propose que le projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d'autres lois, soit lu pour la deuxième fois et renvoyé à un comité.
— Monsieur le Président, c'est avec grand plaisir que je prends la parole aujourd'hui au sujet du projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique.
Comme les députés le savent, la transformation liée aux données et au numérique modifie complètement notre façon d'accéder à l'information, d'acheter des biens et des services, de communiquer les uns avec les autres et de vivre dans les collectivités et les villes. La pandémie a accéléré la transformation numérique, et de plus en plus de Canadiens déplacent leurs activités en ligne. Les Canadiens utilisent plus de services numériques et échangent plus de données en ligne que jamais auparavant. Ils veulent avoir l'assurance que leurs renseignements personnels seront protégés.
Récemment, le commissaire à la protection de la vie privée a sondé des Canadiens et a découvert que la grande majorité d'entre eux, soit 92 %, sont préoccupés par la protection de leur vie privée; il s'agit donc d'une question importante pour beaucoup de Canadiens. C'est notamment pourquoi, l'année dernière, j'ai présenté la Charte du numérique, à savoir un ensemble de 10 principes qui jettent les bases qui nous permettront de bâtir une économie numérique novatrice et inclusive, axée sur les gens et fondée sur la confiance.
Les principes de la Charte numérique du Canada permettent aux Canadiens d'avoir davantage de contrôle sur leurs données tout en aidant les entreprises du pays à innover, à prendre de l'expansion et à créer des emplois de qualité pour les Canadiens de la classe moyenne de partout au pays.
J'en profite pour rappeler aux députés que les principes sur lesquels repose la Charte du numérique sont très clairs et tournent autour du contrôle et du consentement. Les Canadiens auront le contrôle des données qui pourront être partagées, ils pourront décider qui pourra utiliser leurs données personnelles — et à quelles fins — et ils auront l'assurance qu'elles sont protégées. Il s'agit d'un des principes clés de la nouvelle charte.
La transparence, la portabilité et l'interopérabilité permettront aux Canadiens de gérer facilement l'accès à leurs données personnelles et d'être en mesure de les transmettre sans se faire imposer un fardeau indu.
Le principe des données numériques pour le bien commun en fait aussi partie. Le gouvernement du Canada veillera à ce que les données des Canadiens soient utilisées de façon éthique et à bon escient, pour créer une valeur ajoutée, promouvoir l'ouverture et améliorer la vie des gens, aussi bien au pays qu'ailleurs dans le monde. Comment faire pour que les données nous aident à résoudre les problèmes qui se présentent à nous?
Viennent ensuite l'application rigoureuse de la loi et une réelle responsabilité. Il y aura des sanctions claires et sévères pour toute violation des lois et règlements à l'appui des principes de la Charte du numérique afin que les Canadiens sachent que leurs renseignements personnels sont protégés.
Comme les députés seront à même de le constater, les principes derrière la Charte du numérique sont bien intégrés au projet de loi à l'étude. Grâce à ces principes, la Charte pourra viser trois grands objectifs: permettre aux consommateurs d'assurer un contrôle significatif de leurs données, favoriser l'innovation responsable et créer un modèle d'application et de surveillance rigoureux et réfléchi.
Que fera le projet de loi C-11 pour permettre aux Canadiens de mieux contrôler leurs données et obliger les entreprises à traiter ces mêmes données de façon plus transparente? Il encadrera le consentement de règles strictes, il accordera aux gens le droit d'exiger que leurs données soient effacées et il misera sur la mobilité des données ainsi que la transparence des algorithmes.
Commençons par le consentement. Le projet de loi C-11 permettra aux consommateurs de mieux contrôler leurs données en exigeant des organismes qu'ils obtiennent le consentement éclairé des Canadiens. L'information pertinente devra ainsi leur être présentée en termes précis, clairs et simples et non dans un document juridique d'une trentaine de pages que personne ne prend le temps de lire. De cette façon, ils pourront faire des choix éclairés sur la manière dont leurs renseignements personnels seront utilisés.
Pour rendre le consentement plus éclairé sans pour autant avoir des dispositions interminables que personne ne lit, nous proposons une nouvelle exception au consentement pour la collecte et l’utilisation de renseignements nécessaires à des activités commerciales ordinaires que la personne peut raisonnablement s'attendre à devoir fournir.
Pour donner un exemple en langage clair, lorsqu'on achète quelque chose à une entreprise et qu'on lui donne son adresse, cette entreprise peut la communiquer à un service de livraison afin qu'on puisse recevoir le produit pour lequel on a payé.
Selon la loi, l’entreprise devra être transparente quant à l’utilisation qu’elle fait des renseignements personnels, afin que les consommateurs soient clairement informés et que le Commissariat à la protection de la vie privée puisse examiner ces pratiques.
Le deuxième sujet dont je voudrais parler concerne le droit de supprimer des renseignements. Le projet de loi C-11 permettrait aux Canadiens de retirer leur consentement et d’exiger que les données en question soient supprimées. Quand des particuliers ne veulent plus faire affaire avec une organisation, l'organisation doit cesser d’utiliser les données les concernant et, à leur demande, les supprimer définitivement. Par exemple, un citoyen canadien pourrait exiger que le site d’un réseau social supprime son profil. C’est très simple, mais c’est très efficace.
Je voudrais maintenant parler de la mobilité des données, dont il est question dans le projet de loi. Pour renforcer le contrôle qu’ils ont sur ces données, les particuliers auraient aussi le droit d’acheminer et de transférer leurs données et leurs renseignements personnels d’une organisation à une autre, et ce, en toute sécurité. À cette fin, le projet de loi C-11 prévoit l’adoption de règlements d'habilitation sur la création de dispositifs assurant, en toute sécurité, le transfert et l’interopérabilité des données. Cette approche encouragera l’innovation dans des secteurs comme les services bancaires en ligne, où une approche technique commune permettrait aux Canadiens de profiter, en toute sécurité, du marché des services financiers offerts aux consommateurs.
La transparence algorithmique est un autre sujet qui a été inclus dans le projet de loi, à la suite de consultations approfondies. S’agissant du contrôle exercé par le consommateur, le projet de loi C-11 permettrait d’accroître la transparence en ce qui concerne l'utilisation de systèmes de prise de décisions automatisés, comme les algorithmes et les technologies de l’IA, qui sont de plus en plus présents dans l’économie numérique.
Le projet de loi C-11 obligerait les organisations à dire clairement qu’elles utilisent des systèmes automatisés pour prendre des décisions ou faire des prédictions importantes à l’égard d’une personne. Il donnerait également aux citoyens le droit de demander des explications quant à une prédiction ou à une décision du système, à savoir comment les données sont recueillies et comment elles sont utilisées.
Je viens de vous donner un bref récapitulatif des dispositions de ce premier volet législatif qui vise à donner plus de contrôle au consommateur.
Le deuxième volet du projet de loi C-11 concerne l’innovation responsable.
L'économie numérique offre des possibilités considérables aux entreprises canadiennes. Les activités numériques représentent 4,8 % du PIB national, et les industries de technologies de l'information et des communications, ou TIC, sont les plus performantes en matière de recherche-développement dans le secteur privé canadien.
Les investissements et les données représentent aujourd’hui jusqu’à 40 milliards de dollars. Dans les différents secteurs économiques, les données des entreprises canadiennes ont autant de valeur que tous les autres actifs incorporels, comme les logiciels, la recherche-développement et les droits d’exploration minière, combinés. Nous voyons donc que le potentiel des données est d’une grande importance non seulement pour le temps présent, mais aussi pour l’avenir.
Dans le monde entier, nous assistons à une croissance sans précédent du secteur des technologies. Cette croissance ne pourra que s’accélérer avec le développement de l’intelligence artificielle, ou IA, et de son impact sur notre vie quotidienne. Selon certaines estimations, l’IA va apporter 13,7 billions de dollars à l’économie mondiale d’ici à 2030.
En tant que gouvernement, nous reconnaissons aussi l'importance de donner aux entreprises des règles claires, qui leur permettent d'innover, tout en protégeant la vie privée des Canadiens.
La confiance est la pierre d'assise de la croissance économique et de l'innovation. Quand les Canadiens sont assurés que leurs données sont en sécurité et que leur vie privée est respectée, cela crée un espace pour le type d'innovation qui bénéficie à tous.
Notre gouvernement est convaincu qu’en augmentant la confiance et la prévisibilité sur le marché numérique, les petits entrepreneurs seront incités à créer de nouveaux emplois et de nouveaux débouchés, à développer leurs activités et à mieux exploiter les marchés internationaux.
Le projet de loi tient compte également de la situation des petites entreprises en faisant en sorte que les règles concernant les données et la confidentialité sont équitables, claires, respectées et suffisamment souples pour répondre à leurs besoins.
Les codes de pratique et les programmes de certification sont un moyen d’y parvenir. Pour encourager l’innovation responsable, le projet de loi C-11 prévoit la création d’un dispositif reconnaissant l’utilisation des codes de pratique et des systèmes de certification. Cela aidera les organisations à se conformer à la loi et à faire la preuve de leur conformité, ce qui encouragera l’innovation et assurera l’équilibre d’un régime de conformité renforcé.
Les organisations pourront s’adresser au commissaire à la vie privée pour faire approuver leur code de pratique indiquant comment les exigences générales de la loi s’appliquent à tel secteur ou à telle activité. De cette façon, les entreprises sauront que si elles respectent le code, elles sont en conformité avec la loi.
J’aimerais maintenant dire quelques mots sur les renseignements dépersonnalisés. Le projet de loi précise comment les organisations doivent manipuler les renseignements dépersonnalisés. Le mécanisme qui sera mis en place permettra d’assurer la protection des renseignements personnels et l’utilisation novatrice des données, ce qui est dans l’intérêt d’un grand nombre de petites entreprises.
Enfin, parlons des données collectées dans l’intérêt public. En vertu de son deuxième volet sur l’innovation responsable, le projet de loi C-11 prévoit une exception au consentement pour des fins socialement bénéfiques, afin d’autoriser clairement des organisations à appuyer des initiatives novatrices comme les fiducies de données, dont se sont dotés un grand nombre d’établissements publics comme les hôpitaux, les universités et les bibliothèques. Ce concept de fiducie de données est très prometteur, car il nous ouvre des pistes de solution pour régler certains des problèmes qui se posent dans notre société.
Par ailleurs, le projet de loi renforce considérablement les dispositions concernant l’exécution de la loi et la surveillance. C’est très important.
Grâce à cette proposition, nous disposerons de certaines des sanctions financières les plus sévères au monde pour la violation de nos lois.
À l’heure actuelle, le commissaire à la protection de la vie privée n’a guère de pouvoir pour faire respecter ses recommandations par les organisations qui ne s’y conforment pas, si ce n’est de faire appel auprès de la Cour fédérale. Mais avec le projet de loi C-11, les choses changent, car le texte renforce le régime de protection de la vie privée et donne au commissaire davantage de pouvoirs, avec un système de contrepoids adéquat.
Le Bureau du commissaire à la protection de vie privée aura de vastes pouvoirs pour prendre des ordonnances, y compris le pouvoir d’obliger une organisation à cesser de collecter ou d’utiliser des renseignements et à les supprimer. Il pourra exercer ce pouvoir s’il constate que les données ont été collectées sans le consentement approprié.
De plus, le commissaire à la protection de la vie privée devra veiller à ce que les organisations qui ne respectent pas la loi en subissent les conséquences. Il aura le pouvoir de recommander des amendes pouvant aller jusqu’à 10 millions de dollars, ou 3 % des revenus de l’entreprise si ce pourcentage représente une somme plus élevée. La liste des infractions criminelles sera allongée et sera assortie d’une amende pouvant aller jusqu’à 25 millions de dollars, ou 5 % des revenus de l’entreprise si ce pourcentage représente une somme plus élevée.
Le projet de loi prévoit également la création d’un nouveau tribunal de la protection des renseignements personnels et des données, qui examinera les appels interjetés au sujet des ordonnances du commissaire et qui percevra les amendes.
Ce nouveau tribunal administratif contribuera à garantir l'équité procédurale dans le fonctionnement des nouveaux pouvoirs d'exécution accrus du commissaire. Il permettra aux personnes et aux organismes d'accéder plus facilement à la justice grâce à un mécanisme moins formel d'appel des décisions.
Avec un tel régime, il est manifestement important pour l’ensemble du dispositif et crucial pour la protection de la vie privée des Canadiens que les entreprises se conforment rapidement à la loi. Nous devons renforcer le pouvoir du commissaire de négocier rapidement une solution dans le cadre d’un accord de conformité. Nous voulons nous assurer que les entreprises canadiennes respectent bien le projet de loi.
Ce nouveau régime suscitera une plus grande collaboration entre le commissaire à la protection de la vie privée, les parties prenantes et les institutions en cause, y compris les organisations fédérales, notamment lorsque le commissaire devra établir des directives. L’objectif est de s’assurer que la loi est claire pour tout le monde, qu’elle est bien expliquée et qu’elle est bien exécutée, afin d’éviter toute confusion chez ceux qui doivent la respecter. Autrement dit, on vise une plus grande clarté.
En résumé, le troisième volet du projet de loi C-11, l’exécution de la loi et la surveillance, prévoit un modèle progressif d'incitatifs pour les organisations qui se conforment rapidement. L’accent est mis sur la conformité. Si la loi n’est pas respectée, de lourdes pénalités seront prévues. Il y aura un nouveau tribunal dont le rôle sera de s’assurer que le mécanisme est équitable, transparent et accessible aux entreprises, quelle que soit leur taille.
Les trois volets du projet de loi C-11 se combinent pour offrir aux Canadiens ce dont ils ont besoin pour fonctionner dans une économie numérique: des protections solides pour les renseignements personnels, ainsi que des règles claires que les entreprises devront suivre dans leurs activités d’innovation et de commercialisation de nouveaux produits et services.
Je souligne également que le projet de loi contribue à protéger la vie privée des Canadiens, tout en renforçant la capacité des entreprises canadiennes à faire face à la concurrence internationale. Le Canada sera ainsi bien placé pour se tailler une bonne place sur les marchés internationaux.
Quand la Loi sur la protection des renseignements personnels et les documents électroniques, aussi appelée la LPRPDE, a été adoptée en 2000, elle était à l’avant-garde mondiale des lois sur la protection des données. En 2002, la Commission européenne a estimé que la LPRPDE offrait une protection adéquate par rapport à la loi de l’UE. Ceci nous a donné un avantage en facilitant les flux de données entre les entreprises canadiennes et européennes.
Plus récemment, en 2018, l’Union européenne a mis en œuvre son Règlement général sur la protection des données. Depuis, elle examine l’adéquation de la loi canadienne avec son règlement. Elle nous a fait clairement savoir que nous devions réformer nos régimes de protection de la vie privée si nous voulions conserver ce statut et maintenir notre avantage. Je pense que le projet de loi permettra de conserver cette adéquation avec la réglementation européenne et de maintenir notre avantage.
Enfin, je voudrais parler des réactions des parties prenantes. L’approche que nous avons adoptée est le fruit de plusieurs années d’études, de consultations publiques et de collaboration. Nous nous sommes beaucoup inspirés du travail considérable qui a été fait par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, ainsi que d’autres études importantes.
Je peux assurer aux députés que ce projet de loi jouit du soutien d’un vaste éventail de parties prenantes. Goldy Hyder, PDG du Conseil canadien des affaires, s'est prononcé en faveur du projet de loi. Michael Geist, qui est très respecté dans son domaine, a dit que c’était la réforme la plus complète depuis des décennies du système canadien de protection des renseignements personnels. OpenMedia a qualifié le projet de loi C-11 d’une grande victoire pour la protection des renseignements personnels au Canada.
Nous savons que les Canadiens continueront de se servir des services numériques qui utilisent leurs données personnelles et qu'il n'y a pas de retour en arrière
J'aimerais terminer par une observation.
Alors que la pandémie de COVID-19 continue de nous rendre de plus en plus dépendants de l'économie numérique, le projet de loi C-11 aidera les Canadiens à adhérer à ce monde nouveau, sachant que leurs renseignements personnels seront protégés.