renseignements personnels, y compris les dommages-intérêts.

    En ce qui concerne les comparaisons entre le recours à l'ombudsman, le pouvoir de rendre des ordonnances et un modèle hybride, nous constatons que le commissaire en est lui-même venu à l'idée que le modèle du pouvoir de rendre des ordonnances serait préférable. Nous préconisons cette idée depuis longtemps, et nous l'avons également proposée pour le commissaire à l'information. Ces deux agents du Parlement devraient avoir le pouvoir de rendre des ordonnances.

    Quant au pouvoir discrétionnaire de mettre fin à l'examen d'une plainte ou de la rejeter dans certaines circonstances, il s'agit d'un pouvoir justifié et nécessaire pour éviter le gaspillage des ressources publiques dans le cas des demandes d'examen frivoles, vexatoires ou faites de mauvaise foi. Ce pouvoir devrait toutefois être limité à ces cas précis.

    En ce qui concerne les exceptions — la recommandation n^o 16 du commissaire —, nous sommes du même avis que le commissaire à l'information. Nous recommandons depuis longtemps que les exceptions prévues à la LAI soient fondées sur les torts causés, et cela englobe la communication de renseignements personnels. Nous sommes également contre un pouvoir discrétionnaire à cet égard.

    J'aimerais soulever trois autres points. Premièrement, j'aimerais faire observer que la loi de la Colombie-Britannique sur la protection des renseignements personnels dans le secteur public prévoit une exigence pour le stockage de données nationales, ce qui n'existe pas à l'échelle fédérale. Encore une fois, cette exigence a été appuyée, récemment, par le comité chargé de l'examen de la loi, plus tôt cette année, et aussi par le gouvernement de la Colombie-Britannique. Nous vous invitons à étudier ce qui a été fait en Colombie-Britannique.

    Deuxièmement, le commissaire a recommandé, en 2008, d'éliminer la restriction voulant que la loi s'applique uniquement à l'information consignée. En 2008, nous pensions que c'était une bonne idée, et nous sommes toujours de cet avis. Même si le commissaire n'a pas mentionné cet aspect cette fois-ci, nous pensons que c'est un changement important.

    Troisièmement, on constate que pour la prise de décisions, les organismes des secteurs public et privé ont de plus en plus recours à des mécanismes d'exploration de données — en particulier à des algorithmes —, soit pour guider les êtres humains dans la prise de décisions, soit pour les remplacer entièrement. Les données sont analysées à l'aide d'un programme; une recommandation, que les gens peuvent être réticents à rejeter, est formulée. Il s'agit souvent de décisions qui ont une incidence considérable sur la population, en particulier sur le plan des services sociaux, des prestations ou des choses du genre.

    Au fil des ans, nous avons constaté que les organismes des secteurs privé et public qui ont recours à ces algorithmes et à ces technologies sont très réticents à offrir un accès quelconque à ces mécanismes ou même à rendre publiques les données de base qui sous-tendent le travail de ces décideurs électroniques.

    Essentiellement, c'est tout le contraire de ce qu'on voit lorsque la décision est prise par un être humain. Habituellement, ces décideurs fournissent une justification. On a donc des pièces justificatives qui peuvent être examinées pour comprendre comment la décision a été prise. Si on remplace cette approche par un mécanisme opaque qui utilise des données inconnues provenant de diverses sources inconnues pour formuler une recommandation, toute personne dont le mode de vie, les finances, l'entreprise et d'autres intérêts pourraient être touchés devrait avoir le droit de connaître ces informations. Je pense que cela doit être inscrit dans la loi.

    Je suis maintenant prêt à répondre à vos questions.

    Merci beaucoup, monsieur Gogolek.

    Nous passons maintenant à la première série de questions. Les interventions des députés, questions et réponses incluses, seront de sept minutes chacune. Nous commençons par M. Saini.

    Bonjour. Je vous remercie tous les deux d'être venus.

    Monsieur Karanicolas, j'ai lu un document que vous avez écrit et que vous avez intitulé Travel Guide, je crois, dans lequel vous parliez des obligations relatives à la conservation des données.

    J'aimerais, si possible, que vous nous présentiez ce qui distingue le secteur privé du secteur public. Dans ce document, vous avez indiqué que dans le monde, certains gouvernements ont des obligations en matière de conservation des données — la Thaïlande ou l'Inde —, et vous avez également abordé un problème survenu en Europe, où l'on a tenté d'exiger que les fournisseurs de services conservent des données, mais certains États ont hésité.

    Lorsqu'on regarde du côté du secteur privé, on constate que la collecte de données nécessite un consentement. La collecte de données a tendance à être plus ciblée, contrairement au gouvernement, où les données semblent plus larges ou moins précises. Le gouvernement a une obligation de recueillir des données, comme à l'ARC, par exemple. Comment pouvons-nous veiller à ce que le gouvernement ait la capacité de conserver ces données tout en évitant qu'il en recueille trop?

    Pourriez-vous nous indiquer quelques aspects que nous pourrions améliorer, en comparaison au secteur privé, et nous dire comment nous pourrions procéder?

    Merci beaucoup de la question.

    J'aimerais d'abord dire qu'il est formidable que vous ayez trouvé cet ouvrage, qui s'intitule Travel Guide to the Digital World.

    Je conviens qu'il y a une énorme différence entre les méthodes de collecte de données du secteur privé et celles du secteur public. Dans le secteur public, le risque de mauvaise manipulation des renseignements est beaucoup plus élevé; il faut donc exercer une surveillance beaucoup plus étroite, en partie parce que les gouvernements peuvent aller jusqu'à... Je travaille dans beaucoup de pays répressifs; je sais donc que les gouvernements peuvent utiliser les informations privées, les renseignements personnels, à très mauvais escient, bien plus que les entreprises privées. Les gouvernements disposent de pouvoirs extraordinaires, et le risque d'une mauvaise utilisation des renseignements est beaucoup plus élevé dans le secteur public que dans le secteur privé. Nous adoptons une approche beaucoup plus prudente lorsqu'il est question de collecte de renseignements par le gouvernement.

    Vous avez également mentionné le modèle de consentement, qui est un enjeu totalement différent. Vous pouvez choisir de supprimer votre compte Facebook ou votre compte Gmail, mais vous n'avez pas vraiment la possibilité d'arrêter de payer vos impôts. Vous êtes un Canadien; vous êtes dans le système. Cela change la dynamique quelque peu.

    Je dirais également que le modèle de consentement pour la collecte de renseignements dans le secteur privé doit faire l'objet d'une réflexion très approfondie, et j'avancerais même que le modèle de consentement actuel est déficient. Personne ne lit les conditions de service et personne ne les comprend. C'est un cercle vicieux, en quelque sorte. Le fait que personne ne lit ces conditions de services sous-entend que les avocats qui les rédigent sont incités à les rédiger de façon extrêmement large et vague pour que ces modalités s'appliquent à toute utilisation imaginable. Rien ne les incite à préciser les conditions ou à limiter réellement les utilisations possibles, parce qu'ils savent que les utilisateurs n'en ont rien à faire. Ensuite, le libellé extrêmement vague de ces conditions de service rend difficile pour toute personne qui voudrait les lire et les comprendre d'en saisir le sens réel, ce qui a pour effet de décourager les utilisateurs à vouloir les lire et les comprendre.

    Bien que je convienne qu'une surveillance plus étroite de la collecte de renseignements dans le secteur public est nécessaire, je ne suis pas d'avis que le modèle fondé sur le consentement est nécessairement la solution pour empêcher le secteur privé de faire ce qu'il veut. En fait, je pense que des règles plus étoffées et plus claires sur l'utilisation des renseignements personnels des gens par le secteur privé font cruellement défaut. Je pense que le modèle actuel n'offre pas des mesures de protection suffisantes.

    Selon certaines études que j'ai lues, il faut à une personne environ 200 heures pour lire tous les documents de modalités de service qui lui sont présentés. Rendre les gens responsables de leur propre protection à cet égard n'est pas pratique.

    Je suis désolé. Je constate que je m'éloigne de la question.

    Vous pouvez continuer, mais j'ai une autre question à vous poser sur cet aspect.

    Brièvement, au sujet de ce que les organismes publics devraient faire, je ne suis pas un spécialiste de la sécurité des données. Des gens de ce domaine pourront parler des aspects qui devraient être améliorés. Selon moi, l'aspect principal serait la minimisation des données.

    Vous pouvez faire tout ce qui est en votre pouvoir pour essayer de vous protéger le mieux possible, mais l'aspect le plus important, c'est que vous pouvez aussi vous assurer de bien gérer vos informations. Ainsi, en cas d'atteinte, vous ne risquez pas de voir être divulguée une multitude d'informations que vous auriez dû supprimer il y a des années.

    L'autre question que j'ai pour vous — vous avez également mentionné cet aspect en parlant des ententes sur la protection des renseignements personnels —, c'est que nous faisons actuellement partie du Groupe des cinq. Dans le cadre de ce régime, on s'attend à ce que dans les pays qui en font partie, étant donné qu'on parle de gouvernements développés, les informations communiquées à d'autres administrations soient conservées de façon sécuritaire ou demeurent confidentielles.

    Toutefois, nous avons également, avec d'autres gouvernements, des ententes relatives aux transactions financières, notamment par rapport à l'ARC et d'autres organismes. Au Canada, nous avons un régime solide en matière de communication des données, parfois même entre diverses agences gouvernementales, mais ces informations peuvent être transmises à l'étranger, à un autre pays qui n'a pas les mêmes règlements. Ces pays peuvent avoir les meilleures intentions, mais leurs règlements ne sont pas aussi solides ou perfectionnés que les nôtres. Comment pouvons-nous nous protéger contre ce genre de choses?

    Premièrement, bien qu'il n'y ait aucune comparaison possible entre la communication des renseignements parmi les membres du Groupe des cinq et la communication de renseignements avec l'Égypte ou l'Arabie saoudite, je pense qu'il y a et qu'il y a eu des manquements à cet égard entre les partenaires du Groupe des cinq. Cela a été clairement démontré.

    Je pense en particulier au Royaume-Uni et au fait que le GCHQ a fonctionné dans un cadre qui dépasse de loin les limites établies pour d'autres agences. Le Royaume-Uni évoque actuellement son possible retrait de la Cour européenne des droits de l'homme. Je pense que nos partenaires du Groupe des cinq ont d'importantes préoccupations. Par conséquent, je ne commencerais pas nécessairement de ce point de vue.

    Pour ce qui est d'un contrôle réel des informations, je pense que la meilleure chose à faire serait de définir clairement et publiquement la nature des renseignements que nous sommes prêts à communiquer, de tenir un débat public et ouvert à cet égard, de voir ce que les Canadiens trouvent acceptable ou non, et d'avoir des ententes dans lesquelles les modalités relatives à l'utilisation des renseignements sont clairement énoncées, ententes qui seraient assorties de conséquences en cas de manquement. Vous pouvez préciser dans l'entente si cela va au-delà de la mesure convenue.

    Vous avez également mentionné les recours.

    Nous avons dépassé de beaucoup les sept minutes prévues.

    Gardez cette question à l'esprit, monsieur Saini. Je suis certain que nous aurons le temps d'y revenir plus tard.

    Nous passons maintenant à M. Jeneroux.

    Formidable. Je vous remercie tous les deux d'être ici.

    Monsieur Gogolek, nous avons légèrement modifié l'horaire du Comité. J'espère que cela vous a facilité la tâche, étant donné que vous arrivez de la Colombie-Britannique.

    C'était un peu tôt.

    En effet; ce l'était pour nous tous, n'est-ce pas?

    Monsieur Karanicolas, j'aimerais vous poser une question, en espérant éclaircir certains points.

    Votre organisme a comparu au Comité lors de notre réunion sur la Loi sur l'accès à l'information, que nous venons d'étudier, et votre collègue nous a présenté un témoignage convaincant sur le renforcement du droit à l'information. En fait, votre organisme a rappelé au Comité que le droit à l'information est un droit fondamental de la personne en vertu du droit international. Actuellement, le Comité étudie l'autre côté de la question, soit les lois sur la protection des renseignements personnels.

    J'aimerais connaître le point de vue de votre organisme sur l'équilibre nécessaire entre le meilleur accès possible aux renseignements du gouvernement et la protection des droits à la vie privée des Canadiens.

    Je conviens tout à fait qu'il est absolument nécessaire d'établir un équilibre entre ces deux aspects. Cela dit, ce n'est pas le seul cas où nous devons établir un équilibre entre deux droits distincts. Nous établissons un équilibre entre la protection de la vie privée et la liberté d'expression lorsqu'il est question d'encadrement des médias et de ce qu'ils devraient être autorisés à publier ou non. Nous établissons un équilibre entre la sécurité nationale et la protection de la vie privée pour les questions liées à la portée de la collecte et du stockage de données.

    Toute démocratie se doit d'établir un équilibre entre divers droits. Dans ce cas, avec une référence particulière à la Loi sur l'accès à l'information, ce que nous voulons voir, c'est un équilibre, selon des critères égaux, du droit à la vie privée et du droit d'accès à l'information, afin de connaître ce qui est dans l'intérêt supérieur du public.

    Les pays qui ont mis en place des pratiques exemplaires à cet égard ont généralement inscrit dans leur loi à l'accès à l'information respective une exception qui précise que les renseignements ne peuvent être divulgués si cette divulgation risque de causer un préjudice à la vie privée des personnes. Au-delà de cela, cette exception, ainsi que toute autre exception, sera assujettie à un critère fondé sur l'intérêt public, ce qui signifie que si l'intérêt public et les motifs de la divulgation l'emportent sur les intérêts liés à la vie privée, l'information devrait alors être divulguée, sans égard à l'exception.

    Puisque la technologie continue d'évoluer et que la loi a été mise à jour pour la dernière fois en 1983, et que nous sommes maintenant en 2016, d'après vous — et vous pouvez tous les deux répondre —, comment pouvons-nous suivre l'évolution de la technologie existante, tout en sachant qu'en 2017 ou en 2018, il y aura probablement d'autres technologies auxquelles nous devrons nous adapter également? Je pense que c'est l'argument selon lequel « nous ne savons pas ce que nous ne savons pas ».

    Comment nous suggérez-vous d'examiner la situation concernant la loi?

    C'est une question très importante car, comme vous l'avez mentionné, la technologie évolue très rapidement. Des technologies qui existaient en 1983, comme les télécopieurs, n'existent plus désormais. C'est une catégorie entière de dispositifs standard qui étaient utilisés à l'époque.

    Cela montre à quel point il est important que les législateurs rédigent des lois à un niveau assez élevé, pour qu'elles demeurent fondées sur des principes et neutres sur le plan technologique. C'est pour que vous examiniez des concepts comme la « communication de renseignements personnels », plutôt que des concepts comme « télécopieur », « téléscripteur » ou « préciser ». À moins qu'il y ait une bonne raison — une technologie particulière pour laquelle il faut régler un problème ou une fonction —, je pense qu'il faut élaborer les lois à un niveau plus élevé sans préciser une technologie particulière, à moins qu'il soit absolument nécessaire de le faire.

    J'ajouterais que la tenue d'examens réguliers serait une bonne idée. Je pense que des examens quinquennaux font partie des recommandations que nous avons présentées au commissaire à l'information et au commissaire à la protection de la vie privée. Je pense que c'est une excellente idée.

    Vous avez mentionné qu'aucune modification n'a été apportée depuis plus de 30 ans. Le Canada était, je pense, le onzième pays au monde à adopter une loi sur l'accès à l'information. Il y a maintenant, je crois, 113 lois qui ont été adoptées dans le monde, alors les normes ont énormément évolué entre-temps. Il faut absolument suivre le rythme, si bien que la tenue d'examens réguliers prévus dans la loi serait une excellente idée.

    J'ajouterais que je suis tout à fait d'accord pour rédiger des lois qui sont neutres sur le plan technologique. C'est toujours un bon modèle pour les lois en général.

    Je mentionnerais également que la mise en oeuvre graduelle d'obligations en matière de divulgation proactive peut être une bonne mesure, car nous constatons, dans un grand nombre de lois différentes, que les obligations en matière de divulgation augmentent avec le temps. Nous le voyons dans une certaine mesure au gouvernement, ce qui ouvre la voie à de nouvelles initiatives relatives aux données ouvertes et augmente les moyens de communiquer avec les gens. C'est formidable.

    Toutefois, certains pays permettent au commissaire à l'information — et j'y ai fait un peu allusion durant ma déclaration — d'établir des règlements sur les niveaux de divulgation auxquels on doit s'attendre, puis ces niveaux peuvent augmenter avec le temps.

    Monsieur Gogolek, rapidement, avez-vous une échéance que vous voudriez que l'on respecte pour effectuer l'examen législatif ou un examen quelconque?

    Nous sommes d'accord avec le commissaire pour que ce soit fait aux cinq ans.

    En Colombie-Britannique, nous avons un délai de six ans. Je crois que le Comité a recommandé qu'un examen de la Loi sur l'accès à l'information soit effectué tous les cinq ans, et je pense que l'on devrait se pencher sur la façon dont vous l'avez fait cette année. Le délai pour la tenue des examens devrait être le même.

    Nous allons maintenant entendre M. Blaikie pour sept minutes.

    Merci.

    Je veux revenir à la question sur le pouvoir de rendre des ordonnances.

    Monsieur Karanicolas, je pense que vous avez fait une distinction entre — et je ne veux pas vous prêter des propos — la pertinence du pouvoir de rendre des ordonnances pour le secteur public et la pertinence du pouvoir de rendre des ordonnances pour le secteur privé.

    Je me demande si vous pourriez nous en dire un peu plus à ce sujet et répondre à la question de savoir si ce serait possible, et s'il serait souhaitable de... Je veux dire que, s'il y a des problèmes avec le pouvoir de rendre des ordonnances en lien avec les obligations du commissaire à la protection de la vie privée en vertu de la LPRPDE, pourriez-vous avoir un pouvoir de rendre des ordonnances en vertu de la Loi sur la protection des renseignements personnels pour le secteur public et un modèle différent pour le secteur privé? Est-ce logique? Pouvez-vous nous fournir des détails?

    Je répète que nous ne sommes pas contre le pouvoir de rendre des ordonnances. Nous sommes hésitants en ce qui concerne ce pouvoir, et il me semble que c'est davantage une question d'efficacité qu'autre chose. Je suis disposé à m'en remettre au commissaire à la protection de la vie privée, s'il pense que ce pouvoir l'aidera à mieux faire le travail.

    À mes yeux, l'argument voulant que si un commissaire a ce pouvoir, alors l'autre commissaire l'a aussi ne tient pas la route. C'est plus que si l'on regarde le mandat précis du commissaire, on regarde le succès qu'il a eu pour mettre en oeuvre les recommandations, la trousse d'outils dont il dispose et ses besoins. Vous créez des pouvoirs particuliers à partir de ces éléments d'information. Les fonctions de ces commissaires sont similaires sur le plan structurel à bien des égards, mais ils ont des mandats bien différents, alors je pense qu'il faut faire la distinction. C'était ainsi que j'essayais de présenter la situation.

    En raison du fossé qui existe entre le secteur public et le secteur privé, il y a des aspects d'ordre procédural à considérer si l'on veut discuter d'un organisme qui impose des amendes, qui peuvent être élevées. Il y a eu beaucoup de résistance et de plaintes de la part du secteur privé entourant le mécanisme anti-pourriel, la LCAP et la façon dont les amendes ont été imposées. Je pense que les gens du secteur privé sont un peu inquiets à ce sujet.

    J'ai entendu des membres du secteur privé répondre à l'argument que j'ai fait valoir selon lequel les intervenants du secteur privé sont moins susceptibles de coopérer avec un organisme qui a des pouvoirs de rendre des ordonnances. Vous avez entendu les témoignages de membres du secteur privé. Vous devez prendre ce qu'ils disent avec un grain de sel car ils ne veulent évidemment pas être supervisés par un organisme qui a le pouvoir de leur imposer des amendes. Ils préféreraient un organisme qui n'a pas le pouvoir de les surveiller. Il y a manifestement un intérêt, mais je ne pense pas qu'on puisse complètement l'écarter. Je m'en remettrais au commissaire à la protection de la vie privée si la question porte précisément sur l'efficacité.

    Lorsque vous limitez les pouvoirs de rendre des ordonnances pour qu'ils s'appliquent seulement au gouvernement, je pense que si vous le faites de cette manière, vous atténuerez les préoccupations, ce qui renforcerait un peu l'argument pour la parité. Si vous examinez le rôle du commissaire à la protection de la vie privée en ce qui a trait précisément aux interactions avec les organismes publics, on constate qu'il est très semblable au rôle du commissaire à l'information.

    Toutefois, le commissaire à la protection de la vie privée doit également disposer des outils nécessaires pour protéger adéquatement les renseignements personnels des Canadiens, et plus particulièrement dans le secteur privé et lorsqu'on examine les échecs du modèle fondé sur le consentement, que j'ai abordés brièvement plus tôt. Je pense que des règles plus rigoureuses doivent être mises en place. Que ce soit fait par l'entremise d'ordonnances émises par le commissaire à la protection de la vie privée, par l'entremise de lois ou de règlements ou par l'entremise de recommandations, je ne suis pas certain, mais je sais que les règles doivent être plus claires.

    J'ai une brève observation à faire sur le secteur privé, mais elle se rapporte à tout ce dont nous discutons.

    Dans le secteur privé, bien entendu, nous avons deux régimes différents. Nous avons la LPRPDE, qui est le régime fédéral, puis nous avons des régimes sensiblement semblables dans un certain nombre d'autres provinces, dont la Colombie-Britannique, que nous connaissons bien. Vous avez la situation inhabituelle où le commissaire fait des recommandations en vertu de la LPRPDE, alors qu'en Colombie-Britannique, notre commissaire émet des ordonnances.

    Nous avons été mêlés à une affaire où une compagnie d'assurance a reçu l'ordre d'obtenir le consentement explicite de ses clients pour utiliser l'information sur leur crédit afin de déterminer leur niveau de cotisation. Nous avons donc reçu une ordonnance. Une autre plainte de l'Ontario a fini par être déposée en vertu de la LPRPDE, qui a été réglée par l'entremise de la loi, et l'organisation a porté l'affaire au niveau national.

    Cela pourrait créer une situation intéressante. Vous pourriez avoir une province dans une situation à peu près semblable où une ordonnance est émise et où un organisme ou une entreprise doit faire quelque chose, mais pas en vertu de la LPRPDE.

    C'est une autre raison pour laquelle nous sommes en faveur du pouvoir de rendre des ordonnances pour le commissaire à la protection de la vie privée, tant pour le secteur public que pour le secteur privé.

    Me reste-t-il un peu de temps?

    Vous avez encore une minute.

    Pour ce qui est de confier un mandat en matière d'éducation publique et de recherche au commissariat, je n'ai entendu aucun témoin s'opposer à cette recommandation dans ses déclarations.

    Je me demande si vous avez une idée de ce que vous entendez par là exactement et de la façon de mettre en oeuvre adéquatement ce mandat afin que nous puissions avoir un aperçu des ressources nécessaires.

    Cela s'inscrit dans le même cadre qu'une recommandation que nous avons faite à la commissaire à l'information.

    À mon sens, les Canadiens comprennent mal en quoi consistent la protection des renseignements personnels et les changements qui sont survenus à la suite de la numérisation, ce qui a considérablement changé la relation que les gens ont avec les renseignements personnels. Il faut confier au commissaire à la protection de la vie privée un rôle plus important pour promouvoir la protection des renseignements personnels. C'est ce que le secteur privé fait. Je pense que c'est parce qu'il y a de plus grandes préoccupations au sein du secteur public, alors il est important d'appliquer ce rôle à ce secteur.

    Quant à la façon dont les choses fonctionneraient, j'imagine que ce serait parallèlement à la façon dont le secteur privé fait la promotion de la protection des renseignements personnels. On pourrait parrainer des recherches et des conférences pour promouvoir la participation des organismes publics — ou par l'entremise du milieu universitaire ou des ONG — et inviter les membres du public afin de les amener à comprendre leurs droits à la vie privée.

    De façon générale, je pense que c'est fait parallèlement à la façon de faire actuelle.

    Je dois vous interrompre, mais ne perdez pas le fil de vos idées. Nous aurons l'occasion de revenir sur le sujet.

    Monsieur Massé, la parole est à vous.

    Vous disposez de sept minutes.

    Merci, monsieur le président.

    J'aimerais poursuivre sur la lancée de M. Jeneroux et parler de la question de l'évolution des technologies et de ce qu'il faut faire pour adapter la loi à ces nouvelles technologies, car cela risque évidemment de se produire.

    Monsieur Gogolek, vous avez piqué ma curiosité, un peu plus tôt, lorsque vous avez parlé d'exploration des données. C'est de plus en plus utilisé pour prendre des décisions beaucoup plus pointues et beaucoup plus rapides. Vous avez dit qu'il y avait une préoccupation concrète par rapport à l'exploration des données. On est capable de prendre une boîte noire, d'y mettre un paquet de données et de produire des décisions plus précises.

    Que recommanderiez-vous que l'on fasse pour tenir compte de cette réalité, pour permettre à la loi d'encadrer un peu mieux cette réalité et pour que les individus puissent avoir accès à ce qui se trouve à l'intérieur de cette boîte noire? J'aimerais vous entendre en dire plus sur cette question.

    Cette question est très technique. En ce qui a trait à la technologie qui est incluse dans la boîte noire, dans certains cas, les gouvernements ou les compagnies affirment qu'il est question de propriété et de confidentialité, que cela révèle la façon de faire des affaires. Si on dévoilait cela, selon eux, les concurrents pourraient être avantagés.

    Essentiellement, il s'agit de remplacer ou d'appuyer des décisions prises par des êtres humains par des recommandations qui sont presque des décisions en elles-mêmes. En effet, dans plusieurs cas, il serait très difficile pour un individu de contredire ce que l'ordinateur a jugé être une bonne décision. Si on veut contredire ce qui vient de la boîte noire, il faut vraiment avoir confiance en soi et en ses moyens. C'est essentiel.

    Si des individus prennent des décisions, habituellement, il y a des raisons qui les sous-tendent. On sait sur quelles données ils se sont basés pour arriver à ces conclusions. Il faut conserver cette possibilité. Il ne faut pas se placer dans une situation où il serait impossible de revoir ce que le décideur a fait. Si la décision provient de la boîte noire, il faut le savoir.

    Il ne s'agit pas nécessairement de savoir, d'un point de vue technologique, comment les circuits sont liés exactement, mais plutôt de savoir quelles données ont été incluses dans le mélange des données. En fait, il s'agit de savoir, en général, comment les données ont été organisées pour arriver à telle ou telle décision.

    Effectivement.

    Il y a quelque chose qui me préoccupe un peu dans cet élément. Cela ne concerne pas vraiment le gouvernement fédéral, parce que ce dernier est, à mon avis, toujours un peu à la remorque du secteur privé en matière de technologie ou de développement de technologies.

    M. Karanicolas a dit que le développement du consentement était extrêmement élaboré, de sorte qu'on puisse collecter à peu près n'importe quoi sans que l'utilisateur le sache. Le secteur privé base sa collecte de données sur un consentement qui a été fourni à la base.

    Comme on peut amasser, par consentement, beaucoup de données qui peuvent alimenter une boîte noire, comment peut-on protéger les citoyens canadiens à l'avenir, en prenant en considération les modifications à la loi?

    Le commissaire a fait deux recommandations, dont l'introduction de l'élément de nécessité, qui n'existe pas dans la loi actuelle. Nous avons cela par contre dans notre loi sur le secteur public, en Colombie-Britannique. C'est très important, parce que cela hausse le niveau. Il faut que la collecte de renseignements soit nécessaire. Les renseignements ne doivent pas être collectés uniquement parce qu'il serait intéressant de les avoir. Non, il faut que ce soit utile. C'est pour cela que cette recommandation est importante.

    Merci, c'est fort apprécié.

    Monsieur le président, je vais donner le reste de mon temps de parole à M. Long, qui a aussi des questions.

    Vous avez une minute et demie, monsieur Long.

    Monsieur Karanicolas, je veux vous parler de quelques-uns de vos gazouillis sur Twitter. Je veux parler d'Hadas Gold.

    Hadas Gold est la journaliste qui a fait l'objet d'un examen public approfondi, et je pense qu'il lui arrive des choses épouvantables. Vous avez fait quelques remarques où vous dites que vous ne croyez pas que c'est la responsabilité de Twitter de surveiller ces situations. Pouvez-vous nous en dire plus à ce sujet? De toute évidence, une menace a été proférée contre elle. Quelle serait la solution, d'après vous? Quels règlements mettriez-vous en place pour maîtriser ce genre de situations?

    Ce sera très difficile de répondre à cette question en une minute.

    Effectivement. Je sais. Je suis désolé.

    Je dirais que des situations comme celle-ci doivent être prises plus au sérieux par la police, et la raison pour laquelle j'ai présenté la situation comme je l'ai fait, c'est que lorsque des menaces sont proférées contre des journalistes, c'est une menace à la démocratie, et je pense qu'il faut prendre ces menaces plus au sérieux.

    Pour ce qui est du rôle précis que joue Twitter, je pense que les entreprises doivent avoir la liberté de gérer les plateformes comme elles le veulent. Si une entreprise veut dire qu'elle est une plateforme qui favorise les familles et qu'elle assurera une surveillance accrue, je pense que c'est un point valable. Si une entreprise veut dire que les gens peuvent dire ce qu'ils veulent et qu'elle retirera les propos seulement lorsqu'ils sont illégaux et qu'elle en a reçu l'ordre par l'État, je pense que c'est également une position légitime qu'elle peut prendre.

    Dans la mesure où il y a de multiples plateformes différentes et que les gens peuvent choisir comment et où ils veulent participer, je pense que c'est un point valable en ce qui a trait à des règlements précis.

    Vous conviendrez qu'à l'heure actuelle, tout est permis.

    Cela dépend de la plateforme. Twitter a adopté dans le passé une approche beaucoup plus modérée et intervient maintenant beaucoup plus en raison des pressions dont il a fait l'objet. Facebook est toujours intervenu davantage, mais il fait actuellement l'objet de pressions. Il a récemment été la cible de critiques pour avoir désactivé certains sites palestiniens qui subissent des pressions du gouvernement israélien. Facebook a dû essuyer des critiques pour avoir désactivé des sites kurdes faisant l'objet de pressions de la part du gouvernement turc.

    C'est une situation politique très difficile lorsque l'on s'attend à ce que ces intermédiaires deviennent les arbitres du contenu acceptable. Cela peut également poser problème, car dans certains cas, on n'a pas vraiment de mécanisme d'appel adéquat. Si le gouvernement vous ordonne de prendre une décision particulière — s'il dit: « Ce contenu est illégal, ne le publiez pas » —, vous pouvez interjeter appel. Il y a toutes ces procédures en place. Toutefois, si Facebook est le seul qui vous dit ce qui est acceptable ou non, ce ne sont pas les mêmes protections d'ordre procédural.

    C'est pourquoi je me méfie des gouvernements qui se déchargent de cette responsabilité. Plus précisément, on voit des cas — je vais mentionner la Corée du Sud — où le gouvernement le fait pour imposer une censure indirectement, des cas où le gouvernement compte énormément sur les entreprises de haute technologie pour surveiller le contenu pour lui. Par conséquent, cela donne lieu à des contrôles de contenu abusifs.

    Désolé, monsieur Long, mais...

    Nous pourrons peut-être poursuivre cette discussion la prochaine fois.

    Oui. Je n'ai pas d'objection à dépasser un peu le temps lorsque nous discutons de sujets liés à la Loi sur la protection des renseignements personnels, mais lorsque nous le faisons pour parler de sujets liés à LPRPDE, je m'emballe à l'idée de l'étude sur la LPRPDE qui s'en vient, sans compter que le dialogue est très instructif. Essayons de maintenir la discussion sur la Loi sur la protection des renseignements personnels si nous le pouvons, s'il vous plaît.

    Monsieur Kelly, vous avez cinq minutes. Nous commencerons notre série d'interventions de cinq minutes maintenant.

    Merci, monsieur le président.

    J'ai moi aussi été intrigué par les propos de M. Gogolek sur la prise de décisions automatisée algorithmique.

    Mes premières pensées lorsque vous avez soulevé cette question ne portaient pas sur le secteur public mais plutôt sur le secteur privé, où le type de prise de décisions que je connaissais le mieux dans ma carrière avant d'être élu était en lien avec le crédit. Les agences d'évaluation du crédit utilisent la prise de décisions algorithmique... eh bien, pas la prise de décisions, mais elles donnent des cotes pour établir les probabilités de certains comportements, ce qui est ensuite utilisé pour prendre des décisions.

    Pour que je sache de quoi nous parlons, pouvez-vous me donner un exemple dans le secteur public, dans les ministères gouvernementaux, et me dire dans quelle mesure les renseignements qui vous préoccupent sont semblables? Quels ministères utilisent ces outils, et quelles décisions sont prises de cette manière?

    Quant à savoir quand cela s'appliquerait, un excellent exemple serait — et c'est peut-être davantage au provincial qu'au fédéral — les divers types d'avantages sociaux ou les programmes de formation, par exemple.

    Examinons ce qu'il en est au fédéral, pour que le président ne nous force pas à revenir sur le sujet.

    La formation professionnelle est l'un des domaines de compétence où il y a des programmes fédéraux et provinciaux. De toute évidence, le gouvernement veut que ces programmes soient fructueux. Ils veulent que les fonds publics qui leur sont alloués soient utilisés efficacement et que les bonnes personnes reçoivent les formations adéquates pour qu'elles puissent être des employés et des citoyens productifs. Un algorithme est élaboré de manière à prendre toutes sortes de renseignements sur une personne et à déterminer ses chances de réussite si elle suit cette formation.

    Ce que vous avez décrit ressemble plus... Vous avez mentionné la question d'une personne qui prend une décision par rapport à une boîte noire, ou le fait d'avoir le courage de mettre en doute la réponse de l'ordinateur, mais est une préoccupation liée à la protection des renseignements personnels ou est-ce une préoccupation liée à la méthodologie entourant la prise de décisions?

    J'examine la situation que je connais mieux. Le fait qu'un ordinateur assigne une cote de crédit n'est pas là où il y a un problème lié à la protection des renseignements personnels. Le problème, c'est si la personne a autorisé la divulgation des renseignements. Si elle y a consenti, alors les décideurs sont libres de prendre la décision eux-mêmes ou d'utiliser le système informatique. Ce n'est pas à ce niveau qu'il y a un problème lié à la protection des renseignements personnels. C'est lorsqu'il y a des fuites de données, ce qui est un problème distinct.

    Expliquez votre préoccupation entourant la protection des renseignements personnels en lien avec la prise de décisions électronique.

    La protection des renseignements personnels se rapporte à la collecte de renseignements personnels, à l'extraction de données, où des renseignements sont tirés de diverses sources, dont certains peuvent être rendus publics et d'autres doivent peut-être être fournis au gouvernement par tous les Canadiens. De façon générale, ces renseignements sont fournis dans un but précis. Nous communiquons notre revenu et d'autres éléments d'information pour respecter le régime fiscal et pour d'autres raisons. Nous fournissons nos renseignements au gouvernement, et c'est là où l'exigence d'avoir un critère de nécessité entre en ligne de compte.

    C'est probablement là où la recommandation du commissaire au sujet des ententes d'échange de renseignements entre en ligne de compte, car si ces renseignements sont tirés du gouvernement pour déterminer l'admissibilité des programmes, il est important pour nous de savoir d'où ils proviennent. Nous n'avons pas vraiment la question du consentement dans le secteur public, car il n'y a qu'un fournisseur et nous ne divulguons normalement pas de renseignements sous la contrainte. C'est nécessaire.

    Puis-je simplement ajouter quelque chose?

    Bien entendu.

    Concernant la collation de différents types d’information, je tiens simplement à souligner que, lorsqu’ils sont utilisés seuls, certains ensembles de données sont relativement inoffensifs, mais lorsqu’ils sont jumelés à un autre ensemble de données, ils peuvent avoir de très sérieuses répercussions sur la vie privée des gens. Donc, l’utilisation des données a une incidence importante sur la vie privée des gens.

    Bien.

    Monsieur Lightbound, vous avez la parole pour cinq minutes.

    Bonjour.

    Messieurs, je vous remercie d'être ici avec nous aujourd'hui. Je vous remercie aussi du travail que vous faites au quotidien.

    Ma première question s'adresse à vous, monsieur Gogolek. Tout à l'heure, vous avez parlé de l'exigence relative au caractère interne du stockage des données qu'on retrouve en Colombie-Britannique. Qu'est-ce que cela vise à éviter?

    Je crois qu'il y a des dispositions similaires au Québec, où les données doivent demeurer à l'intérieur du territoire. C'est afin d'éviter qu'elles ne se retrouvent sous la domination d'une autre loi. Est-ce le cas?

    C'est exactement cela. C'est un peu long à expliquer, mais nous avons eu un grand débat à ce sujet, en Colombie-Britannique, au début du siècle. Le gouvernement provincial avait conclu des contrats avec des entités privées pour fournir certains services gouvernementaux, y compris le régime de soins médicaux et le régime d'assurance-médicaments.

    Évidemment, les renseignements inclus dans cette banque de données sont personnels et vraiment très délicats. La compagnie qui a été engagée par le gouvernement provincial est une entreprise américaine nommée Maximus. C'était aussi à l'époque où la USA PATRIOT Act était entrée en vigueur. Il y a eu une grande controverse. Notre commissaire à la protection de la vie privée de l'époque, M. Loukidelis, était très préoccupé de ce qui pouvait arriver à ce genre d'information personnelle, et du fait qu'elle pourrait être assujettie aux lois américaines, notamment à la USA PATRIOT Act.

    Cela m'amène à une autre question, tandis que j'ai deux experts devant moi.

    Justement, nous parlions du Groupe des cinq, tout à l'heure. En vertu de nos lois canadiennes, il est interdit d'espionner des Canadiens, à moins de détenir un mandat émis par un juge. Toutefois, à peu près tout est permis quand il s'agit des étrangers. Nous faisons partie d'une alliance où des renseignements se partagent entre les pays. N'est-ce pas là une façon de contourner ce qui est interdit par la loi?

    J'aimerais que vous m'expliquiez la façon dont cela fonctionne, à votre connaissance. Je sais que toutes les ententes ne sont peut-être pas publiques. Est-ce que je vois juste?

    Je vais commencer à répondre, puis je vais laisser un peu de temps à M. Karanicolas pour le faire aussi.

    C'est un peu compliqué. Il est clair que les lois canadiennes s'appliquent au Canada et, dans certains cas, ailleurs. Toutefois, l'un des problèmes est que les agences, le Groupe des cinq, tirent leurs origines de la guerre froide. Elles avaient été chargées d'espionner les communications des militaires étrangers du bloc soviétique, de la Chine et d'ailleurs. C'était leur but et leur travail. Évidemment, l'intérêt de la protection de la vie privée n'était pas considéré.

    Au cours des décennies, les activités de ces agences ont changé. Elles ont effectué d'autres surveillances, et pas seulement celle de militaires étrangers. Elles surveillent maintenant des organisations et des individus qui sont des menaces pour le Canada. Cela commence à toucher beaucoup plus les intérêts des Canadiens, à cause de la situation de notre monde numérique aujourd'hui.

    Monsieur Karanicolas, qu'en dites-vous?

    Absolument. C’est une faille qui peut être exploitée et qui l’est.

    Je vais vous donner un exemple parallèle qui décrit encore mieux le problème. Les États-Unis ont conclu un accord de surveillance et de renseignements avec le Danemark, plus précisément avec l’agence danoise du renseignement, en disant: « Vous pouvez utiliser nos réseaux pour espionner qui vous voulez en dehors de votre territoire, sauf des citoyens danois. » Ils ont conclu un accord avec le gouvernement allemand en disant: « Vous pouvez utiliser nos réseaux pour espionner qui vous voulez en dehors de votre territoire, sauf des citoyens allemands. » Ce sont leurs réseaux. Donc, si ces pays les utilisent, les États-Unis ont accès à tous ces renseignements. C’est une astuce intéressante. Ils disent: « Nous n’utilisons pas votre réseau pour vous espionner », mais, de toute évidence, il s’agit d’une faille qui permet de contourner le système.

    Concernant le fonctionnement du système, si j’ai bien compris, auparavant, nos services du renseignement ne faisaient pas l’objet de beaucoup de surveillance domestique, mais ils avaient tendance à respecter davantage les frontières. Selon ce que j’ai appris, sous le gouvernement précédent, la dynamique a radicalement changé et les services du renseignement sont devenus beaucoup plus agressifs. N’ayant pas pu le constater moi-même, il est difficile pour moi de me prononcer, mais c’est mon impression.

    Merci.

    Merci beaucoup, monsieur Lightbound.

    Vous avez eu presque six minutes. Nous allons passer à M. Kelly qui, si je ne m’abuse, partagera son temps de parole, peut-être avec M. Jeneroux.

    Peut-être.

    J’aimerais vous poser une question légèrement différente par rapport à celles que nous avons entendues jusqu’à maintenant.

    Nous avons beaucoup parlé des dangers entourant la sécurité des données, de la nécessité de se protéger contre les infractions à la sécurité et du signalement des infractions commises pour des raisons malicieuses par, disons, un employé mécontent ou un pirate informatique, notamment.

    J’aimerais vous interroger sur certaines questions liées à la protection de la vie privée en ce qui a trait aux données partagées ou publiées volontairement, soit les déclarations de revenus des citoyens et les renseignements contenus dans les archives publiques du droit de la famille. Certains s’inquiètent de la protection de la vie privée des gens et des risques de vols d’identité grâce aux renseignements que l’on retrouve sur les déclarations de revenus et dans les dossiers du droit de la famille.

    L’un de vous pourrait-il nous dire comment gérer les questions liées à la protection de la vie privée dans les domaines où l’information doit être rendue publique en raison des procédures établies?

    Nous avons fait une présentation à la Cour provinciale de la Colombie-Britannique sur la disponibilité, en ligne, des données de non-condamnation. Ce n’est pas exactement l’objet de votre question, mais je vous renverrais, dans une certaine mesure, à cette présentation.

    Il y a aussi ce que l’on appelle « l’obscurité pratique » où l’information n’est pas largement diffusée. L’information n’est pas accessible en ligne, mais elle est disponible pour quiconque souhaiterait l’obtenir. Évidemment, nous adhérons à une philosophie de transparence judiciaire. Les tribunaux sont censés faire preuve de transparence et les juges contrôlent les procédures. Lorsqu’il est indiqué de le faire, l’une ou l’autre des parties peut demander à ce que certaines informations soient rayées avant que l’affaire ne soit présentée devant le juge qui prendra la décision finale. Il y a des mécanismes pour cela, à la cour, s’il existe de sérieux risques.

    Je n’ai pas étudié cette question en particulier, mais je serais curieux de savoir s’il y a des cas documentés de vols d’identité qui sont survenus à la suite de la divulgation de ces renseignements ou si c’est simplement une question qui attire l’attention.

    Si la procédure établie dans le droit de la famille exige que soient divulguées les déclarations de revenus versées au dossier public, il y a alors divulgation de renseignements qui pourraient être utiles à quiconque souhaiterait voler l’identité des personnes concernées. Même en l’absence d’une déclaration de revenus, de nombreux dossiers du droit de la famille pourraient contenir toutes sortes de renseignements qui pourraient être utilisés de façon malicieuse lorsque jumelés à d’autres données provenant d’autres sources.

    Je vais partager le reste de mon temps avec Matt.

    Comme c’est gentil.

    Monsieur Gogolek, dans votre exposé, vous avez parlé de l’exigence de stockage de données nationales et des mesures prises par le gouvernement provincial à cet égard. Pourriez-vous nous en dire davantage à ce sujet? Je ne crois pas que nous ayons parlé de ce que vous faites dans votre province.

    C’est quelque chose qui est en vigueur chez nous depuis le début des années 2000 et qui a suscité un débat très approfondi. Le commissaire à la protection de la vie privée de la Colombie-Britannique, à l’époque, M. David Loukidelis, a rédigé un rapport très détaillé sur la question. Nous avons fait des présentations et plusieurs personnes ont participé au processus. Il était question de l’externalisation des MSP, soit les régimes de services médicaux et les pharmacies.

    Cela nous importe peu que ce soit le gouvernement ou un tiers qui s’en charge. Nous pouvons nous en occuper également. Mais, la question est de savoir ce qu’il advient de l’information. Tout cela se déroulait au moment où le Patriot Act a été adopté après les attentats du 11 septembre et beaucoup s’inquiétaient de ce qu’il adviendrait des renseignements de nature très délicate qui seraient administrés par une société américaine.

    Par conséquent, le gouvernement a fixé des exigences très rigoureuses de stockage de données nationales. Ces exigences sont stipulées à l’article 30.1 de la B.C. Freedom of Information and Protection of Privacy Act. Pour en savoir davantage à ce sujet, je vous renverrais à ces exigences. Jusqu’à maintenant, cela fonctionne bien. Dans le cadre du dernier examen de notre loi sur le secteur public qui a eu lieu plus tôt cette année, le commissionnaire, notre organisation et le gouvernement provincial ont tous convenu qu’il s’agissait d’une mesure utile. Elle est populaire auprès des Britanno-Colombiens et elle devrait être maintenue.

    D’accord.

    Nous avons simplement souligné le fait que la loi fédérale ne comprend aucune mesure du genre et nous vous avons fourni l’exemple de la Colombie-Britannique pour votre étude.

    Je vous en suis très reconnaissant.

    Notre dernier intervenant pour cette série de questions sera M. Bratina qui disposera de cinq minutes. Nous passerons ensuite à M. Blaikie et si quelqu’un d’autre désire intervenir, il suffit de me le signaler.

    Dans sa 13^e recommandation, le Commissariat propose de conférer au commissaire le pouvoir discrétionnaire de mettre fin à l’examen d’une plainte pour des motifs précis, notamment lorsqu’elle est frivole ou vexatoire. Actuellement, le commissaire n’a pas ce pouvoir. Qu’en pensez-vous, monsieur Gogolek?

    Nous appuyons ce changement pour des raisons d’économie des ressources judiciaires et pour éviter le gaspillage des ressources publiques.

    Nous remarquons que le commissaire à la protection de la vie privée précise que ce pouvoir devrait lui revenir. Vous vous souviendrez peut-être que lors de notre témoignage relativement à la Loi sur l’accès à l’information, nous étions d’avis que ce pouvoir devrait revenir au commissaire à l’information, mais notre recommandation était qu’il soit confié aux ministères.

    Nous tenons à insister sur le fait que, selon nous, ce pouvoir devrait être très limité, car il est question ici du droit des citoyens de porter plainte. Ce pouvoir ne devrait être utilisé que si le commissaire juge que la plainte est frivole, vexatoire ou faite de mauvaise foi. Évidemment, les citoyens doivent avoir le droit de porter cette décision en appel.

    La loi sur le secteur public de la Colombie-Britannique établit une exigence de stockage de données nationales. Pourrions-nous utiliser au fédéral les procédures que vous utilisez en Colombie-Britannique?

    Oui. Nous avons l’article 30.1 et une grande partie des échanges qui ont eu lieu sur cette exigence sont accessibles sur le site Web du Commissariat. L’ancien commissaire a rédigé un rapport très détaillé sur la question. Nous avons publié un rapport également. La question a été abordée dans le cadre des deux examens législatifs qui ont eu lieu depuis que cette exigence a été fixée.

    Certains s’y sont opposés. Des organismes publics disent que cela leur coûte de l’argent ou « Tous les jeunes branchés peuvent s’en servir, pourquoi pas nous ». Toutefois, le consensus public semble pointer vers le fait que c’est une bonne chose. C’est populaire auprès des Britanno-Colombiens. Le gouvernement a fixé cette exigence particulièrement en raison des inquiétudes du public.

    C’est vous qui avez mentionné l’indemnisation versée à M. Bruyea?

    Oui, Sean Bruyea.

    Quelle était la raison de cette indemnisation?

    M. Bruyea a déposé une action en dommages et intérêts en vertu de la Charte des droits et libertés prétextant une atteinte aux droits qui lui sont garantis par la Charte. On avait accédé à ses renseignements personnels très délicats et les avait utilisés à maintes reprises. Dans la présentation écrite que nous allons vous faire parvenir, vous trouverez un lien vers la déclaration de M. Bruyea. Comme c’est le cas habituellement, cette affaire a été réglée. Il a touché une indemnisation dont le montant n’a pas été divulgué et plus personne n’en a parlé.

    Puisque l’affaire a été réglée, aucune décision n’a été rendue dans le dossier, mais M. Bruyea a été indemnisé. Selon nous, les gens ne devraient pas avoir à déposer des actions en vertu de la Charte. Ils devraient avoir des recours divers à leur disposition et le commissaire le souligne dans ses recommandations.

    Il vous reste une minute et demie.

    Les dommages qu’il a subis sont-ils mentionnés? Une telle situation pourrait nuire énormément à l’intégrité d’un représentant élu, par exemple.

    J’ignore quel genre de régime de dommages et intérêts nous pourrions adopter.

    Nous en avons parlé un peu plus tôt dans le contexte de la Loi sur l’accès à l’information.

    Des peines quasi criminelles peuvent être imposées à quiconque fait obstacle au droit à l’accès. Ce qu’il faut, c’est une sanction qui pousse les gens à traiter ces droits comme des droits et non comme suggestions utiles. Il devrait y avoir des conséquences personnelles ou financières sérieuses, voire des peines d’emprisonnement. De plus, il devrait y avoir des recours pour les victimes qui ont vu leurs droits être violés.

    Merci beaucoup.

    Nous allons maintenant amorcer notre dernière série de questions officielle. M. Blaikie prendra d’abord la parole et ensuite, chers collègues, vous me direz si vous avez d’autres questions de suivi à poser, dont vous, monsieur Lightbound

    Monsieur Gogolek, j’aimerais revenir à une question soulevée par M. Kelly au sujet des algorithmes.

    Ai-je raison de dire que les inquiétudes soulevées relativement à la protection de la vie privée concernent davantage les données — ou les intrants, si vous préférez — que les algorithmes eux-mêmes?

    C’est une combinaison de choses: quelles sont les données recueillies et à quelle fin sont-elles recueillies? C’est l’un des problèmes avec l’extraction de données. L’extraction donnée est une chose, mais, dans certains cas, on se retrouve avec des sections de données en bloc et toutes sortes d’informations que l’on pousse dans la trémie.

    Je vais reprendre votre exemple où un algorithme est utilisé pour déterminer l’admissibilité d’une personne aux programmes de formation du gouvernement. Selon vous, un particulier devrait-il avoir le droit de demander quels renseignements personnels ont été utilisés dans l’algorithme — pas nécessairement quel algorithme a été utilisé, mais plutôt quels renseignements personnels étaient disponibles et lesquels ont été entrés dans cette boîte noire? Les Canadiens devraient-ils avoir le droit de connaître cette information? Est-ce ce que les gens souhaitent?

    Oui, et pour deux raisons. D’abord, il y a la confidentialité des renseignements personnels. Je vous ai fourni ces renseignements pour X, vous les avez utilisés pour Y, mais je ne vois pas le lien entre les deux. Les algorithmes sont extraordinaires. C’est fabuleux ce qu’ils peuvent produire. M. Kelly sait probablement très bien le genre de résultats qu’ils peuvent produire en matière de crédit. C’est ahurissant.

    D’un côté, il y a la collecte de données à diverses fins. C’est à ce chapitre que la recommandation relative aux accords de communication d’information entre en ligne de compte en raison des jumelages d’information possibles. Nous devons savoir, de façon générale, comment tout cela s’opère. Cette recommandation permettrait d’ajouter un niveau de protection.

    Cela concerne également le bon fonctionnement du gouvernement et, dans une certaine mesure, le bon fonctionnement du processus décisionnel quasi judiciaire. Si un organisme public détermine qu’une personne n’est pas admissible à une formation quelconque, la personne concernée devrait pouvoir obtenir des explications.

    Cela va au-delà du droit de savoir quels renseignements personnels ont été utilisés. Il est aussi question des détails entourant l’algorithme…

    Oui, quels sont les boutons qui figurent sur le devant de l’émulsionneur: frappé; purée; gluant. Il n’est peut-être pas nécessaire de savoir comment les fils sont raccordés, mais vous devriez être en mesure de savoir que vos renseignements ont été mis dans l’émulsionneur, quels renseignements ont été utilisés et quels boutons ont été utilisés.

    J’ignore s’il s’agit d’une source réelle de préoccupation — c’est certainement une supposition de ma part —, mais il me semble que beaucoup de ces algorithmes ne sont pas développés par le gouvernement, mais plutôt par des sociétés privées. Selon vous, si la composition de ces algorithmes était révélée, en vertu de la Loi sur la protection des renseignements personnels, le gouvernement aurait-il de la difficulté à faire affaire avec ces sociétés? Celles-ci ne voudraient pas révéler à leurs concurrents les détails de leurs systèmes.

    Selon notre expérience, ces sociétés ne veulent absolument pas que d’autres apprennent les détails de leurs systèmes. Souvent, elles se retrouvent dans une situation de concurrence, et cela se comprend, mais je crois qu’il y a une différence entre savoir exactement comment fonctionne le système et quels renseignements sont utilisés dans l’émulsionneur et quels boutons sont utilisés.

    D’un point de vue législatif, comment devrait-on aborder ce problème afin de trouver un équilibre entre donner suffisamment d’information aux Canadiens sur le processus décisionnel sans placer indûment le gouvernement dans une position désavantageuse, disons, qui nuirait à sa capacité à avoir recours aux meilleures sociétés de l’industrie dans la création de logiciels de prise de décision?

    Une des choses dont il faut tenir compte, c’est que le gouvernement dispose d’un énorme pouvoir d’achat et que plusieurs sociétés veulent faire affaire avec lui. Les marchés que ces sociétés concluent avec le gouvernement sont assujettis à la Loi sur la liberté d’accès à l’information, ce qui n’est pas le cas pour les marchés qu’elles concluent avec d’autres sociétés. Certaines entreprises ne soumissionnent pas pour des marchés avec le gouvernement fédéral, car elles s’inquiètent de l’étendue des informations qu’elles devront divulguer sur le fonctionnement de leurs systèmes ou la méthodologie de ces systèmes — c'est-à-dire « voici les plans et les cartes de circuits imprimés et voici comment nous les utilisons pour produire nos résultats », contrairement à seulement dire « nous prenons ces renseignements, nous les mettons dans l’émulsionneur et nous obtenons ces résultats. »

    Monsieur Blaikie, si vous avez d’autres questions de suivi à poser aux témoins, nous serons heureux d’ajouter votre nom à la liste.

    J’aimerais intervenir, brièvement.

    Parfois, lorsqu’on met la main sur l’émulsionneur, on peut l’ouvrir et voir comment il a été conçu. Il y a certaines choses dont il faut se méfier. En tant qu’ancien développeur de logiciel, je peux vous dire que la protection des codes, notamment, est très importante pour la compétitivité d’une entreprise.

    Monsieur Lightbound, vous avez la parole.

    Merci.

    J'aimerais revenir sur ce que je disais plus tôt.

    Monsieur Karanicolas, vous avez parlé d'une faille en raison du partage d'information entre nos partenaires, comme ceux du Groupe des cinq. Voyez-vous une façon d'y remédier par l'entremise de la Loi sur la protection des renseignements personnels, d'une certaine manière, pour protéger les Canadiens, ou est-ce un problème qui dépasse les limites de cette loi?

    À titre de première étape nécessaire, nous appuyons la recommandation du commissaire à la protection de la vie privée voulant que les accords de communication d’information soient faits par écrits, qu’ils soient clairs et qu’ils précisent à quelle fin les informations seront utilisées. Selon nous, ces accords doivent être rendus publics afin de mieux aborder la façon dont le partage d’information s’opère et de permettre aux Canadiens de mieux comprendre ce processus.

    Vous savez, Edward Snowden et les révélations qu’il a faites m’en ont appris davantage sur les systèmes de partage d’information que ce que j’ai appris en les étudiant moi-même. C’est problématique.

    J'ai une autre question pour vous.

    J'aimerais que vous nous parliez des exceptions qui permettent le partage d'information entre institutions.

    Il y a l'exception de l'alinéa 8(2)b), qui autorise la « communication aux fins qui sont conformes avec les lois fédérales ou ceux de leurs règlements qui autorisent cette communication ».

    Par exemple, dans le projet de loi C-51, il était mentionné que tout partage d'information devrait être fait en tout respect de la Loi sur la protection des renseignements personnels, mais cette dernière donnait la permission de faire cela dans la mesure où on se conformait à une autre loi ou à une autre réglementation. C'est la quadrature du cercle, d'une certaine manière.

    J'aimerais vous entendre parler de cette exception précise qui, au fond, rend la Loi sur la protection des renseignements personnels inférieure à d'autres réglementations ou lois, selon moi.

    Monsieur Karanicolas, vous pouvez commencer.

    Je dois m’en remettre à mon collègue pour cette question, car je ferai ma présentation demain sur le projet de loi C-51 et je ne me suis pas encore préparé.

    Nous avons fait notre présentation hier, alors nous…

    Eh bien, c’est pratique.

    Le projet de loi C-51 stipule que la communication d’information doit respecter la Loi sur la protection des renseignements personnels. Toute communication doit être conforme à cette loi. Pourtant, l’alinéa 8(2)(b) de la Loi sur la protection des renseignements personnels précise que la communication des renseignements est autorisée…

    Elle est autorisée par toute loi.

    …pourvu qu’elle soit réglementée ou autorisée par une autre réglementation. Elle est permise en vertu du projet de loi C-51 qui est censé respecter la Loi sur la protection des renseignements personnels, mais la Loi sur la protection des renseignements personnels précise que la communication de renseignement est autorités par toute réglementation qui l’autorise.

    Ce n’est pas clair et je crois que le gouvernement lui-même est confus, car dans son document d’information relatif au livre vert sur la sécurité nationale et le projet de loi C-51, il soulève lui-même ce problème. À un certain moment, il précise que, puisque la loi autorise la divulgation, elle respecte l’alinéa 8(2)(b), une exception légitime, mais la loi dit que cette divulgation est assujettie à d’autres lois qui interdissent ou limitent la divulgation d’information.

    Nous avons deux dispositions qui semblent se contredire. Selon nous, la communication d’information est assujettie à la Loi sur la protection des renseignements personnels en raison de la déclaration dans la Loi sur la communication d’information ayant trait à la sécurité nationale du Canada selon laquelle cette communication est assujettie aux lois et règlements qui offrent ces protections.

    Ce n’est pas une question facile. C’est la raison pour laquelle la Loi sur la protection des renseignements personnels doit être améliorée autant que possible.

    J’ai utilisé le projet de loi C-51 comme exemple, mais j’aimerais connaître votre opinion sur l’alinéa 8(2)(b) à titre d’exception en matière de communication d’information.

    Je peux dire aussi que ces articles établissant la prépondérance posent problème, tant dans la Loi sur la protection des renseignements personnels que dans la Loi sur l'accès à l'information.

    Généralement, lorsqu'une mesure législative est censée énoncer des normes, cela créé des tensions lorsqu'on dit « Voici les normes qu'appliquera le gouvernement, sauf si d'autres lois les contredisent. »

    Si on veut renforcer les normes, il est plus logique de ne pas prévoir ce genre d'exception ou de dire que, si d'autres lois permettent de divulguer l'information, il faut que cela soit fait conformément aux normes établies dans la présente loi. C'est la solution que nous proposons pour la Loi sur l'accès à l'information ainsi que pour la Loi sur la protection des renseignements personnels.

    Puis-je poser une autre question?

    Bien sûr, allez-y.

    Mme Chantal Bernier, qui a comparu devant nous, nous a expliqué que, dans le cas de l'information transmise au Comité, le critère de nécessité ne devrait pas uniquement être fondé sur les autres programmes ou les autres activités gouvernementales, mais il devrait aussi être fondé sur la Charte des droits et libertés. Je me demande si vous avez des commentaires à formuler à ce sujet et si vous pouvez me dire quelles en seraient les répercussions potentielles.

    Il y a une raison pour laquelle j'ai commencé mon exposé en affirmant que la protection des renseignements personnels constitue un droit de la personne.

    Le gouvernement a la responsabilité fondamentale de protéger les droits de la personne, ce qui implique d'assurer la sécurité des gens, bien entendu, et de garantir la liberté d'expression, mais aussi de respecter la vie privée des citoyens. Pour revenir à ce qu'a recommandé le commissaire à l'information, je crois que l'évaluation des répercussions sur la vie privée constitue un pas dans la bonne direction. Cela devrait toujours être une préoccupation lorsqu'on élabore des lois ou des politiques qui ont une incidence sur la vie privée. Il faut absolument tenir compte des droits des personnes.

    Monsieur Gogolek, avez-vous des commentaires à formuler?

    Je ne suis pas en désaccord avec Mme Bernier, mais je crois qu'inclure le critère de nécessité dans la loi va dans le même sens qu'appliquer le test de l'arrêt Oakes pour la proportionnalité. C'est semblable, parce que c'est la façon dont nous interprétons généralement les choses.

    Puis-je poser une dernière question, monsieur le président?

    Bien sûr.

    Je vous remercie.

    Ma dernière question concerne les métadonnées. Ce terme n'est défini nulle part dans la législation canadienne. Pensez-vous que c'est dans la Loi sur la protection des renseignements personnels qu'on devrait inclure une définition des métadonnées et énoncer l'utilisation que le gouvernement peut en faire?

    Oui, bien sûr. Cependant, comme mon collègue l'a mentionné, les lois doivent être technologiquement neutres. De nos jours, le terme « métadonnées » signifie une certaine chose, mais dans 5 ou 10 ans, il pourrait très bien vouloir dire totalement autre chose.

    Je suis d'avis que les métadonnées peuvent avoir d'importantes répercussions sur la vie privée. La divulgation et la transmission des métadonnées comportent un risque très élevé. Il peut s'agir de données extrêmement personnelles, qu'il faut selon moi rigoureusement protéger.

    Je crois que l'affaire Spencer nous a donné une très bonne idée de l'importance des métadonnées. Elles constituent des renseignements personnels qui doivent être protégés.

    Je sais que dans les milieux de la sécurité et de l'application de la loi, certains auraient souhaité une décision différente dans l'affaire Spencer, mais c'était là l'avis de la Cour suprême du Canada au sujet des métadonnées, car elles suscitent un intérêt. Je crois que dans une large mesure l'entreprise estimait qu'il s'agissait de renseignements de base. Eh bien, ce n'est pas le cas; il s'agit de renseignements personnels, et il peut s'agir en grande partie de renseignements de nature délicate.

    Le commissaire à la protection de la vie privée a d'ailleurs très bien démontré que les métadonnées constituent des renseignements personnels.

    Je veux souligner qu'il ne faut pas être trop précis dans la loi.

    Monsieur Saini, avez-vous une question rapide?

    Je suis désolé de m'acharner sur vous, monsieur Karanicolas, mais M. Gogolek a répondu à toutes mes questions durant son exposé.

    Vous avez soulevé un point lorsque vous avez répondu à une autre question, et c'est ce qui m'amène à vous poser ma prochaine question.

    Au Canada, les entreprises, par exemple, divulguent à l'ARC les informations qu'elles doivent dévoiler. Ces renseignements, surtout s'il s'agit d'une entreprise qui détient des filiales ou des intérêts à l'étranger, peuvent être transmis à un pays avec lequel nous avons une entente à cet égard.

    Que se passe-t-il si un troisième pays a une entente avec ce deuxième pays, mais que le Canada n'a pas d'entente avec ce troisième pays? Que se passe-t-il alors? Ces renseignements, surtout parce qu'il s'agit de renseignements au sujet d'une entreprise, pourraient comporter des informations en matière de propriété intellectuelle. Certaines informations peuvent être obtenues à partir d'une déclaration de revenus. Je me demande comment tout cela fonctionne. Comment empêcher que des renseignements au sujet d'un citoyen canadien soient transmis à un pays avec lequel nous n'avons pas d'entente, mais avec lequel un autre pays pourrait avoir une entente?

    Je ne suis pas très au courant, mais je peux dire que, de façon générale, les ententes d'échange de renseignements devraient préciser clairement comment l'information doit être utilisée, ce qui inclut la divulgation à une tierce partie. C'est un aspect très important dans le secteur public et dans le secteur privé.

    Si j'ai une relation contractuelle avec Facebook et Twitter, je leur donne des renseignements à mon sujet. Elles ont le droit de divulguer cette information à des tierces parties avec lesquelles je n'ai aucun lien. Comme je ne sais pas de qui il s'agit, c'est une grande préoccupation pour moi.

    En général, le gouvernement devrait faire en sorte que ce soit énoncé clairement dans le cadre d'une relation de collaboration avec d'autres gouvernements, d'autres organismes. S'ils ne respectent pas les conditions de cette relation, qu'ils ne respectent pas les règles établies, alors le gouvernement devrait envisager de mettre fin à cette relation.

    Vous avez parlé de recours dans votre exposé. S'il y a une atteinte à la protection des données, par exemple, dans un deuxième ou un troisième pays, que se passe-t-il? Nous avons des lois qui prévoient des sanctions précises. Si l'atteinte se produit dans le deuxième ou le troisième pays, il est possible que leurs lois ou les sanctions prévues ne soient pas aussi sévères que les nôtres. S'il y a une atteinte à la protection des données d'un citoyen canadien dans un autre pays, comment...?

    C'est le problème qu'engendre l'échange de données à l'échelle de la planète. Nous avons toujours fonctionné en fonction des frontières. Même le droit international est fondé sur les frontières des pays. Lorsque l'information circule partout, car Internet n'a pas de frontière, il est très difficile d'appliquer le principe traditionnel des frontières et la protection traditionnelle des droits.

    C'est l'une des raisons pour lesquelles nous appuyons la recommandation de la commissaire à l'information, à savoir qu'il faut collaborer davantage avec nos collègues. Il est bien de favoriser des approches communes à la protection des renseignements personnels et à la protection des droits de la personne, surtout avec les pays qui ont plus ou moins des vues similaires aux nôtres au sujet de la façon dont il faut protéger les droits de la personne.

    J'ai donné l'exemple de l'utilisateur du site Ashley Madison en Arabie saoudite ou en Russie, dont les renseignements ont été soudainement divulgués et qui subit maintenant des menaces. Nous voulons que le gouvernement et les organismes de réglementation canadiens prennent des mesures lorsque de telles situations se produisent au pays, mais si cela se produit ailleurs, c'est plus complexe. C'est pourquoi la collaboration internationale est très importante. Actuellement, je ne crois pas qu'il existe des règles claires concernant les mesures à prendre.

    Allez-y, monsieur Blaikie.

    Je voudrais revenir à la question qu'a posée M. Lightbound au sujet du critère de nécessité fondé sur la Charte plutôt que sur les programmes fédéraux. J'aimerais qu'on m'éclaire un peu.

    Il me semble que de fonder ce critère sur la Charte est moins restrictif que de le fonder sur les programmes, car les programmes fédéraux et la collecte de renseignements seraient... Il pourrait y avoir une contestation en vertu de la Charte si on estime pour une raison quelconque que le gouvernement recueille aux fins d'un programme des renseignements en contravention de la Charte, des renseignements qu'il n'a pas le droit de détenir ou de recueillir. Il appartiendrait aux tribunaux de le déterminer. Si on appliquait un critère de nécessité qui serait lié aux programmes, cela constituerait une restriction dans le cadre de cette restriction plus large.

    C'est ainsi que cela fonctionne, n'est-ce pas? Si une personne estime que le gouvernement ne respecte pas la Charte en recueillant des renseignements d'une certaine façon, elle pourrait s'adresser aux tribunaux, et si le critère de nécessité est fondé sur un programme fédéral, il s'agirait d'une plus grande restriction, ou est-ce que je comprends mal?

    Il existe des recours indépendants dans la Charte lorsqu'il y a une atteinte, et il y a bien entendu les droits énoncés aux articles 7 et 8 de la Charte. Tout cela est distinct de ce que prévoit la Loi sur la protection des renseignements personnels pour ce qui est de la nécessité.

    Lorsqu'il y a violation de la Charte ou après qu'on constate qu'il y a eu violation, il faut vérifier si cette violation est justifiée, en vertu de l'article 1, car les droits ne sont pas infinis. Il peut y avoir de très bonnes raisons de faire cela. Il y a ce qu'on appelle le test de l'arrêt Oakes, qui porte sur la proportionnalité, la nécessité et le motif de la violation. C'est très bien défini dans le droit constitutionnel.

    Voici ce que j'essaie de comprendre. Disons que, en vertu d'un programme gouvernemental, nous présentons une demande pour obtenir un médicament dans le cadre d'une thérapie. Si on applique le critère de nécessité en se fondant sur le programme, alors il ne serait vraiment pas pertinent qu'on me demande de révéler tous les emplois que j'ai occupés. Si on applique ce critère, on n'aurait pas le droit de me demander de révéler tous mes emplois précédents. Si la demande concerne la santé, on pourrait poser certaines questions liées à ma santé, et je devrais divulguer l'information afin de bénéficier du programme, mais je ne vois pas en quoi il est plus restrictif de fonder ce critère sur la Charte. À mon sens, on semble exclure bien d'autres éléments que les dispositions de la Charte.

    Il y a peut-être quelque chose que je ne comprends pas.

    On peut établir un critère juridique qui va au-delà des dispositions de la Charte. La Charte énonce les droits qui doivent être respectés, mais on peut appliquer un critère juridique qui va au-delà de ces droits.

    Pour ce qui est des recours, dans un tel cas, il faut déposer une plainte auprès du commissaire à la protection de la vie privée, qu'on invoque une disposition constitutionnelle...

    Je ne comprends tout simplement pas pourquoi il est plus restrictif de rattacher le critère de nécessité à la Charte, qui est déjà en vigueur, que de le rattacher à la nature d'un programme et à l'information qu'il faut obtenir pour ce programme. Il me semble que c'est plus restrictif. Tant qu'il respecte les droits garantis par la Charte, le gouvernement peut demander cette information.

    Me comprenez-vous? On fait valoir que le critère de nécessité fondé sur la Charte est plus restrictif. Je ne vois tout simplement pas comment cela peut être plus restrictif que de dire « Vous pouvez demander seulement les renseignements dont vous avez besoin pour mettre en oeuvre le programme. » Il me semble que cela est plus restrictif. Y a-t-il quelque chose que je ne comprends pas? Comment un critère fondé sur la Charte peut-il être plus restrictif qu'un critère fondé sur les renseignements qui sont absolument nécessaires pour mettre en oeuvre le programme?

    La Charte est plus générale. J'hésite un peu à essayer d'interpréter l'argument de quelqu'un d'autre, dont j'ai pris connaissance uniquement en lisant la transcription, et ce une seule fois. J'ai trouvé cela intéressant, mais il faudrait que j'examine cet argument de plus près. Je peux parler de la Colombie-Britannique, car nous avons un critère de nécessité qui fonctionne bien.

    Je crois que d'amener la Loi sur la protection des renseignements personnels au niveau auquel on s'attendrait de nos jours, en incluant la recommandation du commissaire, serait une bonne chose.

    Je vous remercie beaucoup, chers collègues.

    Je remercie nos témoins pour leur présence aujourd'hui.

    Je vous remercie, monsieur Gogolek, d'avoir comparu à nouveau, et je remercie M. Karanicolas d'avoir comparu pour la première fois au nom de son organisme, le CLD.

    Je crois que nous aurons l'occasion de faire appel à vous ou à vos organismes lorsque nous examinerons d'autres lois qui relèvent de la compétence du Comité. Nous vous remercions beaucoup d'avoir pris le temps de comparaître devant nous.

    Chers collègues, il y a certaines choses dont je dois discuter avec vous. Il y a notamment la disponibilité des témoins que nous avons invités à comparaître au sujet d'une autre étude. J'aimerais protéger les renseignements personnels de certains de ces témoins, alors j'aimerais que quelqu'un propose que nous passions à huis clos.

    Une voix: Je le propose.

    (La motion est adoptée.)

    Le président: Nous allons faire une pause de quelques secondes pour que nous puissions passer à huis clos. Je veux que nous reprenions sans tarder, car il ne nous reste que quelques minutes. Je vous remercie.

    [La séance se poursuit à huis clos.]