Passer au contenu Début du contenu

ETHI Réunion de comité

Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.

Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Publication du jour précédent Publication du jour prochain
Passer à la navigation dans le document Passer au contenu du document






Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique


NUMÉRO 122 
l
1re SESSION 
l
42e LÉGISLATURE 

TÉMOIGNAGES

Le mardi 23 octobre 2018

[Énregistrement électronique]

  (1140)  

[Traduction]

    Bienvenue à tous à la 122e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Conformément au sous-alinéa 108(3)h)(vii) du Règlement, nous étudions l'atteinte à la sécurité des renseignements personnels associée à Cambridge Analytica et Facebook.
    Aujourd'hui, nous recevons encore une fois M. Colin McKay, de Google Canada.
    Allez-y. Vous avez 10 minutes.
    Merci beaucoup, monsieur le président, mesdames et messieurs. Je vous remercie de m'avoir invité à comparaître aujourd'hui pour pouvoir parler à nouveau de ces sujets importants.
    Chez Google, nous sommes déterminés à nous assurer que nos utilisateurs se voient offrir des choix, de la transparence et des mesures de contrôle. Ces valeurs sont intégrées à chaque produit que nous créons. Nous créons des produits qui s'adressent à tout le monde, et la plupart d'entre eux sont gratuits.
    La protection des renseignements personnels s'adresse aussi à tout le monde, et elle devrait être simple à comprendre et à contrôler. Chez Google, nous combinons une technologie de pointe et des données afin de créer des produits et des services qui améliorent la vie des gens, aident à faire croître l'économie et rendent le Web plus sécuritaire. Avec nos partenaires, nous nous efforçons de relever de grands défis et de favoriser les percées scientifiques.
    Nous comprenons que nos utilisateurs nous font confiance pour ce qui est de communiquer des renseignements à leur sujet, ce qui nous permet de créer de meilleurs produits, de les servir et d'améliorer leur vie, mais nous savons aussi que cela s'accompagne d'une grande responsabilité. C'est pourquoi nous le faisons en utilisant de solides pratiques en matière de protection des renseignements personnels et de sécurité.
    Avant de faire le point sur les travaux importants que nous avons réalisés depuis que j'ai comparu devant le Comité en mai, j'aimerais décrire brièvement les quatre piliers essentiels qui sous-tendent la façon dont Google choisit de protéger les données des utilisateurs — la transparence, le contrôle, la portabilité des données et la sécurité.
    Premièrement, par rapport à la transparence, notre approche à l'égard de la protection des renseignements personnels découle directement de notre mission fondatrice, c'est-à-dire organiser l'information du monde et la rendre accessible et utile au monde entier. C'est pourquoi nous créons des produits pour tout le monde. Le fait de fournir la plupart de nos produits gratuitement est une partie essentielle de la réalisation de cette mission. La publicité nous aide à rendre cela possible. Pour ce qui est de la publicité, comme de tous nos produits, les utilisateurs s'attendent à ce que nous gardions confidentiels leurs renseignements personnels et que nous leur en laissions la garde.
    Nous ne vendons pas de renseignements personnels. C'est vraiment important. Je tiens à répéter ce point: nous ne vendons pas de renseignements personnels. Nous nous efforçons d'être francs par rapport aux données que nous recueillons, à la raison pour laquelle nous les recueillons et à la façon dont nous les utilisons. Cela commence par une conception de produits intuitive; nous nous assurons que notre politique en matière de protection des renseignements personnels est claire et concise et nous nous efforçons de rendre les mesures de contrôle de protection de la vie privée immédiatement accessibles à partir de la politique sur la protection des renseignements personnels. Nous cherchons aussi des façons d'ajouter de la transparence directement à nos produits, de sorte que les utilisateurs puissent comprendre les conséquences de leurs choix sur la protection des renseignements personnels en contexte, depuis la façon de partager des documents dans Google Drive jusqu'au fait de comprendre pourquoi on voit encore certaines annonces.
    Deuxièmement, en ce qui a trait au contrôle utilisateur, nos outils relatifs à la protection des renseignements personnels sont conçus pour tout le monde. Des gens différents ont des idées différentes au sujet de la protection des renseignements personnels, donc nous devons créer des outils en gardant cela à l'esprit. Notre « Compte Google » réunit ces paramètres de confidentialité et de sécurité dans un même endroit, et il est donc facile de trouver et de définir les préférences.
    J'aimerais attirer votre attention sur nos outils Security Checkup et Privacy Checkup dont nous faisons régulièrement la promotion auprès de nos utilisateurs. Ces outils aident les utilisateurs à recenser et à gérer les applications qui ont accès aux données de leur Compte Google et les guident afin qu'ils puissent examiner et modifier leurs paramètres de sécurité et de confidentialité, comme supprimer leur activité Google, désactiver des annonces personnalisées ou télécharger une copie de leurs informations.
    Troisièmement, nous croyons que la portabilité est une manière essentielle de stimuler l'innovation, de faciliter la compétition et de mieux servir nos utilisateurs. C'est pourquoi nous y travaillons depuis plus de 10 ans. Si un utilisateur souhaite essayer un autre produit ou service ou même passer à un tel produit ou service, il devrait pouvoir le faire aussi facilement que possible et ne pas être enfermé dans un service. En 2011, nous avons lancé Google Takeout, qui permet aux utilisateurs de télécharger leurs données de Google et de les utiliser avec un service différent. Nous avons annoncé une mise à jour importante de ce service cette année: il s'agit du projet de transfert de données, que nous avons conçu et sur lequel nous travaillons maintenant avec des partenaires importants de l'industrie afin de faciliter le transfert entre les services.
    Quatrièmement, les considérations de sécurité sont primordiales dans l'ensemble de ces efforts. Il est essentiel de sécuriser l'infrastructure qui fournit les services Google, à la lumière de la nature croissante et complexe de nombreuses menaces dirigées vers nos services et nos utilisateurs. Les produits de Google sont construits de telle sorte qu'ils intègrent de solides mesures de protection de sécurité, y compris des efforts continus pour bloquer un éventail de menaces à la sécurité. Nous rendons accessible gratuitement à d'autres fournisseurs technologiques la technologie comme la navigation sécuritaire. Cela aide à protéger les utilisateurs d'Internet qui utilisent ou non des services de Google.
    Cela dit, notre travail de protection des renseignements personnels n'est jamais terminé. Nous essayons d'apprendre de nos erreurs et nous ne tenons pas pour acquis notre réussite. Nous nous efforçons d'être les meilleurs de notre catégorie et d'élever continuellement la barre pour nous-mêmes et pour l'industrie.
    L'étude que mène actuellement le Comité découle de l'atteinte à la sécurité des renseignements personnels associée à Cambridge Analytica, atteinte que Facebook a été la première à signaler plus tôt cette année. Lorsque cette nouvelle a éclaté, Google s'est proactivement lancé dans l'analyse de ses produits et de ses services afin d'améliorer davantage la protection des renseignements personnels de ses produits, particulièrement ceux liés à l'accès des développeurs à ses données. Jusqu'à présent, cet effort, le « projet Strobe », comme on le connaît à l'interne chez Google, a donné lieu à plusieurs indications et mesures importantes au sujet de nos plateformes. D'autres s'en viennent. Nous en avons annoncé un peu plus tôt ce mois-ci, mais dans le but de renseigner le Comité au sujet de ce qui s'est passé depuis notre dernière discussion, permettez-moi d'offrir un bref aperçu des mesures que nous avons récemment prises.
    La première mise à jour concerne les autorisations liées aux applications. Nous avons annoncé plus tôt ce mois-ci une mise à jour qui décrit comment les consommateurs pourront maintenant exercer un contrôle plus précis par rapport aux données de compte qu'ils choisissent de partager avec chaque application.

  (1145)  

    Nous avons lancé un plus grand nombre d'autorisations précises dans le Compte Google qui feront apparaître des boîtes de dialogue individuelles lorsque vous téléchargerez une application et lorsque celle-ci sera mise à jour.
    Les gens veulent obtenir des mesures de contrôle précises par rapport aux données qu'ils partagent à l'aide d'applications; donc, plutôt que de montrer toutes les autorisations requises sur un seul écran, ces applications devront vous montrer chaque autorisation demandée, une à la fois, dans sa propre boîte de dialogue. Par exemple, si un développeur demande à avoir accès aux entrées de calendrier et aux documents de Google Drive, vous serez en mesure de choisir de partager l'une de ces choses, mais pas l'autre.
    La deuxième mise à jour concerne Gmail. Nous comprenons que, lorsque les utilisateurs accordent l'accès à leur Gmail à des applications, ils le font en ayant en tête certains cas d'utilisation. Nous limitons les types d'applications qui peuvent demander accès à Gmail à celles qui rehaussent directement la fonctionnalité du courriel, comme les services de multipostage ou d'envoi différé d'un message.
    De plus, ces applications devront approuver les nouvelles règles concernant la gestion des données de Gmail et seront soumises à des évaluations de sécurité. Les gens peuvent toujours examiner et surveiller les applications qui ont accès aux données de leur Compte Google, y compris Gmail, qui fait partie de notre outil Security Checkup.
    La troisième mise à jour concerne la restriction des applications qui peuvent demander un registre d'appel et des autorisations d'envoyer ou de recevoir des SMS sur les appareils Android. Quand les utilisateurs accordent des autorisations liées aux SMS, aux contacts et au téléphone à des applications qui utilisent Android, ils le font en ayant en tête certains cas d'utilisation.
    Nous limitons maintenant la capacité des applications de recevoir un registre d'appel et des autorisations liées aux SMS sur les appareils Android et ne rendons plus accessibles les données sur l'interaction entre les contacts par l'intermédiaire de l'interface de programmation d'application des contacts d'Android. Bon nombre d'applications, de services et de sites Web de tiers s'ajoutent à nos divers services afin d'améliorer le téléphone, la vie professionnelle et l'expérience en ligne de tous. Nous sommes très en faveur de cet écosystème actif, mais nous comprenons que son succès passe par le fait que les utilisateurs sachent que leurs données sont en sûreté et qu'on fournisse des lignes directrices et des outils clairs aux développeurs.
    Depuis le dégroupage des autorisations montrées aux utilisateurs lorsqu'ils décident de donner accès à leurs données sensibles jusqu'au fait d'exiger des développeurs qu'ils apportent des améliorations au chapitre de la sécurité, en passant par le fait de limiter l'accès des développeurs à Gmail, nous continuons de faire de la sécurité des données une priorité essentielle tout en soutenant une vaste gamme d'applications utiles.
    Lorsqu'il s'agit de protéger leurs données et de leur donner davantage de contrôle sur leurs données, les consommateurs canadiens et les entreprises canadiennes comptent sur nous. Les outils de recherche de Google aident les Canadiens à trouver des renseignements, des réponses et même des emplois, et nos produits de publicité aident les entreprises canadiennes à communiquer avec les consommateurs et les clients de partout dans le monde.
    Cela m'amène à une autre mise à jour effectuée depuis ma dernière comparution devant le Comité. En septembre, Deloitte a publié un rapport qui examinait les répercussions économiques de la recherche sur Google et des annonces de Google sur les entreprises canadiennes. Deloitte a estimé que nos services d'annonces soutenaient une activité économique de ces entreprises et de ces partenaires qui se chiffrait entre 10,4 et 18,5 milliards de dollars, ce qui se traduit par l'équivalent de 112 000 à 200 000 emplois à temps plein. L'écosystème Android au Canada a aidé à générer 1,5 milliard de dollars de revenus au sein de l'économie des applications du Canada, ce qui a permis de soutenir 69 000 emplois.
    Le Web est au coeur de la croissance économique, tant ici, au Canada, que dans le monde. C'est pourquoi Google investit dans la création de produits et de services qui aident les entreprises, les entrepreneurs, les organisations sans but lucratif, les développeurs, les créateurs et les étudiants à réussir en ligne. Des centaines de milliers de Canadiens utilisent les outils de Google pour faire croître les entreprises et les publics mondiaux, et nous sommes fiers de soutenir les entreprises canadiennes afin qu'elles puissent tirer le meilleur parti du Web.
    Chez Google, nous demeurons déterminés à poursuivre l'élaboration de produits et de programmes pour permettre à tout le monde de saisir cette occasion.
    Notre travail de protection des renseignements personnels et de sécurité n'est jamais terminé. Nous continuerons de le faire et nous sommes prêts à faire notre part et à aider à créer un meilleur écosystème pour les Canadiens et les entreprises canadiennes.
    Merci encore une fois de nous avoir donné l'occasion d'être ici aujourd'hui. J'ai hâte de poursuivre avec vous le travail sur ces enjeux importants et je répondrai avec plaisir à toutes vos questions.

  (1150)  

    Merci, monsieur McKay.
    Nous allons commencer par M. Baylis, pour sept minutes.
    Monsieur McKay, merci d'être de nouveau avec nous. Nous vous en sommes très reconnaissants.
    J'ai une question simple. En moyenne, combien de points de données recueillez-vous par utilisateur? En ce qui concerne l'utilisateur moyen, combien de points de données Google détiendrait-il sur cette personne?
    Je ne peux pas vous donner un chiffre exact. Il y a une transparence au sujet des données qui sont associées à vous individuellement, dans votre « Compte Google », les données précises qui intéressent la plupart des Canadiens...
    Google recueille des données sur, disons, Frank Baylis.
    Oui.
    Sauriez-vous combien de points, en moyenne, si j'étais l'utilisateur moyen?
    Je n'ai pas de chiffre exact pour vous.
    Pourriez-vous obtenir ce chiffre?
    Oui, je peux obtenir ce chiffre pour vous.
    Essentiellement, peut-être pourriez-vous m'en dire davantage sur le nombre d'utilisateurs existants et le nombre de points de données, et vous pouvez juste faire la division. C'est un chiffre très simple.
    Oui.
    J'aimerais aussi savoir, depuis que Google Home est arrivé, combien il y a de points de données de plus par utilisateur. Peut-être pourriez-vous aussi nous fournir ce chiffre.
    Google Home est un prolongement des services que vous utilisez déjà. Bon nombre de vos interactions avec Google Home sont semblables à ce que vous avez déjà fait sur votre ordinateur de bureau ou votre portable...
    Faites-vous un suivi de la façon dont les points de données arrivent, que ce soit au moyen d'un téléphone, de Google Home ou d'un moteur de recherche? Faites-vous le suivi, puis lorsque vous détenez ces points de données, comment Google les obtient-il?
    Pas précisément.
    Si vous recherchez de la musique, nous les obtenons si vous êtes abonné à Google Play et...
    Non, je parlais des bureaux administratifs de Google où vous possédez toutes ces données sur nous tous. Savez-vous d'où viennent ces points ou recueillez-vous seulement les données telles quelles?
    Je crains de ne pas avoir de réponse pour vous.
    Je sais qu'il y a une particularité... si vous faites une recherche vocale dans votre Compte Google, on vous dira maintenant quelle était la recherche vocale et on vous en fournira un enregistrement.
    Dans ce cas, pourriez-vous me dire précisément combien de points de données vous détenez en moyenne par personne?
    Vous parlez de contrôle et de transparence. Si je vous disais que je veux abandonner ces données, serait-il possible pour moi de vous demander de ne pas me suivre et d'effacer — je sais que je peux effacer ce que je vois — ce que Google possède à mon sujet? Est-il possible pour moi de dire: « Cessez de me suivre »?
    Oui. Dans votre Compte Google, vous pouvez dire, par type d'information ou par service, que vous voulez qu'on cesse de recueillir des données et que vous souhaitez faire effacer le dossier.
    Puis-je vous demander de supprimer ce que vous avez recueilli?
    Oui.
    Je ne parle pas des données que je peux voir que vous avez recueillies.
    Permettez-moi d'être clair. Ce dont je parle, c'est que dans vos serveurs, dans vos bureaux administratifs, vous possédez des données sur Frank Baylis.
    Oui.
    Ce sont ces données.
    Je sais que vous pouvez dire: « Lorsque vous recueillez des données ici... », mais je parle des données que vous ne supprimez pas quand je dis « Ne me suivez pas », les données que vous gardez tout de même.
    Par rapport à ces données que je souhaite faire éliminer, est-ce que je peux le faire?
    Si vous nous dites que vous voulez que nous supprimions votre compte et éliminions les données qui y sont associées, nous le faisons.
    Ce n'est pas le Compte Google non plus...
    Je tiens à être très précis. Vous disposez de points de données sur Frank Baylis, et je ne veux pas que vous me suiviez du tout, pas dans l'avenir, pas à reculons, pas latéralement.
    En ce qui concerne les données que vous avez conservées à mon sujet, est-il possible pour moi de...? Vous n'avez peut-être pas la réponse en ce moment, mais pourriez-vous aller demander à votre personnel technique: « Comment puis-je, par choix, éliminer cela? »
    La raison pour laquelle je parle précisément de votre compte, c'est qu'il est présenté de telle façon que nous savons qu'il est associé à une personne, peu importe comment elle s'appelle.
    Je sais ce qu'est mon Compte Google et je sais comment j'interagis avec lui par rapport à ce que je vois que vous obtenez comme renseignements à mon sujet. Il y a une différence entre ce que je vois que vous obtenez à mon sujet et ce que vous continuez néanmoins d'obtenir.
    Je suis surtout inquiet par rapport à ce que vous continuez d'obtenir à mon sujet, peu importe ce que je dis dans mon Compte Google. C'est ce que je vous demande.
    J'essaie de répondre.
    Les données dont nous disposons, que nous associons à vous en tant que personne, sont représentées dans le Compte Google. Votre décision de dire: « Cessez de me suivre et supprimez cette information » est exercée par l'intermédiaire du Compte Google.
    Je sais cela. Cela me permet de savoir que vous avez éliminé ce que je vois que vous avez obtenu sur moi. Cela ne — et corrigez-moi si j'ai tort, et vous n'avez pas besoin de répondre maintenant — vous force pas à éliminer ce que vous possédez et continuez de recueillir ailleurs sur moi dans vos propres serveurs.
    Cela m'amène précisément à ma prochaine question que vous pourriez aussi examiner.
    Au fil des ans, vos conditions d'utilisation ont changé. À mon avis, cela vous a permis de recueillir un nombre de plus en plus élevé de données et de changer la façon dont vous recueillez ou éliminez ou non des données quand vous choisissez de le faire.
    Pourriez-vous nous donner... et je ne m'attends pas à ce que vous le fassiez... une liste de toutes les fois où les conditions d'utilisation ont changé et nous dire comment cela a précisément permis de renforcer votre capacité de saisir des données?
    Je ne peux pas vous donner une liste exacte aujourd'hui, mais pour répondre à votre question, les changements apportés aux conditions de service et à la politique sur la protection des renseignements personnels ont reflété le fait que nos utilisateurs ont demandé à obtenir plus de détails quant à la façon dont nous recueillons des données et ont demandé à obtenir plus de détails quant à la façon dont ils peuvent accéder à de l'information au sujet des données et à la façon dont c'est utilisé.
    L'intention, c'est la clarté et la transparence.
    Dites-vous que vous ne les avez jamais changées afin de vous donner une plus grande latitude, qu'aucun des changements qui se sont produits ont donné à Google plus de latitude pour ce qui est de recueillir et de conserver des données?
    Certains changements qui ont été mis en place visaient à ce que l'information que nous échangions entre les services de Google... pour que nous puissions vous fournir de meilleurs services, mais cela a été communiqué de manière transparente également.
    Ce n'est jamais une question de tromper ou d'essayer de cacher l'utilisation des données. En fait, les changements ont toujours été trop descriptifs.
    Pourriez-vous parler précisément des changements qui vous ont donné plus de latitude?
    Les questions que je pose concernent toutes la quantité de données que vous recueillez, lorsque vous devez réellement les éliminer — et pas simplement du Compte Google, mais de vos propres serveurs — et comment vos conditions d'utilisation ont évolué pour vous permettre de recueillir et de conserver plus de données, peu importe si je demande au Compte Google de les supprimer ou non.
    Ma dernière question pour cette ronde-ci concerne le routage boomerang. Cela vous dit-il quelque chose?

  (1155)  

    Le terme ne me dit rien. Non.
    Disons que je suis à Toronto et que je veux envoyer un autre courriel ou quelque chose à Toronto; plutôt que de passer par le réseau à Toronto, ce pourrait être acheminé par les États-Unis.
    D'accord.
    Connaissez-vous cet enjeu, dans ce cas?
    Oui.
    Google a-t-il déjà conclu avec des entreprises des contrats selon lesquels elles doivent suivre le routage de Google? Essentiellement, lorsque mes données passent par les États-Unis, toutes mes données peuvent être saisies. Je n'ai pas de droits, car je ne suis pas citoyen américain.
    J'ai de grandes préoccupations par rapport au fait que nos données sont saisies de cette façon. Selon mes lectures — et vous pouvez me corriger si j'ai tort — Google oblige parfois les gens, par contrat, à acheminer des choses par les États-Unis de manière à ce qu'ils puissent recueillir des données.
    Je ne veux pas parler des contrats particuliers qui renferment cette obligation. Je sais que des contrats avec nos utilisateurs commerciaux essaient d'établir ce comportement avec leurs propres données. C'est un contrat entre des entités. Le principe sous-jacent de ce routage repose sur l'efficacité et la fiabilité du réseau.
    Ma préoccupation, c'est...
    Cela a un effet boomerang, de sorte que ça se retrouve sur plusieurs routes.
    Ma préoccupation concerne la protection des données. Je pose une question très précise. Vous n'avez pas à fournir la réponse tout de suite. Google a-t-il imposé des règlements à l'égard du routage, de telle sorte qu'il n'aurait pas nécessairement à passer par les États-Unis? Par exemple, si j'envoie un courriel de Toronto qui s'en va à Toronto, j'ai juste besoin de suivre cette route-là. Je n'ai pas besoin de passer par Chicago et de rebondir par Détroit avant de revenir. Ce n'est pas efficace, mais ça l'est si vous voulez recueillir des données, parce que cela amène mes données à un endroit où je n'ai aucun contrôle.
    Je vous pose précisément la question suivante: Google a-t-il conclu des contrats qui obligent un tel routage et qui en dicte le type?
    Merci, monsieur Baylis.
    Le prochain est M. Kent, pour sept minutes.
    Merci, monsieur le président, et merci, monsieur McKay, de vous joindre à nous à nouveau.
    D'abord, j'aimerais dire que j'estime que le moteur de recherche de Google est le moteur de recherche le plus important au monde. Je l'ai utilisé dans ma vie précédente de journaliste, au milieu des années 1990. Je l'utilise chaque jour des douzaines de fois et je crois que les avantages de ce modèle de recherche de Google sont, à bien des égards, inestimables.
    Dans les derniers jours, nous avons appris qu'il y a un côté obscur aux engagements et aux positions stratégiques de Google, même en ce qui concerne une contradiction entre votre dernière comparution ici et votre comparution d'aujourd'hui. Le 10 mai, on vous a posé la question suivante:
Y a-t-il eu des atteintes à la sécurité des données dans les bases de données de Google comparativement à ce qui s'est passé avec Facebook?
    Vous avez répondu ceci:
D'après ce que nous savons, non.
    Aimeriez-vous corriger le tir maintenant? Étiez-vous bien au courant de ce fait à l'époque? Nous comprenons que Google a su pendant trois ans qu'il y avait eu une grave atteinte aux données de Google et que les mesures prises plus tôt, en mars, visaient simplement à mettre un terme à cela par crainte de comparaison avec l'atteinte de Facebook.
    Je crois que vous parlez de l'annonce concernant Google Plus.

  (1200)  

    C'était Google Plus, oui.
    Plus tôt cette année, au moment même où est parue l'histoire de Facebook et Cambridge Analytica, nous avons lancé un processus interne pour vérifier si nos API et nos processus internes de protection des données permettaient des manquements semblables au chapitre de la communication de l'information.
    Dans le cadre de ce processus, ce que nous avons découvert, c'est qu'il y avait un bogue dans Google Plus, pas une atteinte. Le bogue permettait à des applications qui avaient accès aux données publiques d'un utilisateur — des données qu'il avait choisi de partager sur son profil — d'accéder à des éléments de ces données pour lesquels l'utilisateur n'avait pas nécessairement donné son autorisation. Cela permettait aussi à l'application d'accéder à de l'information que l'utilisateur avait communiquée à un ami dans ce même sous-ensemble de données.
    Étant donné que Google Plus a été conçu comme outil de protection des renseignements personnels, nous avons des registres très limités au sujet de ce qui est disponible concernant le comportement sur Google Plus. Nous ne tenons pas un registre de ce que nos utilisateurs font sur Google Plus. Nous avons eu deux semaines pour évaluer si les développeurs étaient au courant ou non de ce bogue au sein de l'API et s'ils pouvaient accéder à cette information additionnelle, s'ils avaient pris des mesures à cet égard et si de l'information avait été recueillie. Notre bureau interne de protection des données s'est penché là-dessus et n'a pu trouver aucune donnée probante selon laquelle on était au courant de l'existence du bogue ou du fait que les données avaient été mal utilisées, ou encore qu'on y avait accédé.
    Après cette découverte, on a évalué les préjudices et on s'est demandé si on devait ou non aviser les utilisateurs de l'existence de ce bogue et de la possibilité que cela se produise avait existé. Ce qu'on a conclu, c'est qu'il n'y avait aucun signe selon lequel des développeurs avaient accédé à de l'information, à ce bogue. Rien n'indiquait que des renseignements avaient été communiqués de façon imprévue. De plus, il n'y avait vraiment aucune façon d'aviser les développeurs de changer leur accès aux données, car dès que nous avons découvert le bogue, nous avons corrigé la situation.
    De plus, par rapport au fait d'aviser les utilisateurs, nous ne pouvions pas non plus cerner un ensemble d'utilisateurs qui avait été touché par le bogue, parce qu'il n'y en avait aucun dans les données qui nous étaient accessibles. Par conséquent, nous ne pouvions pas les aviser d'un comportement qui changerait tout préjudice possible attribuable à ce bogue. Rien ne justifiait la décision.
    Examinons maintenant un autre membre de la famille Google, le projet controversé Sidewalk Labs avec Waterfront Toronto.
    Il y a moins d'une semaine, Ann Cavoukian, qui est reconnue comme une des principales autorités mondiales sur la protection des renseignements personnels et sur les vulnérabilités connexes, a démissionné de son poste de conseillère. Elle a dit que l'engagement de Sidewalk Labs selon lequel les données personnelles seraient anonymisées dans ses divers projets... Nous en savons encore peu par rapport à ce que ces projets pourraient ou non être. Elle ne croyait pas que les données seraient, en fait, anonymisées, et que les données personnelles seraient protégées.
    Pourriez-vous vous prononcer à ce sujet?
    Malheureusement, je suis ici au nom de Google Canada. Sidewalk est une entreprise indépendante qui relève d'Alphabet, donc je ne peux pas parler de ses plans ou de ses annonces.
    Assurément, au sein de la même grande entreprise, la participation de cette entreprise dont vous parleriez...
    Évidemment, il doit y avoir des engagements semblables à l'égard de la protection des données. Ces engagements ont été pris chez Sidewalk Labs, comme vous l'avez fait encore une fois avec nous aujourd'hui.
    Je ne peux pas parler du processus de réflexion de l'entreprise, de sa façon de définir la protection des données dans le projet qu'elle élabore. Bien que nous appartenions aux mêmes intérêts, elle est indépendante et elle entreprend un projet très différent de ce que Google Canada entreprend.
    Vous comprenez la préoccupation soulevée lors de la réunion du Comité depuis qu'a éclaté le scandale liant Cambridge Analytica, Facebook et AggregateIQ. On parle énormément du fait que les prétendus monopoles de données, les grandes sociétés technologiques, sont surtout américains et que leurs filiales dans le monde sont très souvent assujetties aux politiques d'exploitation de ces entreprises.
    J'aimerais revenir encore une fois à votre société soeur, Sidewalk Labs. Jim Balsillie, qui n'est pas un petit joueur dans le monde numérique qui évolue rapidement, a dit de Sidewalk Labs que ce n'était pas une ville intelligente. Il a dit ceci:
C'est une expérience colonisatrice de capitalisme de surveillance qui tente d'orienter de force des enjeux urbains, civiques et politiques importants. Parmi toutes les stratégies d'innovation mal avisées que le Canada a lancées au cours des trois dernières décennies, cette soi-disant ville intelligente est non seulement la plus bête, mais aussi la plus dangereuse.
    Vous avez sûrement quelques commentaires, d'un point de vue d'entreprise, par rapport à une telle affirmation.

  (1205)  

    Il y a une raison précise pour laquelle Sidewalk est une entreprise indépendante qui a un mandat très différent et se comporte de façon très différente. C'est qu'elle exerce des activités indépendamment de Google, en ce qui concerne tant la protection des données que sa façon de concevoir des produits à Toronto.
    Je n'ai pas d'avis sur la façon dont Sidewalk mène ses activités. On ne dresse des parallèles que parce qu'une conversation se tient à l'échelle mondiale au sujet de la protection des données et de la protection des renseignements personnels, ainsi que du développement des régions urbaines et rurales.
    Qu'est-ce que Google Canada penserait de la création d'une législation qui englobe certains des éléments du règlement général sur la protection des données, le RGPD, de l'Union européenne?
    C'est quelque chose que nous avons abordé dans ma rencontre précédente.
    Du point de vue de Google, nous avons déjà mis en place les mesures nécessaires pour nous conformer au règlement général sur la protection des données. À l'interne, les ingénieurs ont déjà consacré des centaines d'années de travail à cette transition.
    Si vous deviez présenter ces propositions et cette législation, nous participerions au processus législatif. Nous fournirions nos commentaires. Au final, nous examinerions un paysage que nous connaissons bien et auquel nous nous conformons déjà en Europe.
    Le défi auquel fait face le Canada, c'est que, dans une grande mesure, le prolongement du RGPD créerait de plus grandes obligations en matière de conformité pour les petites et moyennes entreprises. Elles ressentent déjà — et pas seulement ici, au Canada, aux États-Unis et en Asie, mais aussi en Europe — le stress lié au fait de comprendre leurs obligations en vertu du RGPD, donc c'est quelque chose à ne pas oublier.
    De notre point de vue, comme je l'ai dit, c'est une conversation élargie sur la protection des données.
    Il y a un an, un cadre de Facebook a dit au Comité que le règlement viendrait en fait décourager d'autres investissements de Facebook au Canada.
    Serait-ce la même chose avec Google?
    Pour notre part, nous sommes extrêmement heureux des occasions qui sont offertes au Canada, en ce qui concerne pas juste l'entreprise, mais aussi la croissance des équipes d'ingénieurs et l'investissement dans l'écosystème d'innovation du Canada. Les conversations sur l'aspect réglementaire sont nuancées, mais nous ne voudrions pas généraliser.
    Merci, monsieur Kent.
    Le prochain, pour sept minutes, est M. Angus.
    Merci, monsieur McKay, d'être revenu.
    Lorsque Sidewalk Labs a été annoncé, le premier ministre a dit qu'il discutait depuis un certain nombre d'années de cette idée d'une ville intelligente avec Google. Comment ont commencé les conversations entre le cabinet du premier ministre et Google par rapport au fait d'aller de l'avant avec une initiative sur les villes intelligentes?
    Je ne suis pas sûr. Je crois que ces conversations... Il doit faire allusion au leadership d'Alphabet lorsqu'il a parlé de Google, et d'Alphabet même. Sidewalk Labs a été explicitement conçu pour entreprendre des projets comme celui-là.
    Eric Schmidt a dit que Google voulait que « quelqu'un leur donne une ville » depuis un certain temps et « les mette aux commandes ». Sidewalk Labs correspondrait-il à ce modèle de ville dont Google serait aux commandes?
    J'ai aussi entendu ces commentaires d'Eric Schmidt et je crois qu'il généralisait une intention plus large de voir comment la technologie pourrait servir à améliorer et à mettre en valeur une zone urbaine.
    Ensuite, il a dit que la réalisation de ce projet nécessiterait d'« importantes exemptions au regard des lois et des règlements existants ». Je n'ai jamais vu de promoteur d'un plan d'aménagement immobilier riverain venir dire qu'il voulait être exempté de l'application des lois canadiennes. À la lumière des commentaires d'Eric Schmidt, pourriez-vous nous dire ce qui est assez important, pour Google, pour l'exempter de l'application des lois afin de permettre à des projets sur des villes intelligentes d'aller de l'avant?
    Je ne peux pas parler en détail des intentions de Sidewalk Labs. Je peux présenter des observations au sujet de l'évolution des télécommunications au Canada, du chemin de fer et de l'accès Internet où...
    Ce n'est pas ce dont nous parlons. Nous parlons d'Eric Schmidt, fondateur de Google, qui a dit que la réalisation de ce projet nécessitait que le gouvernement exempte Google des lois et des règlements existants. Quels seraient ces lois et ces règlements? Tout le monde doit respecter les lois. Pourquoi pas Google?
    Je ne suis pas dans le secret des plans et des conversations de Sidewalk Labs, donc je ne peux pas me prononcer à ce sujet.
    D'accord, mais c'est bien Eric Schmidt qui le dit, n'est-ce pas?
    Je crois que j'ai lu le même article de journal que vous.
    Il était le PDG, pas le fondateur.

  (1210)  

    Désolé. Je ne connais pas très bien les organigrammes.
    J'aimerais poser plus de questions sur cette idée, parce que vous parlez de transparence. Si le premier ministre s'entretenait depuis un certain nombre d'années avec Google sur ce plan, l'idée était-elle de soumettre ce projet à un appel d'offres concurrentiel ou bien allait-il s'agir d'un projet et d'une expérience pour Google dans le secteur riverain de Toronto?
    Encore une fois, je ne peux pas parler du processus du premier ministre, mais je pensais en fait que Waterfront Toronto avait présenté une demande d'information qui était un processus concurrentiel.
    En ce moment, l'immobilier à Toronto est plus cher qu'à Brooklyn. Sidewalk Labs obtient 12 acres de certaines des zones immobilières de plus grande valeur en Amérique du Nord. Les gens vont s'impatienter; pourtant, dans la demande d'information concernant ce projet, on parlait de 40 jours. Personne ne pouvait compétitionner dans un délai de 40 jours pour obtenir ces terrains, mais si Google avait déjà abondamment discuté, je dirais que la question était réglée. Ce serait certainement dans l'intérêt organisationnel de Google d'obtenir accès à cet important lotissement immobilier, n'est-ce pas?
    Vous devriez vous entretenir avec Waterfront Toronto pour connaître le nombre de manifestations d'intérêt qu'il a reçues par rapport à la DI.
    D'accord, mais ne croyez-vous pas que 40 jours seraient... Je veux dire, vous alliez construire une ville intelligente. Vous alliez y installer de la haute technologie. C'est quelque chose qui allait prendre 15 ou 20 ans, selon Dan Doctoroff. Croyez-vous que quiconque serait en mesure de le faire en 40 jours? Ce serait un peu ridicule de penser que quiconque, mis à part Google, serait en mesure de compétitionner, n'est-ce pas? J'essaie de comprendre comment ces mégaprojets sont faits.
    Malheureusement, je ne peux pas parler de ce que Waterfront Toronto savait ou ne savait pas et de ce qui a alimenté son processus décisionnel.
    Nous avons bien sûr pris connaissance de la démission d'Ann Cavoukian, qui mérite beaucoup de respect, je crois. Saadia Muzaffar, qui a démissionné, a dit que ce projet révèle « un désintérêt manifeste à l'égard des préoccupations des résidents au sujet des données et de l'infrastructure numérique. Il n'y a rien de novateur au sujet de la construction d'une ville qui prive ses résidents de façon insidieuse et vole de l'argent durement gagné dans les budgets publics... »
    Cela se reflète sur Google. Croyez-vous qu'il existe une meilleure façon de dialoguer avec le public sur un projet qui est incroyablement utile sur le plan de l'immobilier, mais aussi un symbole de ce que Google a en tête?
    Le fait que nous ayons cette conversation aujourd'hui signifie que cela se reflète sur Alphabet et les sociétés soeurs, y compris Google. Toutefois, selon ce que j'ai vu comme spectateur, Waterfront Toronto et Sidewalk Labs Toronto dialoguent publiquement sur ces enjeux. Cela fait partie de ce dialogue.
    Lorsque le plan a été présenté... Nous parlons de gouvernance immobilière, et je sais que ce n'est pas votre domaine d'expertise, mais lorsque le plan a été présenté au comité immobilier de Waterfront Toronto, on lui a dit qu'il ne s'agissait pas seulement de 12 acres: il s'agissait éventuellement de l'ensemble des terrains du port, des terrains immobiliers d'une incroyable valeur à céder. On a donné au comité trois jours pour examiner la question, mais lorsqu'on a passé au vote, cela a été présenté comme un fait accompli.
    Comment pouvons-nous rassurer le public et lui dire que nous créons une infrastructure de première classe si une quantité importante de terrains immobiliers d'une extrême valeur sont cédés avec si peu de surveillance, et que Google remercie le premier ministre, disant qu'il a cherché une personne qui le mettrait aux commandes d'une ville? Ne croyez-vous pas que Google aurait pu faire un meilleur travail en parlant avec Sidewalk Labs pour faire en sorte que ce projet soit approuvé de façon appropriée?
    Excusez-moi de me répéter, mais c'est un processus décisionnel qui appartient à Waterfront Toronto, et le processus qu'il a suivi était géré par lui.
    Apparemment, il a choisi un tout nouveau comité pour gérer les affaires immobilières, à l'extérieur du comité qui sonnait l'alarme.
    Enfin, je vais parler de propriété intellectuelle.
    On dit que les contrats de Sidewalk Labs sont structurés avec des consultants et des fournisseurs, de telle sorte que Sidewalk, Alphabet et Google posséderont la propriété intellectuelle ou auront accès à toute licence libre de redevances du monde entier qui est conçue à partir de ce projet.
    Est-ce dans l'intérêt du public ou sera-t-il dans l'intérêt d'Eric Schmidt, de Google et d'Alphabet d'avoir ce type de contrôle de la propriété intellectuelle par rapport à tout ce qui est élaboré à partir d'un projet public?
    J'ai vu le même rapport que vous, mais je n'ai pas participé au processus et je n'ai pas vu les documents.
    Avez-vous demandé à les voir? Vous êtes le porte-parole de Google. Vous donne-t-on des renseignements sur ce genre de choses?
    Comme je l'ai dit, Sidewalk Toronto est une entreprise indépendante qui poursuit ses propres activités et travaille indépendamment avec le gouvernement.
    Merci.
    Merci, monsieur Angus.
    Le prochain est M. Erskine-Smith, pour sept minutes.
    Vous avez déjà travaillé pour la commissaire à la protection de la vie privée, n'est-ce pas?

  (1215)  

    Oui.
    En quelle année avez-vous travaillé pour elle?
    De 2007 à 2010.
    Je crois que c'était un peu avant là où je voulais en venir. En 2013 — et j'aimerais poser quelques questions de plus, mais il y a quelque chose qui me dérange, et je n'ai pas posé la question lorsque vous étiez ici la dernière fois — lorsque Jennifer Stoddart était la commissaire à la protection de la vie privée, elle a formulé quelques recommandations clés concernant la réforme de la LPRPDE. L'une d'elles, c'était d'exiger des organisations qu'elles divulguent publiquement leur coopération concernant le partage de renseignements avec les gouvernements.
    Vous n'aurez pas ces renseignements aujourd'hui, mais l'alinéa 7(3)c.1) de la LPRPDE prévoit qu'une organisation peut communiquer au gouvernement, à l'insu de l'intéressé ou sans son consentement, que de l'information a été communiquée.
    Pourriez-vous dire au Comité combien de fois Google a communiqué ces renseignements au gouvernement canadien à l'insu des intéressés ou sans leur consentement, conformément à cette disposition?
    Si vous me donnez précisément cet alinéa, je vais répondre en détail.
    Nous avons un rapport sur la transparence depuis bien avant 2013, et nous en avions certainement un à l'époque où je travaillais au Commissariat à la protection de la vie privée, qui a rendu public le nombre de fois où on nous a demandé des renseignements au sujet de nos utilisateurs, et, fait encore plus important, le nombre de fois où nous avons répondu à l'aide de renseignements, parce que, que ce soit une obligation en vertu de la LPRPDE, ou une obligation en Europe ou ailleurs, nous nous assurons toujours qu'il y a une autorité juridique valide concernant des renseignements spécifiques, puis nous ne rendons accessibles que les renseignements spécifiques concernant une demande faite par un gouvernement ou une autorité chargée de faire appliquer la loi.
    Vous avez mentionné une obligation en vertu de la LPRPDE ou une obligation ailleurs. D'autres personnes ici présentes ont parlé du RGPD, et nous en avons évidemment beaucoup entendu parler.
    Vous vous conformez au RGPD dans l'Union européenne, on peut le présumer, tout comme vous vous conformez ici à la LPRPDE. Cela veut-il dire qu'un Canadien qui utilise des services de Google bénéficie de moins de protection au chapitre de ses renseignements personnels que tout citoyen de l'Union européenne qui utilise les services de Google?
    Un Canadien bénéficie de la protection des données et de la protection des renseignements personnels qui sont décrites dans la loi canadienne.
    C'est ce que je veux dire. Vous ne dites pas que nous devons nous conformer aux règles les plus strictes, et par conséquent, nous allons juste les appliquer de façon générale à tout le monde. Certains diraient que vous réduisez la sévérité des protections des renseignements personnels. Vous vous conformeriez ici à la LPRPDE.
    Établissons la distinction entre la conformité juridique, puis les protections et les services qui sont offerts à un utilisateur.
    En ce qui concerne la conformité juridique, nous avons au Canada des obligations juridiques précises qui doivent être respectées, et c'est le cadre en vertu duquel nous évaluons les demandes d'information. Toutefois, nous avons aussi mis en place des protections en matière de renseignements personnels et de sécurité qui répondent à ces attentes à l'échelle mondiale, ce qui veut dire que, au chapitre de la pratique et de la mise en oeuvre, les utilisateurs voient les plus fortes protections en matière de renseignements personnels et de sécurité dans l'ensemble de nos services.
    C'est là où je veux en venir. Un utilisateur canadien bénéficie-t-il du même degré de protection des renseignements personnels qu'un citoyen de l'Union européenne?
    Oui.
    Dans votre déclaration liminaire, vous avez mentionné en passant la portabilité des données. Nous avons entendu dire que cela pourrait être une réponse aux enjeux liés à la concurrence et aux dispositions antitrust. Nous avons entendu dire que c'est assurément un élément du RGPR.
    D'autres qui sont venus avant vous ont récemment parlé non seulement de la portabilité, mais de l'interopérabilité. Seriez-vous en faveur d'un changement des lois ici, au Canada, pour exiger la portabilité des données et l'interopérabilité?
    Dans ma déclaration liminaire, j'ai parlé du projet de transfert de données. Ce projet est une solide tentative pour commencer à surmonter cette difficulté.
    Pendant longtemps, nous avons eu les outils du front de libération des données et du prélèvement de données qui permettent à nos utilisateurs d'exporter leurs renseignements pour qu'ils puissent être utilisés dans un service différent. Le projet de transfert de données est mené de concert avec Facebook, Microsoft et Twitter, ainsi qu'avec d'autres partenaires, nous l'espérons. Cela vise à vous permettre de transférer vos renseignements des services Google vers un autre service, et ce, de façon presque parfaite.
    Connaissez-vous le projet de loi sur les publicités honnêtes aux États-Unis?
    Oui.
    C'est probablement une façon très limitée de s'attaquer au problème. Nous avons entendu ici d'autres témoignages qui donnent à penser que nous devrions aller plus loin et qu'il devrait y avoir quelque chose de plus qu'une base de données consultable, qui sera maintenant requise dans le cadre d'élections, de façon modeste, mais pas pour d'autres annonces; nous avons entendu des recommandations concernant la divulgation des annonces en temps réel au sujet des indicateurs d'engagement, de l'argent dépensé et des critères particuliers en fonction desquels les personnes ont été ciblées.
    Vous avez pris un certain nombre de mesures en dehors de ce que la loi exigeait de vous. Google a pris un certain nombre de précautions et a changé, comme vous en avez parlé, les applications de tiers.
    Cherchez-vous à offrir une divulgation des annonces en temps réel ou devons-nous légiférer?
    Voulez-vous dire une divulgation des annonces en temps réel au même niveau de détail que ce que vous venez de décrire pour la publicité politique?
    Ce ne serait pas juste pour la publicité politique...
    D'accord.
    Ce serait assurément pour la publicité politique, mais peut-être pour d'autres formes de publicité également.

  (1220)  

    Je crois que le processus est itératif et incroyablement complexe.
    Donc une législation est peut-être nécessaire.
    C'est vraiment un problème délicat. Quand M. Ben Scott a comparu devant nous, il a recommandé que les grands éditeurs... Google n'est pas catégorisé comme un éditeur aujourd'hui, pas plus que comme un radiodiffuseur, donc il n'a pas d'obligations semblables à l'égard du contrôle. Nous savons que les algorithmes ont remplacé les éditeurs dans une large mesure.
    Nous avons entendu certains témoignages selon lesquels, par exemple, sur YouTube, Google a grandement profité des publicités qu'il a montrées à partir des vidéos d'Alex Jones et d'InfoWars qu'il avait, en fait, recommandées. Il a recommandé ces vidéos des millions de fois.
    Si c'est le cas, Google n'est-il pas d'une certaine façon responsable de la mauvaise information qui circule, et ne devrait-il pas y avoir un certain degré de restitution? Si vous faites de l'argent sur le dos de cette mauvaise information, cela ne devrait-il pas être restitué?
    Vous avez en place des politiques et des lignes directrices assez claires que nous appliquons au contenu accessible sur YouTube et ailleurs, que nous avons appliquées de façon stricte, et nous continuons de resserrer l'application de la loi.
    Qui vous a signalé ce problème? YouTube a recommandé des vidéos d'Alex Jones des millions de fois. Vous êtes-vous enfin dit: « Oh, nous devrions cesser de faire cela? » Quelqu'un a-t-il porté cela à votre attention?
    C'est un processus à multiples facettes. Un examen automatisé est fait, tout comme un examen humain. Puis, nous avons des utilisateurs de YouTube qui signalent du contenu particulier.
    Toutefois, vous pouvez voir que si une entreprise n'agit pas de façon proactive pour empêcher que cela se produise dès le départ, les législateurs comme nous-mêmes croyons devoir régler le problème si les entreprises n'agissent pas elles-mêmes dans l'intérêt du public.
    Vous avez mentionné une personne précise et un site précis. Dans ce cas et dans de nombreux autres, il y a des éléments de contenu particuliers que l'on pourrait juger répréhensibles et qui, pourtant, ne violent pas nos lignes directrices stratégiques ou ne violent pas une loi au sein d'une administration, ou cela pourrait être le cas. Nous essayons d'équilibrer cette loi et d'intervenir lorsque c'est nécessaire, mais ce n'est pas une option binaire où l'on peut répondre par oui ou par non à la question de savoir si quelqu'un a accès à nos services.
    Je comprends.
    Voici ma dernière question.
    Nous avons peut-être besoin d'un meilleur processus en fonction duquel Google ne surveillerait pas le contenu et on ne lui demanderait pas de le faire. Si Google a profité de contenu haineux, et si vous possédez les données sur la participation pour savoir combien de yeux l'ont vu, et que vous avez les mesures internes vous permettant de savoir dans quelle mesure vous avez profité de ce contenu au moyen de la publicité, pourquoi devriez-vous être autorisés à profiter de ce contenu? Une fois que c'est jugé haineux et que nous connaissons les données sur la participation, vous devez redonner l'argent. Le remettre.
    Idéalement, le contenu revient très rapidement, et, en fait, ce qui se passe dès que nous entamons ce processus d'examen, c'est que nous cessons de générer des revenus à partir de ce contenu. Ce n'est pas une question d'un processus d'examen qui est trop long et du fait que le contenu continue de générer des revenus; ce processus s'arrête. Parfois, nous cessons complètement de rémunérer les producteurs de contenu.
    Si des entreprises tirent des profits qui dépassent un certain niveau, il devrait y avoir une certaine forme de sanctions, peut-être.
    Merci d'avoir écouté.
    Pas d'inquiétude. Vous aurez le temps de poser plus de questions prochainement.
    Le suivant, pour cinq minutes, est M. Clement.
    Colin, je suis heureux de vous voir. Je suis un peu un visiteur du Comité, mais comme je suis ici et que vous l'êtes aussi, je me suis dit que nous pourrions commencer par cela.
    Vous en avez peut-être déjà parlé lors de votre rencontre précédente, mais je voulais examiner les incidents de hameçonnage qui se sont produits, et particulièrement ce que nous avons vu durant la campagne présidentielle américaine. Peut-être que vous avez déjà parlé de ce sujet.
    Je ne sais même pas si c'était Gmail ou un autre service, mais ce que je sais du hameçonnage durant la campagne nationale des démocrates, la campagne d'Hillary Clinton, c'est que c'était une triste histoire.
    Ils avaient des règles et ainsi de suite, et juste une erreur humaine — et à moins que nous soyons envahis par des robots demain, l'erreur humaine va continuer d'exister — a donné l'occasion aux Russes d'accéder à chaque courriel du directeur national de campagne d'Hillary Clinton. Tout cela, à cause d'un Bitly. Dans un cas comme celui-là, ce que ces pirates aiment faire, s'ils font du hameçonnage ou du hameçonnage ciblé, c'est vous donner un sentiment d'urgence. Si vous ne faites pas quelque chose immédiatement ou si vous ne cliquez pas immédiatement, votre carte de crédit sera compromise ou l'accès à votre compte bancaire sera compromis ou que sais-je encore.
    Un Bitly était joint au courriel qui a été envoyé à John Podesta. De façon rationnelle, il l'a renvoyé à son directeur des TI de la campagne d'Hillary Clinton, lui demandant si c'était réel, si c'était légitime, ce qui était la bonne chose à faire.
    Le directeur des TI de la campagne s'est rendu compte que c'était mal, que c'était suspect, et il a retourné le courriel — mais il a oublié quelques mots. Il a dit « C'est légal », plutôt que « Ce n'est pas légal ». Puis, dès que M. Podesta a vu cela, il a cliqué sur le Bitly, on sait tous ce qui est arrivé.
    Je pose juste une question. À partir de cela, nous savons qu'il y a une erreur humaine. Vous pouvez avoir tous les systèmes du monde, mais l'erreur humaine se produit. Comment pouvons-nous...? C'est peut-être une combinaison d'éducation et de meilleurs systèmes, et il faut peut-être faire intervenir l'intelligence artificielle. Je voulais obtenir votre avis à ce sujet, parce que nous serons bientôt en période de campagne électorale et nous sommes tous la cible possible de pirates. Je serais très surpris qu'il n'y ait aucune tentative de hameçonnage durant la prochaine campagne électorale fédérale au Canada.
    J'aimerais obtenir votre point de vue sur cette question.

  (1225)  

    C'est certainement quelque chose que nous reconnaissons en raison des milliards d'utilisateurs que nous avons, notamment à commencer par Gmail. Nous nous sommes attaqués à ce problème de diverses façons au fil des ans.
    Pour commencer, en 2010, nous avons averti les utilisateurs de Gmail que nous voyions des tentatives d'accès à leur compte, des tentatives visant à forcer leur compte ou à leur envoyer des courriels frauduleux qui les obligeraient à prendre une décision très semblable à la vôtre. Nous avons misé sur ces mesures de sécurité: on vous envoie désormais un avis si nous constatons une tentative d'accès à votre compte depuis une zone ou une région géographique inhabituelle. De cette façon, si une personne se trouvant à l'extérieur de votre environnement normal se connecte à votre compte, ou si vous-même, lors d'un déplacement, vous vous connectez à votre compte à partir d'un autre endroit, vous recevrez un avis, soit sur votre compte soit sur votre téléphone si vous avez activé l'authentification à deux facteurs. Nous avons imposé la mise en oeuvre d'une authentification à deux facteurs dans la plupart de nos produits afin d'empêcher quiconque de pénétrer illicitement dans votre compte au moyen du nom de compte et du mot de passe. Vous avez besoin d'un quelconque jeton physique.
    Toutefois, nous reconnaissons également que vous pouvez forcer un système simplement par la force brute. Jigsaw, une société du groupe Alphabet, a conçu un service appelé Shield, destiné aux organismes sans but lucratif, aux partis politiques et autres, afin de les aider à contrer des attaques de déni de services, dans le cadre desquelles la force brutale tente de provoquer une défaillance du système de sécurité.
    En outre, plus tôt cette année, nous avons intégré une protection avancée des renseignements personnels, en particulier pour les élus, afin qu'ils puissent mettre en place des contrôles de sécurité que nous avons au sein de l'entreprise qui exigent non seulement une authentification à deux facteurs, mais qui appliquent également des restrictions spécifiques pour des tentatives inhabituelles de connexion et d'accès à l'information au sein des services de votre compte Google. Vous êtes obligé de fournir une vérification supplémentaire. C'est un inconvénient pour l'utilisateur, mais cela procure également une plus grande certitude que vous disposez de la protection de sécurité qui vous permet de reconnaître ce type de tentatives flagrantes.
    Pour l'utilisateur général, j'ai mentionné Safe Browsing dans mes observations. Ce service est conçu expressément en raison de cette préoccupation. Lorsque des utilisateurs cliquent sur un lien et utilisent le navigateur Chrome pour accéder à une page, nous pouvons voir si ce déplacement vers une page entraîne un comportement inhabituel, comme le fait d'appuyer immédiatement sur le bouton Précédent, d'essayer de quitter cette page ou de fermer le navigateur. Au fil de milliards et de milliards d'interactions, nous pouvons reconnaître les pages qui génèrent un contenu suspect ou préjudiciable et incitent nos utilisateurs à réagir de la sorte. Nous générons ensuite une API que nous communiquons à Microsoft et à Firefox afin qu'ils puissent signaler ces adresses URL également. Ainsi, lorsque vous cliquez sur un lien menant à ces pages, vous obtenez un message d'avertissement rouge qui indique qu'il s'agit d'une menace pour la sécurité, et la plupart du temps vous n'aurez pas accès à la page. Par conséquent, nous nous inspirons du comportement pour tenter d'éliminer la préoccupation également.
    Avez-vous donc recours à l'IA de plus en plus à des fins de sécurité?
    Nous l'avons intégrée aux systèmes dans le cadre de nos recherches. Certes, nous utilisons l'apprentissage machine dans notre analyse des comportements ainsi que pour l'analyse du contenu.
    Merci.
    Monsieur Picard, vous avez la parole pour cinq minutes.
    Revenons à la case départ d'une manière très simple pour expliquer le fonctionnement de Google.
    Franchement, je ne me souviens pas, mais lorsque j'achète un ordinateur, Windows s'y trouve déjà. Je vais sur Internet, et la première page est Google; je ne dois donc m'abonner nulle part.
    En ce qui concerne mon accès à Google, Google ne possède aucun renseignement sur moi au début, à part mon adresse IP. Est-ce exact?

  (1230)  

    À ce stade, non.
    Il n'a même pas mon adresse IP.
    Si vous consultez une page de recherche Google, nous n'avons en fait aucun renseignement sur votre comportement. Dès que vous lancez une recherche, nous avons une idée de ce que vous recherchez et de votre IP sur cet appareil.
    Parfait. J'ai une première requête et je cherche des bâtons de golf. J'ai une liste de magasins et d'experts, et tout ça, alors vous savez déjà ce que je regarde.
    Oui.
    Tenons-nous-en à cette version très simple de Google. La seule chose que vous avez, c'est que cette adresse IP a lancé cette recherche, et voici les résultats. Cette entreprise de bâtons de golf doit envoyer de la publicité.
    Oui.
    Je crois comprendre que vous ne lui donnez pas mon adresse IP.
    Non.
    Elle vous donne le produit à mettre sur votre système et le diffuse donc sur chaque adresse IP que vous avez, mais ce n'est pas un moyen efficace de faire de la publicité. Habituellement, ces entreprises de publicité, quelles qu'elles soient, doivent cibler leurs messages publicitaires d'une manière ou d'une autre. Afin de cibler leurs messages et de s'assurer que leur investissement est bien placé sur Google, elles ont besoin d'une appréciation du rendement du capital investi découlant de cette opération. Habituellement, elles devraient intervenir dans la manière dont vous ciblez ces adresses IP afin de s'assurer, par exemple, de vendre des bâtons de golf uniquement à des francophones; vous avez donc besoin d'un nombre limité d'adresses IP. Elles doivent participer, à un moment donné, au ciblage du site qui recevra la publicité afin de prendre part à une opération permettant au moins de travailler sur ces adresses IP. Ai-je raison?
    Dans la description limitée que vous donnez, l'adresse IP est associée à un lieu géographique. Ce n'est pas très précis.
    Non.
    Voici comment se déroule cette interaction avec un annonceur. Vous lancez une recherche. Vous utilisez des termes précis. Vous pouvez écrire votre recherche en français ou en croate. Cela nous aide à cerner la nature de la recherche. Ensuite, nous...
    La question ici n'est pas que Google l'ait fait. Mon problème est qu'avec cette version très simpliste de Google, tout tiers a accès à mon adresse IP, car il collabore avec vous pour cibler le bon endroit.
    Non.
    Non?
    Non.
    Les annonceurs nous diront: « Nous voulons mener une campagne. » Supposons que votre magasin de sport local souhaite vendre des bâtons de golf cette fin de semaine. Il dit: « Nous voulons diffuser des annonces aux personnes de cet espace géographique, qui recherchent actuellement ces termes dans cette langue. »
    Ensuite, nous avons une vente aux enchères. Nous disons à tous nos annonceurs: « Voici ce qui est disponible. Quelqu'un cherche ce terme dans cet espace sous réserve de ces conditions. » Ils misent ensuite pour obtenir cet espace dans le segment de la publicité.
    Appliquons cela à tous les services que vous offrez, pour lesquels j'ai inscrit mon nom, mon adresse, mon âge et tout le reste. Dois-je comprendre que cela fonctionne de la même manière dans tous les cas — que ces renseignements sont entièrement destinés à votre strict usage personnel?
    Oui.
    Alors, pourquoi s'embêter avec la transparence? La transparence ne change pas votre façon de travailler. Avant, je ne savais pas ce que vous faisiez avec mes données; maintenant, je sais simplement ce que vous faites avec mes données. Vous faites toujours la même chose lorsque vous utilisez mes données; cela ne change pas votre façon de travailler. Vous informez simplement votre client que, maintenant, vous êtes transparent. Cela ne donne rien. Si je refuse que mes données soient échangées, on peut me refuser l'accès au service. Je n'aurai plus accès à mon service, car vous avez besoin de mes renseignements en tant que monnaie d'échange pour les services que vous vendez à la publicité.
    Je ne pense pas que ce soit le cas. Comme la publicité alimente ces services gratuits, nous devons offrir de la publicité. Une publicité plus adaptée à vos besoins est plus pertinente pour vous et pour les annonceurs, comme vous l'avez souligné. Elle est plus utile pour l'annonceur, et nous espérons qu'elle l'est également pour vous. En fait, cela répond à une question et à un besoin à l'égard desquels vous avez exprimé un intérêt.
    Cependant, vous pouvez désactiver le pistage de votre navigateur. Vous pouvez désactiver les services de localisation. Dans votre profil de compte, vous pouvez nous indiquer que vous ne souhaitez pas que nous gardions trace de vos préférences. Ainsi, la publicité sera moins détaillée et moins précise. Espérons que cela reste utile.

  (1235)  

    La chose est donc, par défaut, inaccessible, car nous ne le ferions pas. Tout ce que nous faisons et ce dont nous parlons... Pourquoi ne décidons-nous pas simplement que tout ce que vous fournissez à une entreprise n'est pas accessible et que vous devez choisir de recevoir davantage de renseignements d'une entreprise tierce? Par conséquent, je ne me soucierais pas de mes renseignements personnels car, par défaut, ils seraient inaccessibles. Est-ce que nous entraînerions votre faillite de cette façon?
    Je suis désolé. Je ne comprends pas la distinction. Si, par défaut, il n'y a pas de collecte de renseignements...
    Google ne peut rien faire avec mes renseignements, car ils sont confidentiels.
    De notre point de vue, il doit exister une certaine diffusion de publicité pour soutenir les services. C'est ce qui rend les services accessibles à tous les Canadiens, pas seulement aux personnes qui peuvent payer des abonnements.
    Ce que nous essayons de faire, c'est d'être aussi transparents que possible. C'est pourquoi vous voyez tellement de renseignements qui pourraient vous inquiéter. C'est parce que nous essayons d'être transparents en ce qui concerne ce que nous savons à votre sujet, en tant que personne — les renseignements que vous nous avez communiqués — puis, pour revenir à une question précédente, d'être transparents quant au moment où nous les communiquons à quelqu'un d'autre. Nous ne les communiquons pas à nos annonceurs, et, pour ce qui est de l'application de la loi, nous les communiquons sous certaines conditions. Nous nous comportons toujours dans l'intérêt de nos utilisateurs afin de protéger ces renseignements.
    En réalité, vous pouvez utiliser Chrome, Google Maps et la plupart de nos services sans être identifié en tant que personne et sans détenir un compte Google. Ce sera seulement beaucoup plus simple, avec beaucoup moins de détails vous concernant en tant que personne.
    Merci.
    Merci, monsieur Picard.
    Le prochain intervenant est M. Kent, pour cinq minutes.
    Merci beaucoup, monsieur le président.
    Monsieur McKay, le Conseil national de recherches a récemment mis en garde le gouvernement du Canada en affirmant que le Canada risquait de devenir une nation de « vaches à lait au chapitre des données », en exposant ou en révélant, en fait, certaines de nos ressources nationales les plus précieuses à des entreprises comme la vôtre.
    Je sais que vous avez séparé Google de votre société soeur sous les auspices d'Alphabet, avec un manque de connaissances. Cependant, lorsque des personnes comme Ann Cavoukian critiquent le mystère, le manque d'information et les contradictions relativement à des éléments comme la dépersonnalisation de données ou de renseignements personnels au stade de la conception ou au moyen du consentement, vous devez vous inquiéter — Google doit s'inquiéter — de la façon dont cela se reflète sur votre entreprise et les préoccupations très similaires qui se reflètent dans la controverse que nous observons en ce qui concerne Sidewalk Labs.
    Je pense pouvoir répondre à deux questions distinctes. Vous avez mentionné l'observation du CNRC quant à l'utilisation des données. Je crois que cette observation souligne le mauvais aspect du processus d'innovation et de création, car les données ne sont pas rares et ne sont pas une ressource à conserver; elles sont en fait générées facilement par toute sorte d'activités et sont disponibles de bien des façons.
    Le véritable processus d'innovation consiste à élaborer les outils et les services nécessaires pour que l'on puisse traduire ces données en produits et services. Dans cette observation issue d'un document en particulier, on néglige la façon dont Google crée des outils et des services qui permettent aux entreprises canadiennes — et d'ailleurs dans le monde, dans le cas de TensorFlow — d'utiliser les résultats découlant de la recherche en intelligence artificielle pour promouvoir la conception de produits en fonction de leurs propres ensembles de données. Nos chercheurs en intelligence artificielle mettent aussi à la disposition des entreprises canadiennes oeuvrant dans ce domaine des trousses d'essai afin qu'elles puissent évaluer les données à leur disposition et s'en servir de manière plus efficiente, sans engagement ou possession et sans que cela nous procure un avantage autre que l'utilisation de nos outils.
    Quant à l'autre point concernant Sidewalk Labs et la protection des renseignements personnels, j'ai quitté le Commissariat à la protection de la vie privée pour me joindre à Google, car il y avait déjà une voie d'introspection profonde et de développement de produits en ce qui a trait à la protection des données et de la vie privée. Nous poursuivons nos efforts à un rythme soutenu. À l'aide des changements dont je vous ai parlé ce matin et d'autres à venir, nous misons sur l'amélioration de la protection des données et de la vie privée de nos utilisateurs.
    Par le passé, nous avons eu des discussions saines avec M. Cavoukian à cet égard. En tant qu'entreprise, nous discutons sérieusement de la protection des données et de son évolution, que ce soit dans le contexte de la société civile ou de l'utilisation commerciale. Sidewalk Labs suit une voie, et nous en suivons une autre. Nous disposons des ressources nécessaires pour mettre en place les mesures de protection que j'ai décrites aujourd'hui.

  (1240)  

    Le commissaire à la protection de la vie privée du Canada a-t-il communiqué avec vous ou avec Google dans le cadre de son enquête sur le scandale impliquant Cambridge Analytica, Facebook et AggregateIQ?
    Pas que je sache.
    D'accord.
    Comment réagissez-vous aux rapports, comme celui d'Associated Press, qui disait, il me semble, que malgré ses déclarations — comme ce que vous avez dit aujourd'hui à propos du fait de ne pas suivre des utilisateurs lorsqu'ils demandent à Google de cesser de le faire —, Google continue en fait de suivre les utilisateurs même s'ils n'ont pas donné leur consentement.
    C'est jouer sur les mots lorsqu'on dit que les gens qui donnent leur consentement les yeux fermés, ce que nous savons que nombre d'entre eux font lorsqu'ils acceptent les conditions, ne savent pas que ce consentement comprend le fait d'être suivi et de voir ses données accumulées.
    Vous allez peut-être dire que j'ergote, mais en réalité, nous assurons un contrôle sur votre compte en matière de localisation.
    En fait, lorsque vous utilisez un téléphone mobile sur un réseau mobile, votre téléphone envoie constamment un signal sur le réseau à propos de sa localisation. Ces données sont disponibles de manière distincte, et nous ne pouvons parler que de la façon dont les données de localisation sont utilisées sur notre réseau, selon nos contraintes. Si d'autres personnes utilisent les données échangées sur le réseau de téléphonie cellulaire, je ne peux pas me prononcer sur le sujet, mais c'est une réalité.
    Comme nous en avons parlé en mai et encore une fois aujourd'hui, pour l'utilisateur, l'interaction est souvent complexe, et les choses ne sont pas claires. En l'occurrence, il faut apporter d'autres précisions.
    D'accord. Merci, monsieur Kent.
    Nous allons poursuivre encore un peu avant de conclure la série de questions. Si vous avez d'autres questions, vous pouvez les poser; nous avons jusqu'à 13 heures. Nous allons aussi discuter d'affaires du Comité à la toute fin, pendant une dizaine de minutes.
    Monsieur Angus, vous avez trois minutes.
    Merci beaucoup.
    Il y a quelques années, j'ai eu le plaisir de rencontrer des employés de Google à New York. Je dois dire que, en ce qui concerne la structure organisationnelle, vous avez embauché la crème de la crème, des gens qui, je crois, sont brillants et qui ont une vision de l'avenir. Pour le compte rendu, je tiens à dire à quel point je respecte les employés de Google.
    Récemment, nous avons vu que des employés de Google se sont opposés à certaines décisions organisationnelles prises — par exemple, à l'égard du projet Maven, qui était un projet de reconnaissance faciale à l'aide de drones, mené en collaboration avec le Pentagone. Les gens n'étaient pas prêts à participer à ce projet, car ils ne croyaient pas qu'il reflétait la culture de Google.
    Dernièrement, 1 400 employés de Google ont signé une lettre pour soulever d'importantes préoccupations au sujet du projet Dragonfly en Chine; il était question de capituler devant les demandes de censure et de surveillance en échange d'un accès au marché chinois. La lettre dit que l'acceptation du projet serait une renonciation à nos valeurs.
    Aux États-Unis, on nous a dit que la direction de Google avait donné l'ordre de retirer la note de service. A-t-on pris des mesures chez Google Canada pour empêcher les employés de parler du projet Dragonfly?
    Je vais d'abord répondre à la question par une remarque d'ordre général.
    Je suis très fier de travailler au sein d'une entreprise où, comme vous l'avez observé, les employés ont le droit d'exprimer leurs opinions, y compris des opinions sur la stratégie liée aux produits et à l'entreprise. Comme vous l'avez souligné, les décisions touchant les produits sont prises par les hauts dirigeants de l'organisation.
    Plus tôt, vous avez parlé du projet Maven. Ce projet, qui s'applique à la mise en oeuvre de l'intelligence artificielle, faisait partie de la discussion sur l'élaboration de nos principes quant à l'utilisation de l'intelligence artificielle, qui était un travail de collaboration réunissant nos équipes d'ingénierie et de produits, de même que la direction afin de communiquer clairement notre approche à l'égard du développement et de la mise en oeuvre de l'IA.
    Quant à la question précise que vous avez posée, il n'y a eu aucune directive de ce genre au Canada.
    Je regarde la lettre signée par des employés de Google. Ils étaient très préoccupés par le fait que l'on capitule devant la Chine en ce qui a trait à l'établissement d'un moteur de recherche qui permettrait de suivre les dissidents. Ils ont dit: « [...] nous n'avons pas énoncé clairement quelles étaient nos limites dans ce domaine à l'échelle internationale. »
    Si j'en parle, c'est parce que l'une des choses qui rendaient Google si intéressant au départ, c'était sa politique de ne causer aucun tort, et il a décidé de laisser tomber ce modèle. Nous voyons maintenant qu'elle traite avec le Pentagone et le gouvernement de la Chine.
    D'un point de vue réglementaire, il est assez perturbant de constater qu'une entreprise aussi puissante que Google puisse prendre des décisions allant à l'encontre de sa propre culture organisationnelle, dont ses employés parlent haut et fort.
    Que devrions-nous envisager en matière de surveillance par un organisme de réglementation pour nous assurer que Google ne commette pas de mauvaises actions?

  (1245)  

    Par nos actions, qu'il s'agisse de nos principes sur l'IA ou de notre rapport sur la transparence, nous montrons de manière concrète et vérifiable quelles sont nos interactions avec ces gouvernements et quelle est notre intention avec les produits. Nous sommes passés d'une époque où notre gamme de produits était très simple à une époque où nous favorisons l'innovation et la prestation de services dans un certain nombre de domaines. La communication devient plus complexe, mais nous continuons d'entretenir ce dialogue interne.
    Lorsque vous êtes venu ici en mai, nous vous avons demandé s'il y avait eu des atteintes à la protection des données, et vous avez dit que vous n'étiez au courant d'aucun cas, pourtant, vous avez répondu à Cambridge Analytica que vous aviez réalisé cette analyse de l'atteinte à la protection des données par Google Chrome et que cela avait été signalé. Le Wall Street Journal a dit qu'il avait été décidé au printemps dernier de ne pas divulguer cette atteinte, en partie par crainte d'attirer l'attention des organismes de réglementation.
    Nous sommes un comité parlementaire, et vous êtes venu nous dire qu'il n'y avait pas eu d'atteinte à la protection des données. Étiez-vous au courant, ou est-ce que le siège social de Google ne vous a-t-il simplement pas informé de cette brèche dont vous auriez dû nous faire part lorsque nous vous avons invité la première fois?
    Je pense que vous faites allusion à ce point dont nous avons parlé à propos de Google+.
    Oui.
    Ce n'était pas une atteinte à la protection des données. C'était un bogue.
    Je ne connais pas grand-chose à la technologie, mais je sais lire. Google a dit qu'il craignait que cela suscite l'attention des organismes de réglementation. Vous êtes venu témoigner devant notre comité et vous nous avez dit que tout se passait bien. Google savait que les choses n'allaient pas bien. La question portait sur la surveillance réglementaire. Étiez-vous au courant de cela lorsque vous êtes venu ici, ou est-ce que vous ne faisiez qu'ergoter sans nous le dire?
    Je n'étais pas au courant lorsque j'ai comparu, et notre évaluation nous a permis de déterminer qu'il ne s'agissait pas d'une atteinte, mais bien d'un bogue.
    Mais vous étiez inquiet au sujet des organismes de réglementation.
    Je ne peux parler pour les auteurs de la note de service.
    Merci.
    Il semble que nous ayons le temps pour une question de plus pour chaque partie. Nous allons donc commencer avec Mme Vandenbeld, puis poursuivre avec M. Kent et M. Angus. Après cela, nous devrions avoir fini, mais nous verrons combien de temps il reste.
    Allez-y, madame Vandenbeld.
    J'aimerais revenir à la partie où vous avez énoncé au début les principaux secteurs de réglementation, pas le moteur de recherche de Google précisément, mais YouTube. Manifestement, on retire automatiquement certains contenus sur YouTube qui vont à l'encontre de la politique concernant les utilisateurs, ou on informe la personne que le contenu est retiré, car il constitue une violation de la politique.
    J'aimerais beaucoup savoir de quelle manière ces décisions sont prises. Par exemple, est-ce une seule personne qui examine ces contenus? Est-ce un algorithme? Utilisez-vous une forme d'IA? Cherchez-vous des mots clés en particulier?
    Il y a certaines choses qui m'inquiètent. Après le témoignage de M. Vickery devant notre comité, j'ai eu un échange de questions, comme vous et moi le faisons actuellement. C'est télévisé; c'est sur ParlVu. L'une des questions que j'ai posées portait sur le fait qu'une partie de ces données s'étaient retrouvées sur un compte Google Drive. Quand j'ai voulu publier cette intervention, qui venait du site de télévision parlementaire, elle était en violation avec YouTube... Tout ce qu'on voyait, c'était le nom de notre étude, qui portait sur une atteinte à la sécurité des renseignements personnels mettant en cause Cambridge Analytica et Facebook. Le contenu a été retiré et on m'a dit qu'on m'imposerait des sanctions. J'ai demandé un examen, et, bien sûr, après l'examen, le contenu a été publié de nouveau.
    Je sais qu'un autre député a posé une question au sujet du cannabis, et cette question a été retirée, car semblait-il, cela faisait la promotion de l'utilisation de drogues.
    Comment ces décisions sont-elles prises? Quels sont les algorithmes ou les termes, comment procédez-vous avec YouTube? D'un autre côté, il y a des tonnes de choses sur YouTube qui font la promotion de la haine, qui sont antidémocratiques et qui sont peut-être même publiées par des groupes d'intérêts qui ont des liens avec le crime international.
    Je crains que ces algorithmes ne permettent pas nécessairement de cibler le contenu que nous voulons réellement retirer, alors que la liberté d'expression dans un environnement comme celui-ci, qui est un comité parlementaire, est en fait censurée sur le net.

  (1250)  

    Vous décrivez deux cas très spécifiques, que je vais aborder juste après avoir formulé une observation.
    Nous disposons d'un processus d'examen approfondi mené suivant une décision prise en fonction d'algorithmes, par la recherche de mots clés et en fonction des détails du compte en soi. Par exemple, si un tout nouveau compte tente de publier du contenu sur un matériel signalé, le contenu ne pourra peut-être pas être rendu public avant d'être examiné. Il ne sera peut-être pas possible de le monétiser avant que nous l'ayons examiné. Nous appliquons ce processus pour nous assurer de faire la vérification en fonction du corpus de matériel dont nous sommes au courant.
    Je dis cela précisément parce que dans votre premier exemple, il est assez probable que, au moment où vous avez publié une vidéo télévisée de CPAC... CPAC a travaillé avec nous pour enregistrer son matériel de sorte que nous l'examinions en vertu de nos lignes directrices en matière d'identification de contenu. C'est la protection que nous offrons aux titulaires de droits d'auteurs qui veulent éviter que les émissions télévisées, les films et la musique ne soient publiés par des utilisateurs sans leur permission.
    CPAC est très commun. Je publie constamment des choses venant des comités.
    Je présume que c'est ce qui s'est passé.
    Ce n'est pas la raison qui a été donnée.
    D'accord. Je n'avais pas cette information.
    Pour l'exemple du cannabis, les choses se passent relativement vite ici, et nous essayons d'adapter nos systèmes internes pour qu'ils puissent établir une distinction entre la promotion et l'utilisation du cannabis dans le contexte illégal, particulièrement sur la scène internationale, et ce qui se passe au Canada et le fait que c'est maintenant légal. Avec nos systèmes de publicité, comme vous pouvez l'imaginer, nous sommes informés à l'interne, grâce à cet algorithme, à un examen manuel, à des signalements par nos utilisateurs, que certains contenus sont maintenant autorisés et que d'autres ne le sont pas.
    C'est un processus répétitif et les interventions technologiques et humaines se chevauchent; c'est particulièrement important pour certains domaines sensibles. Dans le cas d'un contenu violent ou extrémiste, dès qu'on reconnaît qu'il s'agit d'une vidéo ou d'une séquence vidéo répréhensible et illégale, nous utilisons ce même système de signalement d'identification du contenu pour le repérer aussitôt qu'il est téléversé et le rendre inaccessible et, dans certains cas, nous fermons le compte.
    Combien avez-vous d'employés capables d'examiner ce matériel? Quelle proportion du processus se fait automatiquement par des algorithmes...
    Des centaines.
    ... et quelle proportion...? Avez-vous suffisamment de ressources...
    Je peux vous donner un nombre total, mais cet examen nécessite un investissement continu, tant du côté technologique qu'humain.
    Merci.
    Je vais laisser M. Erskine-Smith poser des questions, s'il le veut bien.
    Je n'ai qu'une seule question.
    Il y a deux sujets que je n'ai pas abordés. L'un d'eux est la transparence algorithmique. Des témoins ont suggéré que des vérificateurs tiers se présentent dans les bureaux de Google et de Facebook pour déterminer si les algorithmes employés sont utilisés de manière appropriée. Vous opposeriez-vous à cela?
    Selon moi, vous ne regardez pas les processus du bon angle, car dans de nombreux cas relevés jusqu'à maintenant, ce sont les données qui étaient biaisées. Si vous lancez un algorithme pour analyser des données biaisées ou un échantillon non représentatif, vous obtiendrez des résultats erronés ou erratiques.
    Dans certains cas, l'algorithme est une technologie commerciale exclusive, et je ne sais pas si un vérificateur aurait la capacité d'évaluer ce que l'algorithme est censé faire ni de quelle façon il évaluerait ce qui fonctionne ou ce qui ne fonctionne pas, et d'après quelle norme.
    C'est un problème pratique qu'il nous faudrait potentiellement résoudre, mais en théorie, il n'y a pas nécessairement d'objection.
    Mon dernier point concerne simplement la réglementation des discours. Le droit à l'oubli, la protection potentielle des renseignements personnels en matière de diffamation, de harcèlement, de haine... Il y a des raisons d'éliminer certains contenus.
    Employez-vous un modèle privilégié quant à la façon dont ces renseignements devraient être éliminés? Si Google ne veut pas jouer à la police, qui devrait le faire? Google devrait-il investir dans un fonds pour se doter d'un organisme public qui assure l'administration et la prise de ces décisions? Avez-vous une opinion quant à la façon de procéder?
    Avant de répondre, j'aimerais simplement faire une observation, car vous avez mentionné le droit à l'oubli.
    On discute constamment du droit à l'oubli au Canada. L'une des choses qu'a soulignées le commissaire à la protection de la vie privée dans son document de consultation et ses lignes directrices, c'est qu'il y a un conflit inhérent avec la Charte en ce qui concerne la liberté d'expression, et il doit y avoir une conversation exhaustive avec le public, idéalement devant le Comité, quant à la façon dont le droit à l'oubli devrait être exercé au Canada.
    De notre point de vue, ces processus existent. On les appelle les tribunaux. Les tribunaux comprennent à la fois les normes et les attentes du public. Ils disposent des outils...

  (1255)  

    On ne peut pas s'attendre des tribunaux qu'ils suppriment du contenu constamment, cependant. Il y en a tant qui devrait être supprimé. On ne peut pas demander à une personne de payer un avocat comme moi 400 $ l'heure pour s'adresser aux tribunaux et supprimer de petits commentaires ici et là. Quel type de système conviendrait mieux?
    La solution de rechange que vous décrivez est, selon moi, le processus utilisé en Europe, selon lequel vous nous demandez d'évaluer si votre liberté d'expression contrevient...
    Est-ce très coûteux? Google n'a-t-il pas les moyens de se le payer?
    ... un droit fondamental garanti par la Charte, puis vous nous confiez la responsabilité d'un tribunal administratif. La question est de savoir si vous voulez procéder ainsi ou non.
    Il nous reste deux ou trois minutes. Si nous pouvions les diviser, ce serait bien.
    J'ai une question très brève.
    Selon le magazine Fortune, l'année dernière, Google a dépensé plus d'argent que toutes les autres entreprises en Amérique du Nord pour faire du lobbying à Washington. J'aimerais savoir combien d'argent a dépensé Google au Canada pour exercer des pressions sur les gouvernements fédéral, provinciaux et municipaux, et combien de lobbyistes enregistrés vous comptez au Canada.
    Nous avons trois lobbyistes enregistrés. Ils font partie de mon équipe. Ils travaillent ici à Ottawa. Je ne peux pas vous donner les chiffres exacts pour les dépenses. Ce n'est pas mesurable. Ces activités de lobbying se font sous forme d'interaction, soit à titre personnel, soit au sein d'un comité ou auprès d'une société en général. En ce qui concerne ce chiffre, nous essayons d'être transparents au sujet de notre interaction à l'égard de ce qui est manifestement un ensemble de sujets de plus en plus complexes.
    Google Canada serait-il prêt à séparer ses efforts de lobbying de ceux de Sidewalk Labs?
    Oui.
    Allez-y, monsieur Angus, vous avez une minute.
    Très rapidement, je vais simplement faire suite à la question du lobbying, vu la question de la relation du gouvernement avec les lobbyistes spécialistes dans les données — et il n'a rien de mal avec les lobbyistes.
    John Brodhead prenait part aux activités du gouvernement libéral. Il était au ministère de l'Infrastructure et il a contribué à la rédaction de la plateforme. C'est maintenant la personne-ressource pour Sidewalk Labs.
    Avant qu'il ne soit nommé à Sidewalk Labs ou embauché par votre société soeur, est-ce que l'un des lobbyistes de Google l'a rencontré?
    Je crois que nous avons rencontré des fonctionnaires du ministère de l'Infrastructure pour discuter des investissements dans le transport en commun entre Toronto et Waterloo.
    Bien. C'est tout?
    Oui.
    Encore une fois, je remercie Colin, de Google, d'être venu témoigner devant notre comité.
    Nous allons reporter les affaires du Comité. Nous avons pris une décision à propos de jeudi. Le premier ministre des Pays-Bas viendra prendre la parole, donc nous ne siégerons pas jeudi, alors que Facebook devait comparaître. Nous allons reporter cela à un autre jour.
    Je vous remercie de votre témoignage et d'avoir répondu aux questions. Bonne journée.
    La séance est levée.
Explorateur de la publication
Explorateur de la publication
ParlVU