Madame la Présidente, je vais avoir l'honneur de partager mon temps de parole avec l'honorable député de Terrebonne.
Je suis heureux de prendre la parole sur cet enjeu fondamental qu'est la protection des renseignements personnels.
Depuis mars 2020, les entrepreneurs du Québec souffrent des répercussions économiques négatives de la crise de la COVID-19, soit le confinement, les fermetures, les mesures sanitaires, la pénurie de la main-d'œuvre, la baisse de la consommation.
Pour remédier à ces répercussions économiques négatives, les PME du Québec ont surtout eu l'aide des gouvernements du Québec et du Canada au moyen des crédits. Plus que jamais, les PME souffrent essentiellement d'endettement, et nombre d'entre elles risquent de ne pas s'en remettre. En ces temps difficiles pour la vie sociale et économique du Québec, je crains pour les PME québécoises, particulièrement pour les petits commerçants qui n'ont ni le temps ni l'argent de s'embourber dans un plan de protection de données, qui devra nécessairement tenir compte, dans certains cas, de plusieurs lois des gouvernements du Québec et du Canada.
En modifiant la Loi sur la protection des renseignements personnels, le gouvernement du Canada place les PME du Québec devant plusieurs embûches en raison des lois adoptées par deux gouvernements, celui du Québec et celui du Canada. Selon leurs activités économiques à l'extérieur du Québec, il y a de fortes chances que les PME québécoises ne sachent pas sous quelle loi tombe leur plan de protection de données.
Comme la nouvelle loi fédérale proposée avec le projet de loi C-11 aura du mordant, les PME du Québec risquent malheureusement d'en faire les frais. J'ai peur des répercussions de ce projet de loi sur les PME du Québec.
Pandémie oblige, plusieurs commerçants se tournent vers le commerce en ligne, le commerce électronique dont parle le projet de loi. Ce matin, dans son intervention à la Chambre, le ministre de l'Industrie a reconnu que la protection des renseignements personnels relevait essentiellement des provinces et qu'il s'agissait d'une question de droit civil. Il a dit que son projet de loi respectait la compétence des provinces. Toutefois, quand on regarde le texte, on se rend compte que ce n'est pas tout à fait le cas.
Le projet de loi C-11 s'applique à toutes les entreprises de compétence fédérale, c'est vrai. Quant aux entreprises qui ne relèvent pas du fédéral — je rappelle que c'est la très grande majorité des entreprises et la quasi-totalité des PME —, elles ne sont pas vraiment exclues de la portée de la loi.
Le ministre peut les exclure si la province a une loi essentiellement similaire, comme c'est le cas au Québec, mais il ne peut pas les exclure complètement. En effet, il peut les exclure uniquement « à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels à l’intérieur de la province en cause. »
On imagine le fouillis: une PME québécoise devra respecter la loi québécoise si les renseignements ne sortent pas du Québec, mais elle devra respecter la loi fédérale si les renseignements sortent du Québec. Des renseignements recueillis auprès d'un même client seront assujettis à deux lois différentes.
Le paiement par carte Visa relève de quelle loi? Cela dépend-il du territoire où se trouve le serveur de Visa? Cela me semble inapplicable. Si une entreprise est couverte par la loi québécoise sur la protection des renseignements, elle devrait l'être pour l'ensemble de ses activités, et pas seulement pour la moitié, comme le prévoit la loi telle qu'elle est écrite.
De plus, les lois québécoises sont, elles aussi, en train de s'adapter à la réalité. C'est une avancée pour la loi proposée par le gouvernement fédéral, il faut le reconnaître, car la loi actuelle n'a aucun mordant. En vertu du projet de loi C-11, un commissaire à la vie privée pourra déterminer les pratiques précises qui peuvent être adoptées, conformément aux principes énoncés dans la loi. Un commissaire à la vie privée aura un pouvoir d'ordonnance pour forcer les entreprises à en respecter les principes.
En vertu du projet de loi C-11, un citoyen pourra porter plainte à un tribunal. De plus, le tribunal de la vie privée pourra imposer des sanctions importantes, en cas de non-respect de la loi, pouvant aller jusqu'à 3 % du chiffre d'affaires global d'une multinationale. Bref, la grande différence avec le projet de loi actuel et celle dont nous débattons, ce sont des mécanismes plus favorables aux citoyens devant une entreprise utilisant mal les données numériques.
Il y a un angle mort dans ce projet de loi. Celui-ci omet un élément important, celui de la protection de l'identité en ligne pour éviter la fraude par vol d'identité, particulièrement lors de transactions financières. Le projet de loi C-11 ne force en rien les institutions financières au Canada à s'assurer de l'identité des gens avant d'autoriser une transaction, ce qui expose la population à la fraude. Même le gouvernement fédéral ne s'assure pas correctement de l'identité d'une personne avant d'autoriser une transaction électronique.
Je vais raconter la mésaventure de l'un des citoyens de ma circonscription. Cet été, un jeune citoyen a été victime d'un vol d'identité qui l'a amené à défendre sa réputation auprès de l'Agence du revenu du Canada et d'une autre institution financière. C'est justement mon chef de bureau, en discutant au téléphone avec une fonctionnaire fédérale, qui s'est aperçu de la fraude. Mon chef de bureau a pris le dossier en main et a aidé le jeune citoyen de ma circonscription au cœur des démarches désagréables qui ont duré des semaines. Il y a eu une enquête policière, documentation après documentation; il y a eu de nombreuses discussions avec une institution financière et des fonctionnaires; il a dû fournir de longs efforts pour prouver simplement qu'il a été victime d'un vol d'identité par un fraudeur, de longs efforts pour défendre sa réputation auprès d'une institution financière et de l'Agence du revenu du Canada.
Après des semaines, ce jeune citoyen a enfin pu obtenir la Prestation canadienne d'urgence pour les étudiants, dont il avait gravement besoin. Ce n'est pas exactement l'entrée en matière souhaitée pour un jeune adulte qui commence à peine à interagir avec les banques et les gouvernements. Tout cela a eu lieu parce que le gouvernement n'a pas pris le temps de vérifier l'identité réelle du demandeur de la PCU.
Le gouvernement doit montrer l'exemple et prendre lui-même des mesures immédiates pour contrer le vol d'identité. C'est un grave problème. Le projet de loi C-11 présente des mécanismes de protection des données personnelles, mais aucun mécanisme de vérification de l'identité du demandeur de service ou du consommateur pour justement assurer la protection des renseignements personnels.
J'aimerais rappeler que les renseignements personnels relèvent constitutionnellement des provinces, qui sont responsables de la propriété et des droits civils. Le Québec est justement en train de moderniser sa loi. Malheureusement, il est difficile, pour l'instant, de comprendre quelles seront les interactions entre la loi fédérale et la loi québécoise.
Par contre, le Bloc québécois envisage des problèmes, et il ne veut pas que ceux-ci viennent affecter le quotidien des PME du Québec, qui, je le rappelle, vivent des moments difficiles en raison des problèmes économiques que la crise de la COVID-19 engendre.
Les PME sont endettées, parfois lourdement. Tout nouveau poids sur les épaules des entrepreneurs québécois est de plus en plus lourd. Or, puisque les interactions entre la loi fédérale et québécoise risquent de devenir un véritable fouillis administratif, je demande que les PME du Québec soient exemptées de l'application du projet de loi C-11.
Simon Marchand, chef de la prévention de la fraude chez Nuance Communications, est un examinateur de fraude certifié, un administrateur agréé spécialisé ainsi qu'un expert en biométrie et en sécurité. Il est venu témoigner devant le Comité permanent de l'industrie, des sciences et de la technologie le 20 mai. Nous avions parlé justement de sujets liés à la fraude. Il avait mentionné que, dans le contexte de la COVID-19, le télétravail était un facteur de risque. C'est surtout vrai quand on parle de service à la clientèle.
Tous les agents de service à la clientèle qui sont normalement dans les centres d'appel travaillent maintenant de chez eux, dans un environnement non supervisé. Ces agents disposent de peu de ressources, mais ont maintenant l'occasion d'avoir accès à de l'information de nature délicate sur les consommateurs, qu'il s'agisse de données sur leurs actifs ou d'informations pouvant être utilisées par n'importe quelle personne pour se faire passer pour une autre.
Un deuxième facteur est la situation socioéconomique, qui va certainement exercer une pression sur beaucoup de ménages. En matière de fraude interne, nous savons que la pression et l'occasion sont les deux motifs fondamentaux qui vont pousser un employé à agir contre les intérêts de son employeur et à commettre une fraude.
Dans certaines régions, il y a une augmentation de 600 % des tentatives d'hameçonnage prétextant la COVID-19 au moyen de pièces jointes, de sites Web ou d'autres méthodes d'approche. Cela va permettre à des fraudeurs d'accumuler une importante quantité d'information sur les consommateurs. Ces informations seront utilisées, pas dans les prochaines semaines, mais bien dans les 6 à 18 prochains mois, pour ouvrir des comptes, obtenir des produits financiers ou se procurer des produits d'entreprises de télécommunications. C'est bien de cela qu’il est question, lorsqu'on parle de ce projet de loi. Celui-ci prévoit un minimum de protection, alors c'est un pas intéressant.
En matière de reddition de comptes, Simon Marchand mentionnait:
[...] je pense qu'il faut plutôt s'interroger sur la responsabilité des entreprises, en matière de reddition de compte, concernant l'information qu'elles utilisent pour offrir leurs services. [...] il faut s'interroger sur sa responsabilité, qui est de protéger cette information.
Le premier avantage de la reddition de comptes sera de donner au gouvernement un portrait clair de la situation. Il connaîtra exactement le nombre de victimes et pourra ainsi orienter les mesures qui seront prises dans le but de renforcer les mesures de sécurité, notamment dans les banques et les entreprises de télécommunications.
Cela va mettre un poids sur les épaules des entreprises, qui devront faire des rapports, mais ce poids n'est pas démesuré, puisque les données qu'ils ont sont déjà connues. Il suffit de les transmettre aux législateurs ou à un organisme supervisé par le gouvernement qui pourra s'occuper de présenter ces données de manière plus large et anonyme afin de permettre aux députés d'avoir accès à l'information et de savoir exactement ce qui se passe au Canada.
C'est là un pas important, parce qu'en cas de fuite, les entreprises doivent informer les personnes en leur précisant la nature des renseignements en cause et le risque de préjudice que la fuite occasionne. C'est ce que le projet de loi prévoit, d'ailleurs, et c'est quelque chose d'absolument fondamental, car c'est un risque qu'on court.
En conclusion, l'absence de reddition de comptes de la part des entreprises dont les activités relèvent de la compétence fédérale pose un problème dans les lois actuelles. Il n’y a actuellement aucun portrait global du nombre de personnes qui sont effectivement victimes d'une utilisation de leur identité une fois que cette dernière a été volée. Je me réjouis donc que le fédéral prenne davantage ses responsabilités et commence à agir en proposant ce projet de loi.
Madam Speaker, I am honoured to be sharing my time with the member for Terrebonne.
I am pleased to rise to speak to the fundamental issue of the protection of privacy.
Since March 2020, Quebec business owners have been hard hit by the negative economic impacts of the COVID-19 crisis, namely the lockdown, the closures, the health measures, the labour shortage and the drop in consumption.
SMEs in Quebec have received assistance in the form of tax credits from the Government of Quebec and the Government of Canada to help mitigate these negative economic impacts. Now more than ever, SMEs are struggling under a burden of debt and many of them may never recover. At this difficult time for Quebec's social and economic life, I am worried about Quebec's SMEs, and particularly the small business owners who do not have the time or money to get bogged down in a data protection program that, in some cases, will have to take into account a number of Quebec and Canada laws.
By amending the Privacy Act, the Government of Canada is creating a number of problems for Quebec's SMEs because of legislation adopted by two governments, the Government of Quebec and the Government of Canada. Depending on whether their economic activities extend beyond Quebec's borders, it is very likely that Quebec's SMEs will not know which law governs their data protection plan.
The new federal law proposed in Bill C-11 will have real teeth, which means that Quebec's SMEs are likely to suffer, unfortunately. I am scared to think how this bill will affect Quebec's SMEs.
The pandemic is forcing many retailers to shift to online sales, the kind of electronic commerce referred to in the bill. In his speech to the House this morning, the Minister of Industry acknowledged that the protection of personal information is essentially a provincial responsibility and a matter of civil law. He said his bill respects provincial jurisdiction, but a closer look at the text reveals that to be not quite the case.
It is true that Bill C-11 applies to all federally regulated businesses. However, businesses that are not federally regulated, which describes the vast majority of companies and virtually all SMEs, are not really excluded from the scope of the bill.
The minister can exclude them if the province has substantially similar legislation, as is the case in Quebec, but he cannot exclude them entirely. In fact, he can exclude them only “in respect of the collection, use or disclosure of personal information that occurs within that province”.
Imagine the mess: a Quebec SME will have to comply with the Quebec law if the information does not leave Quebec, but it will have to comply with the federal law if the information does leave Quebec. Information collected from one customer will be subject to two different laws.
Which law do Visa card payments fall under? Does it depend on which territory the Visa server is located in? This seems unenforceable to me. If a business is covered by the Quebec legislation on data protection, that should apply to all its activities, not just half of them, as it would under the bill as currently worded.
Furthermore, Quebec laws are also adapting to the reality. We must recognize that the federal government's bill represents a step forward, because the current legislation has no teeth. Under Bill C-11, a privacy commissioner could establish the specific practices to be adopted in accordance with the principles set out in the legislation. A privacy commissioner would have order-making powers to force organizations to comply with those principles.
Under Bill C-11, a citizen could file a complaint with a tribunal. The privacy tribunal will also be able to impose significant penalties of up to 3% of a multinational's global revenue for non-compliance. In short, the major difference between the law and the bill we are debating, is that the bill's mechanisms are more favourable to citizens when faced with an organization that misuses digital data.
This bill fails to address the important issue of online identity protection to prevent fraud through identity theft, especially when Canadians engage in financial transactions. Bill C-11 does nothing to ensure that financial institutions in Canada verify someone's identity before authorizing a transaction, which exposes Canadians to fraud. Even the federal government has failed to properly verify a person's identity before authorizing an electronic transaction.
I would like to share an unfortunate incident that happened to one of my constituents. This summer, a young man was a victim of identity theft and wound up having to defend his reputation to the Canada Revenue Agency and another financial institution. It was my own office manager who, while talking to a federal official on the phone, realized that fraud had taken place. My office manager took charge of the case and helped my young constituent navigate the unpleasant process that lasted weeks. There was a police investigation and all kinds of documentation. There were numerous discussions with a financial institution and government officials. He had to go to great lengths just to prove that a fraudster had stolen his identity and to defend his reputation to a financial institution and the Canada Revenue Agency.
It was weeks before this young man was able to access the Canada emergency student benefit he very much needed. That is not exactly the kind of introduction a young adult should have to dealing with banks and governments. This whole situation happened because the government did not take the time to verify the identity of the CERB applicant.
The government needs to set an example and take immediate action to combat identity theft. This is a serious problem. Bill C-11 contains some privacy mechanisms, but there is no mechanism to verify the identity of users or consumers to protect their personal information.
I remind members that private information falls under the umbrella of property and civil rights, which is a provincial jurisdiction, as set out in the Constitution. Quebec is in the process of modernizing its act. Unfortunately, it is difficult to assess right now how the federal act and the Quebec act will interface.
However, the Bloc Québécois foresees some problems, and we do not want these problems to affect small businesses in Quebec, which, I remind members, are struggling as a result of the economic issues associated with the COVID-19 crisis.
SMEs carry a heavy debt load at times. Any additional weight on the shoulders of Quebec entrepreneurs is becoming harder and harder to bear. Considering the potential administrative nightmare that could result from how the federal legislation intersects with the Quebec legislation, I would ask that Quebec SMEs be exempt from Bill C-11.
Simon Marchand, chief fraud prevention officer at Nuance Communications, is a certified fraud examiner, a certified administrator and an expert in biometrics and security. He appeared before the Standing Committee on Industry, Science and Technology on May 20. We were discussing fraud-related topics. He mentioned that in the context of COVID-19, telework was a risk factor. This is especially true when it comes to customer service.
All customer service agents who normally work in call centres now work from home, in an unsupervised environment. These agents have limited resources, but now have the opportunity to access sensitive consumer information, whether it is data on their assets or information that could be used by anyone to impersonate someone else.
A second factor is the socio-economic reality, which will no doubt put pressure on many households. When it comes to internal fraud, we know that pressure and opportunity are the two basic factors that drive an employee to go against their employer’s interests and commit fraud.
Some areas have seen a 600% increase in the number of phishing scams involving COVID-19; attachments, links to websites and other methods are being used to lure victims. Fraudsters will be able to get their hands on vast amounts of consumer information, which they will not use in the next few weeks. Rather, they will wait six to 18 months before opening up accounts, taking out financial products and acquiring products from telecommunications carriers. That is what this bill is all about. It provides a modicum of protection, which is a good thing.
In terms of accountability, Simon Marchand said:
I think, though, the focus should be on accountability and the responsibility companies have in relation to the information they use to deliver services.... it calls into question the bank’s responsibility, which is protecting that information.
The first benefit of accountability will be to give the government a clear picture of the situation. It will know exactly how many victims there are, and it will be able to direct measures accordingly to strengthen security, particularly in banks and telecommunications companies.
This will put a burden on businesses, which will have to file reports, but this burden is not unreasonable, since the data they have is already known. All they will have to do is provide them to lawmakers or to a government-supervised body that can present these data more broadly and anonymously so that members of Parliament can access that information and know exactly what is going on in Canada.
This is an important step, because if there is a leak, companies must tell individuals what information was exposed and the risk of harm from the leak. That is what the bill does, and it is absolutely fundamental, because that is a risk that we run.
In conclusion, the lack of accountability for federally regulated businesses is a problem with the current legislation. There is currently no overall picture of how many people are actually victimized by having their identity used once it has been stolen. I am therefore pleased that the federal government is taking greater responsibility and beginning to act by introducing this legislation.