Monsieur le Président, c'est avec plaisir que j'interviens à propos du projet de loi S-4, qui modifierait la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, et qui porte le titre plutôt trompeur de Loi sur la protection des renseignements personnels numériques.
J'entends m'opposer au projet de loi pour diverses raisons qu'a très bien exposées la députée de Terrebonne—Blainville, notre porte-parole en matière d'enjeux numériques, au cours des débats précédents. Elle avait d'ailleurs elle-même proposé un projet de loi d'initiative parlementaire, dont le gouvernement a repiqué certains éléments sans aller aussi loin qu'il l'aurait fallu pour réellement protéger les renseignements personnels numériques des Canadiens.
Tout d'abord, je parlerai de l'importance du projet de loi. Ensuite, je décrirai son cheminement. Enfin, j'évoquerai certains des problèmes criants qui le caractérisent avant de proposer un amendement en fin de discours.
Le commerce électronique est la pierre angulaire de l'économie canadienne moderne et il ne fera que prendre encore plus d'ampleur. Pensons seulement à nos enfants, qui baignent dans l'univers numérique.
Mon collègue, le député de Toronto—Danforth, a parlé du commerce électronique et il expliqué en quoi le projet de loi, qui porte sur les garanties juridiques en matière de protection des renseignements personnels et de commerce électronique, est très important. Il a dit que la plus grande compagnie de taxi du monde n'a pas de voitures. Si elle est la plus grande, c'est parce qu'elle détient des renseignements personnels. Cette compagnie, c'est Uber.
La plus grande société de location de logements du monde, Airbnb, ne possède aucune propriété. C'est la plus riche et la plus grande parce qu'elle détient des renseignements personnels. Par ailleurs, le plus grand détaillant du monde n'a absolument aucun stock. Selon ce que mon collègue a dit, c'est Alibaba, en Chine.
Il a aussi parlé de ce qu'il appelle l'Internet des objets. D'ici 2020, 26 milliards d'appareils seront connectés à Internet. J'espère que les gens comprennent que nous entrons dans une ère économique où les règles doivent être claires et où nous devons avoir l'assurance que les renseignements personnels que détient le secteur privé sont protégés. Les entreprises veulent en avoir la certitude, et les consommateurs exigent que les entreprises privées qui détiennent des renseignements personnels respectent ce qui reste de la vie privée des gens.
Le Canada est dans une situation bien particulière. Il se situe entre l'Union européenne, dont le régime de protection des données est très musclé, et les États-Unis, où certains secteurs sont réglementés, mais qui ne dispose pas de loi englobant l'ensemble du secteur privé, comme la Loi sur la protection des renseignements personnels et les documents électroniques, que modifie le projet de loi dont nous sommes saisis.
Je dis que nous sommes à mi-chemin entre ces deux régimes parce que, avec la Loi sur la protection des renseignements personnels et des documents électroniques, le Canada a réussi à instaurer un régime considéré comme sensiblement similaire à celui de l'Union européenne. Cela signifie que les entreprises de cybercommerce de l'Angleterre, de l'Irlande, de la France et des 28 autres pays qui forment l'Union européenne peuvent sans crainte communiquer leurs renseignements personnels aux Canadiens parce qu'elles savent qu'elles jouiront d'une protection à peu près similaire à celle qui leur est assurée chez elles. Voilà ce que le Canada a réalisé. Les États-Unis n'ont rien de semblable; c'est pourquoi des sociétés comme Google et Facebook se serviront souvent du Canada comme tremplin.
Si la protection des renseignements personnels que nous réussirons à assurer est suffisante pour le Canada, elle le sera fort probablement aussi pour les pays de l'Europe, qui ont établi les exigences les plus strictes au monde en la matière. Il est important de bien faire les choses.
Il est excellent et tout à fait opportun que nous tenions ce débat maintenant, car lundi dernier, le Conseil des ministres de l'Union européenne a clairement indiqué qu'il allait bientôt établir un règlement, qui remplacera la directive suivie depuis un certain temps. Après deux ans, les 28 pays devront tous mettre en place un régime encore plus sévère.
Voilà pourquoi ce projet de loi pose vraiment problème. Il n'aiderait pas les petites entreprises, comme je vais l'expliquer, et il ne donnerait certainement pas aux consommateurs la protection à laquelle les tribunaux disent qu'ils ont droit. Dans l'arrêt Spencer, rendu en 2014, il est dit que les perquisitions sans mandat ne sont pas permises pour les Canadiens. Pourtant, cette pratique semble aller de soi dans ce projet de loi, ce qui est curieux. Nous devons bien faire les choses aussi d'un point de vue commercial.
Je suis redevable au professeur Michael Geist, qui a témoigné devant le comité de l'industrie et le Sénat et qui a présenté une analyse très riche et réfléchie de la législation sur la protection des renseignements personnels dans le secteur privé et d'autres régimes de protection des renseignements personnels. Il a expliqué qu'il nous avait fallu huit à neuf ans pour en arriver où nous en sommes.
Je voulais en parler, car l'incapacité du gouvernement à aider le secteur du commerce électronique dont j'ai parlé et à protéger les renseignements personnels des Canadiens est manifeste dans le parcours de ce projet de loi.
Les conservateurs nous disent que c'est urgent, que nous devons aller de l'avant. Or, comme je vais l'expliquer, c'est urgent parce qu'ils ont raté leur coup à maintes reprises. Il a fallu attendre huit ou neuf ans pour en arriver là.
Les conservateurs ont laissé une ancienne version du projet de loi sur la protection des renseignements personnels dormir au Feuilleton pendant deux ans sans faire quoi que ce soit, puis il est mort au Feuilleton lors de la prorogation. Comment cela a-t-il pu arriver? En novembre 2006, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique a tenu ses audiences sur cette réforme. C'était un an après la période de cinq ans après laquelle la loi exigeait la tenue d'un examen.
Précisons que la LPRPDE, soit la loi que le projet de loi dont nous sommes saisis vise à modifier, exige que les parlementaires examinent la loi tous les cinq ans. Les conservateurs n'ont même pas su respecter ce délai.
Un rapport publié en 2007 contenait certaines recommandations. Aucune ne semble avoir été suivie. La première lecture du projet de loi C-29, soit la première mesure visant à réformer la LPRPDE, a eu lieu en 2010. La deuxième lecture du projet de loi s'est déroulée en octobre. En septembre 2011, le projet de loi C-12, la deuxième mesure visant à réformer la LPRPDE, a été lu pour la première fois mais n'a jamais franchi l'étape de la deuxième lecture. Il est mort au Feuilleton lorsque le gouvernement a prorogé le Parlement. Ensuite, une autre mesure, le projet de loi S-4, a été présentée en avril 2014. C'était la troisième tentative. Jamais deux sans trois, je suppose.
Nous voici au Parlement, en train d'étudier un projet de loi que le gouvernement, au moment de l'étude par le comité, a dit solennellement considérer comme un projet de loi qu'il était urgent d'adopter. Il ne fallait pas traîner. Il fallait éviter de s'embourber dans d'autres retards et d'autres amendements. Il est ridicule de voir comment le gouvernement traite l'épine dorsale du commerce électronique qu'est ce projet de loi sur la protection des renseignements personnels. Il a fallu huit ou neuf ans avant d'arriver au point où nous en sommes ce soir. Il a fallu attendre à la veille de la dissolution du Parlement pour débattre de ce projet de loi, ce qui est une bonne indication de l'importance réelle qu'y accorde le gouvernement actuel.
Ma circonscription abrite des entreprises florissantes de commerce électronique. De nouvelles entreprises essaient de développer des applications, et ainsi de suite. Le projet de loi est important, mais le gouvernement le traite avec insouciance depuis le début. Insouciance est le mot qui me semble le mieux expliquer l'incompétence que j'ai décrite.
La question a une importance vitale pour les petites entreprises, comme je l'ai indiqué, car elles n'ont pas les mêmes moyens que les grandes entreprises pour se conformer à certaines dispositions prévues dans le projet de loi. J'y viendrai dans un instant.
Quels seront les effets du projet de loi? Parmi les bonnes dispositions du projet de loi se trouve, enfin, l'obligation de déclarer toute atteinte aux mesures de sécurité, comme le recommande depuis une éternité le Commissariat à la protection de la vie privée. S'il se produit une fuite dans les données que possède une entreprise, que de l'information se retrouve au mauvais endroit et que, tout à coup, mes renseignements personnels se baladent sur une clé USB, à l'arrière d'une voiture de taxi, je compte bien qu'on m'en informe. Voilà une règle plutôt simple qui aurait dû être adoptée depuis longtemps. Réjouissons-nous qu'elle se trouve dans le projet de loi.
Deuxièmement, des pouvoirs accrus sont accordés au commissaire à la protection de la vie privée pour faire observer la loi, notamment la possibilité pour lui de conclure des accords de conformité avec des entreprises. Voilà une approche de protection des consommateurs qui n'est pas nouvelle et qui se retrouve maintenant dans le projet de loi.
Selon les experts comme M. Lawford, qui témoignait au nom du Centre pour la défense de l'intérêt public, le recours à une telle approche pourrait entraîner une diminution du nombre d'atteintes aux mesures de sécurité effectivement déclarées puisque les entreprises privées pourraient déterminer seules si une telle atteinte engendre un risque réel de préjudice important.
Les mots « conflits d'intérêts », ça dit quelque chose à quelqu'un? À moi oui, en tout cas, d'autant que cela va à l'encontre même de l'objectif poursuivi par le projet de loi. Pourquoi une entreprise irait-elle se dénoncer elle-même? Voilà qui me semble plutôt incongru. Plusieurs, comme ma collègue de Terrebonne—Blainville dans son projet de loi C-475, ont dit croire que c'est au commissaire à la protection de la vie privée, c'est-à-dire un mandataire du Parlement indépendant, que cette responsabilité devrait incomber, et non aux entreprises elles-mêmes. Ce point a été vertement critiqué par les témoins qui sont venus parler du projet de loi S-4.
J'en profite pour glisser un mot sur les démarches qu'a tentées l'opposition pour que les débats au comité de l'industrie vaillent quelque chose. Depuis que j'y siège, je crois que le mépris total dont le gouvernement fait montre à l'endroit des amendements — à moins évidemment qu'ils ne soient proposés par des conservateurs — est ce qui m'a le plus déçu.
L'opposition a eu beau tenter d'établir un dialogue authentique et d'améliorer ce texte législatif, de nature somme toute technique, afin qu'il puisse être adopté à l'unanimité, le gouvernement a rejeté tous les amendements qui lui ont été soumis, comme il le fait systématiquement, si je me fie à mon expérience. J'ai fait partie de deux comités, et je n'ai encore vu aucun amendement de l'opposition être adopté.
Pour tirer notre épingle du jeu sur le nouvel échiquier économique, la collaboration avec le gouvernement est absolument essentielle, mais celui-ci refuse même de nous parler. Apparemment, c'est sa façon de faire. Heureusement, comme de nombreux Canadiens, j'ai bon espoir que nous assistions présentement aux derniers jours d'un gouvernement qui n'a que mépris et indifférence pour les volontés des Canadiens.
Toutes nos démarches sont restées lettre morte. Ma collègue de Terrebonne—Blainville, qui est aussi la porte-parole de notre partie pour les technologies numériques, a proposé que ce soit le commissaire à la protection de la vie privée qui détermine si une atteinte à la sécurité des données est assez grave pour être signalée. C'est logique, il me semble. Plus, en tout cas, que de lâcher le loup dans la bergerie en laissant les entreprises décider elles-mêmes de la gravité de ces événements.
Il ne devrait pas revenir aux banques de décider si elles doivent avant tout protéger leur réputation ou les droits des consommateurs. Je sais qui pourrait s'acquitter de cette tâche: un mandataire du Parlement. Ce serait la personne idéale, comme l'a dit mon collègue, mais les conservateurs proposent plutôt d'imposer ce fardeau aux entreprises.
La méthode proposée pose problème, à cause des conflits d'intérêts manifestes, bien sûr, mais aussi pour d'autres raisons. Il ne faut pas oublier qu'on trouve, dans certaines grandes entreprises, dont des banques et des entreprises de télécommunications, un service responsable de la protection des renseignements personnels. Un nombre croissant d'entreprises comptent un chef de la protection des renseignements personnels, responsable d'appliquer cet aspect très technique de la loi.
Ces employés font parfois du bon travail mais, comme ils ont pour tâche de protéger les renseignements personnels, ils hésitent souvent à signaler des situations qui pourraient nuire à leur carrière, donc les fuites de renseignements qui pourraient avoir des effets négatifs et leur attirer les foudres de l'entreprise. J'ai parlé à des chefs de la protection des renseignements personnels: ils m'ont confirmé que ce conflit d'intérêts existe bel et bien, et je peux le comprendre.
Quant aux petites entreprises, elles n'ont pas de chef de la protection des renseignements personnels pour déterminer s'il y a une atteinte grave aux mesures de sécurité ou un risque important de préjudice. Elles ne savent pas comment procéder. Elles voudraient bien coopérer, mais n'ont ni le personnel ni l'expertise nécessaires.
Mon collègue a suggéré à juste titre que nous les aidons un peu en leur donnant le bénéfice de l'expertise et des ressources du commissaire à la vie privée. N'est-ce pas une disposition sensée? Ne pourrait-elle pas aider les nouvelles petites entreprises du secteur du commerce électronique qui voudraient vraiment s'acquitter de leurs obligations mais qui n'ont pas les moyens de le faire?
Le plus important moteur économique dans ma circonscription, ce n'est ni le tourisme, ni l'accueil, mais bien la haute technologie. Les personnes qui contribuent le plus à l'économie de Victoria sont justement dans une telle situation; elles veulent comprendre les règles à suivre dans le nouveau secteur du commerce électronique et demandent au gouvernement de leur montrer la marche à suivre, de les aider à faire leur part afin qu'elles puissent soutenir la concurrence internationale, comme elles le font si bien, et à respecter les règles incroyablement rigoureuses en vigueur dans l'Union européenne.
Devinez quoi? Elles n'ont pas de chef de la protection des renseignements personnels à 150 000 $ par année ou que sais-je comme les grandes banques. Le gouvernement n'a rien fait pour les aider et elles sont en colère. Elles ne comprennent pas pourquoi ce gouvernement, qui se dit favorable aux affaires, se montre si borné à cet égard.
Le NPD a proposé quelque 18 amendements et le gouvernement les a tous rejetés. Nous avons essayé de trouver une solution, mais le gouvernement voulait juste adopter le projet de loi à toute vitesse. Pour couronner le tout, il a imposé l'attribution de temps pour cette mesure législative, qui est de nature technique. C'était la 97e fois qu'il y avait recours; je crois qu'il a maintenant dépassé le cap des 100 fois.
Dans l'histoire du Parlement, y a-t-il un autre gouvernement qui eu recours à l'attribution de temps plus souvent? Je ne sais pas. Je vais vérifier. Un étudiant qui travaille pour moi est en train de vérifier, parce qu'il faut exposer l'arrogance et le comportement antidémocratique du gouvernement. La 97e fois qu'il y a eu recours, c'était pour un projet de loi sur la protection des renseignements personnels numériques. Il est choquant et honteux que nous soyons gouvernés par ce gouvernement.
La Cour suprême nous a dit que les perquisitions sans mandat sont inacceptables. Elles sont anticonstitutionnelles. Mon collègue de Toronto—Danforth a dit que nous devrions soumettre la question aux tribunaux, par renvoi constitutionnel. Nous ne pouvons pas nous permettre une autre défaite devant la Cour suprême. Ce serait la combientième? J'ai perdu le compte. Ce serait la sixième ou la septième. Pourquoi ne pas saisir la Cour suprême du Canada par renvoi?
Le chef de l'opposition a demandé aujourd'hui un tel renvoi pour le projet de loi C-51. Bien sûr, le gouvernement ne le ferait jamais. Il veut simplement essuyer une autre défaite devant la Cour suprême.
L'arrêt Spencer rendu en 2014 a confirmé que les perquisitions sans mandat sont préjudiciables. Comment le gouvernement peut-il prévoir une telle pratique dans le projet de loi S-4 à l'étude et prétendre qu'il résistera à une contestation en vertu de la Constitution? C'est le pactole pour les avocats. Plusieurs de mes amis se réjouissent de la position du gouvernement, car elle crée inutilement du travail pour les avocats spécialistes du droit constitutionnel. Mais en quoi cette position aide-t-elle les contribuables canadiens? En quoi aide-t-elle les commerçants en ligne, ces petites entreprises d'un peu partout au pays qui peinent à soutenir la concurrence mondiale? Leur a-t-on fourni l'information nécessaire pour aller de l'avant? Pourquoi perdre notre temps alors que nous savons que ce sera une autre cause qui sera déboutée en Cour suprême? Cela n'a aucun sens.
Le gouvernement n'aurait-il pas pu collaborer un peu avec les gens de bonne foi qui essayaient d'améliorer le projet de loi et de résoudre le problème, comme les néo-démocrates ont tenté de le faire lors de l'étude en comité? On pourrait penser que les conservateurs nous en sauraient gré, mais ils ont tout simplement rejeté nos amendements.
Le prochain point que je souhaite aborder est un peu technique, mais je tiens à le soulever. Nous avons parlé du signalement des atteintes aux mesures de sécurité et je veux montrer que les exigences à cet égard compliquent la vie des petites entreprises familiales que l'on voit apparaître dans l'économie actuelle. L'article 10, qui prévoit l'adjonction de l'article 10.1 à la LPRPDE, porte sur le genre de signalement exigé en cas d'atteinte aux mesures de sécurité. Je souligne que cette disposition est extrêmement compliquée et qu'elle manque de clarté.
Le paragraphe 10.1(5) proposé se lit comme suit: « L’avis est manifeste et est donné à l’intéressé directement, selon les modalités réglementaires. Dans les circonstances prévues par règlement, il est donné indirectement, selon les modalités réglementaires. »
Les mots « modalités réglementaires » et « règlement » sont mentionnés à quelques reprises, ce qui signifie qu'un règlement sera pris plus tard. Ce règlement précisera ce qu'il faudra faire pour signaler une atteinte aux mesures de sécurité. Pensons par exemple à une petite entreprise qui s'efforce de bien faire et qui veut agir immédiatement en cas d'atteinte. Que peut-elle faire? Tant qu'il n'y a pas de règlement, ce paragraphe est vide de sens.
Je sais que le gouvernement finira par adopter des règlements, ce qui est une bonne chose. Je suis sûr que les entreprises ont hâte que cela se produise. Cependant, à l'heure actuelle, ni lui ni nous ne savons à quelles modalités réglementaires ce secteur extrêmement dynamique sera tenu de se conformer. Nous ne le savons pas parce que ces modalités doivent être précisées par des règlements, et qu'aucun règlement n'a encore été adopté. Les gens devront tenter de trouver une solution. Les personnes qui démarrent une petite entreprise à Victoria, à St. John's, à Toronto ou à Montréal devront trouver un moyen de se sortir de la difficile situation dans laquelle le projet de loi les place.
Le gouvernement traite ce projet de loi avec insouciance depuis le début. Il a toujours refusé d'écouter l'opposition, qui voulait collaborer avec lui à la création de ce régime. Il a fallu huit ou neuf ans avant d'arriver au point où nous en sommes. Il a fallu attendre à la veille de la dissolution du Parlement pour débattre de ce projet de loi, mais, selon le ministre de l’Industrie, nous ne devrions pas nous inquiéter parce que le gouvernement a soudainement décidé que cette mesure législative est urgente.
Ce n'est pas ce que croient les néo-démocrates.
Je propose donc:
Que la motion soit modifiée par substitution, aux mots suivant le mot « Que », de ce qui suit:
« cette Chambre refuse de donner troisième lecture au projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence, parce qu’il:
a) menace le régime de protection de la vie privée des Canadiens en autorisant la communication volontaire entre organismes des renseignements personnels les concernant à l’insu des intéressés et sans leur consentement;
b) omet d’éliminer les échappatoires du régime de protection de la vie privée qui permettent l’échange de renseignements personnels par des moyens détournés entre fournisseurs de services Internet et organismes gouvernementaux;
c) omet de mettre en place un mécanisme de supervision pour garantir que les communications volontaires ne soient faites que dans des circonstances extrêmes;
d) ne confère pas au Commissaire à la protection de la vie privée du Canada des pouvoirs adéquats de rendre des ordonnances afin de faire respecter le régime de protection de la vie privée;
e) propose un mécanisme de déclaration obligatoire des atteintes à la sécurité des données qui conduira probablement au non-signalement de telles atteintes. »
Mr. Speaker, it is a pleasure to rise and speak to Bill S-4, which would amend the Personal Information Protection and Electronic Documents Act, called PIPEDA. The bill has the rather misleading title of the digital privacy act.
I will be speaking against this bill for a number of reasons that have been articulated very well in past debates by the member for Terrebonne—Blainville, our digital issues critic. She has brought in a bill of her own. The government took parts of it and did not go as far as it needed to, to actually protect the digital privacy of Canadians.
I would like to, first, talk about why this is such an important bill. Second, I will talk about the history of getting it here. Last, I will talk about some of the critical problems with this bill and propose an amendment at the end of my remarks.
E-commerce is the backbone of the modern Canadian economy and it is only going to be more important going forward. Think of our children and their use of digital material.
My colleague, the member for Toronto—Danforth, made some comments about e-commerce and why this bill, which underscores legal protections for privacy and e-commerce, is so important. He said that the world's largest taxi company has no cars. It is the largest taxi company because it has personal information. It is called Uber.
The world's largest accommodations company, Airbnb, owns no property, but it is the richest and largest company because it owns personal information. The world's largest retailer has absolutely no inventory. He was referring to Alibaba in China.
As we move to what my colleague called the Internet of Things, by 2020, we will have 26 billion devices connected to the Internet. I hope that people appreciate that we are moving into an economy where we need to know the rules of the game and we need to know that our personal privacy in the private sector is protected. Business wants that certainty and consumers demand that what is left of their privacy be treated fairly by those private sector organizations that hold their information.
Canada is really in a unique position on the planet. We are halfway between the European Union, which has a very aggressive data protection regime, and the United States, which has sectoral legislation but not a comprehensive private sector law like PIPEDA, the bill that is before us in its amended form.
I say that we are halfway between those two regimes because, under PIPEDA, Canada has managed to create what is called a substantially similar regime to the European Union. That means that e-commerce companies in England, Ireland, France, and the 28 other countries that make up the EU can confidently share their personal information with Canadians because they know that they will have substantially similar protection. Canada achieved that. The United States does not have anything like that, so companies like Google and Facebook will often use Canada as a launching pad.
If we can make privacy protection sufficient in Canada, it will likely be sufficient for Europeans, who have had the most stringent requirements of privacy on the planet. It is important that we get this right.
It is amazing and very timely that we are having this debate at this time because on Monday of this week a clear signal was given by the Council of Ministers in the European Union that it is going to go for a regulation soon, not the directive that has been enforced for some time. After two years, all 28 countries will have to come up with an even more stringent regime.
That is why this bill is so problematic. It would not help small business, as I will describe, and it certainly would not give consumers the protection that the courts say that they are entitled to. I refer to the case of Spencer in 2014, where warrantless searches were said to be not on for Canadians, yet they seem to be just fine in this bill, which is odd. We need it get it right from a commercial point of view, as well.
I am indebted to Professor Michael Geist, who testified before the industry committee and the Senate, and who is so prolific and thoughtful in his analysis of private sector privacy legislation and other privacy regimes. He talks about how it is has taken us eight to nine years to get to this state.
I wanted to talk about this because the government's ineptitude in helping the e-commerce industry that I talked about and protecting the privacy of Canadians is on full display in the history of this bill.
The Conservatives tell us that it is urgent, that we must get on with it. Well, that is because they have dropped the ball, as I will describe in many ways. It has taken eight or nine years to get to this situation.
The Conservatives left an earlier version of a privacy bill sitting for two years in the House of Commons with no movement whatsoever and then it died at prorogation. How did that happen? In November 2006, the Standing Committee on Access to Information, Privacy and Ethics undertook its hearings on this reform. That was one year later than the five-year review process required by the act.
Just to back up, PIPEDA, the bill before us that is being amended, requires parliamentarians to review it after five years. They could not even get that deadline together.
In 2007, there was a report recommending certain things be done. Nothing seemed to happen. First reading was in 2010 for Bill C-29, the first PIPEDA reform. Second reading of the bill was in October. In September 2011 there was the first reading of Bill C-12, the second attempt to reform PIPEDA. That never got past second reading. It died when the government prorogued. Then another bill, this Bill S-4 was introduced in April 2014. This was the third try. Three strikes are lucky, I guess.
Here we are before Parliament with a bill that when it was in committee, the government said solemnly that it was urgent that we get on with it because it did not want to take a chance on any further delays and amendments. It is laughable the way the government treats the backbone of e-commerce, this privacy legislation. It has taken eight or nine years to get to where we are tonight. In the dying days of Parliament we are debating the legislation. It shows how important this must be to the government of the day.
In my riding, where we have a thriving e-commerce industry, with start-ups trying to develop apps and so forth, the bill is important and the government treats it with a history of neglect, which is the best way I can put the ineptitude I have described.
It is critical for small businesses, as I will describe, because they just do not have the wherewithal of large business to comply with some of the provisions of the legislation. I will come to that in a moment.
What does the bill do? Some of the things it does right is that it has finally agreed with endless Privacy Commissioner recommendations that there ought to be mandatory breach disclosure. If there has been a breach of data by a company, where it is sent to the wrong place and suddenly my personal information is found in the back of a taxi cab on a data stick, someone has to be told about it. That is pretty simple and obviously long overdue. That is a good thing to have in the bill.
Second, there are increased enforcement powers for the Privacy Commissioner, including the notion of compliance agreements that companies would enter into. This is a long-standing consumer protection approach that has now found its way into the bill.
According to experts, such as Mr. Lawford, testifying on behalf of the Public Interest Advocacy Centre, it would likely result in fewer reported breaches because it leaves the determination of whether a breach causes a real risk of significant harm entirely in the hands of the private sector companies.
Do the words “conflict of interest” seem to come up? They do and that obvious conflict of interest is fatal to the purpose of the bill. Why is a company going to want to blow the whistle on itself? It seems a bit odd and others have suggested, as has my colleague from Terrebonne—Blainville, in her Bill C-475, that it ought to be for the Privacy Commissioner, an independent officer of Parliament, to pass on that, not the industries themselves. That was the subject of much criticism in the industry committee, which studied Bill S-4.
That gives me a chance to talk about the attempt by the opposition to actually get meaningful debate in the industry committee. Since I got here, probably the most disappointing thing I have found is the government's utter indifference to any amendments unless they come from its side of the aisle.
There is an effort to have a real dialogue and to improve this and come up with a kind of unanimous support for something which is technical in nature, but the government said no to every single amendment, which, of course, in my experience is the way it does it every single time. I have been on two committees and I have not seen one amendment passed that anybody but the government proposes.
Trying to co-operate with the government to do something which is at the backbone of the new economy and it will not even talk to us. Apparently, that is how the government wants to do business. Fortunately, like so many Canadians, I hope that these are the dying days of a government with such arrogance and indifference to what Canadians want.
The efforts to try to fix this bill fell on deaf ears. My colleague, the digital critic from Terrebonne—Blainville, proposed that the Privacy Commissioner be the one who determined whether a data breach was significant enough to report, which makes sense, as opposed to the fox in the henhouse, where a company has to decided whether it is big or little.
That is not for banks to decide, whether they weigh their reputational risk that they might have versus consumers' rights. I know who could do that, an officer of Parliament. That would be the right person to do that. That is what my colleague suggested. The Conservatives propose putting the burden on companies.
Here is the problem with that, and not only the obvious conflict of interest but there are large companies, think banks, telecoms, companies of that size, that have departments that are responsible for privacy protection. More and more companies have what is called chief privacy officers to regulate this very technical area of the law.
They do a good job sometimes, but they often have this penchant that they obviously feel when they are trying to protect privacy, which is their job description, and not make a career-limiting move when information that is disclosed could cause harm, and the company would be angry with them and shoot the messenger. I have talked to CPOs in companies that tell me that the conflict is alive and well and I can understand that.
Small companies do not have these chief privacy officers, for example, to determine whether there is a significant breach or a significant risk of harm. They have no idea what to do. They want to co-operate, but they do not have the personnel or expertise to do it.
My colleague reasonably suggested that we give them a little help by letting them have access to the Privacy Commissioner's expertise and resources. Is that not a common sense provision? Is that not one that would help those small start-ups in the e-commerce industry that would really like the opportunity to do the right thing but do not have the budget to do it?
The economy in my community, the largest sector now, is not tourism or hospitality, it is high tech. The people who are producing the largest contribution to the Victoria economy are people who are just in this situation, wanting to understand the rules of the game in the new e-commerce, looking to the government to give them clarity, make it easy for them to do the right thing, so they can compete internationally, as they are doing so effectively, and to be onside with the European Union's incredibly stringent rules.
Guess what? They do not have a CPO, paid $150,000 a year or whatever, like the large banks would. The government has done nothing to assist them and they are angry about it. They do not understand why this so-called business-friendly government simply does not get it.
Some 18 amendments were proposed by the NDP and 18 amendments declined by the government of the day. We tried to work it out, but the government just wanted to jam it through. To add insult to injury, for the 97th time it used time allocation on a bill of a technical nature like this. I think the government is over 100 times now.
In the history of Parliament, has there ever been a government that has done this more often? I certainly do not know. I want to study it. I have a student looking at this because the arrogance and the anti-democratic behaviour of the government has to be exposed. The 97th time was for a bill on digital privacy. It is shocking and shameful that we are in this world today with this government.
The Supreme Court has told us that warrantless searches are wrong. They are unconstitutional. My colleague from Toronto—Danforth said we should send it to the court for a constitutional reference. We cannot have yet another loss in the Supreme Court. How many would that be? I have lost count. It is six or seven. How about having a reference to the Supreme Court of Canada?
The leader of the opposition asked for that today with respect to Bill C-51. The government, of course, would never do that. It just wants to go lose again in the Supreme Court.
The Spencer case in 2014 established that warrantless searches are a bad thing. How can the government then put these searches into Bill S-4, the bill before us, and pretend it is going to be constitutional? It is great work for lawyers. I have many friends who welcome the government's position because it is a make-work project for constitutional lawyers, but is it helping the Canadian taxpayers? Is it helping the e-commerce businesses, those little businesses from coast to coast that are struggling in this international economy? Do they have the clarity they need to go forward? Why do we have to waste our time with yet another Supreme Court loss by the government? It makes no sense.
Could the government have co-operated a little with people of good faith who wanted to make it better and solve this problem, as New Democrats tried to do in committee? One would think the government would welcome that, but it simply said no.
My next point is kind of a technical thing, but I want to raise it. We talked about breach notification, and I want to give an idea of how complicated this is for the little mom-and-pop or individual family businesses that are now arising in the economy. Clause 10, which would add section 10.1 to PIPEDA, talks about the kind of notification that is required when there is a breach. I want to give an idea of how complicated this can be and how lack of clarity means something.
Proposed subsection 10.1(5) says, “The notification shall be conspicuous and shall be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it shall be given indirectly in the prescribed form and manner.”
Three times the word “prescribed” is mentioned, which means it will be prescribed by regulation to follow later. There would be regulations that would define the kinds of things that would have to be done to give notification of a breach. However, as an example, let us take a small business that is trying to do the right thing. When there is a breach, it wants to notify people immediately. What is it going to do? Until there are regulations, it is utterly meaningless.
I know the government will bring in regulations eventually. That is a good thing, and I am sure companies are looking forward to seeing them, but as they plan ahead in this incredibly dynamic sector, they do not have a clue, and neither do we. None of us can say what those prescribed requirements are, because “prescribed” means to follow later in regulations, regulations nowhere to be found. People will have to try to figure that out. People sitting in a little start-up in Victoria or St. John's or Toronto or Montreal will have to try understand how to work their way through this difficult bill.
It is a history of neglect. It is a history of failure to listen to the opposition, which wanted to work together to create this regime. It has a history of eight or nine years in coming to the dying days of Parliament, but we should not worry, because it is urgent now, according to the Minister of Industry.
New Democrats do not believe it.
Therefore, I move:
That the motion be amended by deleting all the words after the word “That” and substituting the following:
“this House decline to give third reading to Bill S-4, An Act to amend the Personal Information Protection and Electronic Documents Act and to make a consequential amendment to another Act, because it:
a) threatens the privacy protections of Canadians by allowing for the voluntary disclosure of their personal information among organizations without the knowledge or consent of the individuals affected;
b) fails to eliminate loopholes in privacy law that allow the backdoor sharing of personal information between Internet service providers and government agencies;
c) fails to put in place a supervision mechanism to ensure that voluntary disclosures are made only in extreme circumstances;
d) does not give the Privacy Commissioner of Canada adequate order-making powers to enforce compliance with privacy law; and
e) proposes a mandatory data-breach reporting mechanism that will likely result in under-reporting of breaches.”