ETHI Réunion de comité

    J'ouvre maintenant la séance.

     Je vous souhaite la bienvenue à la sixième réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes.

    Nous commençons en retard en raison des votes auxquels nous avons dû participer. Je ne ferai pas mon préambule habituel. Je pense que les députés commencent à bien connaître notre fonctionnement.

    Conformément à l'article 108(3)h) du Règlement et à la motion adoptée par le Comité le jeudi 13 janvier 2022, le Comité reprend son étude de la collecte et de l'utilisation des données sur la mobilité par le gouvernement du Canada.

     J'aimerais souhaiter la bienvenue à notre premier groupe de témoins. Ils comparaissent tous à titre personnel.

    Nous accueillons Ann Cavoukian, directrice exécutive de Global Privacy and Security by Design et Teresa Scassa, titulaire de la Chaire de recherche en droit et politiques de l'information à la faculté de droit, Section Common Law, de l'Université d'Ottawa.

    Nous entendrons tout de suite les exposés des témoins, qui disposeront chacune de cinq minutes, pas plus, s'il vous plaît.

    Écoutons d'abord Mme Cavoukian.

    Merci beaucoup, monsieur le président.

     Je suis très heureuse de pouvoir m'adresser à vous aujourd'hui parce que j'étais très préoccupée par le manque total de transparence de la part de l'ASPC, l'Agence de la santé publique du Canada.

    La transparence est essentielle de la part des organismes gouvernementaux, bien sûr. Ils doivent rendre des comptes aux citoyens, et il n'y a eu aucune transparence associée au fait que l'ASPC a recueilli les données cellulaires des Canadiens — de 33 millions de Canadiens, si j'ai bien compris. J'ai trouvé cela extrêmement troublant.

    Je dois vous lire une chose qui a vraiment résonné en moi. Le député René Villemure a dit que l'ASPC utilisait ces données « sans le dire à personne ». Je trouve cela consternant. Une agence gouvernementale ne peut pas décider unilatéralement d'accéder à des données mobiles personnelles très sensibles.

    L'agence n'a pas consulté le commissaire à la protection de la vie privée du Canada, Daniel Therrien. Le commissaire a déclaré: « Personne ne peut prétendre sérieusement que les usagers des services de téléphonie savaient que leurs données de mobilité seraient utilisées comme elles l’ont été. » Le gouvernement a‑t‑il informé les utilisateurs que leurs données de mobilité seraient utilisées à des fins de santé publique?

    La question de la transparence est essentielle, tout comme il faut communiquer aux particuliers et au public comment est utilisée l'information tirée de données sensibles telles que les données de mobilité. En effet, quand on fait le suivi des données de mobilité, on peut savoir où les gens sont allés, qui ils ont croisés, où ils se sont déplacés, etc.

    Vous me direz peut-être que comme ces données ont été dépersonnalisées, cela ne pose pas problème. Il y a toujours des problèmes. Ce n'est jamais une solution à 100 %, la dépersonnalisation des données, comme vous le savez, il y a du hameçonnage, du piratage, des rançongiciels... C'est énorme. Il y a des pirates brillants qui obtiennent ainsi tellement de renseignements personnels. Le fait que personne au sein du gouvernement n'était au courant de ce qui se passait et le manque total de transparence et de communication m'inquiète énormément. Je dirais que la vie privée est une question de contrôle. Il s'agit du contrôle personnel relatif à l'utilisation et à la divulgation de ses informations personnelles, et les données de localisation mobiles, c'est très sensible. Personne ne savait ce qui se passait, et c'est ce que je trouve si alarmant. C'est pourquoi j'insiste sur le manque de transparence.

    Je crois qu'il est grand temps pour nous d'améliorer nos lois sur la protection de la vie privée. La LPRPDE, la loi fédérale sur le secteur privé, a été adoptée au début des années 2000. Notre loi sur la protection de la vie privée pour le secteur public a été adoptée dans les années 1980. Ce sont de vieilles lois. Nous devons les mettre à jour et faire en sorte qu'elles reflètent ce qui se passe aujourd'hui, notamment en ce qui concerne l'accès massif aux données personnelles, le suivi des données et toutes les conclusions qui peuvent être tirées de ces données, puis les conséquences qui en découlent, sans qu'aucun avis ne soit fourni. Le public n'est pas conscient de ce qui se passe.

    Le fait que le gouvernement ait fait cela sans consulter le commissaire à la protection de la vie privée du Canada... Les fonctionnaires nous diront que le public en a été informé. Je sais ce que le commissaire a dit. Le commissaire a dit que nous en avons été informés, mais il n'y a pas eu de consultations pour savoir si c'était approprié ou non.

    Pour avoir été commissaire à la protection de la vie privée pendant de nombreuses années en Ontario, je vous dirai qu'il est absolument essentiel de communiquer avec le commissaire à la protection de la vie privée et son équipe, afin qu'ils puissent regarder « sous le capot », pour ainsi dire. J'ai toujours dit: « Faites confiance, mais vérifiez. » Aujourd'hui, je ne dirais même plus qu'il faut « faire confiance ». Il faut regarder sous le capot des méthodes de collecte de données et il faut informer le public de ce qui se passe.

    Il vous reste une minute.

    Ce genre d'ouverture et de transparence est absolument essentiel.

    Je conclurai en rappelant que ces choses ne peuvent pas se faire tranquillement en coulisses. Non, le gouvernement doit être ouvert et transparent, consulter des personnes comme le commissaire à la protection de la vie privée et divulguer ses intentions.

    Je vous remercie beaucoup.

     Je vous remercie.

    Vous avez jusqu'à cinq minutes, madame Scassa. Allez‑y, s'il vous plaît.

    Merci, monsieur le président.

    Je vous remercie de m'avoir invitée à prendre la parole devant le Comité sur cette question importante.

     L'utilisation de données sur la mobilité et la réaction qu'elle suscite mettent en lumière certains défis de notre société numérique et de données. Cela confirme que les gens sont réellement préoccupés par l'utilisation de leurs données, et cela montre également qu'ils ont du mal à bien saisir l'ampleur de la collecte de données, à comprendre qui sont les nombreux acteurs engagés dans la collecte et le traitement de données et les façons dont leurs données sont communiquées, puis utilisées par d'autres acteurs. Dans ce contexte, le consentement seul ne suffit pas pour protéger les individus.

    La situation montre aussi clairement que des données sont amassées et utilisées à des fins allant bien au‑delà du maintien des relations avec les consommateurs ou les clients. Les données sont le carburant de l'analyse, du profilage et de l'IA. Certaines de leurs utilisations sont souhaitables et socialement bénéfiques, tandis que d'autres sont nuisibles ou profondément abusives. Le défi consiste à faciliter les utilisations positives des données et à mettre fin à leurs utilisations nuisibles et abusives.

    La situation illustre également la facilité avec laquelle les données passent désormais du secteur privé au secteur public au Canada. Notre cadre juridique actuel régit séparément l'utilisation de données personnelles par les secteurs public et privé. Nous avons besoin de lois mieux adaptées pour tenir compte de la circulation des données entre les secteurs. Les gouvernements ont toujours recueilli et utilisé des données pour éclairer leurs décisions. Aujourd'hui, ils ont accès à certains des mêmes outils que le secteur privé pour l'analyse des données massives et l'intelligence artificielle, et ils ont accès à d'énormes quantités de données pour alimenter ces analyses. Nous voulons que les gouvernements prennent des décisions éclairées fondées sur les meilleures données accessibles, mais nous voulons aussi prévenir les atteintes excessives à la vie privée.

    La LPRPDE et la Loi sur la protection des renseignements personnels doivent être modernisées afin de prescrire des règles et des principes appropriés pour régir l'utilisation des données dans un environnement numérique transformé et en pleine mutation. L'étude de ce comité concernant les données sur la mobilité pourrait guider ce processus de modernisation.

    Comme d'autres témoins vous l'ont déjà dit, la LPRPDE et la Loi sur la protection des renseignements personnels ne s'appliquent actuellement qu'aux données concernant des personnes identifiables. Cela crée une zone grise inconfortable pour les données dépersonnalisées. Le commissaire à la protection de la vie privée doit être en mesure de surveiller l'utilisation de données dépersonnalisées, ou à tout le moins de veiller à ce qu'il n'y ait pas de repersonnalisation. Par exemple, la province de l'Ontario s'est attaquée à la question en 2019, quand elle a modifié sa loi sur la protection des données dans le secteur public, afin de définir les renseignements dépersonnalisés aux fins d'utilisation par le gouvernement, d'exiger l'élaboration de normes sur les données dépersonnalisées et de prévoir des sanctions en cas de repersonnalisation de données personnelles dépersonnalisées. Il est question, dans le document de travail sur la modernisation de la Loi sur la protection des renseignements personnels, de la nécessité d'un nouveau cadre pour faciliter l'utilisation de renseignements personnels dépersonnalisés par le gouvernement, mais nous devrons attendre de voir le projet de loi qui suivra pour savoir quelle forme cela pourrait prendre.

    L'ancien projet de loi C‑11, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques, qui est mort au Feuilleton l'automne dernier, contenait justement une définition de renseignement personnel dépersonnalisé. Il prévoyait également des exemptions aux exigences d'information et de consentement pour permettre aux organisations de dépersonnaliser les renseignements personnels en leur possession et de les utiliser ou de les divulguer dans certaines circonstances, à l'insu et sans le consentement des individus. Il prévoyait des mesures de dépersonnalisation proportionnelles à la sensibilité des renseignements, interdisait la repersonnalisation des renseignements personnels dépersonnalisés et prescrivait des sanctions sévères.

    L'ancien projet de loi C‑11 aurait également permis aux organisations du secteur privé de transmettre des données dépersonnalisées, à l'insu et sans le consentement des individus, à certaines entités, notamment des acteurs gouvernementaux, à des fins socialement bénéfiques. Cette disposition se serait appliquée à la situation particulière dont le Comité est saisi en ce moment. Elle aurait permis ce type de communication de données à l'insu et sans le consentement des personnes dont les données ont été dépersonnalisées et communiquées. La même disposition, ou une version révisée de celle‑ci, figurera probablement dans le prochain projet de loi de réforme de la LPRPDE présenté au Parlement. Lorsque cela se produira, certaines questions importantes devront être examinées. Quelle sera la portée de cette disposition? Comment devrait‑on définir les fins socialement bénéfiques? Quel degré de transparence devrait être exigé de la part des organisations qui communiquent nos renseignements dépersonnalisés? La communication d'informations par les organisations du secteur privé au gouvernement à des fins socialement bénéfiques s'accompagnera‑t‑elle de nouvelles obligations pour le secteur public? Devrait‑il y avoir un examen ou une approbation préalable des plans d'acquisition ou d'utilisation de données, et quel est le degré de transparence qui devrait être exigé?

    J'espère que le travail de ce comité sur la question des données sur la mobilité contribuera à éclairer ces discussions importantes.

    Je vous remercie.

    Merci.

    Nous entendrons le premier intervenant, qui disposera de six minutes pour vous interroger.

    Monsieur Kurek, vous avez six minutes.

    Merci beaucoup, monsieur le président.

    Je remercie les deux témoins d'être parmi nous aujourd'hui et je les remercie de leurs déclarations préliminaires. Il est très utile que vous puissiez nous faire profiter de votre expertise.

    Madame Cavoukian, vous avez mentionné dans votre exposé que la vie privée est une question de contrôle. Le commissaire à la protection de la vie privée a d'ailleurs déploré l'absence de consultations, et il ne semble pas y avoir de mécanismes de contrôle en place concernant les données que l'ASPC aurait reçues. Pouvez-vous nous en dire plus sur la nécessité de mécanismes de contrôle et d'un cadre pour garantir la protection des données?

     Personnellement, je crois fermement qu'il faut exercer un contrôle et permettre aux individus d'exercer un contrôle sur l'utilisation de leurs données. Jusqu'ici, cela a toujours été lié aux données identifiables. Votre nom, votre adresse et d'autres identificateurs y sont liés. Ensuite, bien sûr, chacun devrait pouvoir exercer un contrôle total sur ses données.

     Il existe des moyens de dépersonnaliser fortement les données, comme cela a été le cas ici. Dans ce cas, nos lois, telles qu'elles existent actuellement, ne s'appliquent plus, parce que si les données sont considérées comme dépersonnalisées, elles ne relèvent plus des lois sur la protection de la vie privée. C'est l'une des raisons pour lesquelles je pense que nous devons améliorer nos lois pour tenir compte du fait que de nos jours, même pour des données fortement dépersonnalisées — il existe des moyens très efficaces de dépersonnaliser les données, je ne laisserai pas entendre le contraire —, le risque de repersonnalisation existe toujours.

     J'aimerais que nous explorions également les autres méthodes de dépersonnalisation. Par exemple, il existe désormais de nouvelles formes de dépersonnalisation qui tendent à présenter un risque extrêmement faible de repersonnalisation. Il s'agit de données « synthétiques », qui sont de plus en plus utilisées.

    J'insiste pour dire que les gens doivent pouvoir garder le contrôle de leurs données, en particulier des données relatives à la mobilité, qui sont tellement sensibles. Je pense que si on avait demandé à n'importe qui... ce que l'ASPC n'a pas fait... Si on avait demandé leur consentement aux 33 millions de Canadiens dont les renseignements personnels et les données sur la mobilité ont été recueillis, si on les en avait avertis, ils n'y auraient pas du tout consenti, à mon avis. Je pense que cela aurait été très improbable.

    Je pense donc que nous devons actualiser nos lois.

    Merci beaucoup pour cela.

    Vous avez déjà répondu en partie, je crois, à la deuxième question que j'avais. Je m'interroge sur la possibilité de repersonnaliser des données anonymisées agrégées. En ce qui concerne la réponse du gouvernement jusqu'à présent, le ministre a déclaré il y a quelques semaines qu'il ne fallait pas nous inquiéter, que ces données avaient été anonymisées et agrégées et qu'il fallait lui faire confiance.

    Pouvez-vous parler des risques de repersonnalisation de certaines de ces données?

    Je tiens à reconnaître sans conteste qu'ils se sont donné beaucoup de mal pour dépersonnaliser les données et les utiliser sous forme agrégée. Cela réduit beaucoup le risque de repersonnalisation. Je ne voudrais pas laisser entendre le contraire. Je dis simplement que les données relatives à la mobilité — les données de votre cellulaire, qui vous accompagne partout — sont tellement sensibles, elles renseignent sur tous les endroits où vous vous rendez et les personnes que vous fréquentez. Si ces données pouvaient être repersonnalisées et que des liens étaient établis par le gouvernement, je pense que ce serait extrêmement troublant.

    Donc le gouvernement aurait au moins dû informer le public en lui disant: « Voici ce que nous faisons. Voici pourquoi nous le faisons. Nous voulons suivre vos déplacements en ces temps de pandémie de COVID. » Est‑ce une raison suffisante? Les gens auraient-ils estimé que l'avantage était assez grand? Il faudra en débattre. L'ASPC ne peut pas simplement décider de le faire, comme l'a dit le député, sans le dire à personne. C'est ce à quoi je m'objectais le plus — le manque total de transparence.

    Je vous remercie.

    Ce qui me préoccupe, c'est que j'ai vu un jeu de diapositives fourni au gouvernement par la société BlueDot. Les informations contenues dans ce jeu de diapositives étaient très, très générales et agrégées. Mais dans l'annexe, il était question d'informations très, très détaillées que BlueDot a reçues. Êtes-vous sûre que les informations qui ont été fournies à la santé publique...

    Elles semblent être plus détaillées que ce portait à croire cette présentation, mais nous ne savons pas exactement ce que l'on entendait par anonymisées et agrégées. Êtes-vous convaincue qu'on a respecté la vie privée des Canadiens?

    Je trouve que ce que vous venez de me dire est très inquiétant, très franchement. Je comprends que les données générales semblent vraiment très générales et qu'on pourrait croire qu'il n'y a rien à en tirer, mais vous venez de faire mention de données beaucoup plus spécifiques. Cela me préoccupe énormément.

    C'est pourquoi je veux que le commissaire fédéral à la protection de la vie privée, Daniel Therrien, examine tout ce qu'il peut y avoir sous le capot. Pourquoi n'a‑t‑il pas été consulté au lieu d'être simplement informé? C'est totalement inacceptable. C'est quand on entre dans le domaine de tout ce qui est le plus potentiellement identifiable ou détaillé, comme vous venez de le décrire, monsieur, que toutes les préoccupations surgissent. Nous ne pouvons pas accepter cela.

    Merci beaucoup, madame.

    J'ai une petite question pour Mme Scassa.

    Vous avez mentionné qu'il doit y avoir des normes sur les données dépersonnalisées. Êtes-vous sûre qu'il y a des normes de ce type qui ont été respectées à l'égard de l'information qui a été fournie au gouvernement et des données qui ont été utilisées?

    Vous avez 10 secondes, s'il vous plaît.

    Je ne connais pas directement les normes de données qui ont été utilisées pour dépersonnaliser les données de mobilité en question.

    Si la loi devait être étendue aux données dépersonnalisées, et ce devrait être le cas, elle devrait assurément prévoir l'établissement ou l'examen des normes à appliquer, des normes de dépersonnalisation qui devraient s'appliquer...

    [Inaudible] d'autres questions.

    Je donnerai maintenant la parole à Mme Hepfner pour six minutes.

    Merci beaucoup, et merci aux témoins de se joindre à nous aujourd'hui pour discuter de cette question très importante.

    J'aimerais revenir à vous, madame Scassa.

    Le mois dernier, vous avez donné une entrevue aux nouvelles. Vous avez dit qu'il y avait beaucoup d'articles sur les données relatives à la mobilité qui mettaient l'accent sur le traitement des données par le gouvernement plutôt que sur le fait que ce sont des entreprises privées qui recueillent et vendent les données de localisation.

    Pouvez-vous expliquer pourquoi il importe de faire cette distinction?

    Je pense que cela s'inscrit dans le vaste écosystème de données, suivant l'expression utilisée par certains, au sein duquel nous évoluons. Il s'agit de ce mouvement dont je parlais entre les secteurs public et privé pour la circulation des données.

    Il y a une extraordinaire quantité de données sur la mobilité qui sont recueillies par toutes sortes d'entités du secteur privé. Depuis le début de la pandémie, des entreprises comme Google et Fitbit publient leurs rapports d'analyse pour les différentes villes et régions du Canada à partir de ces données sur la mobilité. Il existe des applications commerciales pour ces données recueillies à notre sujet par de nombreux acteurs du secteur privé. Dans l'exemple qui nous intéresse, c'est le gouvernement qui devient le client.

    Selon moi, c'est la raison pour laquelle il importe que nous songions à moderniser nos lois sur la protection des données aussi bien dans le secteur privé que dans le secteur public. Nous devons réfléchir à ce mode de circulation des données du secteur privé vers le secteur public pour que celui‑ci les utilise ensuite.

    J'estime surtout que ce flux de données entre les secteurs public et privé n'a pas jusqu'à maintenant été pris suffisamment en compte dans la conception de nos lois. Il est certes problématique que le secteur privé recueille ainsi d'énormes quantités de données, et pas uniquement des données de localisation, mais aussi des informations très précises sur l'ensemble de nos activités.

    Merci beaucoup.

    Je me tourne maintenant vers Mme Cavoukian. J'aimerais revenir sur quelques éléments dont vous avez traité dans vos observations préliminaires.

    D'abord et avant tout, le chiffre de 33 millions est erroné. Je voulais qu'il soit bien clair que c'est une simple rumeur. Telus n'a pas 33 millions de clients. Il y a ainsi beaucoup de fausses informations en circulation…

    J'invoque le Règlement. Tel…

    En quoi consiste votre rappel au Règlement?

    Indiquez-nous d'abord en quoi nous dérogeons à nos règles, puis dites pourquoi vous invoquez le Règlement.

    Merci.

    Vous pouvez poursuivre, madame Hepfner.

    Merci, monsieur le président.

    Vous vous inquiétez du manque de transparence. C'est ce que vous avez indiqué. Le commissaire à la protection de la vie privée a plutôt admis lors de sa comparution que le premier ministre avait bel et bien publié un communiqué lorsque le gouvernement a commencé à acquérir des données sur la mobilité auprès d'entreprises privées qui les avaient recueillies.

    Il y a un site Web accessible à tous où les gens peuvent en tout temps vérifier la façon dont ces données sont utilisées pour guider les interventions dans le contexte de la pandémie. L'administratrice en chef de la santé publique, la Dre Theresa Tam, publiait régulièrement des messages sur les médias sociaux et de nombreuses autres plateformes pour expliquer la façon dont on se servait de ces données. Je n'étais pas députée à ce moment‑là, mais j'ai eu connaissance de tout cela.

    Lorsque je lui ai posé la question, le commissaire n'a pas pu me dire comment le gouvernement pourrait être plus transparent dans ce processus. Je ne sais pas si vous pouvez nous faire quelques suggestions quant à la façon dont nous aurions pu rendre le processus encore plus transparent qu'il l'était déjà.

    Ceci dit très respectueusement, je ne pense pas que l'on puisse parler de transparence. Je connais très bien le commissaire Therrien. Il n'a pas dit que son bureau avait été consulté à ce sujet. Ce n'est pas du tout ce qu'il a dit. Être informé de quelque chose, c'est très différent d'être consulté à ce propos. On consulte les gens qui ont de l'expertise dans un domaine donné.

    Comme il le disait lui-même, il aurait sûrement jeté un coup d'œil sous le capot. Il est essentiel d'examiner la façon dont les données sont dépersonnalisées, agrégées et utilisées à différentes fins. Les choses peuvent mal tourner d'une multitude de manières. Il aurait pu dire aussi qu'il jugeait nécessaire d'aviser la population. Comme simples citoyens, et j'inclus des gens comme John Brassard qui ont dit la même chose, nous ignorions tout de cela jusqu'à ce qu'on publie des articles sur les plaintes associées à cette façon de faire. Le comité de l'éthique n'en a pas été saisi. Il faut donc conclure que le processus n'était pas transparent.

    Il ne suffit pas de dire aux gens qu'ils peuvent consulter un site Web pour y trouver telle ou telle chose pour qu'il y ait transparence. Selon moi, il faut plutôt transmettre l'information au public et dire aux gens ce qu'on fait avec les données recueillies notamment au sujet de leur mobilité. Je ne serai pas du tout prête à dire qu'il y a eu transparence dans ce cas‑ci.

    Je reviens à Mme Scassa. J'aimerais savoir ce que vous pensez d'un autre point soulevé par le commissaire à la protection de la vie privée. Il a indiqué qu'il n'était pas nécessairement réaliste ou raisonnable de vouloir obtenir le consentement explicite dans chaque cas, en soulignant que les données sur la mobilité sont très précieuses pour toute campagne de santé publique.

    Pouvez-vous nous dire si vous voyez l'utilité de ces données sur la mobilité et si les gouvernements devraient se servir de celles qui ont déjà été recueillies pour guider leurs interventions dans un contexte comme celui d'une pandémie?

    Cette question nous amène vraiment au cœur de la réalité d'une société numérique basée sur les données. Il y a tellement de données qui sont recueillies qu'il devient impossible d'obtenir le consentement de chacun pour toutes les utilisations que l'on veut en faire. Des mécanismes ont été mis en place pour compenser l'impossibilité d'obtenir le consentement dans certaines circonstances.

    Nous n'avons ni le temps, ni l'énergie, ni la capacité de gérer le consentement pour toutes les données recueillies à notre sujet et à propos de nos activités. Le consentement demeure important, mais ce n'est pas suffisant. D'autres mesures doivent être mises en place. Il peut y avoir de nombreux avantages sociétaux…

    Je suis désolé. Je dois encore une fois vous interrompre. Il faudrait que les députés arrêtent de vous poser leurs questions alors que leur temps est presque écoulé.

    Nous passons à M. Villemure.

     Merci, monsieur le président.

    Je vous remercie, mesdames Cavoukian et Scassa.

    Madame Cavoukian, nous sommes tous des citoyens bien informés, mais n'avions pas idée de ce qui se passait.

    Est‑ce qu'une présomption de consentement est la même chose qu'un consentement valable? On nous a dit que les gens ne pouvaient pas donner leur consentement. On a donc présumé qu'ils le faisaient.

    Qu'en pensez‑vous?

    Je ne crois pas que l'on puisse présumer d'aucune manière qu'il y a eu consentement. Je sais qu'il peut être difficile d'obtenir le consentement. Je conviens qu'il peut être extrêmement ardu de le faire à grande échelle. Cependant, il faudrait tout au moins aviser les gens en leur indiquant ce que vous comptez faire au gouvernement ou à l'ASPC.

    Le moins que l'on puisse faire, c'est d'alerter le commissaire à la protection de la vie privée et de lui demander ses conseils et son assistance pour faire en sorte que la population soit bien au fait de ce qui arrive. Vous pouvez par exemple confirmer que les données ont été dépersonnalisées et agrégées comme il se doit, et il peut donner son approbation. Il faut éviter de le faire en catimini, une erreur très grave à mon sens.

    Il est donc clair que la présomption de consentement ne représente pas un consentement. De la même façon, le fait de publier des statistiques sur TendancesCOVID n'est pas équivalent au fait de rendre cette information publique.

    Vous avez parlé de confiance, un peu plus tôt. À mon avis, la façon de faire de l'Agence de la santé publique du Canada, l'ASPC, suscite plus de méfiance qu'autre chose.

    Diriez-vous que cette façon de faire est contraire à l'éthique?

    Je suis tout à fait de cet avis. Cela ne fait que miner une confiance déjà très fugace. Chaque jour, les gens perdent de plus en plus confiance en leur gouvernement, et des façons de faire comme celle‑ci ne font qu'alimenter davantage leur méfiance. Je suis vraiment préoccupée. Tout le monde vous dira qu'il faudrait pouvoir faire confiance à son gouvernement, mais je ne pense pas que ce soit actuellement possible.

    Lors de sa comparution, le ministre a dit qu'il ne fallait pas s'en faire, que toutes les données avaient été dépersonnalisées. Le commissaire à la protection de la vie privée, en revanche, s'est dit très soucieux.

    Selon vous, pourquoi le commissaire n'a-t-il été qu'informé, et non consulté?

    C'est une très bonne question. Je dois vous avouer très honnêtement que je ne sais vraiment pas pourquoi. Lorsque j'étais commissaire en Ontario, on me consultait à chaque occasion. Si je n'avais pas été consultée, surtout dans un dossier comme celui‑ci, j'aurais été extrêmement préoccupée parce que c'était justement mon rôle d'y regarder de plus près pour savoir ce qui se passait exactement.

    Je n'arrive pas à comprendre pour quelle raison le gouvernement — l'Agence de la santé publique en l'occurrence — n'a pas consulté le commissaire à la protection de la vie privée du Canada, M. Daniel Therrien, qui excelle dans ce rôle. Cela m'apparaît tout à fait illogique

    Des situations comme celles-ci contribuent à éroder la confiance du public envers le gouvernement. Selon vous, ce n'est pas une bonne chose.

    Sur une échelle de 1 à 10, comment évalueriez-vous cette opération de l'ASPC?

    Je n'ose pas attribuer une note, car elle serait sans doute très faible. Ce ne serait pas nécessairement juste, car je n'ai pas examiné tous les aspects de la situation.

    Disons simplement que cela a grandement exacerbé une méfiance déjà bien présente.

    D'accord. Je comprends tout à fait votre réponse. Je vais supposer que, pour le moment, elle se situe en bas de 5.

    Le citoyen ne peut pas comprendre ce qui se passe. Même si on a publié des statistiques et des communiqués de presse, on a sous-estimé la nécessité de la compréhension. On a constamment fait obstacle à la transparence. On a rendu la situation opaque. Or, comme vous, c'est dans les médias que j'ai appris ce qui se passait. L'éthicien en moi était survolté. Je ne peux pas croire que l'on continue à nier l'évidence.

    Avez-vous déjà connu une situation de ce genre?

    Je dois vous dire que j'ai trouvé cela totalement renversant. Je n'avais jamais vu un phénomène d'une telle ampleur avec ces énormes quantités de données sur la mobilité rendues accessibles sans que les personnes concernées en soient informées. Je ne parle même pas d'obtenir leur consentement, mais simplement de les aviser… Il faut que la population soit mise au courant de tels agissements.

    Si le commissaire avait été consulté, il aurait soupesé les avantages d'un accès semblable aux données en contrepartie des résultats visés par un exercice où l'on suit les déplacements des gens à des fins que j'ignore. C'est donc une question que je me pose. Tout cela est très opaque.

     La Dre Tam était aussi d'accord pour dire que ce n'était pas très utile.

    Croyez-vous qu'une telle chose aurait été possible si elle avait été assujettie au Règlement général sur la protection des données de la Commission européenne?

    Ils ont adopté une législation vraiment très sévère pour la protection de la vie privée. Le Règlement sur la protection des données est entré en vigueur en 2018. C'est l'une des mesures les plus strictes dans ce domaine. J'ai été ravie que l'on y intègre mon principe de protection des données personnelles dès la conception, ce qui accroît d'autant l'efficacité de ce règlement. Il s'agit d'enchâsser les mesures de protection de la vie privée dans les codes de fonctionnement d'une organisation. Je ne crois pas que le gouvernement aurait pu agir ainsi avec une telle réglementation.

    Je suis tout à fait d'accord avec vous. J'ai travaillé à l'élaboration de ce règlement avec la Commission européenne.

    Je suis très étonné de ce qui peut se passer.

    Dans l'état actuel des choses, que fait-on?

    Je suis désolé, mais vous n'avez plus de temps. Nous allons devoir passer à M. Green.

    Merci, monsieur le président.

    Bienvenue à nos deux témoins. Nous avons aujourd'hui une discussion vraiment importante.

    Madame Scassa, vous avez fait valoir selon moi certains arguments très concrets dont nous pourrons, j'ose l'espérer, nous inspirer quand viendra le temps de formuler nos recommandations à l'issue de la présente étude. J'aimerais que nous en parlions plus en détail.

    Parmi les questions qui me posent problème, il y a cette corrélation dont vous avez parlé entre la collecte publique et privée de données. Lors d'une séance précédente, j'ai fait valoir que nos institutions gouvernementales étaient peut-être en train de confier la cueillette de données à des entités privées en sachant qu'elles vont contrevenir aux règles de protection des renseignements personnels. C'est dans ce contexte, monsieur le président, que je voudrais poser ma question à Mme Scassa qui a laissé entendre que l'on mettait peut-être trop l'accent sur la détention de ces données par le gouvernement, et pas assez sur leur collecte par le secteur privé.

    À votre avis, pourrait‑on dire que les responsables de ce programme sont coupables d'avoir eu recours à la sous-traitance, si je puis m'exprimer ainsi, pour se soustraire à nos règles sur la protection de la vie privée?

    Voilà une question intéressante. Je vais vous donner un autre exemple qui met en cause Clearview A1. On parle d'une entreprise privée qui a créé une base de données de reconnaissance faciale à partir d'informations obtenues par grattage. Cette base a ensuite été utilisée par la GRC. Le commissaire à la protection de la vie privée a déjà indiqué qu'une instance gouvernementale ne peut pas utiliser à des fins licites des données qui ont été recueillies de manière illicite. C'est une corrélation qu'il est toujours intéressant d'établir et qui a son importance.

    La situation peut être délicate à différents points de vue. On devrait, d'une part, faciliter l'utilisation des données à des fins bénéfiques pour la société. Le secteur privé recueille de vastes quantités de données. On est en droit de s'interroger dans certains cas sur la validité du consentement obtenu, la conformité des pratiques de collection et les types de données qui sont recueillies. Nous nous intéressons aujourd'hui aux données sur la mobilité, qui sont très confidentielles, mais il y en a bien d'autres qui le sont tout autant.

    Il devient vraiment important de réfléchir à ces énormes quantités de données que l'on recueille en devant adhérer à toutes sortes de politiques de protection de la vie privée, alors même que nous n'avons ni le temps ni même parfois les compétences nécessaires pour prendre connaissance de ces politiques et parvenir à bien les comprendre. Toutes ces données deviennent autant de produits que l'on vend au gouvernement, mais aussi à d'autres clients, pour les besoins de leurs analyses. S'il y a des failles dans la collecte des données ainsi vendues, ces failles et les problèmes qui s'ensuivent se répercutent sur les utilisations subséquentes des données en question.

    C'est donc une corrélation qui est extrêmement importante.

    Permettez-moi de formuler ma question autrement. Si le gouvernement avait recueilli cette information directement, est‑ce qu'il y aurait lieu de s'inquiéter selon vous?

    Si ce n'était pas une tierce partie, mais le gouvernement lui-même qui surveillait les citoyens de cette manière par l'entremise de ses services de sécurité ou des tours de téléphonie cellulaire, comme nous avons vu les services policiers le faire avec StingRay ou un logiciel comme Pegasus, mais je suppose que l'on en revient ainsi à ces tierces parties.

    Je vois où vous voulez en venir et c'est une question intéressante. Si le gouvernement exerce une surveillance semblable, il y a certaines règles qu'il doit suivre, notamment pour ce qui est de la cueillette de données. Ce sont toutefois d'autres règles qui s'appliquent si le gouvernement passe par le secteur privé pour obtenir ces mêmes données. Celles‑ci sont alors dépersonnalisées et assujetties à différentes mesures. Elles n'ont pas le même poids ou le même impact que les données de surveillance directe, et les ramifications ne sont pas non plus les mêmes, en fonction de la façon dont on les utilise. Il faut toutefois avouer que ce sont également des données que le gouvernement ne pourrait pas vraiment recueillir lui-même dans une forme aussi précise et détaillée.

    Je répète que les enjeux liés à la protection de la vie privée sont vraiment cruciaux, mais que la possibilité pour les gouvernements de compter sur les meilleures données disponibles pour prendre des décisions stratégiques importantes est également primordiale. Il s'agit de trouver le juste équilibre entre les deux.

    Je souscris à vos commentaires concernant la nécessité d'agir de façon appropriée et les actions pouvant être jugées illicites, même pour servir des intérêts commerciaux. J'ai donné l'exemple de Google Street. Vous avez parlé de Fitbit et de Google.

    Je devais renouveler ma police d'assurance et on m'a offert d'installer une application sur mon téléphone pour surveiller ma vitesse dans le but de pouvoir m'accorder une diminution de prime. Je m'inquiète donc vraiment de cette commercialisation généralisée de nos données personnelles et de cette sorte de prison panoptique dans laquelle nous nous retrouvons ainsi.

    Pouvez-vous nous dire, madame Scassa, quels seraient les modèles d'excellence à l'échelle internationale? Nous avons parlé de l'Europe, mais quel pays aurait selon vous les normes les plus rigoureuses en matière de protection de la vie privée et des consommateurs et de séparation entre les intérêts commerciaux et publics? Quelle intervention pourriez-vous recommander à notre comité pour que nous puissions devenir l'exemple à suivre?

    Il vous reste 20 secondes.

    Monsieur le président, le modèle d'excellence qui sert habituellement de repère serait le Règlement général sur la protection des données adopté par l'Europe et les mesures qui ont été prises là‑bas. J'aurais toutefois une mise en garde. Il n'est absolument pas envisageable de prendre ce qui a été fait en Europe pour le reproduire dans le contexte canadien. Chaque pays a ses particularités. On ne peut pas simplement dire que c'est telle ou telle norme qu'il nous faut, mais le règlement européen est tout de même un excellent modèle.

    Merci.

    Très bien. Le temps est maintenant écoulé.

    Nous passons au tour suivant. Les deux prochains intervenants auront droit à cinq minutes chacun, en commençant par M. Patzer.

    Merci beaucoup, monsieur le président.

    Merci à nos témoins d'être des nôtres aujourd'hui.

    Madame Cavoukian, je pense que l'on peut affirmer sans crainte que, pour tous ces gens qui ont vu les données concernant leurs déplacements être recueillies sans qu'ils le sachent ou qu'ils aient donné leur consentement, le lien de confiance a été fragilisé, voire, pour être bien franc, rompu. Dans quelle mesure la confiance du public est-elle importante dans un dossier comme celui‑ci?

    J'estime essentiel de gagner la confiance du public, d'autant plus que celle‑ci est en train de s'éroder. Cela me préoccupe au plus haut point. Lorsque je prenais la parole devant un groupe par le passé, je devais expliquer aux gens l'importance de la protection de la vie privée et les raisons pour lesquelles ils devraient s'en soucier. Je n'ai plus besoin de le faire aujourd'hui. Les auditoires auxquels je m'adresse maintenant sont déjà bien conscientisés à la question.

    Les sondages menés au cours des deux dernières années — par le Pew Research Center comme par d'autres — ont révélé que plus de 90 % des gens se préoccupent de la protection de leur vie privée. Ils sont pas moins de 92 % à s'inquiéter de la perte de leurs informations. C'est énorme. Voilà plus de 20 ans que je travaille dans ce domaine. Je n'ai jamais observé une crainte aussi généralisée — constamment au‑dessus des 90 % — quant à de possibles atteintes à la vie privée. Il est ahurissant de constater l'ampleur de la méfiance actuelle à l'endroit du gouvernement. Comme je vous le disais, ce n'est pas d'hier que j'évolue dans ce secteur, et je n'ai jamais vu la situation s'envenimer à ce point.

    Il s'ensuit une surveillance qui s'intensifie pour prendre des proportions colossales. Il arrive souvent que des gens me disent que l'on est aussi bien de renoncer à notre vie privée, que ce n'est tout simplement plus possible. Non, il ne faut pas baisser les bras. La protection de la vie privée est le fondement même de notre liberté. Si nous voulons vivre dans une société libre et ouverte, il faut que notre vie privée soit protégée. Je continue donc à lutter pour cette cause même si la confiance s'étiole. Travaillons ensemble pour rétablir cette confiance. Réclamons de nos gouvernements qu'ils nous indiquent franchement ce qu'ils font avec notre information ou, tout au moins, qu'ils nous avisent en pareil cas. En camouflant le tout pour que personne ne soit au courant, on ne fait malheureusement qu'alimenter la méfiance.

    J'ai pris connaissance de commentaires assez intéressants concernant la surveillance exercée durant la pandémie. Les mesures prises actuellement éclipsent complètement celles mises en oeuvre après le 11 septembre. Je ne sais pas si vous pourriez nous dire ce que vous en pensez.

    J'étais commissaire lorsque les événements du 11 septembre se sont produits et, évidemment, c'était énormément troublant, mais après les événements... Vous voyez, pendant une crise — une pandémie, une situation d'urgence —, des mesures d'urgence peuvent être adoptées pour mettre de côté des dispositions sur la protection de la vie privée. Le problème, c'est qu'une fois la pandémie ou la situation d'urgence terminée, ces mesures d'urgence sont souvent maintenues. La transparence disparaît. La surveillance ne cesse de croître. C'est ce qui me préoccupe à propos de la pandémie actuelle.

     La pandémie, si Dieu le veut, prendra fin. Des mesures de restriction sont déjà levées. Nous devons nous assurer que les mesures qui sont prises dans une situation d'urgence sont suspendues une fois que la situation d'urgence est terminée, car nous devons rétablir la confiance et la protection de la vie privée. Il ne faut pas que les gens croient que nous devons simplement renoncer à la protection de la vie privée. Non. On ne doit jamais y renoncer. La vie privée et la liberté vont de pair. Elles sont toutes deux essentielles.

    Je vous remercie de cette affirmation. C'est très important.

    Avant d'être élu, j'ai travaillé dans le secteur des télécommunications pendant 10 ans. D'après mon expérience, les données des gens, qu'il s'agisse... Même dans le cas d'une maison intelligente, le niveau de protection dépend de la personne qui essaie d'y accéder.

     Vous avez parlé plus tôt des données synthétiques, mais quelles mesures supplémentaires doivent être prises, au‑delà de l'anonymisation des données, pour essayer de protéger les gens. J'ai vu d'autres rapports. Pour un échantillon de 100 000, on a été capable de repersonnaliser les données d'environ 92 % de tous les utilisateurs, de sorte que, de toute évidence, il y a certains problèmes. Quelles autres mesures doivent être prises?

    Nous devons prendre les choses au sérieux et faire passer le message sur la vie privée et les mesures à prendre au moment où les technologies sont mises en place. Beaucoup de gens veulent protéger leur maison et toutes sortes d'outils leur sont offerts pour le faire, mais ils s'ingèrent souvent dans la vie privée de leurs voisins, car les caméras captent des informations non seulement de cette maison, mais aussi de celles du voisinage.

    En commençant par ce que devraient être les restrictions appropriées pour des technologies destinées à la surveillance, que fait‑on à cet égard et comment minimiser leurs effets sur les autres personnes qui ne veulent pas y être exposées et qui ne les ont pas introduites dans leur vie et leur domicile? Telles sont les mesures à prendre. Nous devons mettre en place des mesures qui réduisent la collecte de données, la surveillance, et qui maximisent les choix relatifs à la vie privée que les gens peuvent faire.

    Excellent. Merci.

    Sur ce, je cède la parole à Mme Saks.

     Merci, monsieur le président.

    J'aimerais remercier les témoins qui sont avec nous aujourd'hui. Cette discussion est très utile.

    Madame Scassa, j'aimerais m'adresser d'abord à vous, si vous me le permettez. En répondant à mon collègue, M. Green, vous avez soulevé des points importants au sujet de la différence entre les données de surveillance et les données sur la mobilité. Le contrat à fournisseur unique que l'ASPC a attribué au programme Les données au service du bien commun de Telus était en vigueur en décembre 2020. Auparavant, tant le premier ministre que la Dre Tam avaient dit très clairement qu'ils utilisaient la plateforme Les données au service du bien commun de Telus. D'après ce que j'ai compris, ces données étaient utilisées par des universités et d'autres organismes. Des chercheurs universitaires, les autorités sanitaires et d'autres gens ou organismes utilisent la plateforme Insights pour recueillir des données très importantes dont nous avons besoin pendant une crise sanitaire. Je crois comprendre que Telus a même obtenu la certification Privacy by Design pour son travail. C'était le fournisseur unique de données de l'ASPC depuis l'annonce publique et transparente faite en avril 2020 jusqu'au contrat de décembre 2020 et jusqu'à octobre 2021.

    Selon ce que vous avez expliqué à propos de ce processus, si vous étiez une utilisatrice de Telus, seriez-vous rassurée de savoir que vous auriez pu dire oui ou non, sachant que les données utilisées par l'ASPC n'étaient pas des données de surveillance, mais bien des données de mobilité?

    En toute franchise, en pleine pandémie, l'utilisation de mes données sur la mobilité à des fins légitimes de santé publique ne me pose aucun problème. J'ai plus de mal à accepter qu'on les utilise pour diffuser des publicités pour du café meilleur marché ou d'autres promotions pendant que je me déplace. Pour moi, cela constitue davantage un problème sur le plan du respect de la vie privée que l'utilisation de mes données dépersonnalisées sur la mobilité à des fins socialement bénéfiques. Je pense qu'il s'agit là de l'équilibre que nous devons trouver.

    Bien sûr, et je le comprends. Avec la plateforme Les données au service du bien commun, Telus était le fournisseur unique de l'ASPC pour cette première année. Mme Cavoukian a dit qu'il fallait regarder sous le capot. Eh bien, le commissaire à la protection de la vie privée a été informé en avril 2020 également et n'a pas tiré la sonnette d'alarme à ce moment‑là, et il a été informé. De plus, d'après son propre témoignage, il a eu des réunions toutes les deux semaines avec l'ASPC au cours de cette première année, et aussi dans la préparation de la demande de propositions pour l'année suivante.

    Pour que nous comprenions tous clairement le processus qui s'est déroulé, les Canadiens ont eu amplement accès à l'information publique, peu importe si... Écoutez, il y a beaucoup de données et il y a aussi beaucoup d'informations dans les nouvelles. Il est vraiment difficile de traiter ce que l'on vous dit dans les nouvelles au milieu d'une pandémie, mais la Dre Tam, au moyen de l'outil de suivi de la COVID et d'autres sources, a fait preuve d'une grande transparence à l'égard du public en utilisant des données qui étaient sur une plateforme publique.

    Est‑ce aussi votre interprétation des choses, madame Scassa?

    Je dirais qu'à mon avis, une partie du problème dans toute cette situation, c'est le fait que bien que les entreprises et les gouvernements essaient de faire de leur mieux pour déterminer comment utiliser les données de manière appropriée à des fins socialement bénéfiques dans cet environnement, nous n'avons pas de cadres juridiques à jour qui s'y appliqueraient. Il n'y a pas de dispositions claires indiquant ce qu'il faut faire; le rôle du commissaire à la protection de la vie privée en ce qui concerne les données dépersonnalisées; la façon dont la transparence doit être assurée lorsque des données sont communiquées à des fins socialement bénéfiques; et la façon dont ces fins sont définies. Tout se déroule dans ce contexte où nous ne disposons pas de cadres adaptés à ce type d'activité.

    Il vous reste un peu moins d'une minute.

    Puis‑je ajouter très rapidement que la plateforme « Les données au service du bien commun » de Telus est excellente. Elle ne me pose aucun problème.

    Merci.

    Je pense que mon temps est écoulé, n'est‑ce pas, monsieur le président?

    Il vous reste 30 secondes. Allez‑y, si vous avez une autre question.

    Comme vous tous, j'ai un de ces appareils, ici, qui comprend des conditions d'utilisation et ainsi de suite.

    Madame Scassa, par l'intermédiaire du président, je veux vous dire que j'ai vraiment aimé vos observations sur le fait qu'en ce qui concerne ces appareils, la relation avec le client ou le consommateur a radicalement changé quant à la quantité de renseignements et quant à la mesure dans laquelle ils font partie de notre quotidien.

    Peut-être pourriez-vous nous fournir une réponse écrite à ma question. Quelles recommandations souhaiteriez-vous que nous envisagions de faire dans le cadre du dépôt d'un projet de loi comme le C‑11, ou quelles recommandations le Comité pourrait formuler au sujet de mesures législatives à venir?

     Il faudra le faire par écrit ou plus tard au cours de la réunion, car c'est maintenant au tour de M. Villemure, qui dispose de deux minutes et demie.

     Merci, monsieur le président.

    Docteure Cavoukian, j'aimerais vous poser deux questions et je n'ai pas beaucoup de temps. La première est plus simple, mais vous pourrez répondre plus longuement à la deuxième.

    Certaines personnes à qui j'ai parlé lors de ma carrière d'éthicien, ainsi que d'autres personnes à qui j'ai parlé dans le cadre de ce dossier, m'ont dit que, si on n'a rien à cacher, il ne devrait pas y avoir de problème. J'aimerais savoir ce que vous en pensez.

    Cela me fait toujours rire. Cela aurait pu être la devise de la Stasi et du Troisième Reich, car ils disaient aux gens que s'ils n'avaient rien à cacher, quel mal y avait‑il à ce que l'État sache tout sur eux? C'est absurde. C'est exactement le contraire de la liberté. S'il vous plaît, préservons notre liberté. La vie privée est le fondement de notre liberté. Il est absurde que l'on doive tout révéler au monde et au gouvernement.

    L'association entre la vie privée et la liberté est claire, et nous n'avons pas à tout révéler au gouvernement ou à une autre organisation.

    On a fait un appel d'offres pour un deuxième contrat, et ce comité a décidé à l'unanimité de demander la suspension de cet appel d'offres. Il y a eu un vote à la Chambre hier là-dessus, cela a été demandé et nous ne savons pas ce qui arrivera.

    Dans l'appel d'offres, on mentionnait que les données pourraient être utilisées après la fin de la pandémie. Deux choses m'intriguent. Premièrement, on ne sait pas qui va déclarer la fin de la pandémie. Deuxièmement, pourquoi utiliserait-on ces données après la fin de la pandémie?

    C'est ce à quoi je m'oppose. Comme je l'ai mentionné, après les événements du 11 septembre, c'était le même genre de choses.

    Oui.

    Les mesures qui ont été mises en place pendant les événements du 11 septembre étaient censées prendre fin une fois la crise terminée. Cela n'a pas été le cas. C'est toujours une préoccupation lorsque des mesures sont mises en place pendant une situation comme une pandémie ou une situation d'urgence, c'est‑à‑dire qu'il faut s'assurer qu'elles prendront fin par la suite. Je serais très inquiète à ce sujet.

    D'accord. Quelles seraient vos deux principales recommandations afin d'améliorer la loi?

    Je voudrais pouvoir travailler... Par exemple, le programme Les données au service de bien commun de Telus est excellent sur le plan de la dépersonnalisation et de la protection des données. Il a obtenu une certification Privacy by Design. Je voudrais travailler avec eux et avec le gouvernement pour voir comment nous pouvons utiliser des informations utiles tout en préservant complètement notre vie privée ou peut-être en utilisant des données synthétiques. Explorons différentes options. C'est ce que j'aimerais présenter dans un projet de loi.

    D'accord. Il ne me reste que 10 secondes, alors j'en profite pour vous remercier.

    Madame Scassa, je n'ai malheureusement pas eu l'occasion de vous poser des questions, car mes questions s'adressaient surtout à Mme Cavoukian. Je vous remercie de votre présence.

    Deux minutes et demie, c'est vite passé.

    C'est maintenant au tour de M. Green.

    Merci.

    Monsieur le président, j'aimerais poser une question à Mme Scassa, qui a fait référence à un cadre juridique à jour. Quelles exceptions, le cas échéant, devraient exister en ce qui concerne la collecte, l'utilisation et la divulgation de renseignements anonymisés ou dépersonnalisés par le gouvernement?

    J'ai été préoccupée par le libellé du projet de loi C‑11 quant à l'exception relative à l'utilisation des données à des fins socialement bénéfiques, au partage de ces données à l'insu des individus ou sans leur consentement. Je pense que la question de la transparence dont Mme Cavoukian a parlé et qui a été débattue et discutée est d'une importance fondamentale.

     Des mécanismes de transparence doivent être mis en place afin que les gens puissent comprendre comment leurs données sont utilisées. Il peut également être nécessaire de mettre en place une sorte de cadre de gouvernance pour établir des paramètres, des limites à l'utilisation des données et un cadre éthique, si nécessaire.

    Merci.

    Monsieur le président, tout en respectant le temps dont dispose le Comité, j'aimerais simplement dire à ce sujet que le commissaire à la protection de la vie privée a aussi clairement recommandé de renforcer le commissariat, ce qui l'aiderait à agir de façon proactive et à effectuer des audits dans le secteur privé, ce qui me semble important.

    Monsieur le président, j'aimerais maintenant présenter au Comité un avis de motion qui sera distribué par la greffière dans les deux langues officielles. Je vais utiliser la minute qu'il me reste pour le lire afin de ne pas prendre le temps de quelqu'un d'autre.

    Est‑ce que cela vous va?

    Allez‑y avec la présentation d'un avis de motion.

    Monsieur le président, je suis heureux de présenter cet avis de motion. Il est à espérer que nous puissions en débattre et, avec l'appui du Comité, l'adopter et obtenir cette information afin de mieux comprendre les mesures qui ont été prises par l'Agence pour ce contrat.

    Merci.

     Merci.

    Sur ce, afin de rattraper une partie du temps que nous avons perdu en raison des votes, les deux derniers intervenants disposeront de deux minutes chacun.

    C'est donc au tour de M. Kurek, qui sera suivi de M. Fergus. Ils disposent de deux minutes chacun, et c'est ce qui mettra à fin à la première partie de la réunion.

    Merci beaucoup, monsieur le président.

    Madame Cavoukian, comme l'a mentionné M. Villemure, le problème concernant la demande de propositions, c'est qu'on y mentionnait que les données ne seraient pas utilisées seulement dans le cadre de la lutte contre la COVID, et qu'on restait très vague quant à ce que pourrait être leur utilisation future. Je me demande si vous avez d'autres commentaires à ce sujet.

    J'espère pouvoir vous poser une dernière question.

    Il est absolument essentiel de fixer des limites spécifiques à leur utilisation. Si l'on n'établit pas l'objectif principal de la collecte de données, elle sera toujours utilisée à d'autres fins. Nous pouvons l'utiliser à telle ou telle fin. Toute une série de fins utiles pourrait être envisagée...

    Excusez-moi, mais j'ai peu de temps.

    Des électeurs craignent que les données que l'Agence de la santé publique du Canada a pu recevoir ne soient pas seulement utilisées au sein de l'Agence. Elles pourraient être fournies à d'autres ministères.

    Cela vous inquiète‑t‑il également?

    Bien sûr. Comment savons-nous quelles restrictions ont été imposées en ce qui a trait à l'utilisation des données par l'ASPC ou d'autres ministères ou organismes du gouvernement? Nous n'en savons rien. C'est pourquoi il est absolument essentiel que le commissaire fédéral à la protection de la vie privée regarde sous le capot et vérifie tout cela.

    Je vous remercie.

    Je suis un parlementaire d'une région rurale et j'ai également entendu certaines préoccupations au sujet des données agrégées dans un centre urbain qui compte des centaines ou des millions de personnes par rapport à une petite collectivité qui en compte des dizaines ou des centaines.

    Je me demande si vous pourriez nous en parler dans le peu de temps qu'il nous reste.

    Concernant la façon dont ces données sont réunies — comme vous l'avez mentionné, on parle de millions de personnes par rapport à de petites collectivités —, il est évident que pour une très petite collectivité, cela conduit à la possibilité d'identifier des membres de cette collectivité. C'est toujours préoccupant. C'est pourquoi, encore une fois, on devrait toujours faire appel au commissaire fédéral à la protection de la vie privée, qui peut examiner le tout et s'assurer que les précautions appropriées ont été prises.

    Vous avez terminé juste à temps.

    Nous passons maintenant à la dernière intervention de deux minutes. La parole et à M. Fergus.

    Merci beaucoup, monsieur le président. Je remercie nos témoins également.

    Je serai très bref.

    Merci de votre témoignage, madame Cavoukian.

    Je veux seulement m'assurer que je comprends bien. Lors de notre dernière réunion, M. El Emam a expliqué qu'il existe de très bons moyens de réduire le risque de repersonnalisation des données. Il a admis qu'il n'y avait peut-être pas de méthode parfaite, mais qu'il existait des pratiques courantes dans le monde pour réduire ce risque.

    Le programme Les données au service du bien commun de Telus répond‑il à ces exigences, à votre avis?

    Il faudrait que j'y regarde de plus près. Le programme de Telus est extraordinaire. J'ai examiné le travail de Telus dans d'autres domaines au chapitre de la dépersonnalisation des données et de l'agrégation. Il fait un excellent travail. Je suis d'accord avec M. El Emam, qui est le spécialiste dans ce domaine, pour dire qu'il fait les choses correctement.

    Mes craintes ne concernent pas le processus de dépersonnalisation qu'il suit.

    D'accord. Alors, ce qui vous préoccupe, ce n'est pas le processus de dépersonnalisation que suit...

    C'est la transparence, ou le manque de transparence.

    Certainement.

    Je crois aussi que le problème va plus loin. Les questions de M. Green ou mes collègues en font foi.

    Je tente réellement de comprendre ce que l'Agence de la santé publique a reçu des données de Telus. Encore une fois, je crois que vous affirmez que, selon vous, les renseignements reçus par l'Agence ont été anonymisés selon les normes les plus élevées en la matière.

    Je suis certaine que c'est le cas. L'entreprise excelle dans ce domaine.

    Je tiens à répéter que mes préoccupations ne sont pas liées à la méthodologie de l'entreprise, mais au manque de transparence du gouvernement, qui n'a pas informé le public de ce qu'il faisait.

    Je veux seulement le confirmer, afin que les Canadiens puissent croire, à partir des renseignements qu'ils ont reçus, que le gouvernement ne les surveillait pas. On a utilisé des données anonymisées qui provenaient d'une source légitime.

    Puis‑je vous demander de confirmer cela?

    Oui, je le confirme.

    Je vous remercie beaucoup.

    À ce sujet, dans ce cas, j'aimerais également m'assurer que selon vous — et si vous pouviez apporter des éclaircissements à cet égard —, en utilisant cette approche fondée sur les normes de l'industrie…

    Je suis désolé, monsieur Fergus. J'ai eu de la difficulté à activer mon microphone, mais vous avez largement dépassé le temps imparti.

    Je vous remercie, monsieur le président, de me ramener dans le droit chemin.

    Je suis désolé de ne pas avoir eu le temps de discuter avec vous, madame Scassa.

    Je tiens à remercier les deux témoins.

    Je vais maintenant remercier nos témoins.

    Puisque nous avons largement dépassé le temps imparti, je vais suspendre la séance. J'espère que nous pourrons procéder très rapidement aux essais audio pour les témoins du prochain groupe et commencer la discussion dès que possible.

    La séance est suspendue.

    La séance reprend. Nous entendrons maintenant le deuxième groupe de témoins de la réunion d'aujourd'hui.

    J'aimerais donc souhaiter la bienvenue à nos témoins, M. Martin French, professeur agrégé au département de sociologie et d'anthropologie à l'Université Concordia, et M. Daniel Weinstock, professeur titulaire au département de philosophie de l’Université McGill.

    Monsieur French, vous avez cinq minutes pour faire une déclaration. Il est très important de respecter le temps imparti.

    Vous avez la parole, monsieur French.

    Je vous remercie, monsieur le président et membres du Comité, de m'avoir invité à vous parler aujourd'hui.

    J'étudie la surveillance de la santé publique d'un point de vue sociologique depuis 2003, lorsque j'ai commencé mes études de doctorat. Au fil des ans, depuis la fin de mon doctorat, j'ai continué à écrire sur la surveillance dans les contextes de la santé publique et des soins médicaux.

    À titre de sociologue, j'ai tendance à donner la priorité à des questions différentes de celles que se posent les professionnels de la santé publique lorsqu'ils se penchent sur les systèmes de surveillance de la santé publique. J'ai les mêmes préoccupations évaluatives que les professionnels de la santé publique à l'égard des notions d'efficacité, d'utilité, de rapidité, etc. Toutefois, les questions sociales concernant la façon dont la surveillance ou ses effets peuvent être vécus par les gens dans leur vie quotidienne sont tout aussi importantes, voire plus, pour moi.

    Par exemple, je m'intéresse à la question de savoir si la surveillance aide les gens ou si, au contraire, elle leur nuit. Dans le cadre de mes recherches, j'ai tendance à poser des questions critiques sur les systèmes de surveillance de la santé publique. Cela va peut-être sans dire, mais je dois également souligner que même si je pose des questions critiques, je ne suis pas contre la surveillance. En fait, je participe presque chaque semaine à l'initiative de surveillance ActionGrippe, qui est gérée par l'Agence de la santé publique du Canada. Il s'agit de l'un des systèmes de surveillance qui fournissent des données au site Web TendancesCOVID, qui a été mentionné par le ministre Duclos dans sa déclaration lorsqu'il a comparu devant votre comité.

    Je crois que la surveillance de la santé publique peut être un outil précieux et je ne voudrais pas que les innovations de l'Agence de la santé publique soient jetées avec l'eau du bain, mais j'aimerais utiliser le temps qui m'est imparti aujourd'hui pour soumettre à l'examen du Comité une question cruciale concernant l'équité.

    Les membres de votre comité ont posé des questions essentielles sur le consentement et la protection de la vie privée dans le contexte du travail de suivi de la mobilité effectué par l'Agence de la santé publique. En plus des autres témoins qui ont comparu aujourd'hui et des témoins que le Comité entendra, je crois, dans les jours à venir — par exemple M. Christopher Parsons, M. David Murakami Wood, M. David Lyon et d'autres —, ces questions seront abordées de manière approfondie. Je tiens à dire que je partage les préoccupations de ces témoins.

    Je veux mettre l'accent sur ce qu'ils disent et me concentrer sur les questions d'équité, et plus particulièrement sur la question de savoir qui peut subir des risques ou des préjudices accrus en raison du suivi de la mobilité.

    Dans la déclaration qu'elle a faite devant votre comité le 3 février dernier, la Dre Tam a mentionné que le suivi de la mobilité pourrait être utilisé pour comprendre l'efficacité des mesures de santé publique. Elle a dit ce qui suit:

    Que se passerait‑il si ces données montraient que les gens, par exemple, dans un quartier de Montréal où je vis, ne restent pas chez eux? Est‑il possible que ces données soient corrélées à une intensification du maintien de l'ordre ou de l'application de la loi dans ce quartier? J'aimerais savoir si l'Agence de la santé publique du Canada réfléchit au suivi de la mobilité dans le contexte des travaux de sciences sociales sur le maintien de l'ordre en cas de pandémie, par exemple ceux menés par Alexander McClelland, Alex Luscombe et l'Association canadienne des libertés civiles.

    En raison de ces questions d'équité, j'aimerais encourager l'Agence de la santé publique et le gouvernement du Canada à être plus transparents dans leurs discussions sur les technologies émergentes en matière de surveillance et de recherche des contacts. Je pense que le temps qui m'est imparti est presque écoulé, mais je peux vous donner un exemple de ce dont je parle en utilisant l'application de recherche des contacts Alerte COVID, si les membres du Comité souhaitent poser des questions à ce sujet.

    Permettez-moi de conclure en précisant que je parle aujourd'hui en m'appuyant sur mes propres recherches antérieures et non sur les données empiriques que j'ai recueillies sur l'initiative de suivi de la mobilité. Je demanderais donc aux membres du Comité d'en tenir compte lorsqu'ils feront référence à ma déclaration.

    Je vais donc m'arrêter ici. Je vous remercie.

    Je vous remercie.

    La parole est maintenant à M. Weinstock. Vous avez au maximum cinq minutes pour votre déclaration.

    Je vous remercie.

    Je vais prendre 10 secondes du temps qui m'est imparti pour corriger la façon dont on m'a présenté. Je suis à l'Université McGill depuis 10 ans. En effet, je suis avec la Faculté de droit et le département de philosophie de l'Université McGill.

    Je ne suis pas un expert en matière de protection de la vie privée. Mon travail porte sur un certain nombre de domaines, mais deux d'entre eux sont pertinents pour notre discussion actuelle. Il s'agit d'une part de la justification et des limites de la justification de la restriction des droits dans une démocratie libérale. Quels processus et quels arguments peuvent être utilisés pour justifier la restriction des droits et libertés classiques dans une démocratie libérale? J'ai étudié la question pour un large éventail de droits, y compris les droits religieux. Comment justifier la restriction de la liberté religieuse?

    L'autre aspect de mon travail qui est pertinent pour nos discussions d'aujourd'hui concerne les conditions de la confiance accordée au gouvernement. Quelles sont ces conditions? Comment le gouvernement peut‑il inspirer confiance — c'est probablement la question la plus importante — et quels sont les mécanismes par lesquels il peut, de manière légitime, gagner la confiance de la population?

    Des points pertinents peuvent être soulevés dans ces deux domaines, et je les soulèverai brièvement.

    J'habite au Québec, et cela influence probablement ma perspective. En général, au Québec, il y a une sorte de processus que j'appellerai un critère de proportionnalité arbitraire et qui est appliqué assez régulièrement, c'est‑à‑dire que le gouvernement s'est imposé de justifier auprès de la population les restrictions assez importantes auxquelles il a soumis les droits et libertés des gens, le droit de circulation et le droit d'association. Il a souvent fait face à une certaine résistance lorsque l'on estimait que les preuves n'étaient pas suffisantes pour démontrer que la restriction était nécessaire pour atteindre l'objectif ou que la restriction était potentiellement trop draconienne, compte tenu des réalisations de l'objectif.

    On peut établir une sorte de parallèle entre le type de démonstration formelle de la proportionnalité que l'on trouve, par exemple, dans le critère établi dans la décision Oakes, et le type de critère de proportionnalité ordinaire qui fait que la population, lorsque des restrictions sont mises en place, se dit qu'elle n'est peut-être pas tout à fait d'accord, mais qu'on tente au moins d'être transparent et de l'informer au sujet de ces restrictions.

     Là où je pense que le traçage des données constitue un problème, c'est que nous n'avons pas affaire à des restrictions. Nous n'avons pas affaire à des mesures qui restreignent la capacité des Canadiens à se mouvoir ou à s'associer. La surveillance, c'est quelque chose de relativement invisible dans la mesure où le but n'est pas de restreindre notre activité, mais plutôt de la mesurer. La pression qui est exercée sur le gouvernement afin qu'il justifie la surveillance n'est pas la même que s'il imposait une restriction. De toute évidence, quand on dit à une personne qu'elle ne peut plus faire une activité en particulier, elle demandera une justification.

    Je pense que le gouvernement peut être tenté de ne pas donner de justification, mais qu'il devrait résister à cette tentation. En effet, s'il n'est pas ouvert et transparent quant aux objectifs de la surveillance et aux limites de cette surveillance, qu'il s'agisse des limites temporelles ou des limites quant au type de données colligées, cela risque de sortir dans un article de journal et de susciter la méfiance de la population. Or cette méfiance n'a peut-être pas lieu d'être. En effet, si le gouvernement s'était tout simplement livré au même genre d'exercice de justification auquel il se livre lorsqu'il impose des restrictions, il est fort possible que le problème de confiance et de méfiance n'aurait pas existé.

    Selon moi, c'est la difficulté qui se présente dans le contexte actuel. Il faut réfléchir non seulement aux mesures que les gouvernements fédéral et provinciaux doivent prendre pour justifier leurs restrictions, mais également aux mesures qu'ils doivent prendre pour s'assurer de ne pas susciter la méfiance de la population.

    Je ferai au gouvernement une remarque qui a été faite par un membre du Comité en parlant de la population. S'il n'a rien à cacher quant à l'utilisation qu'il veut faire de ces données, pourquoi n'est-il pas ouvert et transparent? Pourquoi ne prend-il pas les devants en indiquant aux médias et à la population quelles sont ses intentions et quelles sont les méthodes particulières et circonscrites qu'il utilisera pour collecter ces données?

    Je vais m'arrêter là, car mon temps de parole est probablement écoulé.

    J'ai hâte de répondre à vos questions.

    Je vous remercie beaucoup.

    Nous entamons la première série de questions.

    Nous entendrons M. Kurek pour la première série de questions de six minutes.

    Je vous remercie, monsieur le président.

    Tout d'abord, j'aimerais remercier nos témoins. Je vous suis reconnaissant de comparaître devant le Comité aujourd'hui et de nous faire profiter de votre expertise.

    Monsieur French, vous avez parlé de l'application ActionGrippe, du site Web et de la plateforme connexes et de la façon dont tout cela a alimenté certaines des données de TendancesCOVID. La différence essentielle entre ces deux outils, c'est que l'un se fonde sur le consentement et l'autre sur toute une série d'autres données.

    Pourriez-vous formuler des commentaires sur la différence entre le consentement donné pour collecter des données fournies volontairement ou le consentement donné directement comparativement à la grande variété de moyens de collecte qui ont pu être utilisés pour dresser la carte de TendancesCOVID?

     Je peux essayer.

    Comme je l'ai déjà mentionné, je participe au projet ActionGrippe. J'ai reçu une invitation à participer, j'ai accepté de participer et je sais que lorsque je réponds à des courriels, l'Agence de la santé publique du Canada utilisera ces données, c'est‑à‑dire les renseignements que je leur ai donnés, pour informer — je l'espère — leurs travaux épidémiologiques.

    En ce qui concerne le suivi de la mobilité, certains membres de votre comité et certains témoins ont soulevé des questions liées au consentement, et je pense que ce sont des questions très difficiles. Je ne comprends pas tout, et les membres du Comité pourront peut-être me corriger si je me trompe sur les détails liés à ces questions. Chaque membre du réseau Telus, par exemple, savait que s'il ne voulait pas que ses données soient utilisées, il devait s'abstenir de répondre.

    Je ne veux pas remettre en cause cette initiative particulière. Je pense que c'est une pratique générale, dans notre culture, de cliquer sur le bouton « j'accepte ». Je pense que M. Villemure l'a déjà dit lorsqu'il a comparu devant votre comité. C'est tout simplement la culture dans laquelle nous vivons aujourd'hui. En effet, nous ne lisons généralement pas les conditions de service et les politiques de confidentialité, et nous ne sommes donc pas souvent conscients de ce que cela signifie. Comment le pourrions-nous? Trop souvent, ces conditions et politiques ne sont pas rédigées très clairement et elles ne sont pas écrites pour être lues ou comprises facilement.

    Je pense que c'est un gros problème. De nombreuses organisations affirment utiliser des renseignements personnels sur la santé, des données sur la mobilité et d'autres types de renseignements. Même après avoir regroupé et anonymisé ces données, par exemple, la question du consentement se profile toujours, de manière plus générale, à l'arrière-plan.

    Je vous remercie, monsieur French.

    Je suis désolé de vous interrompre, mais nous avons peu de temps pour les questions.

    J'aimerais poser ma prochaine question aux deux titulaires d'un doctorat.

    Vous avez fait tous les deux référence à l'utilisation de ces données par le gouvernement dans un but précis, mais vous en déduisez la possibilité qu'il pourrait y avoir des conséquences inattendues, que ce soit parce que des ministères… Même si elles ont été agrégées ou anonymisées, il se pourrait que ces données ne restent simplement pas au sein de l'Agence de la santé publique du Canada.

    Monsieur Weinstock, j'aimerais d'abord entendre votre réponse. Pourriez-vous, en 30 secondes environ, parler des préoccupations qui pourraient être soulevées à cet égard?

    Oui, vous l'avez dit vous-même. Je pense que ce qui permettra d'accroître la confiance à l'égard du processus, c'est l'existence de limites très claires et auto-imposées par le gouvernement. Bien entendu, cela ne garantira pas qu'il n'y aura pas de fuite d'un ministère à l'autre, mais cela donnera aux Canadiens et aux chiens de garde, comme le chien de garde de la protection de la vie privée, un seuil et un point de référence précis qu'ils pourront utiliser pour affirmer qu'une intervention outrepasse les limites qui ont été imposées pour justifier l'utilisation de ces données aux Canadiens.

    Je pense qu'il est très important d'établir des limites très claires sur lesquelles on peut se fonder pour établir concrètement la responsabilité.

    Je vous remercie.

    Monsieur French, pourriez-vous répondre rapidement à cette question?

    Pour me faire l'écho de ces propos, je pense que nous savons tous qu'au début de la pandémie, les premiers intervenants de l'Ontario, y compris les policiers, ont eu accès aux bases de données des tests de dépistage de la COVID‑19 avant que cette pratique ne soit abolie. Nous devons nous assurer que les données qui sont collectées à des fins de santé et de santé publique fassent l'objet de mesures de protection plus efficaces.

    Je vous remercie beaucoup.

    J'aimerais poser une brève question à M. Weinstock.

    Je sais que le Comité a voté à l'unanimité en faveur de la remise en question des restrictions et que tous les partis d'opposition ont voté pour suspendre le processus de demande de propositions visant à poursuivre la collecte de données. Vous avez parlé de la remise en question des restrictions.

    Avez-vous des commentaires à formuler sur cet enjeu et sur la nécessité que le gouvernement respecte cette remise en question qui s'est produite à la fois au Parlement et au sein des comités?

    Si je comprends bien la question, je pense que nous sommes dans une période très différente qu'il y a deux ans, et le gouvernement doit en tenir compte. Tout ce que je dis, c'est qu'en partant de l'hypothèse que tout ce qui est fait dans ce domaine est parfaitement justifiable, je pense que nous sommes à un point où, pour inspirer confiance, le gouvernement doit fournir cette justification d'une manière beaucoup plus transparente qu'au début de la pandémie, lorsque la population générale était peut-être prête à lui donner une plus grande marge de manœuvre pour agir dans l'intérêt public.

    Je vous remercie, monsieur Weinstock.

    La parole est maintenant à M. Fergus.

     Merci beaucoup, monsieur le président.

    Messieurs Weinstock et French, je vous remercie beaucoup de votre présence aujourd'hui.

    Monsieur Weinstock, je suis très intéressé par le dernier point que vous avez soulevé. Je vous écoute assez souvent à Radio‑Canada. Vous en avez parlé juste avant Noël, je crois. La confiance de la population en général dépend du contexte.

    Dans le cas actuel, le gouvernement canadien n'a pas fait de surveillance. Il a utilisé des données dépersonnalisées, anonymisées et cumulatives. Comme vous venez de le dire, le public était plus tolérant au début de la pandémie.

    Certaines de leurs données dépersonnalisées ont été utilisées par les gouvernements provinciaux, municipaux ou fédéral pour décider des mesures les plus efficaces à prendre pour faire face à la pandémie. Cela a-t-il miné la confiance des gens, selon vous?

    Je vais dire deux choses très rapidement.

    Je ne suis pas expert de la question des données. Quand j'ai été invité au Comité, j'ai fait une vérification préalable. J'ai demandé à des collègues experts ici, à la Faculté de droit, s'il est vrai que des données peuvent être complètement anonymisées. Dans les deux cas, j'ai eu droit à des sourires sceptiques.

    Rien n'est jamais complètement anonymisé.

    S'il y a un risque que ce qui est utilisé dans un premier temps de manière parfaitement cumulative et anonymisée puisse être personnalisé à nouveau, il faut faire usage d'une sorte de principe de précaution et mettre en place des mesures basées sur l'hypothèse qu'elles risquent de l'être. Il faut utiliser la pire hypothèse plutôt que la meilleure hypothèse, si je peux m'exprimer ainsi.

    Encore une fois, je ne fais pas du tout l'hypothèse que l'utilisation qui est faite des données à l'heure actuelle par le gouvernement est mauvaise et condamnable. Je me demande seulement quelles sont les conditions qui peuvent inspirer confiance à la population.

    C'est une chose d'avoir une information dans un article du National Post sur la convocation de la Dre Tam à votre comité. C'est une tout autre chose si le premier ministre ou la Dre Tam s'adresse à la population canadienne de manière anticipée en disant vouloir être ouvert et franc, et penser pouvoir atteindre des buts importants de santé publique en colligeant ces données, tout en garantissant qu'on mettra en place des dispositions de temporisation et des limites à leur utilisation.

    Je m'excuse de vous interrompre, mais nous n'avons que six minutes. C'est dommage, parce que c'est une discussion très intéressante.

    Vous savez, deux professeurs, c'est difficile de...

    ... un étudiant en philosophie!

    C'est effectivement ce qui s'est passé en avril 2020. La Dre Tam a dit qu'on utiliserait des données cumulatives et anonymisées pour mesurer des choses et qu'elles seraient transmises avec toutes les autorités sanitaires du pays. On les a utilisées et il y avait un site Web là-dessus.

    Cela peut-il non pas augmenter la confiance, mais, à tout le moins, diminuer la méfiance des citoyens à l'égard de l'utilisation de ce genre de données?

     À mon avis, c'est important que ce soit un représentant élu qui le fasse. Je me suis peut-être mal exprimé lorsque j'ai dit que cela aurait été la même chose si le premier ministre ou la directrice de la santé publique du Canada l'avait fait. Ultimement, les décisions en lien avec des questions aussi cruciales et sensibles que celle de l’utilisation des données sont confiées aux politiciens élus. C’est à eux de faire cet exercice.

    Partout au pays, il y a eu une sorte de confusion quant à ce qui relève de la responsabilité de la santé publique et ce qui relève des élus, notamment des chefs élus. Je crois qu'il revient à cette dernière instance, plutôt qu'à la santé publique, de communiquer avec la population.

    Combien de temps de parole me reste-t-il, monsieur le président?

    Il vous reste une minute.

    Monsieur French, encore une fois, au sujet de cette question, des témoins du groupe précédent qui sont des experts en matière de protection de la vie privée ont indiqué que le programme Les données au service du bien commun de Telus, bien qu'il ne soit pas parfait, comme M. Weinstock, lorsqu'il parlait à ses collègues… Il respectait certainement les pratiques exemplaires pour garantir que les renseignements anonymisés ne puissent pas être réidentifiés ou associés aux gens qui les avaient fournis.

    Selon vous, est‑ce suffisant ou devons-nous viser la perfection? Est‑ce suffisant de suivre les meilleures normes de l'industrie ou devons-nous aller plus loin?

     Je ne crois pas que nous puissions atteindre la perfection, mais je pense que nous devrions aller plus loin.D'après les recherches que j'ai effectuées, nous ne…

    Nous nous plaçons ici du point de vue du programme Les données au service du bien commun de Telus et non, je tiens à le préciser, d'un point de vue général.

    Monsieur Fergus, vous avez consacré presque tout votre temps à poser votre question. Nous avons maintenant pris un gros retard.

    Je suis désolé. Aux témoins qui voudraient nous être utiles et répondre, je demanderais de le faire par écrit.

    Ils peuvent effectivement le faire.

    Nous pourrons intégrer leur réponse dans le rapport du Comité.

    Merci.

    Monsieur Villemure, vous disposez de six minutes.

    Bonjour.

    Je remercie les deux témoins, M. Weinstock et M. French.

    Pour commencer, j'aimerais dire que je ne crois pas que la finalité de l’Agence de la santé publique était malveillante, comme l’ont d’ailleurs mentionné tous les témoins. Je crois que la finalité de l’Agence était probablement bienveillante. Ce qui me titille, c'est le moyen ou l’opacité qui a présidé la non-transparence.

    Monsieur Weinstock, la question que j’aimerais vous poser est très large.

    Dans un monde polarisé, où les gens éprouvent de la méfiance relativement facilement... L'actuel gouvernement a banalisé des situations comme celles de l'Aga Khan et du mouvement UNIS. C'est la même chose cette fois-ci. En effet, le ministre de la Santé banalise la situation en disant que ce n'est pas grave.

    Je suis curieux de savoir quels sont les effets de la banalisation, devenue presque habituelle, sur la confiance envers nos institutions.

    Je vais essayer de donner une brève réponse, parce que je sais que le temps file.

    La polarisation est un jeu qui se joue à plusieurs. La responsabilité de la polarisation actuelle est fonction de plusieurs acteurs. Par exemple, les médias y sont pour quelque chose.

    Un politicien prudent, au sens classique du terme, doit pouvoir lire la température ambiante, en fait de polarisation, afin de jauger la manière par laquelle il communique avec le public.

    Nous vivons à une époque où les médias cherchent souvent la petite bête dans le but d'augmenter la polarisation ou d'attirer l’attention. Il s'agit peut-être d'une situation regrettable, mais elle est ce qu’elle est.

    Je ne veux pas dire que tel ou tel acteur est pleinement responsable de la polarisation, mais il me semble que les représentants élus doivent prendre des mesures pour réduire la polarisation. Je ne pointe personne du doigt, mais j'ai l'impression que jeter de l'huile sur le feu ne fait que créer des scandales là où il n'y en a pas.

     Je suis d’accord avec vous sur le fait que, dans ce cas-ci, il est fort probable que l’utilisation des données est parfaitement anodine, mais, en cachant des choses et en mettant de côté le commissaire à la protection de la vie privée, on crée des apparences qui n’ont pas lieu d’être et qui ont tendance à nourrir la polarisation plutôt qu’à la réduire. C’est dommage, dans le contexte actuel.

     D'accord, je vous remercie beaucoup.

    En mars 2020, le premier ministre et la Dre Tam ont annoncé, lors d'une conférence de presse, que des données seraient utilisées et qu'on pouvait suivre cela sur le site Web TendancesCOVID. C'était sur le site Web de MétéoMédia.

    Cela correspond-il à votre définition de « rendre publique une information »?

    Je serai très honnête. Deux ans de pandémie, c'est très long, et je crois que des choses qui ont été dites il y a deux ans gagnent à être rappelées régulièrement. Nous avons vécu tellement de choses et il y a eu tellement de rebondissements dans les limitations et les réductions de droits et libertés que je crois que cette question ne pouvait pas tout simplement être évacuée du débat public une fois pour toutes, au début de la pandémie, pour ne jamais y revenir.

    D'accord.

    Monsieur French, je vous pose la même question.

    Selon vous, le site Web TendancesCOVID et la conférence de presse, cela correspond-il, sur le plan sociologique, à la définition de « rendre publique une situation ou une information »?

    Je voudrais que l'Agence de la santé publique du Canada et que les gouvernements, au Canada, soient plus loquaces. J'ai l'impression qu'ils font du bon travail, mais ils pourraient en faire plus.

    J'ai fait allusion à l'appli Alerte COVID, que j'ai étudiée. Objectivement, la politique de protection des renseignements personnels affichée sur le site Web fait assez belle figure par rapport à l'ensemble de celles qui sont publiées et elle est beaucoup plus lisible que beaucoup d'autres.

    Néanmoins, il subsiste des... L'utilisateur d'Android OS doit se frayer un chemin à coup de clics dans cette politique pour comprendre comment l'API s'y prend pour, par l'entremise de Google Play, permettre à Google d'accéder aux données sur son emplacement.

    J'estime que nous devons faire mieux.

    Merci beaucoup.

    Docteur Weinstock, j'aimerais vous entendre sur le déroulement des faits qui se sont produits de mars 2020 à aujourd'hui. Le Comité s'est réuni, on a demandé l'arrêt d'un appel d'offres et la Chambre y a consenti, mais le gouvernement ne répond pas aux questions.

    Croyez-vous que cela construit la confiance ou que cela l'effrite et entraîne de la méfiance?

    C'est difficile. Vous posez une question un peu tendancieuse.

    Encore une fois, ce sont des gestes ou des réflexes partisans qui, dans ce cas-ci, n'ont probablement pas lieu d'être. Je crois que la Dre Tam a dit, à un moment donné, que ce ne serait pas la fin du monde que d'attendre quelques semaines pour que le Comité dépose son rapport. Je crois que le gouvernement mesure peut-être mal le coût et les bénéfices des gestes partisans qu'il pose. Cela fait en sorte que la population peut avoir le sentiment qu'il y a anguille sous roche, alors que ce n'est peut-être pas le cas. Le pire paradoxe, c'est de se retrouver dans une situation où on nous reproche quelque chose qu'on n'a pas lieu de nous reprocher, parce que...

    Merci, monsieur Weinstock. Vous avez dépassé votre temps et j'allais vous encourager à conclure.

    Monsieur Green, vous disposez de six minutes.

    Merci.

    Quelle chance incroyable que d'accueillir un autre groupe d'experts en la matière!

    J'accélère, et je veux poser la même question à ce groupe‑ci qu'au groupe précédent. J'ai entendu l'allusion de M. French à des cadres juridiques actualisés. Quelle exception, le cas échéant, doit s'appliquer à la collecte, à l'emploi et à la divulgation de renseignements anonymisés ou dépersonnalisés?

    Veuillez m'éclairer? S'agit‑il d'une exception en droit?

    Pas seulement. En éthique aussi, comme dans votre recherche sur la protection des renseignements personnels. Nous cherchons continuellement le juste milieu du bien commun, et vous avez avoué votre soutien à l'utilisation active de l'épidémiologie dite numérique pour assurer une prise de décision fondée sur des données probantes pour nos organismes de santé publique.

    Quelles exceptions, le cas échéant, devraient s'appliquer à la collecte, à l'emploi et à la divulgation de renseignements anonymisés ou dépersonnalisés?

    Mon espoir est que cette étude permette à notre comité de formuler des recommandations normatives qui serviront peut-être de garde-fous.

    Voici un autre exemple. J'ai présenté dans un avis de motion l'idée de mieux comprendre les évaluations d'impact sur les renseignements personnels et la façon par laquelle le gouvernement concilie ces deux éléments d'appréciation en voulant agir pour le bien commun.

    Merci pour l'explication.

    Je suis d'accord. Il existe, disons, une histoire des réponses aux crises de santé publique. Naturellement, la Santé publique a formulé des systèmes de surveillance en réaction aux crises et, parfois, ces systèmes fonctionnent à une sorte de niveau inférieur de surveillance, en raison de l'urgence de la réponse. Le fait de travailler dans cette culture, pour la mettre en avant..., disons l'habiliter... Je crois que les professionnels de la santé publique ont dû relever des défis très complexes, pendant la pandémie et en étant en pénurie de ressources, par exemple. Pourrions-nous mieux les fournir en ressources pour qu'ils s'occupent de choses comme les conséquences que j'ai signalées, les conséquences sur les renseignements personnels des décisions qu'ils ont dû prendre en temps de crise?

    Monsieur Weinstock, avant de vous questionner, je tiens seulement à enchaîner avec une question supplémentaire.

    Monsieur French, vous auriez affirmé, et je cite: « Des populations pourraient être soumises à un niveau accru de surveillance qui pourrait être dommageable [...] ». Dans les semaines et mois à venir, notre comité examinera l'intelligence artificielle, la reconnaissance faciale et, comme je l'ai rappelé, la notion d'épidémiologie numérique.

    Je lisais une analyse de la réponse initiale du Canada à la COVID‑19 par l'Association canadienne de santé publique, qui expose toutes les façons par lesquelles nos renseignements sont communiqués dans le monde par le Réseau mondial d'information en santé publique. Pourriez-vous cerner d'éventuelles causes d'inquiétude, non seulement rattachées à ce fait, mais, également, de façon plus générale, aux façons par lesquelles l'intelligence artificielle pourrait présenter un problème pour certains groupes?

    À cette vaste question, je ne sais pas trop si je peux répondre brièvement, mais l'histoire offre des exemples de données épidémiologiques rassemblées pour des motifs légitimes, dont l'emploi, ensuite, a été stigmatisant.

    Par exemple, en 1982, un article publié dans un rapport épidémiologique hebdomadaire sur la morbidité et la mortalité des Centers for Disease Control a signalé le sarcome de Kaposi dans des communautés haïtiennes, alors que nous savons que, par la suite... Je pourrais également vous diriger vers les travaux et le livre Savoirs créoles, publié en 2019 par ma collègue Viviane Namaste, sur la stigmatisation vécue par la communauté haïtienne de Montréal après 1982. En sociologue, je m'arrête à ce genre d'effets durables de programmes particuliers, si je pouvais formuler de la sorte ma réponse à votre question. Nous devons désormais faire mieux.

    Je ne veux pas faire d'extrapolation à partir de ce qui se passe devant le Parlement. M. Weinstock vient de parler des sentiments, et nous savons que l'intelligence artificielle offre la possibilité de... En fait, plusieurs universités canadiennes font de la recherche de stratégies d'analyse de certaines de ces difficultés. Elles essaient de passer au crible les données des médias sociaux pour découvrir le sentiment populaire sur certaines questions, afin de changer certaines de nos ressources d'éducation populaire et d'éducation publique et nos communications, dans l'espoir de désamorcer le baril de poudre que nous voyons se mettre en place.

    Voulez-vous faire des observations sur l'emploi de l'épidémiologie numérique, faute d'un meilleur terme? Par ailleurs, vous pourriez aussi communiquer des observations écrites, vu qu'il ne me reste plus de temps.

    Merci, monsieur le président.

    Si c'est possible, une réponse en 10 secondes.

    Une réponse écrite serait peut-être mieux. J'ignore si je peux dire quelque chose en si peu de temps.

    C'est très bien. Merci.

    Poursuivons. Nous allons finir par être en retard même après le deuxième tour.

    Voici ce que je propose: MM. Patzer et Bains disposeront chacun de quatre minutes; MM. Villemure et Green, de deux minutes; puis M. Soroka et Mme Khalid, d'une minute. À la fin, notre retard sera d'environ cinq minutes.

    Si, en gros, c'est acceptable, cela s'applique tout de suite. Monsieur Patzer, vous disposez de quatre minutes.

    Merci beaucoup, monsieur le président.

    Monsieur French, ma circonscription rurale est très étendue, et mes électeurs ont été nombreux à se dire inquiets du harcèlement de l'État. Vivant en milieu rural, ils n'ont pas d'autre choix que de vivre isolés et ils se font harceler à ce sujet.

    Dans quelle mesure est‑il plus facile de « repersonnaliser » les données dépersonnalisées d'habitants de régions rurales que celles de citadins de grandes agglomérations?

    Je n'ai rien à ajouter à ce que viennent de dire Mmes Cavoukian et Scassa. Plus la population est petite, plus grand est le risque, peut-être, de « personnalisation » d'un ensemble de données, mais je ne suis pas un spécialiste de la dépersonnalisation et de la « repersonnalisation ».

    Dans un article publié dans le National Post, vous avez énuméré des populations qui risquaient de faire l'objet d'une surveillance accrue, susceptible d'avoir des répercussions négatives. Pouvez-vous étoffer ces propos d'un contexte ou y ajouter des observations?

    Bien volontiers. Je vais essayer. J'ai inséré et mis en évidence cette déclaration dans une réponse plus ample par courriel. Cela coïncidait avec mes propos d'aujourd'hui sur la possibilité que d'autres organisations adaptent leurs activités aux données sur la mobilité. C'est un terrain en grande partie inconnu, mais des fuites de ces données surviennent de temps à autre.

    J'essayais seulement de souligner que, parfois, des organisations peuvent utiliser ces données, comme la Dre Tam l'a dit, pour formuler des recommandations ou cerner des problèmes comme le non‑respect des consignes de confinement ou du couvre‑feu.

    Je me demande ce qui arrive après que la recommandation est faite. Son application est‑elle intensifiée? Dans ce cas, est‑ce que cela risque de peser lourdement sur des groupes aux prises avec d'autres problèmes. Peut-être font‑ils des quarts de travail, etc.

    J'ignore si je me suis fait comprendre, mais...

    C'est utile. Merci.

    Dans la trentaine de secondes qui me restent, j'ai une petite question pour M. Weinstock.

    Beaucoup de mes électeurs sont furieux et irrités, et c'est compréhensible, d'avoir été espionnés ou surveillés et de constater que l'État utilise contre eux les données qu'ils produisent. Je me demande s'ils n'ont pas raison sur le plan philosophique ou éthique.

    À mon avis, les données que nous nous attendrions d'être privées peuvent trouver des utilisations importantes dans d'autres circonstances qu'une pandémie. La publicité sur la destination de ces données, les limites, par exemple la durée de leur utilisation, la nature de l'indicateur qui permettra de déclarer la fin de la pandémie ou de la situation d'urgence qui justifie l'utilisation extraordinaire des données, tous ces moyens contribueront beaucoup à dissiper une partie de l'incertitude.

    Merci, monsieur Weinstock.

    Monsieur Bains, vous disposez de quatre minutes.

    Merci.

    Je remercie les deux professeurs pour le temps qu'ils nous accordent.

    Monsieur French, vous avez abordé la question des mandats.

    Nous savons que, pour les données dépersonnalisées sur la mobilité, on peut exercer une option de retrait de leur partage. Dans l'éventualité d'une collaboration entre l'État et des fournisseurs privés, que pouvons-nous faire pour prendre connaissance des mandats? Vous avez dit que le public n'en prend pas vraiment connaissance.

    Merci pour la question. Je suppose qu'une réponse courte aurait deux volets.

    Il y a un gros travail à faire pour sensibiliser les utilisateurs de la téléphonie mobile à la circulation des données qu'ils produisent. Cela étant posé, je pencherais pour l'option d'adhésion au partage des données plutôt que l'option contraire, mais je sais aussi qu'elle entraîne des coûts d'implantation, de mise en œuvre. On peut en débattre, mais je favoriserais l'option d'adhésion.

    D'accord, mais si l'adhésion était facultative, est‑ce que ça ne serait pas un signal sur l'utilité des données sur la mobilité réelle? La nature de la pandémie et la contribution au bien commun font-elles que cette option, en fin de compte, n'est pas si utile?

    C'est une bonne et une vaste question. Je ne sais pas trop comment y répondre.

    Par exemple, prenons le programme FluWatchers, auquel l'adhésion est facultative et qui travaille côte à côte avec le suivi de la mobilité, dont on peut se retirer. Je me souviens que la Dre Tam a dit qu'ils produisaient des données très différentes.

    Je reconnais que l'Agence de la santé publique du Canada a besoin de données sur la mobilité et qu'elle leur attribue de la valeur. Je n'ai pas la démarche d'un professionnel de la santé publique, mais d'un sociologue, ce qui me fait également reconnaître les limites de ma position. Je tenais à le préciser.

    Ce sont deux points de vue du consentement, et, pour la protection des renseignements personnels, je pencherais plutôt pour une formule d'adhésion, comme celle de FluWatchers.

    Combien me reste‑t‑il de temps?

    Une quarantaine de secondes.

    Je vous dis simplement merci de vos témoignages et je m'arrête ici.

    Tous nos remerciements, monsieur Bains, pour nous maintenir à l'heure

     Monsieur Villemure, vous disposez de deux minutes.

    Merci beaucoup, monsieur le président.

    Monsieur Weinstock, grâce à vous, j'ai eu une révélation, plus tôt. Je ne présume de rien, soit dit en passant. Je ne présume pas de la mauvaise foi ou de la malveillance. Toutefois, je me disais qu'il y avait eu un équilibre difficile entre la protection de la vie privée et la santé publique. Or vous avez apporté un autre élément, et je me dis que, au fond, l'équilibre difficile à établir est plutôt entre les réflexes partisans et la santé publique.

    J'aimerais entendre votre opinion là-dessus.

    Je crois que le premier de ces équilibres est quand même très important.

    Pour reprendre la discussion entre M. Bains et M. French, je crois que, l'un des éléments qui rendent la situation actuelle vraiment difficile, c'est que la finalité de la santé publique, qui est servie par la collecte de données, ne peut être servie que si une vaste proportion de la population est en quelque sorte embrigadée, ce qui rend le consentement individuel et le consentement positif difficile. Cet équilibre est donc encore plus fragile lorsqu'un élément comme le consentement positif dessert la fonction publique.

    En ce qui a trait à la partisanerie, je crois que nous vivons dans un système politique où, avec des élections aux quatre ans, il est presque impossible d'exiger des politiciens qu'ils ne regardent pas le calendrier électoral et qu'ils ne mesurent pas leurs gestes en partie en fonction de ce calendrier électoral.

    Je dirais que, parfois, ils font le mauvais calcul. Dans des situations d'urgence prolongée — je dis bien prolongée sur deux ans —, la population s'attend à ce que les politiciens s'élèvent au-dessus de la mêlée partisane. Parfois, des gestes qui peuvent être perçus comme de bons calculs politiques deviennent des facteurs qui ont tendance à aliéner la confiance du public. Je ne sais pas si ce que j'ai dit était clair.

     C'était très clair. Je vous remercie beaucoup.

    Monsieur Green, vous disposez de deux minutes.

    Monsieur le président, j'interrogerai de nouveau M. French.

    Dans mes propos sur l'épidémiologie numérique et l'emploi de données produites à l'extérieur de nos réseaux de santé publique, j'ai fait allusion aux médias sociaux, parce que je cherche — selon lui — à localiser notre limite. En ce moment, c'est les données sur la mobilité des téléphones cellulaires, mais des techniques font appel à l'intelligence artificielle pour la surveillance de masse de l'information publique. Dans ce cas, je soutiendrais que l'utilisation des médias sociaux soulève des questions d'ordre éthique et juridique, notamment la dépersonnalisation des données et le consentement à leur utilisation.

    De façon générale, jusqu'où l'État devrait‑il aller au nom de la surveillance de la santé publique? D'après vous, où doit-elle s'arrêter?

    Ce débat fait rage dans la santé publique et ailleurs. En 2020, des collègues et moi avons rédigé un article sur la recherche des contacts, en abordant également celle que font les entreprises et en soulevant des questions à débattre par les autorités sanitaires et les experts en la matière sur la dépendance de plus en plus grande envers des organismes privés pour faire son devoir et exercer ses responsabilités envers le grand public. Ça soulève beaucoup de questions difficiles. La limite n'est pas facile à tracer.

    La fragilité du réseau de santé publique couplée à la capacité incroyable de rassembler des données que possèdent des organismes privés conduit logiquement à penser à chercher des données dans Facebook, etc. L'idée est peut-être bonne, mais, de plus d'une façon, ces évolutions des politiques publiques pourraient également conduire plus d'entreprises vers ces plateformes.

    Merci, monsieur French.

    Nous avons un petit retard, mais je tiens à accorder une minute de temps de parole à M. Soroka, puis, à la fin, Mme Khalid.

    Allez‑y, M. Soroka.

    Merci, monsieur le président.

    Monsieur Weinstock, vous avez insisté sur la confiance du public envers le gouvernement. Le commissaire à la protection des renseignements personnels a offert d'examiner les données pour déterminer si elles avaient été déclassifiées selon les règles de l'art, et le gouvernement a refusé.

    Est‑ce ainsi qu'on augmente la confiance envers le gouvernement?

    Voilà un très bon exemple. Des mécanismes en place échappent à l'examen public sous le voile d'une très grande complexité, mais voilà une institution créée expressément pour le faire. Son exclusion engendre le soupçon, alors que — et j'insiste là‑dessus — il pourrait n'y avoir rien à cacher.

    Il est de plus en plus paradoxal que le gouvernement choisisse d'exclure une institution qui aide à augmenter la confiance en lui alors que l'examen du processus de collecte de données aurait très bien pu conclure que tout dans la protection des données personnelles respectait l'éthique

    Merci, monsieur Weinstock.

    Madame Khalid, pour le mot de la fin, vous disposez d'une minute.

    Merci beaucoup, monsieur le président.

    J'essaierai d'être le plus brève possible.

    Des témoins nous ont dit que les données sont très utiles à une orientation équilibrée de la politique de santé. D'autres nous ont appris également qu'il n'existait pas de moyen parfait pour assurer cette transparence.

    Dans votre article où vous discutez du moyen de diminuer les torts et de la gestion éthique de la pandémie de COVID‑19, vous appliquez notamment les principes d'optimisation de l'espace et du temps. Seriez-vous d'accord pour dire que les données sur la mobilité aideraient à accroître l'efficacité de la protection du public et à s'assurer de l'existence d'un équilibre plus fin entre les restrictions et la protection de la vie privée?

    Bien sûr.

    Jusqu'ici, je n'ai rien dit pour vous faire douter des mesures que nous prenons, c'est‑à‑dire des tests que nous nous imposons. Au Canada, on a tendance à tout ramener à une proportionnalité. Limitons-nous trop les libertés? Démontrons-nous que la limite imposée joue bien son rôle? C'est un bon cadre de référence pour le faire.

    Nous avons aussi des organismes comme le Commissariat à la protection de la vie privée qui est missionné pour faire ce travail de réflexion à notre place.

    Nous aurions très bien pu nous retrouver dans la situation où il aurait conclu que l'utilisation de ces données correspondait parfaitement à l'utilisation très valide qu'on entendait en faire. Nous n'avons tout simplement pas eu cette démonstration de ce genre d'organisme public...

    Je suis tellement désolé de devoir le faire. Nous obtenons d'excellents témoignages pour notre étude, mais je ne peux simplement pas autoriser que ça...

    Je le suis aussi.

    La concision n'est pas notre point fort, à nous, les universitaires.

    Pas besoin de vous excuser.

    Nos témoins ont tout le loisir de communiquer à notre comité leur témoignage écrit.

    Désolé pour l'heure tardive, mais je n'ai pas voulu léser nos deux groupes de témoins, en dépit du vote.

    Sur ce, la séance est levée.