ETHI Réunion de comité

    Bienvenue à tous.

    Je remercie nos témoins de faire preuve de patience pendant que nous réglons des problèmes à la Chambre.

    Je signale simplement que, étant le seul membre néo-démocrate du Comité, je prendrai aussi un moment pour poser des questions. Pendant ce temps-là, M. Kelly me remplacera à la présidence.

    Laissez-moi maintenant vous présenter brièvement nos témoins avant de passer aux interventions: Molly Reynolds, associée principale chez Torys LLP, Paige Backman, associée chez Aird and Berlis LLP, et Alex Cameron, associé et président, Protection de l'information et de la vie privée, chez Fasken Martineau DuMoulin LLP.

    Nous entendrons d'abord M. Cameron.

    Merci beaucoup. Bonjour à tous. Je suis ravi d'avoir l'occasion de vous faire part de mes réflexions personnelles au sujet d'enjeux importants qui touchent à la vie privée des Canadiens. Je suis en effet associé chez Fasken Martineau. Je travaille dans le domaine du droit de la vie privée depuis 17 ans — en gros, depuis l'adoption de la Loi sur la protection des renseignements personnels et les documents électroniques, soit la LPRPDE. Cela dit, je prends la parole aujourd'hui à titre personnel.

    J'ai lu plusieurs transcriptions des témoignages qui ont été présentés au Comité. Vous avez pu entendre tout un éventail d'experts et de points de vue. Je suis d'accord avec plusieurs des idées qui ont été exprimées jusqu'à maintenant, tout particulièrement celles de l'Association du Barreau canadien, dont je suis membre.

    Voici, dans ses grandes lignes, le point de vue que je souhaite exprimer à ce comité. Le modèle instauré par la LPRPDE, fondé sur le consentement et la fonction de l'ombudsman, s'est révélé très efficace, souple et durable. Il a permis d'atteindre l'objectif de la LPRPDE, soit la reconnaissance du droit individuel à la vie privée et du besoin qu'ont les organismes de recueillir des renseignements personnels, puis de les utiliser et de les communiquer. Tout compte fait, ce modèle devrait être conservé, à moins que des arguments irréfutables justifient des changements législatifs.

    J'aimerais consacrer ma courte intervention à une dimension particulière de ma pratique et de mon expérience, soit les litiges qui ont trait au droit à la vie privée. Je suggérerai que le contexte dans lequel la LPRPDE évolue est déterminé, en grande partie, par l'accroissement très considérable des démarches judiciaires liées au droit de la vie privée, tout particulièrement au cours des cinq dernières années. Toute discussion au sujet d'éventuels changements à la Loi devrait prendre cela en considération.

    De plus, selon les transcriptions que j'ai consultées jusqu'à présent, je n'ai pas l'impression qu'on ait beaucoup parlé, au Comité, de l'augmentation du volume de cas devant les tribunaux, à l'exception de quelques allusions en passant. J'essayerai d'apporter de nouveaux éléments à la discussion en axant la première partie de mon intervention sur cette question. Cela dit, je serai ravi de répondre à des questions portant sur d'autres sujets.

    Comme vous le savez, en vertu de la LPRPDE, il est possible de s'adresser à la Cour fédérale pour des affaires qui sont traitées dans l'enquête et le rapport d'un commissaire. La cour a le pouvoir d'accorder des dommages-intérêts et d'autres allègements, ce qui donne plus de poids à la Loi.

    Je voudrais illustrer mon point de vue en racontant une petite histoire dont nous avons été témoins en marge de la LPRPDE, une histoire qui commence en 2010 environ.

    Tout d'abord, nous avons vu quelques causes invoquant la LPRPDE arriver à la Cour fédérale. Normalement, les plaignants recevaient 5 000 $ ou moins pour des atteintes à la vie privée. Je dirais que, dans la plupart des cas, il s'agissait d'incidents mineurs. Depuis lors, ce genre de cause continue de défiler devant la Cour fédérale en vertu de la LPRPDE.

    Cependant, ce n'est pas là que se situe la progression la plus importante. En 2012 environ, ainsi qu'en 2013, nous avons assisté au Canada à une augmentation fulgurante des litiges liés à la vie privée en marge de la LPRPDE. Ces affaires ne passent pas par le commissaire avant de se retrouver en Cour fédérale. Elles sont plutôt présentées directement à la cour sous forme de poursuites en responsabilité civile, de réclamations contractuelles, d'accusations de négligence et d'autres causes d'action. Les objets de litige sont multiples.

    Bon nombre de causes portaient sur des enjeux de cybersécurité: piratage, espionnage au bureau, clés USB et autre matériel égarés, allégation d'utilisation à mauvais escient des renseignements personnels à des fins commerciales et communication non intentionnelle des renseignements. Ni le secteur privé ni le secteur public n'ont été épargnés. L'explosion du nombre de causes a commencé à ce moment-là environ. Nous n'avions encore jamais rien vu de tel au Canada.

    Cette progression était exceptionnelle non seulement en raison du volume d'activité — augmentation du nombre d'actions en justice —, mais aussi du fait qu'aux plaintes déposées par des particuliers s'ajoutaient des recours collectifs. Beaucoup de causes sont entendues actuellement et un certain nombre de recours collectifs ont été autorisés. Quelques affaires ont été réglées. L'activité juridique ne faiblit pas.

    Il est important de retenir que, du fait de la progression, les affaires sont amenées directement devant les tribunaux plutôt que de passer par le commissaire ou par la procédure de la LPRPDE. À mon avis, cet état de fait doit être pris en considération dans votre examen des problèmes — que vous n'ignorez pas, j'en suis certain — qui peuvent justifier des changements à la Loi. J'y viens dans un instant.

    J'ajouterai que l'on s'attend à ce que la tendance se maintienne en raison de la possibilité que des dispositions rendant obligatoire le signalement des atteintes à la vie privée entrent en vigueur. Si les organismes sont tenus de signaler plus souvent ces atteintes, des particuliers demanderont des avis juridiques. Nous nous attendons donc à ce que davantage d'actions en justice soient intentées dans la foulée des signalements.

    En quoi cela est-il lié aux changements à la LPRPDE qui sont envisagés? On entend souvent dire par exemple que, si les pouvoirs du commissaire ne sont pas renforcés en vertu de la Loi, les organismes pourraient ne pas voir l'intérêt de se conformer aux exigences en matière de protection de la vie privée. L'accroissement de l'activité juridique au cours des cinq dernières années vient en réponse à cet argument.

    Mon expérience m'a enseigné que les organismes prennent la protection de la vie privée au sérieux. Toutefois, en parlant de l'accroissement des actions en justice, je replace la question dans son contexte général. Il y a des risques bien réels associés à ces poursuites éventuelles. Il faudra dépenser de l'argent pour régler les litiges et, bien entendu, assumer la responsabilité des atteintes à la vie privée, qui peuvent prendre des formes multiples. À cet égard, les tribunaux ont joué un rôle central dans la mise en application de la protection de la vie privée au Canada.

    Selon moi, l'accroissement des actions en justice devrait aussi être pris en considération dans l'examen de la question de l'adéquation liée au Règlement général sur la protection des données de l'Union européenne. L'Association du Barreau canadien a déjà souligné cela.

    Je m'arrête ici. Je serai ravi de répondre à vos questions sur cet enjeu ou sur d'autres sujets. Je tenais à aborder cette question parce qu'à ma connaissance, elle n'avait pas beaucoup été traitée dans les témoignages précédents.

    Merci.

    Merci beaucoup, monsieur Cameron.

    Nous allons maintenant passer à Mme Reynolds.

    Bonjour.

    Merci de m'avoir invitée à comparaître devant le Comité aujourd'hui à l'occasion de votre examen de la LPRPDE. D'abord, je vous parlerai un peu de mes expériences, puis j'aborderai deux enjeux qui devraient, à mon avis, faire partie de votre étude.

    Je suis plaideuse dans le domaine du droit de la vie privée et de la sécurité des données à Toronto. Je représente des organismes du secteur privé dans les contextes juridiques canadien et américain. Je travaille aussi pour des particuliers qui désirent faire valoir leur droit à la vie privée devant les tribunaux civils, par exemple dans le cas malheureux où des images intimes ont été diffusées sans consentement. Je souligne, à titre d'information, que je suis un peu plus près de la génération qui a grandi avec l'Internet que de celle qui a assisté à l'apparition du premier télécopieur. Le point de vue que j'exprime ici aujourd'hui est lié à ce contexte.

    Je me propose de commencer par l'enjeu prioritaire de mon intervention.

    La réforme la plus importante de la LPRPDE serait celle autorisant les décisions anticipées en matière de conformité. En conférant au Commissariat à la protection de la vie privée — le CPVP — le pouvoir de se prononcer sur la conformité avant que le secteur privé ne mette en oeuvre une nouvelle initiative, nous renforcerons la protection des renseignements personnels des Canadiens et le taux de conformité dans le privé. Mes collègues de l'Association du Barreau canadien vous ont déjà parlé, il me semble, de la décision anticipée. Ce cadre législatif permettrait aux organismes de soumettre au CPVP, sur une base volontaire, toute nouvelle initiative qui pourrait avoir des effets sur les renseignements personnels. Il pourrait s'agir d'un nouveau produit, d'une nouvelle technologie, d'une nouvelle organisation des services. L'organisme reçoit ensuite un avis du CPVP indiquant si, oui ou non, l'initiative est susceptible d'être conforme à la Loi.

    Selon moi, pour autoriser la décision anticipée, il faudrait procéder à des amendements. Dans l'état actuel de Loi, les pouvoirs du CPVP sont limités à l'enquête, aux vérifications et aux accords de conformité quand un organisme est considéré comme non conforme à la Loi. Or, le pouvoir de rendre des décisions anticipées ne devrait pas reposer sur une présomption de non-conformité. La démarche devrait être délibérée et proactive de part et d'autre.

    À mon avis, quatre conséquences importantes découleraient du pouvoir de rendre des décisions anticipées en matière de conformité.

    Premièrement, les Canadiens seraient mieux protégés. C'est la conséquence la plus importante. Le CPVP et l'entreprise utiliseraient leurs ressources de manière proactive afin de protéger la vie privée des citoyens au lieu de mener des enquêtes et de sévir en cas de manquement. Ne dit-on pas qu'il vaut mieux prévenir que guérir? Il est préférable d'utiliser les ressources en amont, afin que la conformité à la loi sur la vie privée soit établie avant que des renseignements personnels ne soient compromis dans la foulée d'une nouvelle initiative.

    Deuxièmement, en plus d'être à l'avantage des organismes, cette façon de faire serait au bénéfice du Commissariat à la protection de la vie privée lui-même, puisque celui-ci développerait par là une connaissance approfondie et actualisée des nouvelles technologies et des nouveaux progrès en matière de renseignements personnels dans l'économie canadienne. Par conséquent, le CPVP serait à même de donner des avis à jour, mieux éclairés sur le plan technique, ainsi que de transmettre son savoir à d'autres organismes afin de sensibiliser les différents acteurs de l'économie à la question de la vie privée.

    Troisièmement, la décision anticipée accroîtrait la prévisibilité pour toutes les parties. Les organismes pourraient s'en remettre à l'expertise du commissaire pour mettre en place un dispositif de protection des renseignements personnels adapté à leurs nouvelles initiatives. Ainsi, ils sauraient, avec beaucoup plus de certitude, comment se conformer aux exigences de la Loi. Ils verraient d'un nouvel oeil les conséquences que leur nouvelle technologie ou leur nouveau projet pourrait avoir sur la vie privée, sans que cela ralentisse l'innovation.

    Quatrièmement, il me semble que la décision anticipée aiderait le secteur privé à mieux évaluer les risques. Elle encouragerait les entreprises à mettre en place des dispositifs internes d'évaluation des conséquences de leurs initiatives sur la vie privée, ce qui augmenterait le taux de conformité à la LPRPDE dans les organismes et dans l'industrie, bien au-delà des demandes d'avis particuliers soumis au CPVP. Vous n'êtes sans doute pas sans savoir que le Secrétariat du Conseil du Trésor exige des institutions gouvernementales qu'elles mènent des études d'impact afin d'évaluer les conséquences potentielles de tout nouveau projet sur le droit individuel à la vie privée. Nous pourrions adapter cette façon de faire au secteur privé. Avant de pouvoir soumettre une demande de décision anticipée, l'organisme aurait d'abord à présenter les résultats de son étude d'impact interne au CPVP. L'évaluation des facteurs relatifs à la vie privée, EFVP, deviendrait ainsi une pratique commune dans le secteur privé et le droit individuel à la vie privée serait protégé de façon plus cohérente.

    Je terminerai mon premier point en soulignant que les décisions anticipées ne devraient être contraignantes pour aucune des parties concernées. L'idée, c'est de susciter un dialogue entre l'industrie et l'organisme de réglementation afin d'améliorer la protection préventive des renseignements personnels.

    Le deuxième enjeu lié à la réforme de la Loi a trait à l'établissement du seuil à partir duquel les informations deviennent suffisamment anonymes pour qu'elles ne soient plus considérées comme des renseignements personnels. Le commissaire à la protection de la vie privée a abordé cette question épineuse dans le document de travail sur le consentement et la vie privée dont vous avez déjà parlé ici, je crois. L'une des caractéristiques essentielles de la LPRPDE — vous avez entendu cela des milliers de fois —, c'est sa neutralité sur le plan technologique. Or, au fur et à mesure que la technologie progresse, de nouvelles formes d'information apparaissent. Pensons aux métadonnées ou aux résultats des analyses de données. Il existe aujourd'hui de nouvelles catégories d'information. Il est souvent difficile, dans le secteur privé, de déterminer si les données qui sont créées ou traitées constituent des renseignements personnels en vertu de la Loi.

    Il y aurait davantage de prévisibilité si l'on inscrivait dans la LPRPDE le seuil à partir duquel une information est considérée comme nominative. Dans le document de travail du commissaire à la protection de la vie privée, on indique deux critères envisageables: la possibilité réelle qu'une personne puisse être identifiée — c'est le critère qu'ont retenu les cours canadiennes auparavant — ou la probabilité qu'une identification puisse être déduite de l'information — c'est le critère sur lequel s'est basé le commissaire du Royaume-Uni par le passé.

    Le problème de l'anonymisation est lié à mon premier point. Si l'on permet au commissaire à la protection de la vie privée de rendre des décisions anticipées à l'endroit des entreprises, les organismes pourraient confirmer leurs études d'impact. Ils seraient certains que les informations qu'ils manipulent ne risquent pas de permettre l'identification d'une personne et que, par conséquent, elles ne sont pas du ressort de la Loi. Ils pourraient faire cela avant même de terminer la conception de leur programme. Si le CPVP leur donne tort, des mesures de protection peuvent être établies bien avant que des renseignements personnels ne soient exposés. Cette façon de faire respecterait le mandat du commissaire à la protection de la vie privée, qui consiste à protéger et à promouvoir le droit à la vie privée.

    Au reste, l'effacement des données personnelles est une norme de l'anonymisation au Canada et à l'étranger liée au droit dont nous parlons. En raison des progrès technologiques et de la décentralisation du stockage de l'information, il devient de plus en plus difficile d'effacer toutes les copies de tous les dossiers contenant des renseignements personnels, d'autant plus que la définition même de ce qu'est un renseignement personnel peut varier selon le contexte ou la technologie qui est utilisée.

    La Loi suggère déjà que les renseignements devraient être détruits, effacés, ou encore — c'est important — rendus anonymes dès qu'ils ne sont plus nécessaires. Elle suggère aussi qu'une organisation pourrait avoir à effacer ou à modifier des renseignements personnels à la demande d'un particulier.

    L'idée d'un seuil rigoureux à partir duquel l'anonymat est reconnu ou l'anonymisation nécessaire va dans le même sens. Le cadre législatif existant a l'avantage d'être neutre sur le plan technologique. Il est possible de protéger le droit individuel à la vie privée même quand la technologie utilisée ne permet pas de supprimer définitivement les renseignements personnels qui sont stockés. La solution de remplacement à l'effacement, c'est l'anonymisation. À mon avis, la possibilité de modifier ou d'anonymiser l'information est déjà inscrite dans la Loi. En substance, c'est l'équivalent du Règlement général sur la protection des données de l'Union européenne, puisqu'il s'agit d'un droit à l'effacement, mais l'établissement d'un seuil légal, à partir duquel les renseignements ne seraient plus considérés comme personnels, serait à l'avantage des particuliers, des organismes et du CPVP.

    En guise de conclusion, je prends acte du fait que beaucoup de mes collègues ayant témoigné à ce comité ont abordé les détails du Règlement général sur la protection des données de l'Union européenne. Je ne m'étendrai pas trop sur le sujet. Néanmoins, comme c'est lié aux questions de l'anonymisation des renseignements personnels et de l'équivalence entre l'exigence de conservation de notre loi et le droit à l'effacement de l'Union européenne, je vous exhorte à axer votre étude sur les préoccupations des entreprises et des consommateurs canadiens qui doivent respecter à la fois la loi canadienne et la loi internationale. À mon humble avis, cette étude ne devrait pas se focaliser sur des réformes qui consisteraient simplement à adopter les décisions de l’Union européenne en matière d’adéquation, mais bien plutôt sur une harmonisation entre la loi canadienne et les normes internationales de manière à assurer une meilleure protection des renseignements des consommateurs et des entreprises et à accroître la prévisibilité sur l'ensemble des territoires.

    Il me tarde d'entendre les interventions de mes collègues et les questions que vous voudrez peut-être me poser.

    Merci beaucoup, madame Reynolds.

    Madame Backman, les 10 prochaines minutes sont à vous.

    Bonjour. Je vous remercie de m'avoir invitée à participer à votre étude sur la LPRPDE. Le travail que les membres de ce comité sont appelés à abattre est de taille, mais combien important.

    Contrairement à M. Cameron et à Mme Reynolds, je suis avocate d'entreprise. Parmi les trois témoins, on compte deux avocats plaidants et une avocate d'entreprise.

    Je suis coprésidente du groupe sur la protection des renseignements personnels et la sécurité des données de notre entreprise et je suis également directrice de la Fondation Cybersécurité, dont le mandat consiste à protéger des particuliers dans le cadre de la cyberactivités et de la lutte contre le cybercrime. Les fonctions de ces deux postes, je dois dire, ne s'harmonisent pas bien souvent, mais je préciserais, après mûres réflexions, que l'on peut progresser sur les deux plans — l'avancement des affaires et la protection des particuliers.

    Les présentations que j'exposerai cet après-midi sont strictement personnelles et j'apprécie les observations dignes de mention que nous ont livrées Mme Reynold et M. Cameron. J'estime qu'elles sont très précieuses.

    Le rythme des percées technologiques depuis l'adoption de la LPRPDE il y a 17 ans a été fulgurant tout comme les moyens utilisés par les entreprises pour créer et continuer d'établir de nouveaux modèles d'affaires visant des personnes de tous les âges et de l'ensemble des tranches démographiques afin de tirer profit des nouvelles technologies. On assiste donc à une importante évolution dans la façon dont les gens interagissent avec la technologie; la nature et la portée des renseignements personnels qui sont recueillis, agrégés, réidentifiés, utilisés, divulgués et vendus; la façon dont les entreprises peuvent commercialiser ces renseignements et sans compter les incidences qui en découlent pour les gens.

    Je crois que tous ceux qui ont présenté des observations l'ont probablement relevé, cette situation suscite tout un défi pour l'application de la LPRPDE et son évolution au cours des 16 dernières années.

    Même s'il existe d'autres domaines relevant de la LPRPDE auxquels je pourrais proposer des modifications, je vais limiter mes observations à trois grandes questions pour alléger ma présentation: un cadre de consentement, une surveillance des mineurs et un droit limité d'effacement des données. Bien que je ne formule pas de recommandations au sujet des pouvoirs d'application de la loi du CPVP, je vais conclure ma présentation sur ces mêmes sujets.

    Pour le public visé, il va sans dire que le consentement valide représente le fondement de la LPRPDE et de l'ensemble des lois internationales sur la protection des renseignements personnels et, d'après mon expérience, j'appuie les diverses études et les nombreuses présentations adressées à ce comité. À la lumière des conclusions qui y sont formulées, les politiques en matière de protection des renseignements personnels et leur utilisation actuelle ne permettent pas du tout de communiquer des renseignements importants et d'obtenir le consentement qui s'impose.

    Il s'agit là d'un problème tant pour les organisations que pour les particuliers. Ce ne sont pas simplement les particuliers qui sont touchés. Les organisations, qui ont recours à des politiques en matière de protection des renseignements personnels, ont une fausse impression d'avoir obtenu le consentement exigé. Si les particuliers ne peuvent raisonnablement comprendre la façon dont leurs renseignements personnels seront utilisés ou divulgués, ou s'ils ne savent pas si, ni quand les pratiques de traitement des renseignements d'une entreprise débordent du cadre imposé pour réaliser un but légitime, il n'y a pas de consentement. Si nous parvenons à trouver une solution, il s'agira là d'une percée cruciale pour les deux parties.

    Il serait irréaliste de suggérer que nous pouvons trouver une approche qui conviendra à toutes les personnes de chaque groupe démographique. Cependant, l'adoption d'un cadre de consentement adéquat permettra aux entreprises d'avoir une plus grande certitude sur le consentement requis et, aux particuliers, d'obtenir des renseignements utiles pour savoir s'ils vont donner leur consentement ou non.

    À cette fin, je recommande l'adoption du cadre suivant en quatre parties afin d'appuyer le processus du consentement. Tout d'abord, il faut définir les pratiques de traitement des données pour lesquelles un consentement peut être visé et intégrer les mêmes mesures à ce code modèle rattaché à la LPRPDE. Certaines suggestions relatives à la terminologie à employer dans ce code modèle figurent à l'annexe 1 de ma présentation écrite. Elles permettront de préciser les pratiques qui serviront aux organisations concernant le consentement tacite et à quel point les pratiques d'une organisation contreviennent à un tel code modèle. Les politiques sur la protection des renseignements personnels d'une organisation seraient axées sur ces pratiques complémentaires.

    Deuxièmement, il faut obtenir un consentement exprès concernant les pratiques qui contreviennent au code modèle ou qui le complètent.

    Troisièmement, les pratiques à des fins secondaires devraient être bien définies dans les politiques en matière de protection des renseignements personnels et l'on devrait offrir un droit de désistement clair et facilement accessible pour chaque objectif secondaire.

    Madame Backman, je vous demanderais de parler un peu moins vite pour faciliter le travail de nos interprètes.

    Très bien. Je suis désolée.

    Ils ont du mal à vous suivre.

    Merci beaucoup.

    Si certains sages conseils vous ont échappé, n'hésitez pas à m'en faire part.

    Des voix: Oh, oh!

    Mme Paige Backman: Pour chaque cas où il faut obtenir un consentement exprès, une copie de la politique en matière de protection des renseignements personnels devrait être fournie à la personne qui a donné son consentement sous forme qui lui permettra de la conserver. Cette mesure est conforme aux lois sur la protection des consommateurs au Canada.

    Le deuxième élément pour lequel je présente des recommandations porte sur la supervision des mineurs. Je représente plusieurs grandes entreprises qui font affaire avec des écoles ainsi que d'autres entreprises dont les applications et les sites en ligne sont utilisés par des mineurs. L'une des plus grandes difficultés souvent observées porte sur la question à savoir quand faut-il obtenir le consentement d'une personne qui n'est pas majeure et quand et comment obtenir le consentement des parents ou des tuteurs d'un mineur.

    J'intègre dans mes présentations certaines études, comme il est précisé dans ma présentation écrite, qui indiquent qu'un pourcentage élevé de jeunes enfants participent à des activités en ligne. Il y a également un renvoi à un récent rapport du commissaire à l'enfance de l'Angleterre qui se penche sur les conditions d'utilisation d'Instagram. Il s'agit d'une application qu'utilisent plus de 50 % des enfants de 12 à 15 ans et 43 %, presque 50 %, des enfants de 8 à 11 ans en Angleterre.

    Le document des conditions d'utilisation d'Instagram comptait 17 pages et 5 000 mots. Le langage et la syntaxe n'étaient pas adaptés au jeune moyen — et, je préciserais, à l'adulte moyen. Lorsque l'on a demandé aux enfants et aux jeunes de lire les conditions d'utilisation, ils étaient exaspérés et naturellement déroutés. Bien que les jeunes Canadiens puissent être avides des messages textes — et je peux en témoigner par mon expérience avec mes jeunes fils, qui sont peut-être plus connaissants que moi en la matière — les enfants et les jeunes ne sont pas capables bien souvent de saisir les modalités des politiques même si celles-ci sont portées à leur attention, et ils sont fréquemment dépourvus des connaissances nécessaires sur les conséquences et les procédures d'affaires concernant les divers processus exigés pour donner leur consentement éclairé.

    À cette fin, je recommande d'imposer à ces organisations d'obtenir le consentement vérifiable d'un parent ou d'un tuteur d'un enfant de moins de 16 ans. Toute méthode utilisée pour obtenir le consentement vérifiable devrait être calculée de façon raisonnable, en tenant compte de la nouvelle technologie, pour s'assurer que la personne qui donne son consentement est bel et bien le parent de l'enfant ou le tuteur légal. Bien que l'âge fixé à 16 ans ne soit pas un chiffre magique, il respecte les lois nationales et internationales, notamment le Règlement général sur la protection des données, le RGPD. Au sujet de l'approche utilisée pour obtenir le consentement du parent ou du tuteur, nos recommandations sont conformes au règlement sur la protection des enfants sur Internet de la FTC américaine ainsi qu'au RGPD dont l'exigence imposée aux organisations consiste à déployer des efforts raisonnables pour obtenir le consentement vérifiable d'un parent en tenant compte des technologies existantes.

    Comme troisième point, je recommande de modifier la LPRPDE visant le droit limité d'effacement des données. Nous en avons beaucoup entendu parler. Il existe certainement des avantages et des inconvénients des deux côtés. Dans cette optique, je recommande un droit d'effacement limité.

    Sur cette question, je mentionne diverses études, figurant dans ma présentation écrite, qui tiennent compte du fait que de jeunes enfants ont souvent recours à des sites Web et à des applications en ligne qui supposent la collecte de renseignements très personnels, notamment des photos, des vidéos, des renseignements dans un journal et la désignation d'un emplacement ainsi que la diffusion de ces renseignements. Ils en affichent le contenu ou d'autres le font et l'information se répète.

    Les avantages pour les enfants et les jeunes de participer à des activités en ligne grâce aux médias sociaux sont nombreux. Cependant, une erreur de jugement d'un mineur, ou de jugement d'une autre personne qui vise l'information d'un mineur, peut avoir de lourdes conséquences à court et à long terme tant pour le mineur que la société. Nous constatons plus souvent une empreinte en ligne, provenant de la personne responsable, d'un mineur ou d'un enfant, ou de quelqu'un d'autre, ce qui peut largement contribuer au problème d'intimidation en ligne. Une telle intimidation peut bouleverser la santé physique et mentale de l'enfant et peut avoir des conséquences à long terme pour le mineur et la société.

    Même si la recommandation précédente concernant le consentement d'un parent permet de protéger les mineurs à un moment en particulier, nous devons également nous pencher sur la question du partage constant d'information et de l'utilisation des renseignements sur les mineurs à des fins commerciales. Il ne faut pas oublier que tout ceci vise les activités commerciales suite à la présence en ligne d'un enfant ou d'un jeune, ce qui se produit bien souvent sans supervision des parents.

    Dans ce contexte-là, je recommande que le droit d'effacement des données soit promulgué dans le cas des mineurs dont on a recueilli, utilisé et divulgué les renseignements personnels dans le cadre d'activités commerciales.

    Conformément à cette recommandation, je tiens à souligner que le RGPD appuie également le besoin croissant de recourir au droit d'effacement lorsque les renseignements personnels d'un mineur sont visés. Nous recommandons en particulier ce qui suit conformément aux mesures prévues dans le RGPD.

    Les personnes dont les renseignements personnels sont recueillis, utilisés ou divulgués après une activité commerciale, et il s'agit là de données qui sont ou ont été recueillies, utilisées ou divulguées au moment où le particulier était mineur, devraient avoir le droit — qui s'applique également à leurs parents ou tuteurs — à ce que de tels renseignements personnels soient supprimés sans retard excessif, sauf dans les cas précis que j'ai mentionnés dans ma présentation écrite. Dans la mesure où de tels renseignements personnels ont été divulgués ou transférés à un tiers ou rendus publics, l'organisation qui a recueilli au départ les renseignements et toutes les parties qui utilisent ou divulguent de tels renseignements devraient prendre des mesures raisonnables, y compris le recours à une technologie accessible, afin de supprimer l'ensemble des copies et des liens portant sur de tels renseignements personnels.

    Mon dernier commentaire porte sur les pouvoirs d'application de la loi du CPVP. Je ne vais pas formuler de recommandations particulières à l'appui de certains pouvoirs d'application de la loi. Cependant, pour alimenter la discussion sur cette question, je tiens à renforcer les principes généraux sur lesquels s'appuie la LPRPDE, tout en assurant une marge de manoeuvre, ce qui suscite de grandes incertitudes chez les organisations quant à leurs obligations de conformité. Sans garantir une plus grande certitude concernant les exigences de conformité aux termes de la LPRPDE, il serait injuste et très préjudiciable d'imposer d'autres sanctions à ces organisations.

    Pour conclure, je tiens à préciser que le travail entrepris par les membres de ce comité est de taille, mais combien important. Je veux vous remercier de votre temps et de vos efforts consacrés à la modernisation de la LPRPDE et vous assurer que les modifications qui seront apportées à cette loi sont pertinentes et précieuses pour réaliser les objectifs escomptés. Au titre des efforts déployés pour moderniser la LPRPDE et veiller à ce que les mesures de protection qui y sont prévues soient pertinentes et utiles, il faudra surmonter divers obstacles; cependant, le prix à payer, pour les décisions de ne pas moderniser ni de modifier la LPRPDE de façon à ce que celle-ci soit claire et protège les entreprises et les particuliers, est également très élevé.

    J'espère que ma présentation a une certaine utilité. Bien que j'aie limité les changements proposés à trois grands sujets, je suis à votre disposition pour répondre aux questions sur ces sujets-là ou sur d'autres.

    Merci beaucoup.

    Je tiens à remercier tous les témoins de leurs présentations.

    M. Saini sera le premier membre du comité à poser des questions.

    Je tiens à tous vous remercier de vos observations préliminaires.

    Madame Backman, j'ai lu votre mémoire et, dans vos premiers commentaires, vous avez déjà répondu à quelques-unes de mes questions.

    Vous avez mentionné la nécessité d'améliorer le consentement parental pour les mineurs. Pouvez-vous nous donner une idée de certaines mesures employées pour que cela se concrétise? Vous avez également précisé dans votre mémoire que l'âge devrait être fixé à 16 ans. Je sais que l'âge est de 13 ans d'après la loi américaine COPPA et, vous, vous dites 16 ans. Je pensais que c'était exceptionnel. Vous avez mentionné 16 ans puisque cet âge est précisé dans les lignes directrices sur la santé en Ontario et j'ai trouvé que c'était particulier à ce cas de figure. Pouvez-vous nous donner un aperçu du fonctionnement du modèle sur le consentement parental?

    Bien entendu et je le répète. Si quelqu'un prévoit commettre une infraction, il est difficile de l'en dissuader, donc permettez-moi d'aborder deux points: tout d'abord, la façon de le faire et, ensuite, l'âge fixé à 16 ans.

    Je crois que 16 ans est un âge constant dans les lois au Canada. Il est également conforme au RGPD. Cela me semble plus sensé. D'un point de vue tout simplement pratique, je ne crois pas que les enfants de 13 ans puissent fournir un consentement éclairé. Pour moi, cette question est un non-sens. Je m'interroge si, même à 16 ans, on peut fournir un consentement éclairé, mais, à un certain moment donné, on veut respecter les jeunes à mesure qu'ils grandissent et prennent de la maturité, voilà pourquoi j'ai également fait un lien avec le droit à l'effacement à 18 ans, ce qui permet aux gens de fournir un consentement, mais on reconnaît également qu'il pourrait y avoir quand même des erreurs commises par les enfants ou les jeunes.

    Quant à la façon de procéder, lorsque l'on s'inscrit à une activité ou bien à une application ou à un site Web, on demanderait le compte courriel d'un parent. Il s'agirait tout d'abord de confirmer l'âge de l'enfant et on demanderait un compte courriel secondaire pour vérifier le consentement d'un parent. Il ne s'agit pas simplement de se rendre en ligne, mais un courriel vérifiable est transmis et il est attribué à un parent et celui-ci devrait également confirmer l'information.

    Mais d'un point de vue pratique...? Je le demande après avoir lu votre rapport. Les statistiques que vous présentez sont éloquentes: 24 % des élèves de quatrième année et plus de 50 % des élèves de septième année possèdent leur propre téléphone cellulaire.

    Oui.

    Comment...?

    Examinons cette question. Il existe réellement des défis pratiques. Je suis convaincue que certaines entreprises, y compris quelques-uns de mes clients, ne se réjouiraient pas à l'idée de la suggestion que vous présentez, mais j'examine ces statistiques. Il s'agit d'enfants. Ce ne sont pas des jeunes sophistiqués, peu importe leur grande connaissance des technologies. Il s'agit d'enfants qui participent à cet univers.

    Lorsque l'on télécharge une application, il faut respecter des obligations d'inscription. Il faudrait notamment fournir des renseignements, dont le nom d'un parent et ses coordonnées de contact à titre de mesure secondaire... C'est comme un courriel que l'on pourrait obtenir pour vérifier que l'on a eu accès à un compte. L'information serait retransmise à l'adresse courriel d'un parent et ce dernier serait tenu d'indiquer qu'il donne son approbation. Pourrait-on contourner cette mesure? Toute règle peut être contournée, mais nous devons adopter d'autres dispositions pour faire en sorte que ce ne soit pas simplement un enfant ou un jeune qui agit librement. Il faut autre chose en guise de mesure de protection.

    Vous précisez également dans vos observations le droit à l'oubli.

    Oui.

    Estimez-vous que ce droit devrait s'appliquer à des enfants jusqu'à un certain âge?

    Oui, je le crois, jusqu'à l'âge de 18 ans.

    Je n'affirme pas que le droit à l'oubli ne devrait pas s'appliquer aux adultes. On m'appelle pour me dire que des adultes ont été vivement critiqués sur Internet et qu'il y a du matériel s'y rapportant qui devrait être supprimé. Pour les enfants, j'estime qu'il faudrait s'attaquer à ce problème. Il est question d'utiliser des renseignements sur les enfants à des fins commerciales. Qu'il s'agisse de l'enfant qui présente l'information en ligne, d'un ami ou de quelqu'un d'autre qui affiche cette information, cette situation pourrait avoir de lourdes conséquences sur le développement de l'enfant. Ce problème pourrait affecter sa santé mentale et sa santé physique. De grandes tendances d'autodestruction se dessinent chez les enfants, car, dans l'environnement virtuel, ils ne peuvent échapper aux erreurs commises.

    Je ne suis peut-être pas aussi à l'aise avec la technologie que Molly par exemple. J'ai sans aucun doute commis des erreurs dans mon enfance et, je peux vous affirmer, que si cela avait été filmé ou téléchargé, je ne suis pas certaine que je serais ici devant vous ou que j'aurais été admise au Barreau.

    Nous devons tous permettre à nos jeunes et à nos enfants de faire ces erreurs et d'en tirer des leçons. À mon avis, le droit d'effacement des données des mineurs, lorsque les renseignements les concernant visent des activités commerciales, permet de trouver l'équilibre recherché.

    Me reste-t-il du temps, monsieur le président?

    Encore quelques minutes.

    Monsieur Cameron, je veux vous poser une brève question portant en particulier sur vos observations au sujet de la base de données Globe24h. Vous avez mentionné que le sujet avait le potentiel d'enclencher au Canada un droit semblable au « droit à l'oubli » qui a vu le jour au sein de l'UE. Pouvez-vous préciser pour les membres de ce comité pourquoi vous estimez que cela pourrait créer un précédent? En tenant compte, en particulier, des nouvelles règles du RGPD qui seront présentées en 2018, croyez-vous qu'il faudrait établir ces règles-là au Canada par souci d'adéquation?

    J'estime qu'il s'agit de deux différentes questions. Tout d'abord, cette question doit-elle être inscrite dans la loi? Ensuite, que font les tribunaux?

    Je crois que je vais tout d'abord me pencher sur la mesure législative. En toute franchise, je n'y avais pas réfléchi de la même façon que Mme Backman en ce qui concerne une restriction possible pour les enfants en particulier, mais il n'y a pas de doute concernant les sentiments exprimés à l'égard du concept. Nous avons tous, bien entendu, commis des erreurs dans le passé qui pourraient être profondément embarrassantes ou peuvent être regrettables, ou qui peut prétendre ne pas avoir fait d'erreurs? C'est un grave problème lorsque l'on peut facilement avoir accès à de l'information compromettante qui revient hanter une personne.

    L'environnement virtuel représente en particulier un phénomène unique. Cette situation ne nous étonne pas, car il y a toujours eu des secrets bien gardés qui peuvent surgir, mais le défi du point de vue de la loi est de taille. Je n'ai pas de point de vue particulier à présenter, à savoir s'il faut ou non en tenir compte dans les changements qui seront apportés à la LPRPDE, mais il s'agit d'un élément qui mérite que l'on s'y attarde.

    En ce qui concerne le travail des tribunaux...

    Je suis désolé, monsieur Cameron, je dois vous interrompre. Vos sept minutes sont écoulées et je veux m'assurer que les autres membres du Comité pourront poser des questions.

    Bien sûr. Aucun problème.

    La parole est maintenant à M. Jeneroux.

    Parfait. Merci beaucoup.

    Merci à tous d'être ici aujourd'hui. Je vous remercie pour votre patience pendant le vote.

    Madame Backman, j'aimerais revenir sur certaines des questions que mon collègue, M. Saini, vous a posées. Je m'entretiendrai également avec Mme Reynolds et avec M. Cameron sur certains des sujets que vous avez abordés.

    Premièrement, madame Backman, vous m'avez semblé utiliser les termes « droit à l'oubli » et « droit à l'effacement » de manière interchangeable. Pour en revenir sur ce que vous avez dit, il est également clair pour plusieurs personnes dans cette pièce que même si nous considérons que certains détails appartenant à notre passé devraient être effacés, d'autres pourraient ne pas voir les choses de la même façon. C'est particulièrement le cas pour les membres du Parlement. Quand on se présente pour occuper une charge publique, certains détails peuvent sembler pertinents dans le contexte d'un vote, alors qu'on préférerait que ceux-ci ne soient pas à la vue de tous —cela n'est absolument pas mon cas, par contre.

    Des voix: Oh, oh!

    M. Matt Jeneroux: Je veux vous entendre sur les difficultés que cela nous pose...

    Bien sûr.

    ... parce que je crois que le commissaire à la protection de la vie privée fait également face à de telles difficultés, si on peut dire. Il s'est engagé à énoncer sa position à ce sujet, mais ce sera à la suite de notre étude. J'ose espérer que vous pourrez nous faire part de votre avis et je soumettrai également la question à deux autres témoins.

    Je prendrai seulement une minute ou deux, puis Mme Reynolds pourra répondre.

    C'est une bonne question. Il est difficile de gérer cela, et c'est une des raisons pour lesquelles j'ai limité l'application de ma soumission aux mineurs. Pensons aux cas où cela peut être pertinent, comme pour un dossier criminel ou pour la violation d'une loi. Ceux-ci ne sont pas effacés simplement en les retirant d'Internet, alors, si vous avez un passé criminel, celui-ci sera toujours accessible. C'est juste que l'information n'est pas accessible au public.

    Ce que nous voyons davantage, là où se situe l'enjeu critique, c'est au niveau du manque de jugement. Nous l'avons tous vécu dans notre jeunesse, il peut s'agir de photos prises lors d'une fête après avoir bu de l'alcool... cela peut avoir une incidence sur votre droit à l'emploi et pourrait vous empêcher de fréquenter des établissements d'enseignement.

    Pour moi, l'équilibre vient du fait que je comprends cette difficulté et que je la pense même légitime. Je pense que cela devient plus pertinent quand on devient adulte et qu'on est en mesure de corriger son comportement.

    Un enfant à une capacité très limitée à comprendre ces conséquences et, par conséquent, à corriger son comportement avant que celles-ci ne se produisent. Les plus importants problèmes pouvant concerner des enfants, pour lesquels il serait légitime de vouloir avoir accès, seront répertoriés quelque part. C'est simplement le manque de jugement, auquel nous faisons tous face, qui sera retiré d'Internet.

    Puisqu'il s'agit d'un contexte d'activité de nature commerciale, je pense que l'équilibre penche davantage en faveur de la protection des mineurs; il faut les laisser faire des erreurs et leur permettant ensuite de passer à autre chose.

    Nous pourrions sonder tout le monde dans cette pièce et une personne pourrait qualifier une situation de manque de jugement et une autre de stupidité ou peu importe comment vous voulez appeler cela.

    Bien sûr.

    Je pense également qu'il peut y avoir d'autres groupes qui pourraient considérer qu'un exemple particulier de manque de jugement est pire qu'un autre. J'imagine que notre travail se retrouve sur une pente glissante.

    En effet, mais je pense que la limite est que, tant que vous n'avez pas atteint l'âge adulte, on va vous donner une marge de manoeuvre. Gardons en tête que cela est dans l'exercice d'une activité de nature commerciale. Quelqu'un tire profit de cette information.

    Oui.

    Ce n'est pas un bulletin de nouvelles. Ce n'est pas dans un but journalistique. On parle d'un contexte où une personne fait de l'argent à partir de cette information.

    Je pense que peu importe si moi, vous ou 50 autres personnes trouvons cela inapproprié, la personne mineure ou son parent devrait avoir le droit de dire « Vous aviez droit de faire de l'argent avec cette information. Je veux maintenant que cela disparaisse. »

    D'accord.

    Madame Reynolds.

    La seule chose que je veux ajouter aux commentaires de Mme Backman fait en fait référence à un des points émis par M. Cameron dans sa première présentation, voulant qu'il y ait un contexte au sein duquel nous examinons les exigences et les pouvoirs de la cour en matière d'application de la loi.

    Je pense qu’il est bon, comme le fait actuellement la LPRPDE, de confier à la source qui détient les informations personnelles la responsabilité de les effacer, lorsqu'elles ne sont plus nécessaires, ou de le faire à la demande d'une personne, mais quand nous abordons le droit à l'oubli, nous faisons souvent référence à des tierces parties intermédiaires comme les moteurs de recherche. Si la responsabilité n'incombait pas à la source, mais plutôt à l'organisation qui détient cette information ou qui la rendrait peut-être seulement disponible ou l'indexerait, les tribunaux devraient pouvoir exercer leur juridiction en matière d'injonctions ou d'ordonnances obligatoires.

    Je ne crois pas que la loi devrait se pencher sur toute autre organisation que celle détenant l'information.

    C'est juste.

    Monsieur Cameron

    Si je peux ajouter un dernier commentaire, on a bien sûr intégré dans la LPRPDE le concept de motifs raisonnables au paragraphe 5(3). Indépendamment du consentement et des autres conditions, vous pouvez uniquement faire ce qu'une personne raisonnable qualifierait d'approprié. C'est un critère très général, mais bien sûr cela peut être interprété, et c'est la façon dont le commissaire et les cours ont abordé la question.

    Ce n'est pas sans précédent. Je ne dis pas que le concept est facile à visualiser, pour savoir si ce type de droit doit être englobé, ou comment, mais il y a des normes que vous vous pourriez indiquer, en ce qui concerne la façon dont cela pourrait être évalué, pour déterminer ce qui doit aller d'un côté de la ligne ou de l'autre.

    Je dois vous interrompre. On entend les cloches qui indiquent qu'un vote doit avoir lieu à la Chambre des communes. Nous aurions besoin du consentement unanime afin de pouvoir poursuivre. Nous avons 30 minutes pour prendre nos places à la Chambre afin de voter. À moins d'avoir un consentement unanime, je vais suspendre la rencontre.

    Les témoins ne reviendront probablement pas. Quinze minutes devraient suffire pour nous rendre à la Colline.

    Avons-nous le consentement unanime pour continuer pendant 15 minutes?

    Des députés: D'accord.

    Le président suppléant (M. Pat Kelly): Oui? Quelqu'un s'oppose à ce que nous poursuivions?

    D'accord. Alors, nous poursuivrons.

    Merci beaucoup.

    Nous n'avons plus de temps, alors nous passerons directement à M. Blaikie.

    Merci beaucoup.

    Si vous me le permettez, je vais continuer avec M. Blaikie et ensuite avec la première, si nous avons deux interventions de sept minutes... Nous allons passer à M. Blaikie et voir par la suite.

    Merci beaucoup.

    Madame Backman, j'aimerais éclaircir une chose avec vous. Vous avez suggéré que certains moyens nous permettraient d'améliorer le modèle de consentement. Je suis toujours curieux de savoir lesquels, puisque, quand nous abordons ce sujet sur le plan des politiques, j'imagine souvent qu'un formulaire élargissant le consentement pourrait être inclus.

    Je me demandais si vous pourriez décrire à quoi ressemblerait votre réforme du point de vue de l'utilisateur. Quels seraient les changements pour l'utilisateur, quand il interagit avec celui-ci?

    Premièrement, une certaine incertitude règne à propos des bases sur lesquelles une organisation peut se fier au consentement tacite. Je pense que cela doit être tiré au clair. Cela pourrait faire partie d'un code type qui s'ajouterait simplement à la LPRPDE et auquel les organisations pourraient se référer. Cela permettrait de raccourcir les politiques sur le respect de la vie privée. Ensuite, le contenu des politiques des entreprises mettrait l'accent sur les pratiques supplémentaires en ce qui concerne le traitement des renseignements.

    Je suggérerais ensuite que ces pratiques soient séparées en deux parties, celles qui, même si elles s'éloignent du code type, sont toujours nécessaires pour la prestation des biens et des services demandés par la personne et celles dont l'objectif est secondaire, comme le marketing des tierces parties.

    D'accord.

    Du point de vue de l'utilisateur, la politique sur le respect de la vie privée sera plus courte et les informations concernant les objectifs secondaires seront plus directes, pour ensuite faciliter le droit de retrait de ces objectifs secondaires.

    Merci beaucoup.

    Dans certains des témoignages précédents, je pense avoir entendu une nette préférence pour le maintien de l'actuel modèle de l'ombudsman. Un des débats que nous avons tenus en comité visait à savoir s'il serait approprié de conférer au commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances. Évidemment, cela dérogerait du modèle actuel.

    J'ai apprécié vos suggestions, madame Reynolds, en rapport avec le fait de donner des pouvoirs afin d'obtenir des décisions anticipées. Je me demandais si vous et M. Cameron — et Mme Backman peut également intervenir si elle le souhaite — ne pourriez pas nous parler de la façon dont le pouvoir de décision anticipée pourrait bien fonctionner — ou pas — avec le pouvoir de rendre des ordonnances.

    Un des désavantages de conférer le pouvoir de rendre des ordonnances, selon ceux qui ne veulent pas emprunter cette voie, est que cela devient encombrant, que c'est compliqué et qu'on crée une bureaucratie. Toutefois, si le commissaire à la protection de la vie privée avait le pouvoir de rendre des ordonnances, cela pourrait favoriser le recours à des décisions anticipées, celles-ci aidant à réduire le nombre de cas où il doit rendre des ordonnances, en quelque sorte. Je me demandais si vous pourriez élaborer sur ce point.

    Ma principale perspective à ce sujet est que l'actuel modèle de l'ombudsman est très près de ce que serait le pouvoir de rendre des ordonnances. À la suite d'une enquête réglementaire, le commissaire à la protection de la vie privée discutera avec une organisation faisant l'objet d'une enquête sur la façon de remédier à tout manquement observé. Même si cela est souvent présenté comme un rattrapage accepté par l'organisation, le Commissariat détient certainement un pouvoir persuasif et une grande part de ce qu'ils pourraient ordonner, à mon avis, s'ils détenaient ce pouvoir explicite, nous le voyons déjà dans les résultats de ces enquêtes. Cet écart ne m'apparaît pas nécessaire pour le moment.

    Toutefois, s'il était possible de rattacher des amendes ou des pénalités aux ordonnances du commissaire à la protection de la vie privée, croyez-vous que cela favoriserait le respect des normes? Où croyez-vous plutôt que cela n'aurait pas de répercussion?

    Je conviens que, s'il y a un plus gros bâton, la carotte des décisions anticipées pourrait être plus appétissante, mais je ne sais pas s'il y a, en ce moment, un si grand non-respect des normes pour que des pénalités supplémentaires ou des ordonnances proactives soient nécessaires. Ce que vous retrouveriez, avec le pouvoir de rendre des ordonnances ou de donner des amendes, c'est le besoin de créer un modèle d'appel judiciaire ou administratif ou un modèle d'examen, lequel serait en fait plus encombrant et probablement plus coûteux dans l'ensemble pour le public.

    Monsieur Cameron, voudriez-vous prendre la parole?

    Oui. J'abonderais dans le même sens. D'après mon expérience, je ne crois pas qu'il existe un problème à résoudre. Cela est semblable à la présentation de l'ABC. Si vous décidiez d'emprunter cette voie, il y aurait bien sûr plusieurs choses à considérer en ce qui concerne la façon dont le Commissariat fonctionne à l'heure, par rapport à la façon dont il devrait fonctionner selon ce type de modèle.

    Je suppose que je reviendrais aux questions « À quelle fin? » et « Quel en est l'objectif? ». D'après mon expérience, et mes sentiments sont identiques à ceux exprimés par Mme Reynolds, si vous êtes sur le point de faire l'objet d'une enquête du commissaire à la protection de la vie privée, vous ne chercherez pas, typiquement, la confrontation et vous ne voudrez pas vous retrouver dans une situation ou vous devez faire des choses que vous ne pouvez pas vous permettre en tant qu'entreprise, etc. Vous rechercherez une façon de travailler avec l'organisme de réglementation afin de respecter vos obligations, comme vous pourriez le faire à la fin de ce processus, en vertu de la loi. Vous accepterez peut-être de procéder à certains changements. Nous avons les nouveaux mécanismes des accords de conformité. Ils sont très récents et n'ont pas été mis à l'épreuve. Nous pourrions veiller à ce qu'ils s'attaquent à une part des questions que nous abordons.

    Pour ce qui est du bâton, comme je l'ai dit au début de mon intervention, je crois qu'il est déjà en place. Dans les cas sérieux, les plaignants se portent directement en justice et poursuivent de toute façon les organisations pour atteinte à la vie privée, alors je ne vois pas comment changer le modèle du commissaire ajouterait quelque chose.

    D'accord. Merci beaucoup.

    Madame Backman, avez-vous quelque chose à ajouter?

    [Inaudible] M. Cameron et Mme Reynolds.

    D'accord.

    Pour gagner du temps, ensuite, je vais conclure.

    Merci. Vous nous donnez une minute supplémentaire. Je l'apprécie.

    Maintenant, nous allons maintenant passer à M. Bratina.

    Merci beaucoup.

    Monsieur Cameron, je voulais revenir sur ce que vous avez dit dans vos remarques sur le fait de poursuivre le modèle. Nous avons entendu davantage de discussions à ce propos. Vous êtes sur le terrain, depuis les débuts de la LPRPDE, il y a 17 ans. C'était en avril 2000. J'ai vérifié. Attendons-nous encore de nouveaux développements technologiques? Je me demande où en était votre travail il y a 17 ans, quand vous avez commencé à vous pencher sur la protection de la vie privée. Est-ce que résoudre les problèmes dont nous discutons est ultimement le rôle de la technologie?

    C'est un peu compliqué, mais parlez-moi tout d'abord de la question des litiges par rapport à ce qu'était la LPRPDE il y a 17 ans. Est-ce qu'il y a eu beaucoup de changements? Est-ce qu'il y a quelque chose qui vous permet d'anticiper que la technologie pourrait, plus tard, résoudre certains des problèmes dont nous discutons?

    Il n'y avait pratiquement aucun litige en lien avec la protection de la vie privée il y 17 ans. Dans ma pratique, et je suis certain que c'est le cas pour les autres témoins qui étaient là à ce moment, on mettait l'accent sur la conformité. Il y a une nouvelle loi qui vient avec un nouvel ensemble de règlements. Comment rédiger une politique portant sur le respect de la vie privée? Comment développer les politiques et les procédures, les documents de consentement, etc.? C'était très orienté vers la conformité.

    Il y a eu une énorme évolution depuis ce temps vis-à-vis de ce que j'appellerais une profession mûre et en plein développement en matière de protection de la vie privée. Il y a des associations comme l'Association internationale des professionnels de la vie privée. Je me trompe peut-être sur leur nombre, mais je pense qu'ils ont dans les environs de 20 000 membres à travers le monde. Une grande part de cette maturité a évolué au cours de ces années, alors le travail et les questions sont devenus plus orientés sur des types de projets spécifiques et des types spécifiques d'activités, lesquels émergent souvent dans un nouveau contexte technologique ou un contexte d'innovation. Nous tentons d'appliquer ces faits à la loi que nous avons.

    Je veux insister sur le fait que, selon moi, la LPRPDE s'est avérée jusqu'ici très adaptable vis-à-vis de ces contextes technologiques en évolution.

    D'accord.

    Je ne dis pas qu'il ne peut y avoir de place pour des ajustements ici et là, ou des améliorations comme celles qui ont été faites, mais de façon générale notre modèle fonctionne très bien.

    Vous avez répondu à mes questions.

    Merci beaucoup.

    Merci, monsieur Cameron.

    Merci beaucoup, chers témoins, pour votre patience tant au début qu'à la fin de cette rencontre.

    J'ai peur que nous ne devions quitter la rencontre sans cérémonie, mais je vous remercie de votre compréhension.

    La séance est levée.