ETHI Réunion de comité

     Bonjour à tous.

    Bienvenue à la 32^e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.

    Nous avons la chance d'accueillir de nouveau le commissaire à la protection de la vie privée, M. Daniel Therrien, qui est accompagné de Mme Sue Lajoie, directrice générale, Enquêtes en vertu de la Loi sur la protection des renseignements personnels, et de Mme Patricia Kosseim, avocate générale principale et directrice générale, Direction des services juridiques, des politiques, de la recherche et de l'analyse des technologies.

    Je vous souhaite la bienvenue et je vous remercie d'être avec nous.

    Nous disposons d'une heure et demie. Nous allons commencer par la présentation de M. Therrien, pour une période de 10 minutes. Ensuite, nous poursuivrons avec les questions des parlementaires.

    Vous avez la parole, monsieur Therrien.

     Merci, monsieur le président et messieurs les députés.

    Je vous remercie encore une fois de votre invitation et aussi de votre décision de procéder à cet examen important de la Loi sur la protection des renseignements personnels.

    Je tiens aussi à remercier tous les spécialistes qui ont témoigné devant vous jusqu'à maintenant.

    Comme de nombreux témoins-experts vous l'ont affirmé, la Loi sur la protection des renseignements personnels, qui a été promulguée il y a 33 ans, est maintenant nettement dépassée.

    En raison des progrès technologiques révolutionnaires, en particulier ceux réalisés au cours des dernières années, il est beaucoup plus facile pour les gouvernements de recueillir, d'utiliser et de communiquer les renseignements personnels.

    Au printemps dernier, j'avais déjà recommandé des modifications à la Loi axées sur trois grands thèmes, soit la modernisation des normes juridiques, les changements technologiques et l'accroissement de la transparence.

    Je maintiens ces recommandations, mais j'aimerais, aujourd'hui, apporter certaines clarifications.

    D'après bien des témoins, particulièrement les représentants des provinces, de nombreux arguments plaident en faveur d'un régime de protection de la vie privée permettant de rendre des ordonnances exécutoires à l'issue de certaines enquêtes.

    Lorsque je me suis présenté devant vous, en mars dernier, j'ai indiqué qu'il fallait modifier le modèle actuel de l'ombudsman, parce qu'il entraîne souvent des délais. De plus, sous le régime actuel, rien n'incite vraiment les ministères à formuler des observations complètes et réfléchies dès le départ. Le modèle existant n'amène donc pas à un résultat final en temps opportun.

    Le modèle de l'ombudsman est en place depuis la création du Commissariat, en 1983. Selon ce modèle, je peux à la fois promouvoir le droit à la vie privée et faire enquête sur les plaintes. Ce sont là deux rôles essentiels dans la protection de la vie privée et je craignais que des raisons d'ordre juridique m'obligent à choisir un rôle au détriment de l'autre. Plus précisément, je craignais que les tribunaux jugent que je ne pourrais pas me prononcer de façon impartiale sur des plaintes, si je suis aussi un défenseur du droit à la vie privée.

    Après avoir examiné minutieusement la question, en particulier durant l'été dernier, nous avons conclu que l'attribution de fonctions d'arbitrage et de promotion à un organisme comme le nôtre crée effectivement des risques juridiques. Selon notre évaluation, ces risques sont probablement les mêmes dans le cas du modèle hybride de Terre-Neuve-et-Labrador.

    Fait important, crucial en fait, notre examen nous a aussi amenés à conclure qu'il est possible d'atténuer grandement ces risques en séparant de manière plus nette les fonctions d'arbitrage et de promotion au sein du Commissariat.

    Ce type de structure, comme vous le savez, existe dans plusieurs provinces. Il est important de comprendre que cette séparation des fonctions entraînerait certains coûts, mais nous ne les avons pas encore quantifiés de façon précise.

    Ultimement, puisque les risques juridiques et les mesures d'atténuation sont les mêmes dans le cas du modèle hybride de Terre-Neuve-et-Labrador, j'estime qu'on devrait privilégier le modèle permettant la prise d'ordonnances, car il permet d'en arriver plus directement et plus rapidement à des décisions finales pour les plaignants.

    C'est pourquoi, comme je l'ai écrit au Comité en septembre dernier, je recommande maintenant de modifier la Loi en remplaçant le modèle de l'ombudsman par un modèle où le commissaire à la protection de la vie privée aurait le pouvoir de rendre des ordonnances.

    Dans le rapport produit par votre Comité sur la réforme de la Loi sur l'accès à l'information, vous formulez plusieurs recommandations compatibles avec la politique visant la promotion d'un gouvernement ouvert et transparent.

    Je suis tout à fait d'accord avec cette politique et avec l'idée qu'elle constitue une pierre angulaire de la confiance du public et de la reddition de comptes, mais je considère qu'elle devrait être appliquée de manière à protéger la vie privée. Comme je l'ai mentionné à plusieurs reprises, la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels doivent être considérées comme un code intégré, et les modifications apportées à l'une de ces lois pourraient avoir une incidence sur l'autre. II faut en tenir compte. Toute modification touchant l'équilibre entre les droits d'accès et le droit à la vie privée dans la législation actuelle doit être mûrement réfléchie comme, par exemple, les modifications à la définition de l'expression « renseignements personnels » et à la primauté de l'intérêt public prévue dans la Loi sur l'accès à l'information.

    À mon avis, ces modifications devraient être étudiées lors de la deuxième phase de la réforme de la Loi sur l'accès à l'information. D'après ce que je comprends, le rapport sur l'accès à l'information publié en juin par votre comité ne recommande aucune modification susceptible de perturber cet équilibre. Et c'est une bonne chose.

    Je vais parler maintenant des risques associés à une absence de réforme. Si le Canada ne modernise pas sa législation sur la protection des renseignements personnels, il y aura des conséquences réelles, à mon avis.

    Dans le secteur public, il y aurait notamment une atténuation inadéquate des risques d'atteinte à la sécurité des données, et une collecte et une communication excessives de renseignements personnels, ce qui pourrait ébranler la confiance envers le gouvernement, et plus précisément, la confiance à l'égard des systèmes en ligne, ce qui pourrait miner les efforts déployés par le gouvernement pour moderniser ses services et ses communications numériques avec les Canadiens.

    Certains gouvernements ont déjà pris des mesures pour renforcer leur cadre de protection de la vie privée, en particulier l'Union européenne. Si les autorités européennes jugent que les lois canadiennes en matière de protection de la vie privée ne sont plus substantiellement équivalentes à celles qui protègent leurs ressortissants, les relations commerciales entre le Canada et l'Europe risquent de devenir plus difficiles, à mon avis. Ce n'est pas une hypothèse. C'est ce qui est arrivé aux États-Unis lorsque les tribunaux européens ont invalidé l'accord Safe Harbour il y a quelques mois.

    Depuis ma dernière comparution devant votre comité en mars, la Cour fédérale s'est penchée sur la fonction de commissaire spécial à la protection de la vie privée, que mon organisme a créée pour assurer un examen indépendant des plaintes déposées contre le commissariat. Cette fonction est nécessaire depuis que le Commissariat à la protection de la vie privée du Canada est lui-même devenu assujetti à la Loi sur la protection des renseignements personnels par suite de l'adoption de la Loi fédérale sur la responsabilité en 2007. En considérant l'indépendance de cette fonction, la Cour a remarqué que la question devrait être étudiée par le Parlement. J'inviterais donc le Comité à examiner cet enjeu. Nous avons ajouté ce point à la liste révisée de nos recommandations.

    En guise de conclusion, je tiens à remercier et à féliciter le Comité. Vous avez entrepris des travaux essentiels qui, je l'espère, devraient nous aider à nous doter d'une loi modernisée protégeant le droit à la vie privée de tous les Canadiens. Nous espérons que le gouvernement jugera bon de donner suite à toutes nos recommandations.

    Depuis que le gouvernement a confirmé son intention de modifier la Loi sur l'accès à l'information en deux phases, nous demandons que certaines recommandations se rapportant à la Loi sur la protection des renseignements personnels fassent à tout le moins partie de la première phase.

    Ainsi, il y aurait l'adoption d'un seuil de nécessité explicite pour la collecte de renseignements personnels, afin de dûment réglementer, d'une manière qui protège la vie privée, la collecte rendue plus facile par les nouvelles technologies; l'ajout explicite d'une obligation de protéger les renseignements personnels et la déclaration des atteintes à la vie privée pour s'assurer que des mesures adéquates atténuent le risque d'atteinte à la sécurité des données; l'obligation de conclure des ententes écrites sur l'échange de renseignements personnels dont le contenu minimal serait prescrit pour améliorer la transparence.

    Enfin, les modifications découlant de celles apportées à la Loi sur l'accès à l'information au cours de la première phase, notamment le remplacement du modèle de l'ombudsman par un modèle selon lequel les commissaires auraient le pouvoir de prendre des ordonnances, pour en arriver plus rapidement à des décisions finales pour les plaignants.

    Je vous remercie de votre attention. Je suis disposé à répondre à vos questions.

     Je vous remercie beaucoup, monsieur Therrien, d'être parmi nous à nouveau ce matin. Je vous remercie de votre témoignage.

    Je pense que les députés ont plusieurs questions à vous poser. Nous allons commencer avec M. Raj Saini, qui dispose de sept minutes.

    Merci, monsieur Therrien, pour votre exposé.

    La semaine dernière, nous avons recueilli le témoignage de plusieurs ministères. J'aimerais vous poser une question particulière, car je veux être sûr que nous comprenions là où la Loi sur la protection des renseignements personnels ou la portée de cette loi devrait commencer. Vous avez aidé la GRC dans le cas particulier de son programme de surveillance par drone. Vous étiez présent dès le lancement de ce programme.

    Nous avons recueilli des réponses différentes, mais lorsque les ministères disent qu'ils vont prévoir des règles, un règlement ou une loi, ou quoi que ce soit, comment pensez-vous que votre commissariat pourrait participer de la façon la plus utile possible afin de s'assurer que la loi ou la règle?... Pensez-vous que vous devriez être présent dès le départ, et votre présence devrait-elle être obligatoire?

    Nous devrions effectivement être présents dès le départ, et les lois sur la protection des renseignements personnels de bien d'autres pays au monde reposent sur cette prémisse.

    Moi-même, je pars du principe qu'il est préférable d'identifier, de réduire et de limiter les risques pour la vie privée avant qu'ils ne se produisent, par opposition à trouver des solutions après que le risque s'est manifesté. C'est important d'avoir des pouvoirs réparateurs, mais il est tout aussi important, voire même plus important, de repérer les risques lors de la conception des programmes et de les minimiser dès le départ.

    Je m'intéresse particulièrement aux ententes sur la communication des renseignements, pas forcément aux ententes nationales mais internationales. Vous avez parlé de l'UE dans votre exposé. Que pouvons-nous faire afin de renforcer nos lois?

    Plus précisément, je sais que nous avons conclu des ententes bilatérales avec certains pays qui ont le même genre de régime musclé que nous, mais il se peut que nous ayons des ententes avec des pays dont le régime n'est pas aussi robuste. Comment pouvons-nous empêcher que des renseignements soient divulgués par un autre pays, notamment en ce qui concerne les citoyens canadiens?

    Admettons que si nous ayons conclu une entente bilatérale avec un deuxième pays, mais pas avec un troisième. Cependant, le deuxième et le troisième pays ont conclu une entente. Comment pouvons-nous empêcher la divulgation de renseignements par ce deuxième pays?

    La question que vous soulevez devrait en fait nous faire tous réfléchir au pire scénario que le Canada a connu depuis le 11 septembre, c'est-à-dire l'affaire Maher Arar. Nous devons tirer des leçons de cette affaire et du 11 septembre. Le Canada a divulgué des renseignements aux États-Unis qui les ont ensuite transmis à la Syrie, ce qui a mené, selon la commission d'enquête chargée d'instruire l'affaire, à la torture de Arar par les autorités syriennes. Comment minimiser ce risque?

    Tout d'abord, le Canada ne contrôle pas tous les leviers. Il y a bien sûr la question des relations et ententes bilatérales entre pays, mais le Canada peut certainement faire connaître sa position et la préciser dans les ententes afin de s'assurer, lorsqu'il communique des renseignements à un autre pays, que ces renseignements sont bien circonscrits et transmis aux seules fins identifiées, et qu'il ne s'agit pas d'une transaction. Ce serait trop lourd que d'avoir des ententes conçues sur une base de transactions. Ce n'est pas ce que nous recommandons. Nous voulons plutôt voir des ententes-cadres qui offrent plus de précisions que la loi elle-même quant au type de renseignements qui, dans un contexte donné, seraient communiqués et à quelles fins. Voilà un ensemble de critères.

    En ce qui concerne la divulgation potentielle par un pays avec lequel nous avons une entente à un troisième pays, un tel scénario devrait aussi être visé par l'entente conclue avec le deuxième pays. Ainsi, à la lumière de l'affaire Arar, une entente entre le Canada et les États-Unis stipulerait que les États-Unis ne pourraient transmettre des renseignements à un troisième État à moins que certaines conditions ne soient respectées. Ce serait une sauvegarde importante.

    Est-ce que les États-Unis ou un deuxième pays respecteront toujours les termes de cette entente? Cela dépend des ententes bilatérales conclues entre les pays. Normalement, dans ce type de situation, les pays tentent de respecter leurs engagements. Est-ce une garantie absolue du respect des engagements? Non, mais normalement, lorsqu'on s'engage ainsi, il est important que la possibilité de communiquer des renseignements avec un troisième pays, notamment un pays où la protection des droits de la personne n'est pas très robuste, soit couverte par l'entente conclue avec le deuxième pays.

    Qu'en est-il pour les transactions commerciales? Proposeriez-vous quelque chose? Il y a des sociétés et des citoyens canadiens qui ont des intérêts dans de nombreux pays au monde. Qu'arriverait-il si des renseignements fiscaux ou commerciaux pouvaient être communiqués à un autre pays aux termes d'une entente fiscale bilatérale? Comment pouvons-nous empêcher la communication de ces renseignements, qui pourrait avoir une incidence sur une société canadienne, par exemple, si les renseignements étaient transmis à d'autres pays ou à ses concurrents?

    Je vais vous répondre en vous parlant de l'objectif. Cette question, bien sûr, a été soulevée dans le contexte de la loi américaine FATCA, par exemple. La première étape, à mon avis, c'est de déterminer si l'entente conclue entre le Canada et un autre État, en l'occurrence les États-Unis, à des fins fiscales est conforme à l'objectif légitime. Dans le cas de la FATCA, l'objectif était d'empêcher la fraude fiscale, ce qui est légitime.

    Il faut d'abord identifier les termes généraux de l'entente. Est-ce que l'objectif est légitime? Ensuite, il faut s'assurer que les renseignements qui seront transmis sont conformes à l'objectif et ne le dépassent pas. Si on respecte ces règles, les renseignements propres à certains sociétés et citoyens canadiens pourraient être divulgués, mais ce sera à la suite d'une analyse qui aurait été faite indiquant qu'il faut respecter l'objectif de la politique et que seuls les renseignements qui doivent être divulgués conformément à cet objectif le seront.

     Merci, monsieur Saini. C'est tout le temps de parole que vous aviez. Il y aura sûrement du temps à la fin pour d'autres questions.

    Nous passons maintenant à M. Jeneroux pour sept minutes.

    Merci beaucoup d'être venu. Je vous remercie de votre temps, et je suis sûr que bon nombre de vos employés ont écouté les témoignages recueillis au fil des mois pour préparer votre discours d'aujourd'hui.

    Vous avez bien décrit ma plus grande préoccupation dans votre exposé, à savoir l'autorité de prendre des ordonnances et votre changement de position au cours de l'année menant à votre témoignage. En mars 2016, notamment, vous avez recommandé l'amélioration du modèle de l'ombudsman pour enquêter sur les plaintes et avez indiqué que le modèle hybride de Terre-Neuve-et-Labrador conviendrait le mieux à la modernisation de la Loi sur la protection des renseignements personnels. Dans une lettre adressée à notre comité plus tard dans l'année, vous avez indiqué que l'adoption des pouvoirs visant à prendre des ordonnances à l'égard du gouvernement fédéral serait préférable au modèle hybride, compte tenu des circonstances.

    Vous avez déjà fourni énormément de détails, mais j'aimerais vous demander de nous en dire plus sur les raisons qui vous ont mené à choisir le modèle de prise d'ordonnances plutôt que le modèle hybride, et ce qui vous a conduit à votre décision d'aujourd'hui.

    Tout d'abord, quel est le problème à résoudre? C'est en partie le retard, le fait que le modèle actuel n'encourage pas suffisamment les ministères à nous transmettre leurs documents, notamment des documents bien rédigés tôt dans le processus. Cela entraîne des retards pour la personne qui devrait bénéficier de l'intervention du commissaire à la protection de la vie privée, la personne qui a déposé la plainte. Nous recherchons l'autorité nécessaire pour la prise d'ordonnances afin d'être en mesure de répondre en temps opportun au plaignant et de rendre une décision finale qui ne sera pas examinée par les tribunaux ad vitam aeternam.

    J'ai déjà parlé de la question du respect des délais. Dans le système actuel, les ministères ne sont pas forcément tenus de nous fournir des documents complets dès le départ. Il leur est possible de n'étayer pleinement leur position que devant la Cour fédérale parce que nous ne pouvons faire que des recommandations, alors que la Cour fédérale peut ordonner à une institution fédérale de respecter la Loi sur la protection des renseignements personnels. Nous avons vu des cas dans lesquels les ministères nous ont remis une série de documents aux fins de notre enquête et ont ensuite bonifié ces documents lorsque la Cour fédérale a été saisie de l'affaire. Cela va contre notre volonté de rendre des décisions finales en temps opportun au plaignant dans les plus brefs délais.

    La prise d'ordonnances réglerait deux problèmes. J'étais, et je suis toujours de l'avis qu'il y a un risque associé à la prise d'ordonnances, ainsi qu'au modèle de Terre-Neuve, si le commissaire à la protection de la vie privée joue un rôle de promotion et de champion de la protection de la vie privée en plus d'un rôle décisionnel. Un conflit peut survenir entre ces deux rôles. Au cours des derniers mois, notre analyse a confirmé qu'à moins que des mesures ne soient prises pour diviser certaines fonctions à l'interne, les tribunaux sont aptes à intervenir et à conclure que nous n'avons pas été impartiaux lorsque nous avons rendu notre décision. Notre position de défenseur nous prédisposerait à prendre une certaine position, et nous la conserverions en négligeant les faits. C'est un risque réel.

    Ce risque me préoccupait dès le départ. Nous avons pensé au début que le modèle de Terre-Neuve offrait possiblement une solution, mais après un examen approfondi, nous sommes d'avis qu'en fait le risque est le même, qu'il s'agisse de prendre des ordonnances ou d'adopter le modèle de Terre-Neuve. Si le risque est le même et si les mesures de minimisation, soit la division des fonctions au sein du commissariat, sont les mêmes, je préfère avoir l'autorité nécessaire pour prendre des ordonnances, car si l'on examine les deux modèles, c'est la solution qui offre la route la plus directe et la plus rapide pour la personne qui nous intéresse, à savoir le plaignant.

    À ce sujet donc, pensez-vous que l'autorité de prendre des ordonnances du commissaire devrait être définie dans la loi, ou pensez-vous plutôt qu'il serait plus efficace de disposer d'un grand pouvoir discrétionnaire?

    On pourrait prévoir une définition. C'est certainement possible, et on devrait probablement le faire pour indiquer que le commissaire à la protection de la vie privée peut prendre des ordonnances qui obligeraient une institution gouvernementale à faire ce qui, selon l'avis du commissaire à la protection de la vie privée, est nécessaire pour respecter la loi en la matière. C'est justement l'objectif de la prise d'ordonnances, et bien sûr il y aurait un examen judiciaire effectué par la Cour fédérale par la suite, mais en ce qui concerne le processus administratif, c'est ce que ferait la prise d'ordonnances. Il faudrait donc prévoir une définition dans la loi.

    Nous avons entendu de nombreux ministères qui nous ont parlé de leurs préoccupations quant aux demandes qui parviendraient de l'extérieur du Canada, c'est-à-dire d'autres pays. Le ministère de l'Immigration estimait notamment qu'ils ne respectaient pas les délais en ce moment. Il respecte les délais dans 60 % des enquêtes sur la protection des renseignements personnels, et il craint que ce pourcentage ne fera qu'augmenter.

    Qu'en pensez-vous?

    Je partirais du principe que le droit à la vie privée ne devrait pas dépendre de la nationalité; c'est une question de politique. Il existe déjà des mécanismes selon lesquels même s'il n'y a pas de droit prévu par la loi, j'obtiendrai le même résultat, et je demanderais à ma collègue Sue de vous l'expliquer. Essentiellement, il s'agit d'accorder aux étrangers un droit qui codifierait un ensemble de règles, qui essentiellement existent déjà, en les rendant plus visibles. Un tel cas de figure créerait-il un plus grand volume de plaintes et davantage de retards? Possiblement.

    Sue, je vous en prie.

    Ainsi, bon nombre des demandes reçues par Citoyenneté et Immigration concernent des renseignements qui seraient traditionnellement visés par des demandes d'accès à des renseignements personnels et qui sont visées par la Loi sur l'accès à l'information. En raison du libellé de cette loi, malgré le fait que la personne est à l'extérieur du Canada et n'est pas citoyen canadien, elle pourra néanmoins obtenir les renseignements dont elle a besoin pour faire traiter son dossier d'immigration. Les gens passent par un représentant au Canada qui obtient ces renseignements. Nous ignorons combien de demandes supplémentaires seraient créées si la portée de la Loi sur la protection des renseignements personnels était élargie.

    En d'autres termes, le fait d'accorder aux étrangers un droit d'accès en vertu de la Loi sur la protection des renseignements personnels n'a pas d'incidence directe sur la procédure indirecte actuelle qui consiste à avoir des étrangers qui font des demandes d'accès à des renseignements personnels par personne interposée en vertu de la Loi sur l'accès à l'information. Si nous fournissons ces renseignements indirectement déjà, faisons-le directement.

    Merci, monsieur Jeneroux. Nous avons largement dépassé vos sept minutes.

    Au tour maintenant de M. Blaikie.

    Merci.

    Au moins l'un de nos témoins s'est montré plutôt critique face à la possibilité de conférer le pouvoir de prendre des ordonnances au commissaire à la protection de la vie privée en indiquant que c'était en partie en raison de la quantité de demandes que vous recevez en vertu de la LPRPDE. Pensez-vous qu'à un certain point, la quantité de demandes ou de plaintes exigerait une réponse différente? Pensez-vous que c'est important, tout d'abord, et ensuite pensez-vous que le commissariat pourrait tolérer une différence dans ses pouvoirs en ce qui concerne la sphère publique visée par la Loi sur la protection des renseignements personnels et la sphère privée visée par la LPRPDE?

    En fin de compte, la façon dont mes homologues provinciaux ont mis en oeuvre des structures semblables montre que ce n'est que la partie visible de l'iceberg. Seule une petite minorité des dossiers de plaintes engendrerait la prise d'une ordonnance. Avant d'arriver à ce point-là, nous tentons d'offrir une médiation et toutes sortes de solutions. Je ne vois pas pourquoi notre expérience serait différente de celle de mes homologues provinciaux qui doivent prendre des ordonnances dans quelques cas seulement. Il faut avoir cet outil dans son coffre à outils pour gérer le volume de travail et de plaintes, mais je ne pense pas que la prise d'ordonnances servirait dans de nombreux dossiers.

    En ce qui concerne les critères justifiant la collecte des renseignements personnels, qu'il s'agisse de programmes ou d'une contestation en vertu de la Charte des droits et libertés ou autre chose, comment envisagez-vous le mécanisme de surveillance? Est-ce quelque chose dont se chargerait votre commissariat? Serait-ce une fonction largement autoréglementée par les ministères, et votre commissariat ne serait concerné que si quelqu'un devait se plaindre du fait qu'un ministère recueillait des renseignements qui n'étaient pas pertinents dans le cadre d'un programme? Comment voyez-vous la surveillance?

    Il y a tout d’abord les évaluations des facteurs relatifs à la vie privée. Les ministères ont élaboré de nouveaux programmes qui exigent la collecte de renseignements personnels, et nous collaborerions avec eux sur le plan des évaluations des facteurs relatifs à la vie privée, au départ, en ayant à l’esprit ce critère de nécessité pour déterminer si la démarche proposée est conforme à ce principe.

    À partir du moment où le programme entrerait en vigueur et où l’information serait recueillie, nous interviendrions en fonction des plaintes, comme c’est le cas présentement. Si vous acceptiez nos recommandations, nous serions en mesure de sommer les ministères de ne plus recueillir l’information ou de changer leurs pratiques, si nous jugeons qu'elles ne sont pas conformes au critère de nécessité.

     Enfin, les tribunaux seraient l’arbitre de dernier recours. Au bout du compte, ils détermineraient l’interprétation juridique des critères auxquels le CPVP serait tenu de se conformer.

    Concernant votre recommandation sur l'échange de renseignements, l'adoption d'un seuil sur la nécessité de l’échange d’information plutôt que sur son caractère raisonnable, je crois que c’est là la différence. Encore une fois, j’aimerais savoir comment les choses fonctionneraient sur le plan de la surveillance. Vous avez mentionné deux ou trois exemples, dont la situation de Maher Arar, où des gouvernements avaient échangé des renseignements, ce qui avait eu des conséquences négatives. Si vous deviez adopter ce critère de nécessité, comment se dérouleraient les activités de surveillance, à votre avis? Qui s’en occupe, et à quel moment exactement? Si la GRC se prépare à communiquer de l’information à un gouvernement étranger, par exemple, est-ce qu’elle appelle votre commissariat pour lui dire qu’elle s’apprête à le faire? Comment se déroulent les choses à cet égard, en fait?

    Tout d’abord, le critère de nécessité s’appliquerait à la collecte de renseignements. Pour ce qui est de l'échange de renseignements, nous recommandons la conclusion d'ententes sur certains contenus, ce sur quoi je ne m’étendrai pas, mais la nécessité ne fait pas partie des conditions de nos ententes sur l’échange de renseignements. Il devrait toujours y avoir un lien entre l’objectif du programme, l’information à recueillir, etc.

    Vous voulez savoir comment nous surveillerions les choses concernant les transactions, l'échange d’information. Premièrement, il s’agirait pour nous d’intervenir avant que l'échange ait lieu, au niveau des politiques, de l’EFVP. Ensuite, si un ministère voulait nous consulter et qu’il ne pouvait pas le faire, rien dans nos recommandations ne l’obligerait à nous consulter au cas par cas. Cela se passerait préalablement, au niveau du contenu de l’entente. Alors, le ministère mettrait en œuvre l’entente. Si une personne pensait que l'échange d'information n’est pas conforme aux lois en matière de protection de la vie privée, elle pourrait faire une plainte et nous interviendrions à ce moment-là.

    Je ne pense pas que nous communiquerions avec les institutions au cas par cas une fois les règles établies.

    Recommandez-vous alors, dans un cas où, disons, une plainte a été soumise après coup et où vous découvrez qu’il y a atteinte, qu’il y ait des conséquences? À votre avis, que résulterait-il de vos constatations dans un cas où l'on établit que l’entente, s’il y a une entente écrite, n’a pas été bien respectée?

    C’est une bonne question.

    Au minimum, nous constaterions que la transaction n’était pas conforme aux lois en matière de protection de la vie privée. Dans la mesure où il n’est pas trop tard pour corriger la situation, on pourrait réfléchir à la façon de définir les choses concernant l’émission d’ordonnance pour prévoir cette situation. Je n’ai pas de recommandation précise à faire, mais il se peut qu’il soit trop tard. S’il est trop tard, notre position influencera la suite. Nous dirions au ministère que cela allait à l’encontre des lois en matière de protection de la vie privée et qu’il devrait s’autoadministrer en conséquence.

     En théorie, on pourrait réfléchir en fonction des dommages, par exemple. J’essaierais plutôt de déterminer s’il est trop tard pour corriger la situation. S’il est trop tard, je ne passerais pas à la question des dommages. J’essaierais de trouver d’autres solutions pour protéger la personne avant la transaction, qui n’était pas conforme aux lois en matière de protection de la vie privée.

    Merci, monsieur Blaikie.

    C’est maintenant au tour de M. Erskine-Smith, qui dispose de sept minutes.

    Parfait. Merci beaucoup.

    J’aimerais parler d'abord de votre recommandation qui consiste à ne permettre la collecte de renseignements que lorsqu'elle est nécessaire. La protection de la vie privée est un droit quasi constitutionnel. Une analyse constitutionnelle comporte toujours deux volets. Il ne s’agit pas seulement de la nécessité; il s’agit également de la proportionnalité. Certains témoins nous ont dit que nous devrions imposer ce critère également, et qu’il y a deux volets. Je me demande si vous croyez que nous devrions rendre cela non seulement nécessaire, mais aussi proportionnel.

    Nous disons que la norme d'origine législative devrait être la nécessité, mais nous recommandons également que vous envisagiez de définir le concept. Dans notre recommandation, nous définissons « nécessité », en partie, par la proportionnalité. Au bout du compte, tant la nécessité que la proportionnalité feraient partie de la norme.

    Cela s'appliquerait à la collecte. En réponse à la question de mon ami, vous avez mentionné qu'il s'agit seulement de la collecte et non de l'échange d'information.

    Je veux parler de trois choses différentes. La collecte, c'est assez clair. Il y a également l'échange d'information. Il y a ensuite la conservation de cette information et les échéanciers à cet égard. En ce qui concerne l'échange d'information, s'il ne s'agit pas d'une condition ou d'une norme de nécessité, certains témoins ont dit qu'il pourrait s'agir d'une norme d'utilisation compatible. De quelle norme parlons-nous? Il devrait certainement y avoir des conditions. Il ne devrait pas s'agir seulement d'ententes ponctuelles.

     La loi actuelle comprend déjà un certain nombre de normes, soit des normes relatives à l'uniformité, le cas échéant, et des normes s'appliquant à d'autres situations. Par exemple, l'une des dispositions autorisant l'échange de renseignements concerne les procédures judiciaires lorsqu'il s'agit de donner suite à une assignation à témoigner. Il n'y a aucune gradation. Soit on le fait, soit on ne le fait pas.

    Je suis désolé d'intervenir, mais ce sont des cas précis et il pourrait sûrement s'agir de normes différentes. Donc si nous avons un critère de nécessité pour la collecte, c'est très bien. Nous pourrions avoir un autre critère de manière générale, auquel il serait possible de déroger dans certains cas précis, comme le prévoient les dispositions. Or, pourquoi ne pas imposer un critère de nécessité pour l'échange d'information si nous en imposons un pour la collecte, du moins dans un premier temps?

    Dans une situation d'échange de renseignements, il y a deux parties. Il y a l'organisme qui envoie l'information, et celui qui la reçoit. Pour l'organisme destinataire, la transaction de mise en commun de l'information correspond en fait à un exercice de collecte d'information, et il se peut le critère de nécessité ne s'applique pas à l'organisme expéditeur, mais qu'il s'applique à l'organisme destinataire.

    En fait, pour l'essentiel, le critère de nécessité concerne l'organisme destinataire. Pour l'essentiel, l'organisme qui collecte l'information régit l'échange de renseignements

    Oui.

    Excellent.

    Devrions-nous également imposer un critère de nécessité pour la conservation des renseignements?

    Je dirais que oui. Assurément, la conservation sur le plan des principes devrait être régie par... Oui, la nécessité de conserver l'information pour un programme licite du gouvernement devrait être le critère au bout du compte.

    Parfait. Merci beaucoup.

    Dans vos recommandations antérieures, vous disiez qu'il fallait permettre aux plaignants d'exercer un recours devant la Cour fédérale aux fins d'un examen et faire en sorte que la Cour puisse ordonner des mesures de redressement, y compris pour dommages-intérêts. Je crois que vous parliez d'une « série de mesures de redressement » plus exactement.

    Dois-je comprendre que dans les recommandations actuelles, vous proposez la création d'un mécanisme d'examen indépendant des plaintes en matière de protection de la vie privée déposées contre le CPVP ? Est-ce que cela en fait partie, ou bien la recommandation ne s'applique plus?

    Il y a deux choses. Je vais répondre tout d'abord à la question la plus facile concernant le mécanisme spécial. En 2007, le Commissariat est devenu assujetti aux dispositions relatives à l'accès de la Loi sur la protection des renseignements personnels et de la Loi sur l'accès à l'information. Il nous fallait fournir de l'information, comme tous les autres organismes, ce qui a fait en sorte qu'il fallait déterminer auprès de qui une personne qui croit que nous n'avons pas agi conformément à ces dispositions doit se plaindre.

     Dans une situation qui concerne la Loi sur la protection des renseignements personnels, nous ne pouvons pas agir à la fois en tant que partie et en tant que tribunal, et c'est pourquoi nous avons créé ce mécanisme. Dans une cause, l'affaire Oleynik — qui remonte à quelques semaines —, la Cour fédérale a entendu les arguments pour déterminer si ce mécanisme devrait comporter un fondement législatif. Il a été dit que ce n'est pas la Cour qui devrait se pencher là-dessus, mais plutôt le Parlement. Voilà un aspect.

    Concernant la question des tribunaux qui agiraient comme les arbitres pour les dommages-intérêts et une série de mesures de redressement, est-ce que cela a été retiré de vos recommandations?

    Oui, essentiellement au motif que nous... À l'échelle fédérale, les tribunaux font l'objet d'un examen judiciaire, comme vous le savez. La Loi sur la protection des renseignements personnels prévoit un recours spécial qui est une révision de novo d'une demande d'accès. Ce recours est prévu dans la loi actuelle.

    Pourquoi a-t-on créé ce recours? Nous croyons qu'il a été créé pour que les gens aient un recours facilement accessible dans des situations où le Commissariat peut recommander qu'un ministère divulgue de l'information, mais que le ministère ne le fait pas. Il faut donc que les gens aient un recours facilement accessible.

    Si le Commissariat a le pouvoir de rendre des ordonnances, nous sommes d'avis que ce recours, la révision de novo de la Cour fédérale, n'est peut-être plus nécessaire parce que nous serions le recours facilement accessible pour les gens. Notre démarche est en fait encore plus accessible, et peut-être plus rapide que la révision de novo de la Cour fédérale.

    En supposant que les pouvoirs n'incluent pas le pouvoir d'accorder des dommages-intérêts, ne faudrait-il tout de même pas qu'une personne exerce des recours auprès de la Cour fédérale?

     Nous estimons qu'en cas d'atteinte aux droits garantis par la Charte, il y aurait des dommages selon l'article 24, mais autrement, non.

    Ma dernière question porte sur le pouvoir de rendre des ordonnances. Au départ, vous aviez demandé la création d'un modèle hybride, mais maintenant, vous demandez un modèle selon lequel vous vous verriez confier le pouvoir de rendre des ordonnances. Sans qu'il y ait eu d'essai des systèmes au fédéral concernant la commissaire à l'information et le commissaire à la protection de la vie privée, estimez-vous qu'il est utile d'accorder au commissaire à la protection de la vie privée des pouvoirs hybrides ou de vérifier comment un système hybride fonctionne, de sorte que nous pourrions tirer des leçons des deux systèmes dans notre examen quinquennal?

    Simplement dit, non. Nous devrions tous essayer d'obtenir un mécanisme qui offre rapidement une décision aux gens qui revendiquent leurs droits à l'accès à l'information ou à la protection des renseignements personnels et un système durable. Concernant les arguments pour déterminer si le modèle hybride crée des risques de conflits d'intérêts, par exemple, je crois que cela aurait tout simplement pour effet de retarder les choses et créerait des débats judiciaires inutiles. Je préférerais régler directement la question, et qu'on m'accorde le pouvoir de rendre des ordonnances.

    Merci.

    C'est maintenant au tour de M. Kelly.

    Merci.

    Dans votre 13^e recommandation, vous demandez que l'on vous confère le pouvoir discrétionnaire de mettre fin à une plainte ou de la rejeter dans certaines circonstances. Il est question de plaintes frivoles, vexatoires ou faites de mauvaise foi, mais vous parlez également de motifs précis qui incluent ces trois catégories. Y a-t-il d'autres motifs pour lesquels il conviendrait que l'on vous confère ce pouvoir discrétionnaire?

    Je vais vous en nommer quelques-uns, et je demanderai à ma collègue, Patricia Kosseim, de parler des autres.

    Nous employons « notamment » ici parce que ce type de pouvoir discrétionnaire existe dans le cadre de la LPRPDE. Nous pouvons gérer notre charge de travail, essentiellement, en refusant de traiter certaines plaintes pour divers motifs, notamment si une plainte est frivole ou vexatoire. Cependant, la LPRPDE inclut d'autres motifs. Par exemple, la personne a-t-elle accès à un recours efficace autre que celui de présenter une plainte au commissaire à la protection de la vie privée? Le commissaire est-il saisi d'une autre plainte qui porte sur la même question? Par souci d'efficacité, on examine une plainte et non un certain nombre de plaintes. Ce sont deux des motifs prévus dans la LPRPDE.

    Mme Kosseim va vous parler des autres.

    Parmi les autres motifs actuels, il y a les cas où il n'y a pas assez d'éléments de preuves pour poursuivre l'enquête, peut-être en raison des délais ou parce que ce n'est plus pertinent; où l'organisme en tant que tel — dans ce cas, un ministère ou une institution — a déjà fourni une réponse juste et raisonnable à la personne; ou encore où le commissaire a déjà dressé un rapport sur la situation et où un problème récurrent a déjà été réglé. Voilà d'autres exemples.

    Cependant, il vous faudrait indiquer les motifs.

    Absolument.

    Que prévoyez-vous, si l'on vous confère ce pouvoir discrétionnaire, comme processus d'appel si une personne dépose une plainte et qu'elle n'estime pas que sa plainte est vexatoire ou frivole, que la question a été traitée adéquatement dans une autre affaire, ou qu'elle est liée à une autre affaire en cours ou que l'affaire soulève la même chose qu'une autre affaire en cours?

    Nous dirions que l'examen judiciaire est un recours approprié. Je dirais que ce type de pouvoir discrétionnaire s'applique dans bon nombre de tribunaux. Des questions d'accès à la justice ou à une réponse sur le bien-fondé de la plainte peuvent être soulevées. Je l'admets. Toutefois, de nombreux tribunaux administratifs ou judiciaires ont le pouvoir d'établir un équilibre entre l'accès à la justice et certaines restrictions dans des cas où en accordant l'accès à une personne, on peut en fait empêcher l'accès pour d'autres. C'est en gros l'idée. Cela s'applique ailleurs. Nous comprenons qu'il y a une question d'accès à la justice. Nous n'utilisons pas ce moyen fréquemment. Je pense que notre bilan lié à la LPRPDE indique que nous ne l'utilisons pas souvent, et c'est essentiellement ce que nous recommandons.

     Je ne sais pas si vous aurez le temps de répondre à ma question. Nous pourrions y revenir plus tard.

    À des fins budgétaires pour chaque ministère, a-t-on analysé l'effet qu'aurait l'accroissement des recours judiciaires? Un accroissement des recours judiciaires entraînera-t-il une nette hausse des coûts de conformité de différents ministères et de vos propres coûts?

    Je ne crois pas que l'adoption de nos recommandations se traduirait par une augmentation des recours judiciaires, mais si vous voulez savoir quelles répercussions nettes toutes nos recommandations auraient sur les ressources du gouvernement, avec l'autorisation du président, je pourrais vous en parler pendant une ou deux minutes, ou nous pourrions y revenir.

     Je vous le permets.

    C'est une excellente question.

    Nous croyons que le pouvoir de rendre des ordonnances pourrait entraîner des gains d'efficience, car dans le cadre du processus que j'ai décrit concernant la formulation de recommandations, il y a beaucoup d'échanges entre nous et les ministères durant le processus d'enquête, et il n'y a rien qui incite vraiment les ministères à donner des réponses complètes rapidement. Nous croyons que ces échanges pourraient être réduits considérablement si nous avions le pouvoir de rendre des ordonnances.

    En ce qui concerne l'obligation de procéder à une évaluation des répercussions sur la vie privée, de disposer de mesures de protection et de déclarer les atteintes à la vie privée, nous reconnaissons que cela peut accroître les coûts pour le gouvernement. Certains ministères ont déjà instauré cela, alors, pour eux, il n'y aurait aucun coût. Cependant, pour bien d'autres, cela représenterait une augmentation des coûts. Je ne crois pas que l'augmentation serait importante, mais elle ne serait pas négligeable. Je vous demande de considérer ces coûts comme un investissement pour faire en sorte que les gens aient confiance dans la façon dont le gouvernement gère leurs renseignements personnels dans un monde numérique.

    Je ne veux pas dire que ce ne serait pas vraiment une préoccupation ou qu'il n'y aurait pas des coûts à assumer, mais simplement à des fins de planification, l'État doit le savoir.

    Quoi qu'il en soit, je vous remercie.

    Nous pourrons peut-être revenir à vous plus tard, monsieur Kelly, car nous avons largement dépassé les cinq minutes.

    La parole est maintenant à M. Long, pour cinq minutes.

    Je vous remercie, monsieur le président, et je remercie le commissaire de comparaître à nouveau.

    J'ai lu quelques articles ces derniers jours à propos de vous et du commissariat. Un des articles portait sur les dispositions législatives concernant les métadonnées. Vous avez répété à maintes reprises que vous souhaitez qu'on améliore les dispositions législatives et vous avez parlé du Centre de la sécurité des télécommunications, qui échange des renseignements avec le Groupe des cinq. Vous avez dit que certaines des atteintes n'auraient jamais dû se produire en premier lieu. J'aimerais obtenir votre point de vue au sujet des dispositions législatives concernant les métadonnées et les changements que vous souhaitez.

    Vous avez parlé de l'incident concernant le Centre de sécurité des télécommunications. Je dirais d'abord que le gouvernement prétend — et je n'ai aucune raison de contredire cela — que les métadonnées, particulièrement dans le contexte du renseignement étranger, sont nécessaires pour cerner les menaces. Je suis d'accord. Le problème avec l'incident qui s'est produit tient au fait que les métadonnées ont été échangées avec des partenaires, les membres du Groupe des cinq, d'une façon que le commissaire du CST, qui joue un rôle de surveillance, a jugé illégale et contraire à la Loi.

    Cela me dit que nous avons une activité légitime, qui poursuit un objectif légitime, mais qui n'est pas suffisamment réglementée. Pour répondre à votre question, je ne souhaite pas qu'on établisse nécessairement une liste de conditions normatives, mais il faut dire que nous avons actuellement des dispositions très larges qui autorisent certains organismes à recueillir et à échanger des métadonnées. Je souhaite qu'on élabore un cadre ou des dispositions qui énonceraient des principes, acceptés par le Parlement et nos élus, qui dicteraient dans quelles circonstances les organismes gouvernementaux pourraient recueillir et échanger des métadonnées et dans quelles circonstances ils pourraient conserver cette information. Je ne souhaite pas qu'on adopte une approche très normative; je veux qu'on établisse des règles de base.

    Je vous remercie.

    Ma prochaine question est la suivante. Vous avez déclaré que vous souhaitez que les demandes de renseignements que les forces de l'ordre soumettent aux entreprises de télécommunications soient plus détaillées, car vous estimez qu'elles ne le sont pas assez. Aussi, vous avez affirmé être déçu que les chefs de police du Canada demandent l'accès aux renseignements sans mandat.

    Avez-vous constaté des améliorations ou que souhaitez-vous exactement?

    Nous avons observé qu'un certain nombre d'entreprises publient des rapports de transparence lorsqu'elles font l'objet de demandes d'accès légales ou sans mandat provenant des forces de l'ordre, alors il y a une amélioration. Je crois que toutes les entreprises dans le domaine devraient publier des rapports de transparence.

    Ce que je veux faire valoir principalement, c'est que les entreprises ne devraient pas être les seules à faire cela. Les ministères, qui obtiennent les renseignements, devraient aussi être plus transparents et publier des rapports de transparence. Après tout, ce sont eux qui demandent cette information à des fins d'application de la loi. C'est bien que les entreprises le fassent, mais ceux qui devraient vraiment être transparents sont ceux qui demandent et utilisent l'information. Je ne leur demande pas de révéler des secrets liés à l'application de la loi, des éléments qui nuiraient à des enquêtes légales, mais les ministères peuvent être davantage transparents.

    Je suis désolé, j'ai oublié votre dernière question.

    C'était à propos des chefs de police, et du commissaire, je crois...

    Oui.

    Les chefs de police, y compris le commissaire de la GRC, soutiennent que la décision qu'a rendue la Cour suprême dans l'affaire Spencer, qui mettait l'accent sur la nécessité d'obtenir des mandats pour avoir accès aux renseignements personnels de nature délicate des Canadiens, crée d'importants obstacles qui rendent leur travail extrêmement difficile à accomplir, voire impossible, et que le Parlement devrait prévoir dans la loi davantage de circonstances qui autorisent l'accès sans mandat si on souhaite que les policiers fassent leur travail. Il faudra me convaincre que c'est nécessaire, et je crois qu'il faudra convaincre tout le monde.

    Je ne mets nullement en doute les difficultés auxquelles ont été confrontées dans le passé les forces de l'ordre et les agences de sécurité nationales, mais je crois qu'il serait important qu'elles démontrent quelles conditions établies dans l'arrêt Spencer rendent leur travail impossible. L'arrêt Spencer précise notamment que l'information peut être obtenue sans mandat si c'est urgent. Par conséquent, pourquoi est-il nécessaire d'assouplir davantage les conditions?

    Je vous remercie, monsieur Long.

    Nous allons revenir à M. Kelly, qui dispose de cinq minutes.

    Je vous remercie.

    Étant donné que je vous ai posé une question complexe alors qu'il ne restait qu'une minute lors du dernier tour, je vais vous laisser cette fois-ci un peu plus de temps pour répondre.

    Premièrement, je tiens à dire clairement que ma question ne vise certainement pas à laisser entendre qu'il faut mettre un prix sur la protection de la vie privée. Il y a des obligations légales très claires, et il est très clair que les Canadiens ont des attentes très élevées à l'égard de la protection de leur vie privée. Cependant, lorsqu'il y a un changement sur le plan de la réglementation et de l'application de la loi, il est important, à des fins de planification, que non seulement votre commissariat, mais aussi tous les ministères et organismes du gouvernement qui sont touchés soient en mesure de planifier en conséquence.

    Vous avez dit que vous pensez que, dans bien des cas, le bâton dont vous vous serviriez contribuerait à accroître l'efficacité au sein des ministères. Est-ce que je vous ai bien compris?

    Au sujet du pouvoir de rendre des ordonnances, nous formulons de nombreuses recommandations. Si nous obtenions le pouvoir d'émettre des ordonnances, comme nous le recommandons, je crois qu'il serait très possible que le système devienne plus efficace, y compris les ministères.

    Il y a d'autres recommandations qui fort probablement entraîneraient des coûts. J'en suis conscient.

    En ce qui concerne ces coûts supplémentaires, à ce stade-ci, devraient-ils être bien compris par les ministères qui devront les assumer?

    C'est une question complexe.

    Nous avons notamment recommandé d'obliger légalement les ministères à protéger les renseignements personnels en prenant des mesures technologiques et de rendre obligatoire la déclaration des atteintes à la vie privée. On pourrait croire — d'autant plus qu'il existe des politiques du Conseil du Trésor et d'autres ministères à cet égard — que les ministères doivent faire le nécessaire pour protéger l'information que les gens leur transmettent. Pourtant, des atteintes à la vie privée sont régulièrement signalées, et les ministères ne prennent pas toujours les mesures qui s'imposent pour améliorer leurs systèmes.

    Au sein du gouvernement, les efforts déployés pour protéger l'information sont à mon avis insuffisants pour répondre aux exigences. Quel serait le coût? Ce n'est pas comme si on inventait une nouvelle activité. Elle existe déjà. Nous voulons seulement qu'elle soit améliorée. Nous n'avons pas chiffré ce coût, mais je dirais qu'il ne devrait pas être négligeable, mais il ne serait pas non plus considérable. On espère que le gouvernement a déjà pris certaines mesures pour protéger l'information, et certains croient que c'est le cas.

    Pouvez-vous me dire rapidement alors quelles mesures de protection sont prises en ce qui concerne l'obligation de déclarer des atteintes pour s'assurer que la déclaration d'une atteinte ne cause pas un préjudice à une des parties touchées?

    Cela existe dans le cadre du régime discrétionnaire à l'heure actuelle. Je crois que je vais demander à ma collègue Sue de donner des détails, mais je peux affirmer que cela existe dans le cadre du régime de protection des renseignements personnels et du régime discrétionnaire actuels et dans le cadre de la LPRPDE.

    Sue, voulez-vous en dire un peu plus long?

    Actuellement, les ministères ont déjà l'obligation en vertu d'une politique de déclarer des atteintes à la vie privée à notre commissariat ainsi qu'au Secrétariat du Conseil du Trésor lorsqu'il s'agit d'une atteinte substantielle. Inscrire cette obligation dans la loi ne ferait probablement qu'ajouter un peu à ce qui existe déjà. Quant à savoir si les ministères respectent entièrement les exigences, c'est... Nous ignorons ce que nous ne savons pas.

    Cela étant dit, vous avez raison de dire qu'en établissant cette obligation, que ce soit dans une politique ou dans une loi, on risque d'accroître les préjudices. Nous avons été consultés par le ministère de l'Innovation au sujet de cette même politique dans le secteur privé, et nous avons formulé certains commentaires concernant la façon d'atténuer ce risque. Je suis conscient qu'il y a un risque, mais il est possible de l'atténuer.

     Nous passons maintenant à M. Bratina pour cinq minutes.

    Je vous remercie.

    Monsieur Therrien, votre 11^e recommandation vise à modifier l'article 64 de manière à permettre au commissaire de rendre compte publiquement des questions relatives à la protection des renseignements personnels au gouvernement. Nous en avons déjà discuté lors d'une comparution antérieure.

    Êtes-vous satisfait du degré d'indépendance dont vous bénéficiez pour présenter des rapports supplémentaires et pour rendre des ordonnances? Pouvez-vous me dire quel est votre sentiment à l'égard de l'indépendance du commissaire à la protection de la vie privée?

    Je n'ai aucune préoccupation en ce qui concerne notre indépendance. Nous menons des enquêtes et nous effectuons des vérifications de manière indépendante. Nos services juridiques sont suffisamment compétents pour nous permettre d'examiner en profondeur les dossiers qui nous sont présentés sans avoir à faire appel au gouvernement. Je crois que nous disposons de la structure nécessaire pour accomplir notre travail d'une manière indépendante.

    Alors le public peut avoir l'assurance que le commissaire à la protection de la vie privée estime que son bureau accomplit son travail avec la plus grande intégrité.

    Oui.

    Pour ce qui est de rendre compte publiquement des questions relatives à la protection des renseignements personnels, s'agirait-il d'une déclaration faite par votre bureau? Est-ce qu'il y aurait des entrevues avec les médias? Comment communiqueriez-vous avec le public dans ces cas-là?

    De toutes ces façons. Nous avons de l'expérience à cet égard en vertu de la LPRPDE, car, même si nos enquêtes en vertu de cette loi sont confidentielles, comme elles le sont en vertu de la Loi sur la protection des renseignements personnels, j'ai le pouvoir de rendre publiques des conclusions et des recommandations autrement que dans un rapport annuel. Nous faisons cela de temps à autre. Nous publions des rapports de cas, nous remettons des documents à des spécialistes, à des experts, qui leur sont utiles et qui sont utiles aux entreprises, car ils les aident à changer leur comportement ou à s'adapter à nos directives. Je crois que si nous pouvions faire la même chose en ce qui concerne le secteur public, autrement que dans nos rapports annuels, cela serait utile pour les ministères et cela les orienterait durant l'année.

    À titre d'exemple, dans notre dernier rapport annuel, j'ai rendu publiques certaines conclusions concernant l'incident lié à la sécurité nationale dont a parlé M. Long. Nous avons établi ces conclusions plusieurs mois avant la publication du rapport annuel. En raison des dispositions concernant la confidentialité de la Loi sur la protection des renseignements personnels, nous ne pouvions pas les rendre publiques en temps opportun, alors j'ai dû attendre la publication du rapport annuel. J'aurais pu présenter un rapport spécial. C'est une autre possibilité, mais ces rapports spéciaux sont assez officiels, et, lorsque c'est approprié, j'aimerais pouvoir rendre compte publiquement d'une façon moins officielle. J'aimerais le faire d'une manière informative pour faire part durant l'année des conclusions de nos enquêtes.

    Enfin, en ce qui concerne le moment choisi pour rendre compte publiquement, je pense à deux situations en ce moment, l'une dans une province et l'autre aux États-Unis, où on a rendu publiques des informations qui pourraient avoir une influence sur des élections. Je me demande si vous êtes assujetti à des restrictions lors des périodes électorales.

    C'est une bonne question. Ultimement, nous agissons de manière indépendante, mais de façon responsable. Nous tenons compte bien sûr des répercussions de la divulgation de nos conclusions pour ne pas avantager un parti ou un autre et pour nous assurer que la publication des conclusions n'aura pas d'influence sur les élections.

    Le problème en ce moment, c'est que, même s'il n'y a pas d'intention d'influencer les élections, il y aura peu importe une influence. C'est un problème très sérieux auquel les Américains sont confrontés actuellement. J'aimerais en parler davantage avec vous, mais je vais m'arrêter là pour l'instant.

    Je vous remercie.

     Merci, monsieur Bratina.

    Maintenant, nous passons à M. Blaikie qui dispose de trois minutes.

    Je vous remercie.

    Durant votre exposé, vous avez expliqué que si nous n'actualisons pas la Loi sur la protection des renseignements personnels, nous courons le risque que nos partenaires européens, par exemple, ne veuillent pas effectuer d'échanges commerciaux dans certains secteurs. Je me demande si vous pourriez en dire un peu plus long au sujet des secteurs qui pourraient être visés.

    Je crois qu'il s'agit de la plupart des secteurs, en fait.

    En vertu de la loi européenne, la protection dont bénéficient les ressortissants européens est celle prévue dans la loi, à savoir que les normes de protection qui s'appliquent en Europe s'appliquent également aux renseignements qui sont transmis à l'extérieur de l'Union européenne. L'Europe autorise le transfert de données à l'étranger uniquement si elle juge que les mesures de protection qui existent dans l'autre pays sont satisfaisantes ou, selon un jugement rendu récemment par la Cour européenne de justice, si elles sont essentiellement équivalentes à celles qui existent en Europe.

    En Europe, une mesure de protection importante est le critère de nécessité et de proportionnalité. Lorsque je vous recommande d'appliquer le critère de nécessité en ce qui concerne la collecte de renseignements et d'autres activités, j'ai principalement en tête la protection des Canadiens. Puisque l'Europe examinera la législation canadienne en matière de protection des renseignements personnels, il pourrait être utile que nous ayons des mesures similaires en matière de protection.

    En ce qui concerne la règle d'exonération, la cour européenne a jugé que les mesures de protection aux États-Unis n'étaient pas satisfaisantes et n'étaient pas essentiellement équivalentes à celles qui existent en Europe. Par conséquent, elle a mis fin à l'entente en vertu de laquelle l'Europe transmettait aux États-Unis des renseignements personnels.

    Au début des années 2000, l'Europe a jugé que la législation canadienne était satisfaisante, mais l'Europe doit revoir cette évaluation de temps à autre. Ce n'est pas quelque chose qui se fera demain, mais à un moment donné, l'Europe réévaluera la législation canadienne, et je crois que nous serions dans une meilleure position si certains des principaux concepts en matière de protection des renseignements personnels au Canada n'étaient pas entièrement identiques à ceux qui figurent dans la loi européenne, mais qu'ils étaient équivalents.

    Je me demande ce qu'il en serait dans le contexte d'un accord commercial avec l'Europe, par exemple. On nous a dit que l'un des principaux avantages d'accepter toutes les répercussions négatives d'un accord commercial sur certains secteurs, mais aussi sur la capacité du gouvernement de réglementer au Canada, est que nos entreprises ne seraient pas confrontées à des barrières commerciales non tarifaires. Il me semble qu'à moins que cela ne soit réglé dans l'AECG, qui contient cependant une disposition qui prévoit que l'Europe reconnaîtra la législation canadienne, il y aura potentiellement une très importante barrière non tarifaire, malgré tous les compromis que le Canada doit faire en ce qui concerne l'AECG.

    Je n'ai pas lu l'AECG. Je crois savoir qu'il s'agit d'un document volumineux, alors je vais certainement le lire bientôt.

    Je vous remercie.

     Merci, monsieur Blaikie.

    C'est ce qui conclut la période des questions.

     Comme il nous reste une quinzaine de minutes, je cède la parole à ceux qui auraient d'autres questions, en commençant par M. Massé.

    Monsieur Therrien, j'ai deux questions pour vous.

    Tout d'abord, j'aimerais revenir à ce que M. Kelly a dit, plus tôt. Parlons de l'impact financier et de l'impact sur vos ressources qu'aurait le fait de passer d'un modèle d'ombudsman au modèle qui permet la prise d'ordonnances.

    J'aimerais savoir quels sont les impacts financiers. Aurez-vous besoin de plus de ressources? Avez-vous quantifié les coûts supplémentaires causés par le fait de passer d'un modèle à un autre?

    Nous n'avons pas quantifié ces coûts de façon précise. Si nous obtenions ces pouvoirs, nous devrions modifier la structure. Nous ne pouvons pas demander aux mêmes fonctionnaires de faire des enquêtes, d'avoir un rôle de promotion et un rôle d'arbitrage. Par conséquent, certaines personnes auraient un rôle et pas l'autre.

    Actuellement, notre bureau est complètement intégré. Pour vous donner un exemple, un groupe d'avocats appuie les activités des enquêteurs, des gens qui font la promotion et des gens qui font des recommandations aux ministères ou aux compagnies. Les mêmes avocats peuvent donner des avis à tous.

    Nous savons que si nous avions ces pouvoirs, il faudrait séparer certaines fonctions. Ce côté intégré ne serait plus possible. Cela entraînerait des coûts.

     Cela étant dit, nous essayerions de limiter les coûts. Par exemple, dans les cas d'arbitrage, les pouvoirs d'ordonnances seraient utilisés dans une minorité de cas. Ce serait une des façons de limiter l'impact sur les ressources.

     Nous n'avons pas quantifié les coûts de façon précise, mais nous essayerions de les limiter. Il y aurait une augmentation des coûts, mais nous ne pensons pas que ce serait très important.

     Lorsque vous aurez plus d'informations et fait plus d'analyses sur ces coûts, le Comité serait intéressé à les connaître.

    Voici ma deuxième question.

    Hier, un article dans La Presse a créé une grande commotion. Le téléphone d'un journaliste, M. Patrick Lagacé, a fait d'objet de surveillance, et 24 mandats ont été décernés. Évidemment, cela a créé une commotion dans l'ensemble des médias et dans le public de façon générale.

     Je ne veux pas qualifier la situation. Néanmoins, on a été en mesure d'obtenir assez facilement ces mandats pour pouvoir faire la surveillance du téléphone d'un journaliste. Les citoyens se demandent si c'est vraiment possible et s'il est aussi simple d'obtenir des mandats pour regarder un peu ce qui se passe juste sur un téléphone.

    Évidemment, c'est un enjeu qui concerne le Service de police de la Ville de Montréal, mais j'aimerais vous entendre à ce sujet. Pouvez-vous faire des commentaires sur l'enjeu plus large de la protection des renseignements et de la vie privée et de l'accès à l'information?

    Effectivement, c'est un dossier préoccupant. Je ne traiterai pas de la question de la liberté de la presse, mais plutôt, comme vous m'invitez à le faire, de la protection des renseignements personnels, qu'il s'agisse de ceux d'un journaliste ou d'une autre personne.

    Premièrement, ce sont des métadonnées de ce journaliste qui ont été obtenues en vertu d'une ordonnance judiciaire. Dans la cause Spencer, un mandat avait été obtenu. Alors, une des conditions ou des protections prévues dans cet arrêt semble avoir été respectée.

    Voici la question que cela soulève, à mon avis. On a fait mention tantôt de la position de certains corps de police qui voudraient pouvoir obtenir ces données sans mandat. Dans le cas qui nous occupe, les métadonnées ont été obtenues avec un mandat et on peut se poser des questions sur le caractère opportun de cet acte.

     Cela m'amène à vous suggérer de réfléchir à ce qui suit. Même si les tribunaux sont impliqués, le Parlement n'a-t-il pas un rôle à jouer pour préciser les critères qu'un juge doit appliquer avant d'autoriser l'obtention de métadonnées? La liberté de la presse serait un de ces critères. On peut se poser des questions sur l'équilibre entre les divers intérêts. Quelle est l'importance du crime qui fait l'objet d'une enquête? Les métadonnées obtenues sont-elles de nature délicate ou pas?

    C'est une chose de dire que les tribunaux sont impliqués et que c'est un bon début, mais il reste que cette affaire m'amène à penser que ce n'est pas suffisant. Il serait probablement utile de donner des outils aux tribunaux pour qu'ils exercent mieux leur pouvoir dans de tels cas.

    Merci. C'est très apprécié.

    C'est tout pour moi.

    Y a-t-il d'autres questions des membres du Comité?

    Avec votre indulgence, j'aurai quelques questions moi aussi.

    Bob, vous voulez poser quelques questions?

    Oui, j'ai une question concernant la 16^e recommandation, qui vise à limiter les exceptions relatives aux demandes d'accès aux renseignements personnels. Il est écrit que les exceptions devraient être discrétionnaires et fondées sur le préjudice. Il est facile de comprendre les exceptions fondées sur le préjudice, mais qu'en est-il des exceptions discrétionnaires?

    Un des exemples qui a suscité bien des discussions, à la fois en ce qui concerne l'accès à l'information et la protection des renseignements personnels, est l'exception relative à l'accès à l'information qui comporte des renseignements personnels. L'essentiel est de déterminer les circonstances dans lesquelles cette information peut être divulguée, malgré le fait qu'elle comporte des renseignements personnels.

    Actuellement, conformément à l'alinéa 8(2)m) de la Loi sur la protection des renseignements personnels, le ministre ou le décideur délégué a le pouvoir discrétionnaire d'autoriser la divulgation de renseignements personnels si la divulgation va dans l'intérêt du public. Il existe donc déjà un pouvoir discrétionnaire à cet égard. Il faut se demander si la protection de la vie privée doit être le principe par défaut. Nous pensons que oui et nous croyons que nous devrions partir de ce principe, afin de protéger la vie privée, mais cela ne veut pas dire qu'il n'y a pas lieu d'exercer un pouvoir discrétionnaire en ce qui a trait à la divulgation de renseignements personnels lorsque cela va dans l'intérêt du public.

    Est-ce que l'exception discrétionnaire serait ponctuelle ou est-ce qu'elle serait précisée d'une façon spécifique?

    Actuellement, la loi prévoit un examen de l'équilibre, qui fait l'objet d'une surveillance de la part de notre bureau. Si des renseignements personnels sont divulgués dans le cadre d'une demande d'accès à l'information, nous en serons informés. Nous ne pouvons pas annuler cette décision de divulguer, car c'est une décision prise en vertu du pouvoir discrétionnaire du ministre. Cependant, nous pourrions intervenir si nous croyons que la personne devrait être mise au courant de cette divulgation avant qu'elle n'ait lieu.

    Un des principes de base que nous suivons est d'examiner les cas individuellement, car le poids des facteurs sera très différent lorsque nous procédons au cas par cas. Il n'existe pas d'exception fondée sur un critère objectif, par exemple, pour les renseignements personnels. Toutes les situations doivent être examinées individuellement.

    S'agit-il d'un changement radical par rapport à ce qui existait auparavant? J'essaie de bien comprendre. Il me semble que les exceptions discrétionnaires et fondées sur le préjudice existent déjà. Est-ce qu'on va plus loin? J'aimerais seulement que ce soit clair.

    Ce que nous recommandons, c'est que les exceptions prévues dans la loi relatives aux demandes d'accès aux renseignements personnels soient discrétionnaires et fondées sur le préjudice. Dans le cas de la Loi sur la protection des renseignements personnels, en ce qui concerne les exceptions relatives aux demandes d'accès aux renseignements personnels, c'est le principe général que nous appliquons par défaut.

    Je vous remercie.

     Merci, monsieur Bratina.

    Monsieur Therrien, si vous me permettez, j'ai quelques petites questions à vous poser.

    Je suis conscient qu'on sort un peu du cadre de la Loi sur la protection des renseignements personnels. J'ai aimé quand vous avez parlé des métadonnées avec M. Massé tout à l'heure. Nous avons vu dans l'affaire de M. Lagacé, par exemple, que les tribunaux avaient été sollicités. Un juge a délivré un mandat. À votre avis et selon votre expertise, quelle serait la meilleure avenue légale pour encadrer ces métadonnées et leur accès?

    J'ai aussi une deuxième question. Quel intérêt voyez-vous à ce qu'une définition des métadonnées soit incluse dans la Loi sur la protection des renseignements personnels pour s'assurer qu'elles sont considérées comme des renseignements personnels?

     Je ne suis pas certain d'avoir une réponse extrêmement précise à votre question, à savoir quels devraient être les critères.

    Je vais commencer par ce qui suit. Outre l'histoire qui a fait l'objet de reportages dans les médias cette semaine, il y a quelques mois, un tribunal de l'Ontario a été saisi d'une autre cause. Les compagnies de télécommunications se plaignaient du fait que la police avait accès aux métadonnées d'un très grand nombre de personnes qui passaient par un endroit donné. Il y avait une tour de télécommunication qui permettait la transmission de données auxquelles la police pouvait avoir accès en vertu d'un mandat. Les compagnies de télécommunication ont demandé au juge d'établir des conditions au mandat qui viendraient protéger la vie privée.

    C'est ainsi que le juge saisi de l'affaire a établi — je pense que c'était correct en l'instance — qu'il n'avait pas les outils légaux pour faire ce que les compagnies lui demandaient, entre autres de prévoir une période de conservation par la police des données obtenues en vertu du mandat reçu du juge.

    À mon avis, les tribunaux ont reconnu que, même s'ils voulaient imposer des conditions à l'obtention ou à la conservation de métadonnées, le régime juridique actuel n'est pas suffisamment clair pour leur donner ces outils ou pour imposer ce genre de condition. Cela nous force à réfléchir sur l'opportunité d'ajouter de tels critères.

    Quels devraient être les critères? Je n'ai pas de recommandation précise à vous faire autre que les discussions qu'on a eues jusqu'à présent sur des critères comme la nécessité, la proportionnalité, le fait de s'assurer que seulement les renseignements nécessaires à une enquête policière sont obtenus au moyen d'un mandat, que ces renseignements sont conservés seulement pour la période nécessaire à l'enquête et ainsi de suite.

    Les principes de base de nécessité et de proportionnalité me semblent pertinents. Comment doit-on articuler cela dans une précision possible des lois qui permettent aux juges d'autoriser la police à avoir accès à certains renseignements? Je n'ai pas de recommandation précise à vous faire. De façon plus nette, on parle ici des dispositions du Code criminel sur les ordonnances de sauvegarde ou de production d'information. Premièrement, les critères actuels exigent l'intervention des tribunaux, ce qui est une bonne chose. Deuxièmement, ces critères sont plutôt permissifs. Je crois qu'il y a lieu de se demander si on devrait permettre aux juges, selon le contexte du dossier qui leur est présenté, de donner l'autorisation demandée par la police et d'assortir cette autorisation à des conditions qui protègent la vie privée.

    Devrait-on définir les métadonnées dans la Loi sur la protection des renseignements personnels? Ce serait une bonne chose que cette question soit définie.

    Est-ce que c'est dans la Loi sur la protection des renseignements personnels? On sait que la collecte, l'utilisation et l'échange des métadonnées ne se fait pas qu'en vertu de la loi générale sur la protection des renseignements personnels. Il faudrait trouver un moyen de s'assurer que la définition et les règles touchant la collecte, l'utilisation et l'échange — ce qui est le fond de la question — s'appliquent dans tous les cas où ces renseignements sont utilisés.

    Je ne plaide pas ici pour l'uniformité des règles. Je conçois que ces activités dépendent du contexte. Dans un contexte de collecte de renseignements pour des fins d'identification des risques à la sécurité du pays, le travail du CTS, le Centre de la sécurité des télécommunications, constitue un contexte et le travail de la police lors d'une enquête criminelle constitue un autre contexte où les protections sont généralement plus élevées.

     Cela dit, je pense qu'il y a certainement lieu de préciser, à un certain niveau de généralité, les règles applicables. En outre, cette précision devrait dépendre du contexte.

    Dans l'une de vos recommandations, vous dites que le gouvernement devrait vous consulter avant de mettre en vigueur des lois ou des règlements ayant un impact sur la vie privée.

    Pensez-vous que vos recommandations, à la suite de cette consultation, devraient être publiques?

    Absolument.

    Je pense qu'il serait utile d'intervenir le plus tôt possible, précisément pour réduire les risques à l'égard de la vie privée. Toutefois, il ne faudrait pas qu'un tel système donne l'impression que le Commissariat conseille le parti au pouvoir d'une certaine façon et qu'il conseille les autres partis politiques d'une façon différente. Concernant l'exercice de cette responsabilité, il est extrêmement important pour nous d'être perçus comme faisant ce travail de façon impartiale.

    Je vous remercie.

    Voici qui met fin à mes questions et à notre rencontre, monsieur Therrien, madame Lajoie et madame Kosseim.

    Nous allons suspendre la séance et la reprendre ensuite à huis clos pour aborder les travaux du Comité.

    Je vous remercie encore une fois d'avoir comparu devant nous.

    [La séance se poursuit à huis clos.]