ETHI Réunion de comité

    Je déclare la séance ouverte.

    Bienvenue à tous à cette séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Nous poursuivons notre étude de la LPRPDE, soit la Loi sur la protection des renseignements personnels et les documents électroniques.

    Nous commencerons par Mme Jane Bailey.

    Vous avez 10 minutes.

    Merci.

    Je dirige, conjointement avec la professeure Valerie Steeves, un projet de sept ans financé par le Conseil de recherches en sciences humaines du Canada, intitulé eQuality Project. Il a pour objet de nous permettre d'approfondir nos connaissances de l'incidence des métadonnées en ligne, surtout dans le cas de la publicité ciblée, sur les interactions en ligne des jeunes et sur la façon dont ce genre de pratique peut les exposer aux conflits et à la discrimination.

    Je vais m'appuyer sur quelques études canadiennes menées auprès de jeunes. Deux d'entre elles ont été réalisées en 2017. L'une par le eQuality Project, pour le compte de la Commission du droit de l'Ontario, qui porte sur la diffamation en ligne, et l'autre qui a été réalisée conjointement par le eQuality Project et par MediaSmarts grâce à une subvention du Commissariat à la protection de la vie privée du Canada. La dernière met l'accent sur le type de décisions que prennent des jeunes relativement au respect de la vie privée dans le contexte de la mise en ligne de photos. Je ferai également référence au eGirls Project, un projet de trois ans que j'ai codirigé avec Mme Steeves. Il était axé sur les expériences en ligne des jeunes filles et des jeunes femmes. Finalement, je me fonderai sur les résultats d'une étude de MediaSmarts sur les jeunes Canadiens dans un monde branché, qui ont récemment été publiés en 2015-2016.

    Trois choses de ces études doivent intéresser votre comité. Premièrement, les jeunes s'inquiètent des atteintes à leur réputation et pour bon nombre des jeunes filles et des jeunes femmes en particulier, les atteintes permanentes à la réputation représentent le grand danger des médias en réseaux. Deuxièmement, la protection de la vie privée, en particulier des mécanismes de contrôle de l'accès et d'utilisation des données concernant les jeunes, est fondamentale à cet égard. C'est notamment vrai pour l'information qu'ils publient ou qui est publiée à leur sujet et pour le risque que cette information soit utilisée de manière injuste et hors contexte dans l'avenir et qu'elle nuise à leurs perspectives d'emploi et à l'établissement de saines relations personnelles, entre autres choses. Troisièmement, les jeunes appliquent bien des stratégies et des normes pour atténuer ces dangers, mais les pratiques des entreprises et les architectures en ligne minent l'efficacité de ces stratégies, parfois de manière subtile grâce à des processus automatisés comme le profilage algorithmique aux fins de la publicité ciblée.

    Nous dirons que, selon les études canadiennes les concernant, même si les jeunes recherchent activement la publicité en ligne, ils sont également très conscients des complications qu'engendre cette publicité. Ainsi, ils comptent sur un certain nombre de stratégies pour protéger leur réputation en ligne, dont le fait de réfléchir soigneusement à ce qu'ils publient, de surveiller les photos d'autrui dans lesquelles ils figurent et de demander à des amis d'intervenir si quelqu'un publie des commentaires négatifs à leur sujet. Toutefois, à cause de la nature commerciale des médias réseautés, les jeunes ont du mal à demeurer maîtres des éléments en lien avec leur réputation.

    Dans ce que nous avons baptisé de tempête parfaite, les architectures numériques incitent les jeunes à révéler des données qui sont ensuite exploitées pour dresser leur profil et les ranger dans différentes catégories afin de leur envoyer des publicités ciblées. Il est ici question de prédictions d'identité qui reposent souvent sur des stéréotypes et des hypothèses médiatisés et restrictives quant aux groupes auxquels ils font partie ou devraient faire partie. Quand les jeunes tentent de reproduire ces stéréotypes pour susciter les « j'aime » et attirer des « amis » par lesquels les plateformes jaugent numériquement le succès, ils s'exposent à des conflits avec d'autres qui les surveillent, les jugent et parfois les harcellent.

    Partant de ce constat, nous avons demandé aux jeunes ce que devraient faire les décideurs. Je voudrais vous faire part de quatre mesures.

    Premièrement, les décideurs doivent directement faire participer les jeunes au processus décisionnel. Il faut repenser nos modèles d'élaboration des politiques de manière à inclure la participation directe de jeunes de diverses sphères sociales à titre d'experts du processus de formulation des politiques lui-même. En effet, la recherche porte à croire qu'il existe un fossé considérable entre les politiques élaborées par les adultes et le vécu des jeunes.

    Deuxièmement, nous devons trouver des solutions autres que celles consistant à dicter leur conduite aux jeunes. Les jeunes participants aux études que j'ai citées ont reconnu que leur présence au sein des espaces réseautés fait partie intégrante de leur vie. Dans les sphères sociales, économiques et culturelles, tout tend à affirmer cette réalité. Ce n'est pas seulement une impression qu'ils ont. En fait, nous avons consacré des milliards de dollars et des années à élaborer des politiques et des programmes en vue de les amener en ligne et de les y garder au nom du développement économique. Ainsi, conseiller à un jeune qu'il lui suffit de se déconnecter pour protéger sa vie privée est à la fois irréaliste et insultant.

    Troisièmement, il faut aller au-delà des modèles de consentement éclairé. Dans l'environnement actuel de surveillance et de prédiction dont une grande partie est invisible à l'utilisateur, les formules traditionnelles de protection des données basées sur le consentement ne suffisent pas pour protéger la vie privée et l'égalité des jeunes, parce que, dans bien des cas, personne n'est en mesure d'expliquer ce que les machines font de nos données. En outre, même si nous pouvions expliquer ces processus, la simple divulgation ne suffirait pas parce que les technologies réseautées sont désormais ancrées dans la vie des jeunes et que ceux-ci n'ont d'autres choix que d'accepter des conditions autorisant ces pratiques, même quand ils ne sont pas d'accord ou n'en comprennent pas la signification.

    Quatrièmement, nous devons assujettir les fournisseurs de plateformes à des règlements de protection de la vie privée et de l'égalité. Bon nombre des participants ont recommandé d'interdire aux fournisseurs de plateformes de conserver les données sur des jeunes aussi longtemps qu'ils le font actuellement, étant donné que cette cache permanente de renseignements à leur sujet les expose au jugement d'autrui et peut nuire à leur réputation, maintenant et dans l'avenir.

    Différentes solutions se présentent sur le plan réglementaire. Premièrement, comme de nombreux témoins l'ont déjà recommandé devant ce comité, nous pouvons conférer des pouvoirs d'application au Commissariat à la protection de la vie privée au Canada pour lui permettre de traiter ces questions de manière efficace.

    Deuxièmement, nous pouvons exiger une reddition de comptes et une transparence accrues de la part des fournisseurs de services, de manière à parvenir, dans un premier temps, à mieux comprendre l'utilisation qu'ils font de nos données pour dresser notre profil et façonner notre expérience. Nous devons également chercher à découvrir dans quelle mesure ce profilage et ces processus sont fondés sur des stéréotypes discriminatoires ou engendrent des résultats discriminatoires ayant une incidence sur les chances de réussite dans la vie.

    Un tel profilage, fait par une machine, est invisible aux utilisateurs et repose sur des processus que les humains ne peuvent souvent pas comprendre ou expliquer. Il peut engendrer une discrimination fondée sur des motifs interdits par la loi et avoir de graves conséquences sur les jeunes en particulier. Il est actuellement très difficile d'ouvrir la boîte noire pour comprendre ce qui se passe, bien que les études nous en donnent un aperçu. Une étude de ProPublica, par exemple, a révélé récemment une tarification discriminatoire des examens préparatoires SAT. Il semble que les étudiants asiatiques soient presque deux fois plus susceptibles de payer plus cher pour les SAT en raison de leur origine ou parce qu'ils habitent dans une zone postale où l'on trouve des Asiatiques à revenu faible ou élevé. Il se peut fort bien que les résultats de la divulgation de la part des fournisseurs de services concernant ces processus démontrent encore plus clairement que la meilleure option consiste à interdire l'utilisation des données sur des jeunes à des fins de publicité ciblée, un point c'est tout.

    Troisièmement, nous pourrions envisager d'instaurer des dispositions législatives qui aideraient mieux les jeunes à protéger leur réputation actuelle et future que les principes actuels de la LPRPDE relatifs à l'exactitude et à l'exhaustivité. On pourrait penser par exemple à des mesures telles que le droit d'effacement, comme on l'a vu en Californie, et le droit à l'oubli, reconnu dans l'Union européenne et dont je pourrai vous entretenir davantage plus tard si le sujet vous intéresse.

    Enfin, si nous tenons trop à la formule du consentement pour l'abandonner malgré ses limites manifestes, nous pourrions envisager d'obliger les fournisseurs de services, sans égard à leurs conditions de services, à obtenir un consentement explicite distinct des jeunes ou de leurs parents pour utiliser les renseignements personnels les concernant à des fins de publicité ciblée et à leur offrir la possibilité d'annuler facilement et en tout temps un tel consentement. Cette option serait probablement moins efficace que les autres que j'ai mentionnées, mais elle offre au moins la possibilité d'interrompre le cycle commercial de l'accès présumé aux données des jeunes.

    En conclusion, le modèle commercial actuel des « services en échange des données » dans le domaine des communications réseautées rend les jeunes particulièrement vulnérables au profilage discriminatoire et aux atteintes à la réputation qui peuvent avoir une incidence durable sur leur vie. Il est temps que les adultes assument la responsabilité de décisions sociales et économiques qui ont donné naissance au monde pleinement intégré en ligne et hors ligne dans lequel ils vivent maintenant. Pour s'acquitter de cette responsabilité, il faut faire participer directement les jeunes de différents milieux aux processus plutôt que de solliciter seulement l'opinion d'adultes comme moi qui ont eu le privilège de travailler avec certains d'entre eux.

    Merci.

    Nous passons à M. Owen Charters et à Mme Rachel Gouin de Repaires jeunesse du Canada

    Je ne sais pas qui de vous deux doit prendre la parole, ou les deux, alors allez-y s'il vous plaît. Vous avez 10 minutes.

    Merci, monsieur le président.

    Je tiens à remercier le Comité pour cette invitation. Je suis le président-directeur général de Repaires jeunesse du Canada. Rachel est notre directrice, Recherche et politiques publiques. Nous sommes enthousiasmés à l'idée de participer à l'examen de la Loi sur la protection des renseignements personnels et les documents électroniques. Nous sommes ravis, en fait, que le Comité y consacre un peu plus de temps, particulièrement en ce qui concerne la protection de la vie privée des enfants. Nous avons déjà fait part de nos recommandations dans une lettre, mais j'aimerais vous donner un peu plus de détails aujourd'hui.

    Vous devez savoir que Repaires jeunesse du Canada est le plus grand organisme canadien de services à l'enfance et à la jeunesse. Nous desservons environ 200 000 enfants et adolescents dans plus de 700 collectivités partout au pays. Nous sommes présents pendant les moments critiques, en dehors des heures de classe. Nous offrons aux enfants des lieux sécurisés où ils peuvent explorer leurs intérêts, développer leurs forces et parvenir au succès dans leur vie personnelle et dans les études. Nous avons tout un éventail de programmes touchant les modes de vie sains, les loisirs, la santé mentale et plus encore. Notre personnel expérimenté et les bénévoles aident les jeunes à acquérir de l'assurance et à développer le sentiment d'appartenance dont ils ont besoin pour surmonter les obstacles, tisser des liens positifs et devenir des adultes responsables et aidants.

    Le plus important est que nous offrons un éventail de programmes axés sur l'éducation, la culture numérique et la programmation. Bon nombre de nos repaires jeunesse disposent d'un laboratoire facilitant l'accès des enfants et des adolescents à Internet. Nous permettons souvent aux jeunes gens d'accéder aux environnements en ligne, surtout s'ils en sont privés ailleurs. C'est en partie ce qui nous amène ici aujourd'hui.

    Bien que nous faisions notre part pour doter les jeunes des connaissances voulues dans le numérique et les nouveaux médias, afin de les aider à naviguer judicieusement dans le cyberespace, nous sommes inquiets du fait que les spécialistes du marketing recueillent des renseignements privés sur les mineurs, sans consentement valable. Nous sommes ici afin de demander au gouvernement d'inclure explicitement le droit des enfants à la protection de la vie privée dans la Loi que nous étudions aujourd'hui.

    Nous pensons que c'est important pour deux raisons principales. Premièrement, sous l'angle du développement, les jeunes enfants sont incapables de déterminer adéquatement les risques associés à l'échange de renseignements personnels en ligne. L'apprentissage des techniques médiatiques n'est assurément pas suffisant à cet égard. Deuxièmement, nous savons que les enfants vont en ligne à un très jeune âge et communiquent des renseignements personnels pendant des années avant d'atteindre l'âge de la majorité. Nous savons que les entreprises commerciales dressent un profil des enfants canadiens et nous pensons que ce n'est pas normal.

    Il existe bien des lignes directrices, mais nous savons, par exemple, que l'Association canadienne du marketing a un code d'éthique et que le commissaire à la protection de la vie privée a également publié des principes directeurs. Toutefois, la collecte de renseignements personnels des enfants par les sociétés commerciales n'est ni réglementée ni appliquée.

    En 2015, le Commissariat à la protection de la vie privée du Canada a participé à une enquête mondiale qui a révélé que de nombreux sites Web et développeurs ne protègent pas adéquatement la vie privée des enfants. Au Canada, cela représente 62 % des répondants. Nous avons découvert qu'ils peuvent divulguer des renseignements personnels à des tiers, ce qui est tout simplement inacceptable.

    En février dernier, nous avons publié un article d'opinion demandant au gouvernement d'adopter une loi qui protégeait les renseignements personnels des enfants en ligne. Une telle loi existe aux États-Unis. La Children’s Online Privacy Protection Act, ou COPPA, exige le consentement parental pour recueillir les renseignements personnels des enfants de moins de 13 ans. Nous ajoutons notre voix à ceux qui demandent au gouvernement d'inclure explicitement le droit des enfants à la protection de la vie privée dans la Loi sur la protection des renseignements personnels et les documents électroniques.

    Aujourd'hui, nous demandons que soient adoptées les quatre mesures suivantes.

    Premièrement, nous demandons au gouvernement d'interdire la collecte, l'utilisation et la divulgation des renseignements personnels des enfants de moins de 13 ans. Ces derniers ont accès à Internet de plus en plus jeunes et au moyen de leurs propres appareils. Ils sont trop jeunes pour comprendre les conséquences de la collecte et de l'utilisation des données. Il doit y avoir des balises sur ce qui est approprié et des restrictions sur le type de données qui peuvent être recueillies sur les sites Web et sur les applications destinées aux enfants. Personnellement, j'ai souvent remarqué que mes enfants quittent le site ou l'application que j'ai choisis pour eux pour sans doute essayer de naviguer ailleurs. Répondre à des sondages et à des questions est un jeu pour eux; ils ne comprennent pas vraiment qu'il s'agit d'un échange de données personnelles contre l'accès qui leur est accordé.

    Nous recommandons ensuite au gouvernement de suivre l'exemple de l'Union européenne qui s'est dotée d'une réglementation générale sur la protection des données et qui exige le consentement d'un parent ou d'un tuteur pour accéder à des services en ligne pour les enfants de moins de 16 ans ou, comme le dit la directive, à un âge non inférieur à 13 ans. Selon nous, il importe que les parents soient présents, parce qu'eux seulement devraient être en mesure de fournir un consentement éclairé et explicite en échange de la collecte de renseignements. Les parents devraient être informés et responsables des activités de leurs enfants en ligne. Les mécanismes qui imposent un consentement parental explicite servent également à assurer la participation et la vigilance en regard de ce que les enfants visitent et explorent en ligne.

    Nous avons été particulièrement frappés par le témoignage de Valerie Steeves, le 16 février dernier. Je sais que c'est une collègue de Mme Bailey. Elle a constaté que presque aucun des jeunes de 13 à 16 ans qu'elle a interrogés ne se souvenait du moment où il avait consenti à la collecte de ses renseignements lorsqu'il s'était inscrit ou qu'il avait affiché des documents sur Snapchat ou Instagram. Quand on songe à la conclusion de Mme Steeves selon laquelle 95 % des jeunes de 10 à 17 ans interrogés affirment que les spécialistes du marketing ne devraient pas être en mesure de voir ce qu'ils affichent sur les plateformes des médias sociaux, on peut conclure qu'on est loin d'un consentement éclairé dans le cas des jeunes.

    Notre troisième recommandation consiste à demander au gouvernement de fournir aux enfants et aux jeunes le droit à l'oubli quand ils atteignent la majorité, obligeant les entreprises à retirer immédiatement les renseignements personnels à moins que le nouvel adulte ne donne son consentement explicite à la collecte continue, à l'utilisation et à la divulgation possible dans l'avenir de ses renseignements personnels recueillis durant sa minorité.

    Nous savons comment les enfants utilisent Internet. Les choix qu'ils font lorsqu'ils sont mineurs ne reflètent pas nécessairement l'identité et les préférences qu'ils afficheront quand ils auront atteint la majorité. Nous savons qu'il y a également bien des gens qui aimeraient que leur vie en ligne soit effaçable et oubliée et nous pensons que les enfants devraient effectivement pouvoir bénéficier de ce droit.

    Enfin, nous voulons nous assurer que ces nouvelles règles soient applicables. Nous demandons au gouvernement de donner au Commissariat à la protection de la vie privée le pouvoir d'appliquer les nouveaux règlements sur la protection de la vie privée des enfants. Il ne suffit pas de créer des lois. Les entreprises et les sites doivent être surveillés et tenus responsables du respect de ces dispositions.

    Certains ont fait valoir qu'il y a des questions de compétence dans la surveillance des droits des consommateurs et qu'il pourrait s'agir d'une question relevant des provinces. Nous avons plutôt deux points de vue particuliers à cet égard. Premièrement, le gouvernement fédéral doit faire preuve de leadership dans ce domaine. Aux États-Unis, les lois relatives à la protection des enfants remontent à 1998. Nous accusons un retard considérable à cet égard, presque 20 ans, ce qui correspond à une génération entière d'enfants ayant grandi avec Internet dans cet environnement non réglementé. Deuxièmement, nous faisons valoir qu'il ne s'agit pas d'un enjeu de consommation — les enfants ne sont pas les acheteurs dans un ménage —, mais qu'il s'agit plutôt de la protection de la vie privée et des renseignements personnels des enfants.

    L'éducation est un élément aussi crucial que le respect des lois. Les ressources telles que celles mises en place par le Commissariat à la protection de la vie privée, par MediaSmarts, comme on l'a déjà indiqué, et les initiatives mises en oeuvre aux États-Unis, telles que « Stop, Think, Connect » de la National Cyber Security Alliance doivent être diffusées auprès des familles canadiennes et des éducateurs et nous devons nous assurer que les ressources canadiennes continuent à être déployées.

    Certains ont fait remarquer qu'il est inhabituel pour un organisme de services à la jeunesse comme le nôtre, les Repaires jeunesse, de faire le choix de défendre la protection du droit des enfants à la vie privée. Nous sommes pourtant fiers de nous porter à la défense des enfants et des jeunes sur un vaste éventail d'enjeux. Nous avons effectué des recherches préliminaires sur la sécurité sur Internet et, franchement, nous avons été vraiment surpris par le manque de protection des enfants canadiens. Nous sommes préoccupés par l'accès à Internet et par le fait que les enfants se connectent plus fréquemment sur Internet, souvent dans nos repaires et dans nos laboratoires et sur leurs propres appareils.

    L'examen de la Loi est l'occasion pour le gouvernement de combler cette lacune. Repaires jeunesse du Canada est fier d'ajouter sa voix à cette cause. Nous sommes reconnaissants d'avoir eu l'occasion de nous exprimer sur le droit des enfants canadiens à la protection de la vie privée et nous remercions le Comité de prendre plus de temps pour répondre aux préoccupations propres à ce groupe d'âge.

    Nous espérons que la discussion aboutira à une meilleure protection des enfants, une protection qui serait mieux garantie par l'inclusion explicite du droit des enfants à la protection de la vie privée dans la LPRPDE. Nous serons ravis de répondre à vos questions.

    Merci, monsieur Charters.

    Nous entendrons maintenant M. Backman, de l'Association nationale de destruction de l'information — Canada. Monsieur, vous avez 10 minutes.

    Bonjour, et merci de m'avoir offert cette occasion de comparaître devant vous aujourd'hui.

    Je m'appelle Kristjan Backman. Je suis président de l'Association nationale de destruction de l'information au Canada, ou NAID-Canada. J'assume ce rôle bénévolement. Professionnellement, je dirige une petite entreprise du nom de Phoenix Recycling. C'est une entreprise basée à Winnipeg qui offre des services de destruction de l'information.

     NAID-Canada est une association sans but lucratif qui représente les entreprises spécialisées en destruction sécurisée de l'information. Elle a des membres dans toutes les provinces du Canada. Nous avons pour mission d’accroître la prise de conscience et la compréhension de l’importance de sécuriser les opérations de destruction des données et des supports d’information. Nous visons ainsi à garantir que les renseignements à caractère privé et professionnel ne soient pas exploités à d’autres fins que ceux établis initialement.

    NAID-Canada contribue aussi activement à l'élaboration et à la mise en oeuvre de normes et de certifications pour notre industrie. Nous fournissons toute une gamme de services à nos membres, notamment en défense des causes, en communication, en éducation et en perfectionnement professionnel. Soulignons que les clients qui demandent des services de destruction d'information exigent souvent que l'entreprise qu'ils engagent certifie dans le contrat qu'elle respectera les règlements et les exigences en matière de sécurité.

    L'enjeu que je vous présente aujourd'hui — la destruction et l'élimination sécurisées de dossiers dont on n'a plus besoin — est souvent négligé. Il constitue pourtant un aspect crucial de la protection des renseignements personnels. La philosophie de NAID repose sur le précepte selon lequel la sécurité de l'information ne dépasse jamais celle du maillon le plus faible de la chaîne. En effet, les entreprises ne négligent que trop souvent la fin du cycle de vie de leurs documents. Nous constatons cela presque quotidiennement dans les médias, qui divulguent des renseignements intacts qu'ils trouvent dans des poubelles ou dans des ordinateurs mis au rancard à des fins de réutilisation ou de recyclage.

    Il est difficile de mesurer l'omniprésence de ce problème. Toutefois, NAID — et ses associations affiliées ailleurs dans le monde — a étudié la destruction de données non sécurisée. La première de nos enquêtes s'est déroulée en 2010 dans la région du Grand Toronto. NAID avait chargé un enquêteur privé de fouiller dans les poubelles pour y dénicher des renseignements personnels. Il a découvert que 14 % des bennes commerciales contenaient des renseignements personnels intacts laissés à la disposition du public. Nos affiliées ont mené cette même enquête en Australie et en Espagne, et les résultats ont déclenché des conversations nationales dans ces pays sur les renseignements désormais inutiles que l'on détruit de manières non sécurisées.

    Comme notre monde se débarrasse toujours plus du papier, la menace de la destruction non sécurisée d'information devient très complexe. L'élimination des renseignements d'appareils électroniques dont on se débarrasse est un problème grave de protection des renseignements personnels. Pour preuve, en avril, notre association affiliée américaine a publié les résultats de la plus grande étude menée sur la présence de renseignements personnels dans les appareils électroniques d'occasion. Les enquêteurs ont été renversés de constater que 40 % des appareils revendus au public contenaient des renseignements personnels. Nous parlons ici de tablettes, de téléphones cellulaires, d'assistants numériques personnels et de disques rigides.

    Je sais que ce comité examine la protection des renseignements personnels des jeunes. Cette population est probablement la plus touchée par la destruction non sécurisée d'appareils électroniques. Il est extrêmement grave que l'on expose la vie entière des gens en volant leurs renseignements personnels, mais les torts qu'en subissent les jeunes sont dévastateurs. Nous venons de recevoir une lettre du commissaire à la protection de la vie privée au sujet d'une étude sur les appareils recyclés. Nous sommes d'accord avec ses conclusions dans ce domaine: il est urgent de mieux informer les gens, surtout les jeunes, de ce problème.

    Dans le domaine de la destruction en général, nous avons vu au Canada de nombreux cas de divulgation illégale de dossiers personnels — notamment de dossiers de jeunes gens — due au fait que l'on n'en avait pas éliminé les renseignements personnels. Il s'agissait de dossiers de santé et de dossiers de clients de la Société de l'aide à l'enfance. Une telle atteinte à la vie privée est dévastatrice pour les victimes, surtout pour les jeunes.

    Nous ne vous présentons ici qu'un survol de ce problème. Je vais vous suggérer quelques solutions. Vous en trouverez une description détaillée dans le mémoire que nous avons remis au Comité.

    NAID-Canada pense que la Loi sur la protection des renseignements personnels et les documents électroniques devrait exiger que l'on détruise les renseignements dont on ne se sert plus en décrivant cette destruction avec soin. À l'heure actuelle, la Loi se contente de la recommander, mais elle ne l'exige pas. À notre avis, on obligerait ainsi les organismes de traiter la destruction de leurs données avec plus de sérieux. NAID-Canada définit le mot « destruction » comme l'élimination physique de dossiers afin qu'ils ne soient plus utilisables et efficaces et que l'on ne puisse plus en reconstituer aisément les renseignements. Cette définition s'applique autant aux dossiers papier qu'aux données électroniques. En effet, nous pensons que la Loi devrait présenter une définition très précise du mot « destruction » pour qu'elle ne donne pas lieu à des interprétations diverses.

    Le recyclage, par exemple, ne constitue pas une destruction, parce que les dossiers peuvent demeurer intacts et vulnérables à une atteinte à la vie privée pendant très longtemps.

    Nous recommandons avant tout que la Loi exige la destruction et la définisse clairement. Je tiens à souligner que ce comité a aussi présenté ces deux recommandations à la suite de son dernier examen de la Loi. Le gouvernement a répondu en suggérant qu'il serait possible de régler ce problème en fixant des lignes directrices, qu'il a d'ailleurs élaborées. Nous sommes cependant toujours convaincus qu'il est crucial de renforcer la destruction des données par une obligation légale.

    D'ailleurs, je tiens aussi à souligner que d'autres gouvernements imposent des amendes salées aux organismes qui ne détruisent pas leurs renseignements de manière adéquate. Par exemple, une société médicale du Missouri a dû verser 1,5 million de dollars pour avoir jeté des dossiers médicaux dans une benne publique. Au Canada, l'abandon de dossiers médicaux dans les poubelles est devenu une vraie épidémie, qu'il serait probablement facile d'enrayer en imposant les amendes qui conviennent comme le font les États-Unis.

    NAID-Canada appuie l'idée d'imposer des amendes et de permettre au Commissaire à la protection de la vie privée de rendre des ordonnances. Nous soutenons aussi le besoin d'adopter une loi sur les avis d'atteinte à la vie privée, et nous en attendons l'entrée en vigueur avec impatience.

    Permettez-moi maintenant de conclure par une observation d'ordre général sur la place qu'occupe le Canada dans le monde en matière de protection de la vie privée. Comme notre association a des ramifications internationales, nous sommes bien renseignés à ce sujet, même si nous ne le sommes que du point de vue de la destruction des renseignements. Le Canada est très en retard sur les autres pays, qui exigent la destruction des renseignements d'une façon bien plus décisive. Les amendes punitives qu'imposent les États-Unis en sont un excellent exemple. La longue hésitation du Canada à adopter une loi sur les avis d'atteinte à la vie privée l'a repoussé bien loin en arrière des autres nations. Nous sommes cependant heureux qu'il ait enfin publié la version préliminaire de cette loi.

    Nous avons aussi remarqué, au cours de ces audiences, la forte attention portée aux règlements plus sévères sur la protection générale des données que l'Union européenne appliquera dès cette année. Comme tous bons experts en réglementation, les décideurs européens sont arrivés à la conclusion que le seul moyen de veiller à la protection des renseignements personnels sera d'appliquer des lignes directrices parfaitement claires et des mesures de conformité très strictes.

    Je tiens à rappeler au Comité que nous, les fournisseurs de services, sommes assujettis aux mêmes pénalités sévères. Nous acceptons cependant de courir ce risque, parce que nous reconnaissons que cette approche profite à tous et qu'il s'agit de la seule solution efficace.

    En conclusion, je vous dirai que nous comprenons les personnes qui s'inquiètent des coûts élevés de l'application des règlements et que nos membres sont des entreprises. Cependant, toutes les entreprises prudentes détruisent probablement déjà leurs données d'une façon sécurisée pour éviter les risques financiers et les torts qu'une atteinte à la vie privée causerait à leur réputation. Ces risques sont beaucoup plus élevés que les coûts de destruction des données.

    Malgré cela, on entend continuellement parler d'incidents survenus parce que quelqu'un avait omis de détruire des renseignements. En outre, la dernière révision de la Loi sur la protection des renseignements personnels et les documents électroniques date déjà de 10 ans. À notre avis, il est grand temps d'y ajouter l'obligation de détruire les données d'une manière sécurisée et de définir clairement la façon de le faire.

    Je vous remercie de m'avoir consacré de votre temps. Je me ferai un plaisir de répondre à vos questions.

    Merci, monsieur Backman.

    Je tiens à vous aviser que notre réunion se terminera aujourd'hui à 17 heures, parce que le Comité doit s'occuper de quelques-unes de ses tâches. Il nous reste donc environ une heure.

    Nous allons commencer par M. Long, qui aura sept minutes.

    Merci, monsieur le président.

    Je remercie beaucoup nos invités pour leurs présentations cet après-midi. Elles étaient très intéressantes.

    Je vais commencer par poser une question rapide et très générale à chacun de vous, en commençant par M. Backman. Devrions-nous simplement oublier le droit d'être oublié? Est-ce même réaliste?

    Non, je ne pense pas que nous devions oublier le droit d'être oublié. À mon avis, considérant les renseignements que l'on recueille et que l'on accumule de manières incompréhensibles, il est crucial que nous fassions comprendre aux personnes qui les recueillent qu'il est tout aussi important de les éliminer.

    Madame Bailey.

    Oui, je suis tout à fait d'accord. À mon avis, plus les systèmes de collecte des données et de profilage se compliqueront, plus le droit d'être oublié deviendra pertinent.

    Je détecte dans cette question un élément intéressant. Est-il techniquement possible de le faire? Nous savons tous que certaines archives, comme celles d'Internet, recueillent des données et les conservent.

    Toutefois, je ne crois pas que cela devrait nous empêcher de tenter d'exécuter cette tâche importante, surtout du point de vue des enfants et des jeunes. Tant que l'on ne comprend pas les conséquences que pourrait avoir l'information que l'on affiche, il faut selon moi faire plus que de la diligence raisonnable. À mon avis, il est crucial que nous agissions de manière à garantir le respect du droit d'être oublié en l'enracinant dans une loi.

    Il faut ensuite se demander de quelle façon concrétiser cela. Je crois que nous observons cela partout, de la tentative de réglementer les gens qui jouissent d'une certaine suprématie sur autrui à celle de comprendre comment effacer une identité. Mais je suis convaincu qu'il est crucial de graver cela dans une loi, ensuite nous chercherons à le concrétiser.

    Merci.

    Madame Bailey, en ce qui concerne la Loi que nous étudions ici, nous avons tous vu les statistiques, mais elles changent probablement chaque semaine. On estime qu'environ 75 % des jeunes de 13 à 17 ans ont maintenant un téléphone cellulaire, que 71 % d'entre eux utilisent d'autres médias sociaux que Facebook et que 92 % y sont présents quotidiennement.

    Voilà ce qui m'affole quand je pense au consentement valable. Mes jeunes ne sont plus des gamins — ils sont adultes maintenant —, mais nous avons des amis qui ont de jeunes enfants. Il y a environ deux semaines, nous avions invité des amis pour le week-end. Leurs enfants, bien entendu, passaient leur temps à leurs cellulaires. J'ai donc eu l'occasion d'observer un peu ce qu'ils y faisaient. Ils visitaient des sites et des applis et ils cliquaient ici et là pour indiquer qu'ils étaient d'accord.

    En ce qui concerne le consentement valable, notamment au Canada avec la Loi qui nous occupe ici, je voudrais que vous nous décriviez plus en détail le Règlement général sur la protection des données, ou RGPD, ainsi que sur la loi des États-Unis sur la protection des enfants en ligne, le COPPA, et que vous nous suggériez ce que le Canada pourrait faire pour resserrer les règles sur le consentement valable. Nous contentons-nous d'exiger le consentement des personnes qui ont 17 ans et plus, que l'un de vous a mentionné, si je ne m'abuse? Pour les jeunes de 13 à 17 ans, devrions-nous peut-être exiger le consentement d'un parent?

    Pourriez-vous nous expliquer un peu en quoi consiste le consentement valable et la manière dont vous voudriez que nous en resserrions les règles au Canada? Pourriez-vous le comparer au RGPD et au COPPA?

    Je ne crois pas que le consentement valable soit une chose réelle. Je pense qu'il est impossible d'obtenir un consentement éclairé dans la société actuelle et que nous ne l'obtiendrons jamais. Le consentement valable est un consentement éclairé, et l'on ne peut pas être renseigné sur ce que l'on ne peut pas comprendre. Les experts de l'industrie les mieux intentionnés ne réussiront pas à expliquer certaines choses, comme la façon dont l'algorithme de Facebook a décidé de permettre aux gens d'afficher des annonces promotionnelles pour les gens qui haïssent les juifs. Ils ne peuvent pas l'expliquer.

    Le consentement éclairé devient donc un concept très problématique. C'est pourquoi j'ai dit toutes ces choses et pourquoi je vous dis que si vous tenez tant au consentement éclairé, vous devrez commencer à envisager des mesures qui... Vous pourrez bien exiger le consentement des parents d'adolescents de 13 à 17 ans, mais les parents n'y comprennent rien non plus. Je n'y comprends rien moi-même. Ce n'est pas uniquement le cas des jeunes. Personne ne comprend exactement ce qu'on fait avec les données.

    À mon avis, nous devrions plutôt nous concentrer sur la manière de réglementer la collecte, la conservation et l'utilisation des données au lieu de prétendre pouvoir appliquer un modèle de consentement individuel dans un monde où personne ne peut comprendre à quoi il consent.

    Je reviendrai à vous tout à l'heure, si vous me permettez.

    Monsieur Charters, pourriez-vous nous expliquer ce que vous pensez du consentement valable dans le milieu de Repaires jeunesse? Quelles règles appliquez-vous, dans vos clubs, sur les médias sociaux et sur les téléphones cellulaires? Pourriez-vous nous suggérer des moyens de resserrer l'application du consentement valable?

    Bien sûr, mais je vous avertis que nous n'avons pas étudié la question avec autant de profondeur et de détail que l'a fait ma collègue. Je trouve cela très intéressant, parce que les incidents comme le piratage d'Equifax m'inquiètent. Je ne crois pas que les gens savaient qu'on utilisait leurs données de cette manière.

    C'est exactement cela, et nous affirmons qu'il faudrait au moins obtenir le consentement d'une personne responsable qui possède les connaissances nécessaires pour essayer de mieux comprendre les risques. C'est pourquoi nous demandons un consentement parental.

    Comment appliquez-vous cela?

    Cela se fait dans certains sites, surtout dans ceux des fournisseurs de services Internet qui respectent les règlements. Lorsqu'on demande un consentement parental, on vérifie l'adresse courriel et l'âge et l'on effectue une vérification supplémentaire en demandant au parent d'ouvrir un compte d'adulte à côté de celui de l'adolescent, avec les comptes d'un enseignant ou d'un éducateur qui accompagnent les comptes des adolescents. La personne chargée de gérer ces comptes subit une vérification d'un certain niveau. Il est évident que ces processus ne sont pas parfaits, mais c'est ce que nous avons vu dans les sites qui sont conformes à COPPA. Il serait bon d'instaurer des pratiques exemplaires de ce genre.

    Je voudrais bien savoir quelles règles vous imposez aux enfants qui ont un cellulaire et qui vont dans les médias sociaux, à Repaires jeunesse?

    Cela dépend beaucoup des clubs. Mais en général, on met ces appareils de côté pendant que les enfants sont au club, surtout les plus jeunes.

    Tout autre accès à Internet se fait sous supervision. Plusieurs de nos clubs ont établi un centre technologique, où les activités sont supervisées. Ils servent surtout d'aide scolaire pour les jeunes qui doivent finir leurs devoirs ou qui préparent des projets. Des tuteurs scolaires les aident et observent ce qui se passe sur les écrans et aussi à partir d'un poste de travail central. Dans le cas des adolescents plus âgés qui utilisent des appareils personnels pour communiquer avec leurs parents et autres, les règles sont un peu moins strictes, et les clubs ne peuvent pas faire grand-chose pour gérer leurs activités.

    Mais les clubs appliquent des règles et obligent les enfants à mettre leurs appareils de côté. Ils doivent alors se concentrer sur les activités en cours. C'est d'ailleurs aussi ce qui se passe dans les écoles.

    Bien sûr.

    Je vous remercie pour vos réponses.

    Nous passons maintenant la parole à M. Kent.

    Merci, monsieur le président.

    Je vous remercie de nous présenter vos opinions et votre expertise. Je vais commencer par la question de l'éducation. J'ai entendu dire qu'à Toronto et dans le Grand Toronto, certains enseignants du primaire incluent dans leurs cours de première, deuxième ou troisième année de l'instruction sur l'utilisation responsable des services et de la participation à des jeux et autres dans Internet.

    Vous avez dit que l'établissement de nouveaux règlements se heurte à des problèmes juridiques. Je me demande si vous recommanderiez qu'au primaire, on ajoute aux leçons de lecture, d'écriture et d'arithmétique de l'enseignement sur les comportements et les pratiques responsables en ligne?

    C'est intéressant. Nous n'avons pas pris position à cet égard, mais je suis sûr que ce serait excellent. Nous nous efforçons de guider les enfants de tous les âges à mesure qu'ils développent leurs compétences en ligne. C'est un peu comme d'apprendre à traverser la rue en toute sécurité. Nous avons là un milieu dans lequel les enfants doivent apprendre à se comporter de façon sécuritaire dès leur plus jeune âge. Il faut leur en parler aussitôt que possible. C'est une conversation continuelle.

    Je ne vois aucune raison de ne pas le faire. Ce serait très logique.

    Je crois que Mme Bailey soulignait que l'éducation et les stratégies des jeunes ne suffisent pas. L'architecture est très compliquée, et même si vous suivez les meilleures stratégies, tant que vous n'y ajoutez pas un élément de protection...

    Il faut équilibrer ces deux choses.

    Exactement, et puisque nous présentons des recommandations sur la réglementation, le commissaire à la protection de la vie privée devrait lui-même demander au CRTC par exemple, au Canada, d'établir des règlements pour les fournisseurs de services. Avez-vous pensé à cela?

    Je vous dirai honnêtement que nous l'avons envisagé, oui.

    En ce qui concerne la destruction des renseignements ou le droit d'être oublié — et je pose cette question à chacun de vous —, suggérez-vous que quand les jeunes atteignent l'âge de la majorité, on détruise leurs renseignements personnels, ou faudrait-il qu'idéalement, on obtienne une directive du jeune adulte?

    Ce n'est certainement pas dans mon domaine de compétence. Nous sommes d'avis que, lorsqu'une information n'est plus nécessaire, elle devrait être détruite quel que soit l'âge de la personne concernée. Lorsque le but dans lequel une information a été recueillie n'est plus valable, il n'est plus nécessaire de la conserver et elle devrait alors être éliminée de manière appropriée.

    Cependant, comme vous l'avez dit, à titre d'exemple, au sujet des dossiers médicaux, nous ne prenons connaissance des manquements à l'obligation de confidentialité que lorsqu'ils sont découverts.

    Tout organisme bien géré a des pratiques de tenue de dossiers et ces dossiers sont éliminés conformément aux politiques établies, si bien que c'est seulement dans les cas où ces politiques ne sont pas respectées ou qu'il n'y en a pas que de tels manquements surviennent.

    Recommanderiez-vous alors l'établissement d'un règlement, assorti de peines et exigeant des vérifications périodiques ou des attestations de…

    Ce que nous recommandons, c'est que le commissaire à la protection de la vie privée ait les pouvoirs qu'il lui faut. Le Commissariat doit être habilité à imposer des amendes, à donner des ordres, et ce, sous forme prohibitive afin d'être capable, avant qu'un problème survienne, de se rendre dans les locaux des organismes, d'y mener des vérifications et d'y exercer certains pouvoirs.

    En bref, pourriez-vous nous donner un exemple des peines imposées en vertu de la COPPA, de la plus faible à la plus sévère?

    Dans notre mémoire, nous avons établi une liste d'amendes imposées par diverses autorités ici et là en Amérique du Nord, qui vont de montants modiques jusqu'à des montants de l'ordre de 1,5 million de dollars. Partout en Amérique du Nord, les pouvoirs publics ont établi des structures en vertu desquelles elles sanctionnent les infractions de ce genre au moyen d'amendes, selon leur gravité.

    Ces amendes visent-elles les infractions individuelles ou les infractions collectives?

    Je l'ignore, mais je pourrais m'informer et vous faire connaître la réponse.

    Madame Bailey, auriez-vous quelque chose à dire à ce sujet?

    Nous avons utilisé l'expression « droit à l'oubli » avec avec complaisance il y a une minute. Moi-même je l'ai employée. Par souci de clarté, pour bien exprimer ce que nous voulons dire… Qu'entend-on par le droit à l'oubli? Même dans l'UE à l'heure actuelle, sans songer à ce qui se produira en 2018, il ne s'agit pas réellement d'un droit à l'oubli, mais plutôt d'un droit de demander le retrait par un moteur de recherche de liens vers ses renseignements personnels, ce qui est une solution rêvée, en ceci que, dans la pratique, la plupart des gens se contenteront de faire une recherche Google. Si le lien ne peut plus être repéré par le moteur de recherche Google, il résultera de cette mesure une obscurité efficace et pratique, sans inconvénients.

    Je sais bien que certains de mes collègues s'intéressent à la valeur archivistique future de l'Internet et réfléchissent aux conséquences d'un effacement complet et permanent des renseignements. Même si vous décidez d'un retrait centenaire des renseignements, comme pour certaines archives, cela signifie néanmoins que dans 100 ans, quelqu'un pourra les récupérer.

    Je pense que l'idée d'un droit à l'oubli qui est une mesure concrète de désactivation des liens constitue en fait une réponse pratique intéressante, pourvu qu'il y ait une certaine compréhension et une obligation redditionnelle quant à la manière dont les fournisseurs de service prennent ces décisions lorsqu'il leur est demandé de le faire. Nous avons besoin d'une reddition de comptes, de transparence et de divulgation de leur part au sujet du nombre de demandes qu'ils reçoivent, des fondements de leurs prises de décision, du nombre de demandes acceptées et rejetées, de ce genre de choses. Je pense qu'il s'agirait là d'un droit à l'oubli applicable dans la pratique et offrant un certain degré de rectification.

    De plus, si, d'entrée de jeu, nous adoptons une mesure préventive et disons… Pour illustrer ce point, Google Classroom est autorisé et utilisé dans l'ensemble du Conseil scolaire de district d'Ottawa-Carleton et nous, les parents, avons obtenu l'assurance que Google avait accepté de ne pas recueillir de renseignements concernant nos enfants lorsqu'ils ont recours à ce service et de ne pas les utiliser à des fins commerciales. Je suppose que nous pouvons le croire, puisque c'est ce qu'on nous a dit.

    Dire que cela n'est pas possible, c'est du verbiage. Nous devons prendre conscience, en tant que consommateurs et que citoyens, de cette part de verbiage quand nous entendons dire que cela est impossible, trop coûteux, trop difficile. Nous devons songer aux moyens d'empêcher, au départ, la collecte des renseignements de telle sorte que les questions de destruction, de désactivation des liens et de non-accessibilité ne deviendront pas le problème monumental qu'elles sont maintenant pour toute une génération d'enfants. Nous pouvons faire quelque chose pour la prochaine génération.

    Le temps est écoulé.

    Monsieur le député Weir, c'est à vous.

    Merci beaucoup, monsieur le président. Je suis très heureux d'être ici.

    Il faut croire que les grands esprits se ressemblent, puisque le député Kent a posé bon nombre des questions que j'avais au sujet de la teneur du texte de loi proposé. Je reviendrai peut-être sur certains de ces points.

    Il y a une question que je veux poser à nos témoins afin de connaître leurs vues sur les mécanismes d'application de ces règles et, plus précisément, ce qu'ils pensent des recours civils proposés.

    Je suppose que c'est à moi de commencer.

    Nous n'avons pas réfléchi à ce que devraient être les sanctions. Je vous dirai franchement que cela ne faisait pas partie de notre champ de réflexion.

    Nous constatons qu'aux États-Unis deux types de contrôle ont été pratiqués. Pour assurer la conformité, il y a eu à l'occasion des opérations de balayage des sites les plus évidents. Il est ici question en particulier d'enfants et de jeunes, de sites qui ciblent les enfants et les jeunes. L'autre type de contrôle consiste simplement en un mécanisme de rapports par des citoyens ou d'autres personnes qui sont préoccupés par des comportements déconcertants ou inhabituels qu'il convient de signaler; il s'agit donc d'un genre de mécanisme de déclaration volontaire.

    Au delà de cela, il vous faut quelque chose comme un mécanisme de balayage permettant de faire ce qu'ils font aux États-Unis, une vérification des sites et un rapport de conformité, avec la possibilité d'imposer des amendes ou d'autres mesures correctrices.

    Je suis avocate. Il est sûr que les actions en justice sont utiles. Je ne suis certainement pas opposée à l'idée d'offrir une panoplie de recours aux citoyens. Cependant, dans les faits, les actions au civil sont trop onéreuses pour la plupart des gens. Qui alors utilisera ces mécanismes? Peut-être que nous pourrons nous en servir pour des recours collectifs et que nous amènerons des organismes d'intérêt public à s'en servir. Il y a déjà des organismes d'intérêt public qui ont saisi les tribunaux d'affaires de protection de la vie privée. Je ne miserais pas gros sur l'affirmation de leurs droits par les particuliers. Je pense que des idées comme les vérifications ou les opérations de balayage, où le CPVP a le pouvoir de constater les infractions, sont importantes.

    Pour ce qui est des recours ou des sanctions, il ne faut pas oublier qu'il s'agit ici, principalement, de forces du marché, si bien que nous devons faire en sorte qu'il s'avère plus coûteux de ne pas protéger et respecter la vie privée que de simplement ne pas s'en occuper. Voilà ce que j'aurais à dire à ce sujet. Cela signifie effectivement qu'il faudrait que les sanctions pécuniaires soient, dans bien des cas, très lourdes.

    Allez-y, si vous voulez.

    D'accord.

    Dans notre mémoire, nous avons énuméré plusieurs sanctions. Je pense que personne ne veut voir des sanctions punitives infligées à une petite entreprise qui aurait commis une erreur, mais dans les cas de manquements systématiques et flagrants, les sanctions doivent être suffisamment sévères pour faire mal. Il est triste que de constater que nous en sommes là, mais à moins que la loi n'ait du mordant et qu'elle soit appliquée par le commissaire à la protection de la vie privée investi de pouvoirs coercitifs, vous n'atteindrez pas les gens qui sont à la marge.

    Les entreprises sérieuses font ce qu'elle sont censées faire. Ce sont les gens à la marge qui prennent des décisions de disposer des renseignements, de ne pas s'en occuper correctement ou de ne pas protéger leur valeur nette. Ils prennent leurs décisions à la marge parce qu'ils ne subissent aucune sanction pécuniaire s'ils se font prendre à agir de manière incorrecte. C'est cette zone qu'il faut cibler. C'est là que se trouvent les gens qui ont le choix de bien faire ou de ne pas bien faire. Il s'agit de les inciter à faire les choses correctement.

    L'un des thèmes qui sous-tend le projet de loi est la notion que les Canadiens donnent leur consentement à ce que leurs renseignements personnels soient utilisés de certaines façons. Vu la prolifération des technologies en ligne, cette norme pose-t-elle des problèmes concrets? Moi-même je clique parfois sur la case d'acceptation de certaines conditions quand je veux télécharger un fichier ou travailler en ligne. Est-il réaliste de faire du consentement la norme de protection électronique de la vie privée?

    Je ne suis pas expert dans ce domaine, c'est sûr. Pour ce qui est des jeunes, je pense qu'il ne faut pas se contenter du simple consentement. Je pense qu'il faut avoir une protection avant le consentement. Il faut que des mécanismes de protection soient en place avant de demander « Cliquez ici si vous acceptez que vos renseignements soient partagés ». Cela doit se faire à un niveau plus élevé. Étant adultes, nous avons le choix de cliquer sur « Oui » sans lire le texte dans l'encadré. Les enfants n'ont pas…

    Je ne limiterais pas votre observation aux jeunes. Il ne s'agit pas ici d'infantiliser les adultes ou de dire que les gens sont stupides. Nous sommes, dans cette salle, un groupe de personnes bien instruites, mais je suis sûre que la plupart d'entre nous n'avons aucune idée de ce que nous avons accepté dans les politiques de protection de la vie privée auxquelles nous avons consenti, ni n'aurions la capacité de comprendre la plupart des utilisations qui sont faites de nos données, pas plus que nous pourrions en obtenir une explication compréhensible de la part des fournisseurs de service. Si je donne l'impression de seriner, je m'en excuse, mais le consentement, dans ces circonstances, n'est qu'un mot que nous employons pour nous donner l'illusion que la main qui a nourri la bête ne se fera pas mordre.

    J'ajouterais que dans certains cas il est nécessaire de cliquer dans la case pour utiliser l'application. Un jeune qui voudrait utiliser Instagram pense « Bien sûr que je veux l'utiliser ». Son choix revient donc à pouvoir l'utiliser ou non. Il ne peut dire qu'il veut l'utiliser, mais qu'il ne veut pas que les renseignements le concernant soient utilisés. Ce n'est pas une option.

    Tout à fait.

    Allez-y.

    J'ajouterai juste que le problème tient à ce que les jeunes cochent la case sans reconnaître… Je vous donnerai plutôt l'exemple contraire, à savoir que je pense que beaucoup d'entre nous, qui sommes adultes, s'en veulent, ne serait-ce que pour une fraction de seconde, de n'avoir pas lu toutes les conditions avant de cocher la case. Nous savons pourtant que nous aurions dû le faire. Je ne crois pas que les jeunes, qui ont grandi avec l'Internet, y pensent deux fois avant de cocher la case. Pour eux, c'est simplement un moyen d'accès.

    Bien sûr, j'aimerais avoir un débat plus poussé sur le consentement et sur ce qu'il implique, mais je pense qu'il faut, à tout le moins, reconnaître que la fraction de seconde où je me dis que je devrais lire les conditions, que je devrais les connaître… Il y a des exemples assez comiques de sites qui font apparaître une fenêtre vous annonçant que vous venez d'acheter un troupeau de moutons ou d'autres choses dans cette veine, et aussi le message « Vous devriez porter plus d'attention à ces conditions. »

    Dans ces cas au moins, nous devons nous assurer de penser deux fois à l'idée de consentement.

    Votre temps est écoulé, monsieur Weir.

    La prochaine période de sept minutes est à M. Saini.

    Bonjour à tous et merci beaucoup de vous être déplacés aujourd'hui.

    Je veux poursuivre cette discussion sur l'idée du consentement. Je ne veux pas la supprimer complètement.

    Certaines personnes ont proposé qu'il y aurait peut-être lieu de définir le consentement différemment, en ce sens qu'il devrait y avoir un modèle de consentement que tous les fournisseurs de service ou les personnes utilisant les renseignements pourraient accepter, assorti de règles convenues par lesquelles ce modèle serait clairement défini à l'intention de toutes ces entreprises. Par la suite, une entreprise ou un organisme qui voudrait déroger à certaines règles aurait à signaler clairement quelles règles sont visées. Ce serait un moyen d'abréger la lecture, mais aussi de préciser en quoi l'utilisation des renseignements sera dérogatoire.

    Je sais, madame Bailey, que vous n'êtes pas grande partisane du consentement. Je tente tout simplement de voir…

    Au contraire, j'y suis très favorable, mais je pense que le consentement n'est pas réaliste dans certaines circonstances dont, j'ai bien peur, celles que vous décrivez, Il serait souhaitable que les fournisseurs de service conviennent d'un modèle de consentement, mais cela signifierait qu'ils auraient aussi à s'entendre sur les opérations que les algorithmes effectueront. À vrai dire, je ne crois pas que ce soit faisable. Étant professeure, je ne me préoccupe pas tellement de la faisabilité. Je mets ordinairement les questions de faisabilité de côté pour m'attarder aux principes. Me voici donc en train d'invoquer mon propre argument contre moi-même.

    Tout d'abord, je ne suis pas sûre que cela soit faisable. Même s'il devait y avoir entente sur ce que les algorithmes feront ou ne feront pas, la plupart des fournisseurs de service ne voudraient pas divulguer ce que fait leur algorithme parce que c'est leur gagne-pain. Ils sont détenteurs d'une propriété intellectuelle qu'ils ne veulent pas partager.

    Ce qui m'inquiète, c'est qu'en renforçant dans l'esprit des gens l'impression qu'ils n'ont pas de souci à se faire parce que nous avons réglé les questions de consentement, nous perdrons de plus en plus de vue le fait que nous sommes aux prises avec un problème qui est extrêmement difficile à saisir. Si nous envisagions de réglementer les processus par lesquels les renseignements sont traités, nous pourrions peut-être alors aboutir à un environnement dans lequel le consentement ou le consentement éclairé ait effectivement quelque signification.

    Y a-t-il quelqu'un d'autre?

    Je vous souhaite bien de la chance.

    Des voix: Oh, oh!

    La deuxième question qui a été soulevée portait sur les sanctions. Il est actuellement prévu, comme vous le savez, que le RGPD entrera en vigueur l'année prochaine, et nous devrons analyser nos propres contrôles de protection de la vie privée à la lumière de ce fait. Dans sa version actuelle, le RGPD prévoit des sanctions de deux niveaux. Le premier est de 10 millions d'euros ou jusqu'à 2 % du revenu annuel et le deuxième, de 20 millions d'euros ou 4 % du revenu annuel.

    Comment allons-nous nous ajuster à cette nouvelle réglementation, puisqu'il y aura de toute évidence un écart énorme entre les entreprises européennes et canadiennes. Pour le moment, c'est à ce niveau que les sanctions sont prévues, et je sais que nous en sommes très loin. Comment pourrions-nous…

    Je suis d'avis que le Canada doit arrêter ses choix en fonction de ce qui fonctionnera au Canada. Nous n'avons pas à imiter le modèle américain. Je ne pense pas que ce soit nécessaire.

    Il s'agit du modèle du RGPD.

    Ni le modèle du RGPD. Nous avons des cohortes, des règlements et des règles qui diffèrent. Nous pouvons établir les nôtres, mais notre réglementation devra être efficace et avoir assez de mordant pour faire en sorte que les entreprises s'y conforment. Il est sûr que notre modèle pourra être intégralement « Fait au Canada ». Je ne pense pas que nous ayons à copier le modèle européen et à reprendre les niveaux de 2 % et de 4 %. C'est là votre travail.

    Madame Bailey.

    Je suis d'accord.

    Nous n'y avons pas vraiment réfléchi longuement.

    D'accord.

    Monsieur Backman, vous avez écrit, entre autres, que vous aviez une proposition de modification de la LPRPDE qui exigerait qu'un organisme détruise les données lorsque celles-ci ne sont plus nécessaires. Pouvez-vous nous expliquer comment une personne ou un organisme en viendrait à décider à quel moment les données ne sont plus nécessaires? Il me semble que c'est très subjectif.

    Dans beaucoup de secteurs, ce n'est pas du tout subjectif. Des règles de l'ARC s'appliquent certainement à la durée de conservation… Les établissements financiers, les médecins, les avocats sont tous sous l'égide d'ordres professionnels qui les aident à élaborer des politiques de conservation des documents. Il y a un critère de raisonnabilité qui s'applique ici: quand des données ne sont raisonnablement plus nécessaires, il est temps de s'en défaire, sauf si la loi prescrit un délai de conservation plus long.

    L'élaboration d'une politique établissant le moment de destruction de documents n'est pas du tout un travail difficile. La plupart des entreprises ont une politique de conservation qui détermine combien de temps elles conserveront leurs documents. C'est loin d'être un obstacle majeur.

    Madame Bailey.

    Ça ressemble un peu à la disposition actuelle de la PRPDE qui, dans les principes, traite de l'exactitude et l'intégralité des renseignements. C'est parce qu'elle est quelque peu amorphe qu'il devient difficile d'y recourir ou de savoir quand un organisme est… Dans certains cas, non. Peut-être dans les soins de santé, non. Peut-être dans le contexte des soins de santé ou des situations de ce genre, il pourrait être possible de le savoir.

    Étant pharmacien, je sais que nous devons conserver les ordonnances pendant deux ans.

    Bien.

    Dans le contexte des techonologies en ligne et des données qui sont détenues par les fournisseurs de service, l'information est censée est exacte et pertinente à l'objet initial de la collecte. Si cet objet était de l'utiliser pour créer des agrégats à des fins commerciales, comment cette information peut-elle cesser d'être pertinente? Je pense qu'il est difficile de le faire. Je pense que la raison pour laquelle ces principes sont généraux réside dans le fait qu'une formulation précise ne serait d'aucune utilité dans le cas des données qui vous intéressent.

    Madame Bailey, vous avez beaucoup écrit au sujet des jeunes. Vous avez écrit, entre autres, qu'ils devraient participer à la discussion. Quand devraient-ils être informés? À partir d'à peu près quel âge devraient-ils être invités à prendre part à la discussion?

    Vous avez aussi écrit que les « jeunes ont des stratégies et des normes pour atténuer ces dangers ». Je voudrais me faire une meilleure idée de ce que vous entendiez par cela.

    La discussion sur l'intimidation et la cyberintimidation a été l'une des premières fois que des jeunes ont témoigné à une audience formelle d'un comité de la Chambre ou du Sénat. Je crois qu'il s'agit d'une formule vraiment intéressante pour amener les jeunes à s'engager et à témoigner.

    Je me permettrai de dire un mot sur ce que notre sommet de la jeunesse, le eQuality Project, prépare pour 2019. Nous espérons rassembler des jeunes afin de parler de l'Internet et de ce qu'ils souhaitent.

    Est-ce qu'il aura lieu avant octobre 2019 ou après?

    Tout cela se déroulera en 2019.

    Nous envisageons de réunir des jeunes pour qu'ils discutent d'Internet et de ce qu'ils veulent. La protection des renseignements personnels constituera un élément important de cette discussion. Si vous désirez y participer, dites-le-moi.

    Cependant, ce processus n'est qu'informel. Nous devrions commencer à envisager des processus formels qui ressemblent beaucoup plus au comité sénatorial des droits de la personne, qui a tenu des audiences sur l'intimidation et sur la cyberintimidation. Ces enjeux concernent directement les jeunes et ils ont des incidences différentes sur eux que sur les adultes.

    Merci, monsieur Saini.

    Monsieur Gourde, vous avez cinq minutes.

     Merci, monsieur le président.

    Je remercie également les témoins de leur présence.

    J'éprouve des inquiétudes au sujet des mégadonnées et quant au fait que plusieurs organisations peuvent en recueillir de différentes façons sur l'ensemble des Canadiens, avec ou sans leur consentement.

    Un Canadien peut-il demander que son dossier personnel redevienne un dossier fantôme et que les mégadonnées à son sujet soient effacées? Les Canadiens peuvent-ils exiger cela?

    La loi actuelle ne l'exige pas, non. Alors je crois que vous me demandez si les Canadiens devraient avoir le droit d'exiger que l'on efface leurs dossiers.

    Si l'on en revient aux principes — et je tiens à utiliser la bonne terminologie — de l'exactitude, de l'intégralité, du fait d'être à jour, ces principes obligent les organismes à vérifier si les renseignements qu'ils détiennent sont exacts, complets, à jour et s'ils servent encore les fins pour lesquelles on les avait recueillis.

    Les organismes les ont recueillis. Il existe dans la jurisprudence des plaignants qui soutiennent que leur dossier aurait dû être effacé et qu'on ne l'a pas fait. Ils ajoutent que leur dossier n'est plus ni exact ni complet. C'est peut-être une forme atténuée du type de droit dont vous parliez tout à l'heure, le droit de demander que l'on efface complètement notre dossier.

    Les jeunes veulent aller dans Facebook, par exemple, et pouvoir exiger que l'on ne se contente pas de fermer leur compte, mais que l'on efface tout ce qu'ils y avaient affiché. Ils ne veulent pas que Facebook conserve ces choses dans un de ses serveurs quelque part.

    Nous avons parlé à des jeunes qui nous ont dit qu'ils voudraient beaucoup pouvoir exiger cela.

    Quelqu'un veut-il ajouter quelque chose?

    J'ai déjà occupé le poste de PDG au sein d'une entreprise de collecte de fonds en ligne, et je peux vous dire que, techniquement, c'est tout à fait possible d'effacer un dossier. Les ingénieurs qui s'occupent du codage peuvent ajouter une option ou autre chose sur le serveur. C'est tout à fait possible.

    Monsieur Charters, puisque vous représentez une organisation pour les jeunes, je vais continuer à vous poser des questions. Aujourd'hui, on recueille beaucoup de données sur les jeunes, même sur ceux qui sont âgés de moins de 13 ans, parce qu'ils sont très présents sur les réseaux sociaux.

    L'information qu'on peut obtenir grâce à leur profil personnel pourrait-elle être leur nuire dans l'avenir?

    La réponse est oui. J'ai une adolescente. J'ai vu les annonces qui lui sont envoyées sur Facebook. Ce sont des choses qui touchent l'estime de soi ou des annonces pour des produits de beauté. On présume que les adolescentes de 13 ou de 14 ans sont préoccupées par leur poids et par leur apparence. En effet, cela leur cause du tort maintenant et cela pourrait aussi leur faire du tort à l'avenir. À mon avis, cela a un impact.

    C'est d'ailleurs la raison pour laquelle il est important de considérer l'option d'effacement des données lorsque les jeunes atteignent l'âge de la majorité. Ainsi, ils peuvent avoir la chance de se reprendre ou, du moins, d'utiliser les médias sociaux en repartant à zéro.

     C'est aussi une question d'employabilité. Comme on le sait, les adolescents forgent leur personnalité. C'est la même chose lorsqu'un adulte prend une décision. Le jeune se demande qui il est, quelles études il veut faire ou quel emploi il veut occuper. Je pense que c'est très important. La réponse est donc oui, absolument.

    Généralement, les jeunes ne sont pas nécessairement conscients du fait qu'un clic peut avoir des conséquences sur leur image personnelle.

    Exactement.

    J'ai consulté notre conseil des jeunes et je leur ai parlé de ce sujet avant de préparer la lettre que nous avons remise au Comité. En fait, il semble que les jeunes ne pensent pas aux conséquences. Ils n'avaient pas vraiment d'intérêt pour le sujet et ils n'avaient pas vraiment réfléchi aux questions de sécurité.

    À mon avis, les consultations devraient comprendre un volet d'éducation. Si on veut que les jeunes s'impliquent et qu'ils aient des opinions éclairées, il faut leur faire part de ce qui se passe. Je suis sûre que certains jeunes le savent, mais généralement, ils n'y ont pas beaucoup réfléchi.

    Votre temps de parole est écoulé.

    Merci, monsieur Gourde.

    Madame Fortier.

    Merci, monsieur le président.

    Comme c'est aujourd'hui le Jour des Franco-Ontariens et des Franco-Ontariennes, je vais poursuivre en français pour m'assurer qu'on peut vous entendre.

    J'aimerais d'abord vous remercier de vos présentations, qui étaient très intéressantes. Puisque plusieurs collègues ont déjà posé les questions que je voulais poser, je vais plutôt parler de la conservation et de la destruction des renseignements personnels.

    Monsieur Backman, j'ai cru comprendre que l'industrie était préoccupée par les coûts liés à la conservation ou à la destruction des informations. Pourriez-vous nous parler des coûts réels et des processus qui peuvent toucher l'industrie à cet égard?

    Bien sûr, je peux vous répondre en termes généraux.

    Toute bonne entreprise prend certaines mesures pour protéger les renseignements de ses clients et de ses employés. Elle déchiquette par exemple les documents papier, elle efface les données de ses vieux appareils électroniques, de ses serveurs, des assistants numériques, des téléphones cellulaires et autres. Ces mesures ne coûtent pas très cher aux entreprises.

    Elles coûteraient quelques centaines de dollars par année à une petite entreprise. Les grandes sociétés paieraient beaucoup plus pour cela, mais ces coûts ne constitueraient qu'une petite fraction de ce que la société avait investi pour produire ces renseignements. J'aime considérer cela de cet angle-ci. Si vous pensez à ce qu'il en coûte pour créer les dossiers, pour recueillir l'information, pour l'entreposer puis pour l'analyser, les frais d'élimination de cette information ne constituent qu'une toute petite fraction de ce qu'il a fallu investir pour la rassembler initialement.

    Le coût de la destruction de données n'empêche personne de le faire correctement. L'industrie nord-américaine est très concurrentielle, donc les entreprises n'hésiteraient pas à choisir le prix offert le plus bas même si le fournisseur ne détruisait pas les dossiers correctement.

    Je vous remercie.

    Cela me préoccupait de voir que, pour les entreprises, c'était une barrière à la bonne gestion des données, surtout lorsqu'il s'agit de les conserver ou de les détruire.

    Dans un autre ordre d'idées, nous avons beaucoup parlé du Canada et de quelques pratiques ailleurs dans le monde. Devrions-nous considérer, dans le cadre de notre étude, d'autres pratiques à l'extérieur du Canada ou d'autres mesures issues de votre analyse que nous n'avons peut-être pas eu l'occasion d'étudier?

    Madame Bailey, voulez-vous répondre à la question la première?

    Je crois que l'UE est en tête de file de la protection de la vie privée parce qu'elle la considère comme un droit de la personne. Je crois que dans un tel état d'esprit, on perçoit les choses un peu différemment. Par conséquent, dans un marché comme celui des communications numériques par exemple, les gens commencent à comprendre que les frais à assumer pour protéger les renseignements personnels servent à respecter et à honorer un droit fondamental de la personne.

    L'UE est en tête de file de ce domaine depuis un certain temps et à mon avis, elle a agi avec courage face à l'industrie. Quand l'industrie a proféré des menaces en soutenant que ce serait impossible, l'UE a maintenu sa position en affirmant qu'il était crucial de protéger les droits fondamentaux de la personne et que tout le monde devrait viser cet objectif ultime. Nous avons fait de même dans le domaine de l'environnement. Par exemple, les fabricants de papier déversaient leurs ordures dans nos rivières. Nous leur avons intimé de cesser de le faire, et ils ont répondu que cela leur coûterait trop cher. Nous leur avons dit de se plier à ces exigences parce que l'accès à l'eau potable est un droit fondamental de notre société.

    Tout cela pour vous dire que j'admire ce que fait l'UE. Je trouve aussi que les États-Unis ont mis sur pied un excellent mécanisme de protection des droits des enfants en imposant la COPPA.

    Madame Fortier, il vous reste 15 secondes.

    Je réservais ces quelques secondes pour ce que vous auriez à ajouter, mais autrement je n'ai pas d'autre question. Avez-vous quelque chose à ajouter?

    Je voulais juste dire qu'en 1990, quand nous avons promulgué la LPRPDE, le Canada était à l'avant-garde de la protection légale de la vie privée. Cette loi a inspiré les autres pays, et l'on peut presque affirmer que le RGPD découle directement d'elle. Ensuite, le Canada s'est en quelque sorte endormi pendant 20 ans. Il est donc grand temps d'agir.

    Merci.

    Monsieur Kent, vous avez cinq minutes.

    Merci. Je partagerai mon temps de parole avec M. Gourde.

    Voici la question que je vais vous poser à tous. Dans le cadre de l'évolution fulgurante de la technologie, le nuage vous inquiète-t-il par rapport à la sauvegarde des données et de l'information dans des appareils ou dans les bureaux des sociétés, ou encore dans des disques rigides? Pouvons-nous être absolument sûrs que les renseignements personnels que les gens désireront éliminer seront vraiment détruits?

    Je crois qu'il est possible d'établir des politiques qui protègent les consommateurs dont les renseignements personnels n'ont pas été détruits adéquatement, mais je ne crois pas que l'on puisse protéger les gens des individus qui ne traitent pas leurs renseignements adéquatement. Il y aura toujours des gens malhonnêtes. Il faudra déterminer comment la loi traitera ces individus quand on les aura localisés et de quelle façon elle empêchera d'autres individus de commettre les mêmes actes. Sommes-nous en mesure de les repérer? Pouvons-nous corriger la situation et montrer ces individus en exemple pour dissuader ceux qui voudraient agir comme eux?

    Pensez-vous qu'il soit possible de réglementer le nuage?

    Je ne crois pas que cette situation soit très différente de celle d'un serveur situé dans mon bureau ou dans le vôtre ou ici. L'information est ce qu'elle est. Elle ne change pas en fonction de l'endroit où on l'entrepose.

    Quand le mot « nuage » est sorti et que les gens se rendaient fous en pensant au nuage et en s'inquiétant du nuage, un gars très haut placé dans le domaine a dit que d'entendre les gens parler du nuage le faisait rire aux larmes. Qu'est-ce que ce nuage? C'est tout simplement un serveur situé très loin de chez vous où l'on a entreposé vos renseignements. Vos données ne planent pas dans une sphère céleste, alors si vous pensez qu'il est impossible de réglementer le nuage... La question de compétence causera quelques problèmes. Dans quelle région du monde, exactement, ce serveur se trouve-t-il?

    L'hon. Peter Kent: Vous avez tout à fait raison.

    Mme Jane Bailey: Voilà pourquoi il est tout aussi important de conclure des accords internationaux que de s'efforcer de tenir les nations à jour, afin que personne ne soit lésé ou négligé.

    Jacques.

     Tout à l'heure, on a beaucoup parlé des jeunes, mais j'aimerais maintenant parler des aînés âgés de 60 à plus de 75 ans. Ces gens sont probablement plus susceptibles de se faire arnaquer par l'entremise de mégadonnées ou de courriels qu'ils reçoivent. Si l'on s'est fait arnaquer une fois, on se retrouve alors dans une base de données et on est visé toutes les deux semaines par le même processus. Cela se répète.

    Avez-vous déjà vu ce genre de situation?

    Je n'ai pas mené d'études sur les personnes âgées, alors je n'en sais pas plus que les gens qui lisent des articles sur les mécanismes frauduleux par lesquels des aînés vulnérables se font voler de l'argent ou des biens précieux. Je ne pourrai pas vous donner une réponse appuyée par des données probantes.

     Revenons aux jeunes. Vous avez sûrement des conseils à leur donner. Que peut-on leur conseiller pour qu'ils fassent attention à l'avenir?

    C'est une bonne question. Nous avons constaté que ces aînés ont besoin avant tout de recevoir fréquemment des renseignements sur les pratiques exemplaires. Ces renseignements existent, je vous le dirai. Ils ont été publiés. Je crois qu'il faudrait investir plus de ressources pour veiller à ce que... quelqu'un ici a parlé d'ajouter cela à un programme de cours. On entend dire que ces renseignements devraient être plus accessibles, plus persistants. On a mené des campagnes sur la protection des renseignements personnels en général. Je crois que nous devrions en faire beaucoup plus pour mettre les jeunes au courant des risques auxquels ils sont continuellement exposés.

    J'ajouterai juste qu'il est évident que l'éducation est tout aussi importante, mais je voudrais qu'on la modifie. Il ne suffit pas d'enseigner aux jeunes les moyens de se protéger. Il faut leur indiquer quels sont leurs droits et les moyens dont l'industrie des médias se sert pour enfreindre ces droits. Il faut leur montrer ce qu'ils peuvent faire pour éviter les arnaques. Il faut leur montrer comment défendre leurs droits.

    Ce type d'éducation manque, parce que nous sommes trop obsédés par la protection des enfants et nous l'oublions. Nous montrons aux enfants la manière de traverser la rue en toute sécurité et, en même temps, nous emprisonnons les conducteurs qui brûlent les feux rouges. Dans le contexte d'Internet, on a beaucoup insisté sur les comportements sécuritaires, mais nous n'avons pas offert aux enfants de naviguer avec eux dans le Web pour l'explorer avec eux en leur montrant ce qu'ils pourraient faire pour l'utiliser sainement à long terme.

    Monsieur Dubourg.

    Merci, monsieur le président.

    Je souhaite la bienvenue aux témoins qui sont ici et je les remercie de leurs présentations.

    Madame Bailey, je voudrais vous adresser ma première question.

    Je sais que vous étudiez plus particulièrement l'approche auprès des jeunes, mais le système est complexe. On a parlé du droit, à partir de l'âge de 18 ans, d'effacer tous ses renseignements personnels et de recommencer à zéro. Que pensez-vous du fait que des entreprises détiennent des informations sur des jeunes âgés de moins de 18 ans? Devrait-on donner aux parents le droit de faire effacer ces données en tout temps?

    L'autre problème réside dans le fait que dans le contexte de la vie privée, les parents constituent l'un des groupes dont les jeunes ont besoin de s'écarter. C'est un instinct fondamental et sain de l'adolescence. Les jeunes ont besoin d'explorer loin de leurs parents certains aspects de leur vie comme leur recherche d'identité de genre et leur sexualité. Il est très important pour eux d'explorer ces questions loin de leurs parents.

    J'hésite à appuyer le principe selon lequel les parents détiennent l'autorité absolue de prendre ces décisions.

    Il est vrai que c'est devenu très complexe. Il fut un temps où l'on pouvait bloquer certaines choses sur nos téléviseurs, mais maintenant, les jeunes sont tellement habiles qu'on ne pourra pas les contourner.

    Monsieur Charters, vous avez dit qu'il fallait informer les jeunes. Je ne sais pas si vous êtes au courant de la démarche qu'il y a au Québec en ce sens. Des gens du gouvernement du Québec se rendent dans les écoles secondaires pour y informer les jeunes. Devrait-on étendre ou suggérer de telles pratiques à d'autres instances?

    Je ne sais pas exactement ce qui se fait au Québec, mais nous constatons que toutes les régions abordent cette question à leur façon dans leurs programmes de cours. C'est en partie la raison pour laquelle nous voudrions que le gouvernement fédéral prenne la direction de ces enjeux. Ce domaine manque de cohérence, et je ne pense pas que les programmes de cours en soient la cause. Cet enseignement n'est pas le même que celui des maths, de la lecture et de l'écriture. C'est l'enseignement de la protection de la vie privée et aussi, selon moi, des droits de la personne.

    Pour reprendre ce qu'a dit Mme Bailey, je crois que nous avons mis le doigt sur le coeur même du problème. S'il s'agit de l'enseignement des droits de la personne, alors nous ne pouvons pas le faire dans une province seulement. La démarche du Québec ouvre la voie. Nous devrons appliquer une solution plus cohérente. Cependant, cette première démarche servira de projet pilote.

     Vous êtes tous les trois d'accord pour donner plus de pouvoirs au commissaire et même qu'on aille jusqu'à imposer des pénalités.

    Monsieur Backman, étant donné la nature de votre organisation, vous dites qu'il faudrait faire cela, malgré le fait que votre clientèle malgré le fait que votre clientèle serait visée par ces pénalités.

    Les pénalités devraient-elles être nécessairement d'ordre pécuniaire ou pourraient-elles prendre d'autres formes, par exemple le retrait de la licence? Devrait-on prévoir un éventail de pénalités?

    Je crois que les pénalités pécuniaires seraient les plus faciles à appliquer. Ce sont les plus faciles à cibler. Nous suivons le principe de « désigner et blâmer » depuis des années. Le commissaire à la protection de la vie privée peut vous dénoncer et publier des renseignements sur vous. Cela entache certainement un peu la réputation. Cette méthode s'est avérée quelque peu efficace, mais il faut choisir une mesure qui soit réalisable, et tout le monde possède au moins un petit peu d'argent. C'est la manière la plus facile de pénaliser quelqu'un. Il me semble qu'il vous revient d'établir les règles qui conviendront le mieux à vos objectifs.

    Merci.

    Nous allons donner trois minutes à M. Weir et nous nous arrêterons là. Si quelqu'un a d'autres questions à poser, nous ajouterons son nom à la liste.

    Monsieur Weir.

    Merci.

    Je siège ordinairement au comité des opérations gouvernementales, et nous y étudions le processus de nomination. Comme le commissaire à la protection de la vie privée jouera un rôle important dans l'application de cette loi, je me demande si vous avez une idée des qualités requises ou des critères à appliquer à la sélection des commissaires à la protection de la vie privée.

    Je vais revenir à ce que je disais sur l'UE. Je crois qu'il nous faudrait un ou une commissaire à la vie privée qui considère la protection des renseignements personnels comme un droit de la personne. En faisant de la recherche pour rédiger un article, j'ai découvert que la Charte ne prévoit pas ce droit, en partie à cause de la création du Commissariat à la protection de la vie privée du Canada.

    La personne à qui l'on confie la responsabilité d'administrer des droits presque constitutionnels doit elle-même considérer la protection de la vie privée comme un droit constitutionnel du point de vue des droits de la personne. Ce point de vue doit influencer toute sa prise de décisions.

    Nous avons parlé un peu de l'élimination des renseignements personnels des jeunes gens. Je voudrais savoir si nos témoins pensent que l'on devrait carrément interdire la collecte de renseignements personnels des Canadiens qui n'ont pas atteint un âge particulier.

    Nous n'avons pas soutenu le besoin d'interdire, mais je crois que l'on devrait aborder toutes les questions de protection de la vie privée en pensant à ce qui convient et ce qui est nécessaire pour la transaction. Comme les transactions effectuées par des mineurs sont assez nominales, ces exigences devraient être assez limitées. Je n'appellerais pas cela une interdiction, mais on ne pourrait pas recueillir grand-chose. Permettez-moi de vous expliquer en quoi cela consiste. Les tout jeunes n'ont pas à fournir beaucoup de renseignements pour accéder à un site afin de promener leur avatar dans un labyrinthe, par exemple, ou pour apprendre les maths. À mon avis, nous devrions nous pencher sur l'usage pour lequel les renseignements sont recueillis.

    Je voudrais aussi que vous nous disiez ce que vous pensez de la nécessité — ou de la faisabilité — d'exiger que les sociétés de médias sociaux et les autres fournisseurs Internet divulguent leurs algorithmes.

    À mon avis, ce serait difficile, car à l'heure actuelle, ils constituent la source des profits que génère un échange de données contre des services dans ce marché nouveau qu'est maintenant Internet. Même en demandant simplement à ces sociétés de divulguer la programmation de leurs algorithmes, on déclencherait tout un tollé sur ce marché. C'est pourquoi il est peut-être plus facile de leur dire qu'elles ne peuvent pas faire certaines choses, qu'elles ne peuvent pas obtenir des renseignements personnels de certaines personnes ou qu'elles ne peuvent pas utiliser d'une certaine manière les données qu'elles recueillent. On éviterait ainsi d'essayer de forcer une divulgation et de se heurter à une forte résistance.

    Ensuite, vous vous heurterez au problème de posséder des algorithmes que personne ne pourra vous expliquer en termes humains. Vous exigerez qu'on vous les divulgue, puis quelqu'un viendra ici et... même si cette personne les comprend, vous serez incapables de comprendre ses explications, et parfois ces gens ne seront eux-mêmes pas en mesure de les comprendre. C'est le résultat de l'apprentissage machine. Les machines s'enseignent à elles-mêmes.

    Merci, monsieur Weir.

    Il nous reste deux intervenants. Comme nous n'avons plus que cinq minutes, vous aurez deux minutes et demie chacun.

    Monsieur Erskine-Smith et monsieur Baylis.

    Ma première question s'adresse à Repaires jeunesse. Vous avez mentionné le consentement parental, le consentement vérifiable. Je ne sais pas exactement ce que vous voulez dire par là. Si je jouais au poker en ligne au Royaume-Uni, par exemple, est-ce que je devrais envoyer mon permis de conduire et montrer une carte d'identité? En quoi consiste le consentement vérifiable?

    Tout dépend des sites. Certains exigent qu'un parent ouvre un compte vérifiable et qu'il vérifie ensuite le compte de son enfant mineur. On utilise une carte d'identité ou un moyen plus simple, suivant le niveau de risques.

    Vous parlez d'un compte Facebook, ou autre...?

    Exactement.

    D'accord. Vous nous avez dit que vous aimiez la suggestion de Mme Bailey d'exiger plus qu'un consentement.

    Madame Bailey, existe-t-il quelque part dans le monde un modèle idéal, un étalon d'or que nous devrions imiter et qui exige plus qu'un consentement?

    Je ne pense pas. J'en reviens à l'approche européenne. Plus on crée de droits de ne pas permettre que l'on utilise les renseignements personnels à des fins particulières, plus l'on empêche l'industrie d'insérer cela dans ses conditions de service pour créer l'illusion que l'utilisateur donne son consentement en cliquant « J'accepte ces conditions de service ».

    Je crois que l'UE permet encore l'utilisation des données à des fins commerciales raisonnables.

    Oui, vous avez raison. Alors quand vous m'avez demandé s'il existe un étalon d'or, je vous ai répondu qu'il n'en existait pas. Il n'y en a aucun.

    Je comprends.

    Je pense que personne n'applique le modèle idéal que j'imagine.

    Une chose m'a frappé quand vous avez parlé de pratiques discriminatoires. Votre exemple est très convaincant. Il est bien évident que les pratiques discriminatoires devraient être interdites par la loi, quel que soit l'âge de la personne, point final. Mais l'usage des données en soi aux fins de pratiques commerciales raisonnables ne me semble pas causer de problème. Je reconnais que je ne comprends pas l'algorithme qui sous-tend cela, mais je comprends pour quelles raisons on utilise mes préférences pour m'envoyer de la publicité en fonction de ce que j'aime.

    Une chose m'inquiète quand nous parlons de ne pas comprendre l'algorithme: nous empêchons les entreprises de faire de la publicité ou d'utiliser les données d'une manière valable qu'un grand nombre de consommateurs aimeraient.

    Oui, mais les entreprises ne peuvent pas, à l'heure actuelle, prendre des décisions qui enfreignent les codes des droits de la personne. Même lorsqu'elles utilisent des machines pour le faire de manière à ce que nous ne sachions pas si elles le font ou non, elles enfreignent les codes des droits de la personne. Voilà ce que je voulais souligner.

    J'essaie de vous dire que la prise de décisions effectuée par des machines nous empêche de le savoir, alors nous risquons de ne pas remarquer les pratiques discriminatoires que nous aurions repérées si ces décisions avaient été prises par des humains. Nous pourrions corriger cela en nous inspirant du RGPD, qui exige une explication pour certains types de décisions. Autrement dit, il exige que l'on fournisse une explication que les humains sont capables de comprendre.

    Merci, monsieur Erskine-Smith.

    Monsieur Baylis, vous avez les deux dernières minutes et demie.

    Je vais revenir aux questions de Nate. Je comprends qu'il n'existe pas de solution idéale.

    Quelles sont les pratiques exemplaires? J'ai entendu parler d'endroits comme les États-Unis, la Californie, l'UE; on a mentionné le droit d'éliminer les renseignements personnels, le droit d'être oublié, une certaine protection générale des renseignements personnels des adolescents de moins de 16 ans, de moins de 13 ans... Si vous pouviez appliquer seulement une de ces solutions, laquelle choisiriez-vous?

    Commençons par vous, monsieur Charters.

    La réponse se trouve en fait dans nos recommandations. Nous n'avons pas mentionné de gouvernements, mais nous avons souligné la nécessité d'exiger un consentement parental jusqu'à ce que les enfants aient au moins 13 ans, avec le droit d'être oubliés dès qu'ils atteignent l'âge de la majorité. Une combinaison de ces deux exigences suffirait pour le moment.

    Est-ce qu'on les applique quelque part?

    Elles réuniraient la COPPA des États-Unis au modèle européen.

    Une combinaison des deux. Je comprends.

    Ma suggestion est un peu différente. Le RGPD exige le respect de la vie privée dès la conception . Autrement dit, dès les premières étapes de la collecte d'information, il faut concevoir le système en fonction de la protection de cette information. On considère la protection des renseignements avant de concevoir les méthodes d'analyse, de traitement et de commercialisation. Chaque organisme qui planifie sa collecte de données doit suivre ce processus.

    Quel gouvernement a mis cette loi en vigueur?

    Le RGPD, qui est sur le point d'entrer en vigueur. C'est la vie privée avant tout, que l'UE appelle « le respect de la vie privée dès la conception ».

    Ce règlement n'est pas encore en vigueur, mais il le sera bientôt, n'est-ce pas?

    Il le sera cette année.

    Dans le cas des jeunes, je dirais qu'il faudrait interdire aux sociétés de recueillir et d'utiliser les données à des fins de profilage et de commercialisation. Ce serait un bon début, mais cela ne règle pas les autres problèmes dont j'ai parlé.

    Savez-vous si un gouvernement le fait à l'heure actuelle?

    Non.

    Merci, monsieur Baylis.

    Je remercie nos invités d'être venus aujourd'hui. Nous avons tenu une conversation approfondie dans le temps qui nous était imparti.

    Pour que les membres du Comité comprennent bien, ces témoins avaient été invités avant que certaines affaires parlementaires n'abrègent le temps consacré à leur comparution.

    Mesdames et messieurs, nous allons suspendre pendant environ cinq minutes pendant que nos invités sortent de la salle. Ensuite, nous entamerons les travaux du Comité.

     [La séance se poursuit à huis clos.]