ETHI Réunion de comité

    Bonjour, mesdames et messieurs. C'est aujourd'hui la 25^e réunion du Comité, et nous étudions la Loi sur la protection des renseignements personnels.

    Nous sommes ravis d'avoir aujourd'hui M. David Fraser, un associé de McInnes Cooper qui connaît le Comité; et Michael Geist, titulaire de la chaire de recherche du Canada en droit d'Internet et du commerce électronique, et professeur de droit à l'Université d'Ottawa.

    Messieurs, vous connaissez tous les deux le processus. Le Comité donne à chaque témoin environ 10 minutes pour sa déclaration préliminaire. Nous allons commencer par cela, puis suivront les séries de questions jusqu'à ce que tout le monde ait eu réponse à ses questions. Je pense que nous avons deux heures complètes avec deux témoins seulement, alors cela nous donne beaucoup de possibilités.

    Je vais commencer par vous, monsieur Fraser, si vous êtes prêt.

    Merci beaucoup.

    Je vous remercie de me donner l'occasion de vous parler de cette loi, l'une des plus importantes que nous ayons pour réglementer l'interaction entre les citoyens et leur gouvernement.

    La Loi sur la protection des renseignements personnels était formidable pour les années 1980, mais bien des choses ont changé depuis. Le Comité est au courant de tous les changements dans la technologie, mais je pense qu'il y a un facteur primordial à tenir en compte, et il s'agit des changements dans les attentes des gens. Diverses administrations au Canada ont adopté des lois sur la protection des renseignements personnels beaucoup plus modernes. Nous avons la Loi sur la protection des renseignements personnels et les documents électroniques, qui régit le secteur privé et qui se fonde sur des pratiques justes en matière de renseignements personnels. Je crois que le Comité a également beaucoup entendu parler de la nouvelle ATIPPA de Terre-Neuve, l'Access to Information and Protection of Privacy Act. Vous avez pu parler au comité responsable du rapport qui a mené à son remaniement complet.

    Il est à noter que, quand vous comparez cette loi à d'autres lois plus modernes sur la protection des renseignements personnels, le consentement ne fonctionne généralement pas dans le contexte gouvernemental. Les citoyens ne choisissent pas, par exemple, le gouvernement avec lequel ils traitent, alors qu'ils choisissent la banque avec laquelle ils font affaire et ce genre de choses.

    Je tiens à souligner, d'abord et avant tout, que j'ai eu l'occasion de passer en revue les mémoires de l'Association du Barreau canadien et d'y contribuer en fait, au fil des années. Je parle en mon propre nom, mais je suis généralement d'accord avec tout ce qu'on y dit. Je suis aussi généralement d'accord sur ce qui a été signalé et demandé dans les mémoires soumis au Comité par le commissaire à la protection de la vie privée au cours des années. J'aimerais mettre en évidence un certain nombre de choses que je trouve important d'examiner en particulier.

    L'une de ces choses est une correction technique de base, soit retirer l'exigence selon laquelle les renseignements personnels doivent être sur un support pour être soumis à la loi. L'information orale, qui est transmise... La loi peut être interprétée de telle sorte que la divulgation d'information orale n'y est pas soumise , et c'est une lacune importante.

    Je pense aussi que la loi devrait comporter une disposition précisant que le travail produit par un fonctionnaire ne devrait pas faire partie des renseignements personnels de ce fonctionnaire. La loi doit fonctionner de concert avec la Loi sur l'accès à l'information et ainsi favoriser la transparence des activités gouvernementales. Les demandes injustifiées de protection des renseignements personnels font obstacle à la transparence du gouvernement et sont problématiques, et c'est une chose qu'on peut facilement résoudre.

    Le reste de mes recommandations ou suggestions pourraient être regroupées sous trois catégories distinctes: la responsabilité, la transparence et l'efficacité générale de la loi.

    En ce qui concerne la responsabilité, je crois qu'il nous faut plus de clarté, en tant que citoyens, concernant la façon dont le gouvernement gère les renseignements personnels de ses citoyens. Nous avons les banques de renseignements personnels et les systèmes sources d'information qui ne sont pas, d'après moi, tout à fait efficaces. Il faut une communication plus proactive aux citoyens de la façon dont leurs renseignements sont utilisés, des personnes qui en sont responsables et des ministères gouvernementaux qui les utilisent.

    Il faudrait aussi un test de nécessité — votre comité a entendu parler de cela — pour la collecte de renseignements personnels. Le gouvernement ne recueillerait que les renseignements qui lui sont nécessaires pour ses activités fonctionnelles.

    Je crois qu'il faudrait aussi dans la loi un élément de responsabilité personnelle. Il n'y en a pas. Bien d'autres lois sur la protection des renseignements personnels, des lois de partout au pays et qui portent, entre autres, sur la santé, comportent une disposition qui crée une infraction. Des accusations peuvent être portées contre une personne ou une institution qui enfreint la loi, illégalement et normalement en connaissance de cause. Il y a eu de très nombreuses atteintes à la vie privée, partout au pays. Des personnes parcourent le contenu de vastes bases de données simplement pour se divertir. Des accusations sont portées contre ces personnes dans différentes provinces. Je pense qu'il faudrait inclure cela dans la Loi sur la protection de renseignements personnels.

    Sur le plan de la transparence, les pratiques équitables de traitement de l'information se fondent généralement sur l'avis et le consentement. Comme je l'ai dit, le consentement ne fonctionne généralement pas dans le contexte du secteur public, mais je crois qu'il faut une communication plus proactive avec les citoyens au sujet de l'information qui va être utilisée afin d'en justifier la collecte. D'autres administrations incluent régulièrement des avis de confidentialité dans les formulaires qu'ils obligent les citoyens à remplir. Elles les informent ainsi et gèrent leurs attentes concernant les raisons pour lesquelles les renseignements sont requis, la façon dont ils seront utilisés, les personnes qui en auront la garde, la façon d'y avoir accès et les faire corriger au besoin, afin d'exercer leurs autres droits en vertu de la loi.

    Toujours en ce qui concerne la transparence, je pense que la Loi sur la protection des renseignements personnels devrait donner expressément au commissaire le mandat d'éduquer les citoyens et, en parallèle, la capacité de publier des rapports sur les constatations des enquêtes en vertu de la Loi sur la protection des renseignements personnels.

    En ce moment, le commissaire publie ces constatations pour les enquêtes dans le secteur privé, mais il nous faut plus d'orientation. Cela favoriserait nettement la transparence de ce que le gouvernement fait avec les renseignements personnels s'il y avait une telle obligation, ou du moins si le commissaire avait le mandat et la capacité de faire rapport des constatations. Dans le rapport annuel du commissaire, il y a des résumés de cas dignes de mention, mais je pense que nous gagnerions tous à comprendre ce que les ministères gouvernementaux font avec les renseignements personnels des gens. Si cette information était fournie, en particulier si l'on constate qu'un ministère gouvernemental n'a pas bien agi, cela répondrait à l'important mandat d'éducation pour tous les ministères gouvernementaux, mais aussi pour les citoyens en général.

    Je pense vraiment qu'il nous faut un avis d'infraction, s'il y a une atteinte aux mesures de sécurité, comme ce qui a été ajouté à la LPRPDE dans la Loi sur la protection des renseignements personnels numériques, soit l'obligation pour l'institution gouvernementale d'en aviser le commissaire à la protection de la vie privée et les personnes touchées si un seuil acceptable a été atteint. Je pense que celui de la Loi sur la protection des renseignements personnels numériques est raisonnable.

    Au bout du compte, il faut que la loi soit efficace. Je n'aime pas particulièrement les pouvoirs exécutoires. Je pense que le modèle d'ombudsman fonctionne, mais j'en suis venu à comprendre la sagesse du modèle hybride de Terre-Neuve, selon lequel un ministère gouvernemental qui ne suit pas une recommandation relative à une obligation de la loi — collecte, utilisation, divulgation ou autres mesures de sécurité — doit faire face à la justice, justifier sa décision et expliquer pourquoi il n'a pas l'obligation de le faire. En effet, cela place le fardeau sur le ministère gouvernemental, et nous en viendrions à avoir une jurisprudence nettement plus claire. Cela pourrait se faire au moyen d'un processus de traitement accéléré, ce qui est déjà le cas en vertu de la LPRPDE, de sorte que ces causes ne deviennent pas d'énormes causes fédérales.

    Ce sont les grandes lignes de mes recommandations relatives à la loi. Elle est vraiment dépassée, désuète, et je ne pense pas qu'elle correspond aux attentes nouvelles des gens sur la façon dont leurs renseignements personnels sont recueillis, utilisés et divulgués. Nous ne devrions pas tolérer une loi quasi constitutionnelle qui a au moins deux générations de retard.

    Je vous remercie beaucoup.

    Merci beaucoup, monsieur Fraser.

    Monsieur Geist, vous avez un maximum de 10 minutes.

    Merci.

    Bonjour à vous tous. Comme vous l'avez entendu, mon nom est Michael Geist. Je suis professeur de droit à l'Université d'Ottawa, où je suis titulaire de la chaire de recherche du Canada en droit d'Internet et du commerce électronique.

    Mes domaines de spécialités sont la politique numérique, la propriété intellectuelle et la protection des renseignements personnels. J'ai siégé de nombreuses années au conseil consultatif externe du commissaire à la vie privée du Canada et j'ai eu le privilège de comparaître devant de nombreux comités sur des questions de protection des renseignements personnels, notamment au sujet de la LPRPDE, du projet de loi S-4, du projet de loi C-13 et de la Loi sur la protection des renseignements personnels, ainsi que d'une étude réalisée il y a plusieurs années par votre comité sur les médias sociaux et la protection des renseignements personnels.

    Je suis venu témoigner aujourd'hui, comme toujours, à titre personnel, ne représentant que mes propres opinions. Comme vous le savez, il y a un sentiment de déjà vu quand il est question d'examens de la Loi sur la protection des renseignements personnels. Il y a eu de nombreuses études, et de nombreux commissaires à la vie privée du Canada qui ont essayé de sonner l'alarme à cause de mesures législatives qui sont considérées — vous venez de l'entendre — comme étant désuètes et inadéquates. Je pense que les Canadiens s'attendent avec raison à ce que les règles de protection des renseignements personnels qui régissent la collecte, l'utilisation et la communication de renseignements par le gouvernement fédéral et en son sein répondent aux normes les plus strictes. Cependant, depuis des décennies, nous ne répondons pas à de telles normes.

    J'aimerais rapidement aborder certaines préoccupations relatives à la Loi sur la protection des renseignements personnels, mais si vous me le permettez, je vais parler un peu de certains autres problèmes plus généraux touchant les mesures législatives sur la protection des renseignements personnels au Canada qui sont, d'après moi, directement liés à la Loi sur la protection des renseignements personnels.

    Pour commencer, quant à la Loi sur la protection des renseignements personnels — et cela va vous dire quelque chose, car j'ai relevé certaines des choses que David vous a dites —, je pense que le commissaire à la vie privée du Canada a donné au Comité de nombreuses excellentes recommandations, et j'appuie son mémoire. Comme vous le savez, la plupart de ces recommandations ne sont pas nouvelles. Les commissaires successifs ont généralement demandé les mêmes changements, et les gouvernements successifs — peu importe le parti au pouvoir — ont négligé d'agir.

    Je veux souligner quatre problèmes en particulier, concernant la loi actuelle et, comme je l'ai dit, David en a signalé certains. La première chose est l'éducation et la capacité de répondre. L'omission de procéder à une vraie réforme de la Loi sur la protection des renseignements personnels pourrait être attribuable, du moins en partie, à la faible connaissance que le public a de la loi et de son importance. Je pense que le commissaire à la vie privée joue un rôle important dans l'éducation du public, et que c'est ce qu'il a fait pour la LPRPDE et d'autres grandes questions de protection des renseignements personnels. La Loi sur la protection des renseignements personnels a vraiment besoin de comporter un mandat de ce genre pour l'éducation du public et la recherche. De plus — et vous venez d'entendre cela —, la notion de rapport restreint sous la forme d'un rapport annuel est, je pense, le reflet d'une époque révolue. En cette ère où le cycle de nouvelles est continu en raison des médias sociaux, on ne peut permettre les restrictions à la capacité de diffuser de l'information, en particulier de l'information qui peut être liée à la protection des renseignements personnels de millions de Canadiens. Cette information ne peut être soustraite au public et réservée aux rapports annuels. Si le commissaire juge qu'il est dans l'intérêt de le faire, le commissariat doit certainement avoir le pouvoir de communiquer l'information au moment opportun.

    Je pense aussi que nous devons penser à resserrer les mesures de protection. Comme vous l'avez entendu, la Loi sur la protection des renseignements personnels est malheureusement loin de répondre aux normes d'une loi moderne sur la protection des renseignements personnels. En fait, alors qu'on attend du gouvernement qu'il soit exemplaire, il en demande beaucoup moins de lui-même que du secteur privé. Toute réforme clé devrait, à mon sens, limiter la collecte de renseignements, ce qui caractérise les mesures législatives s'appliquant au secteur privé. Le gouvernement devrait également être tenu de ne recueillir que les renseignements qui sont strictement nécessaires à ses programmes et activités.

    Je signalerais également la divulgation des cas d'infractions, ce qui est courant dans le secteur privé. Il est évident depuis longtemps qu'il faut exiger la même chose dans la Loi sur la protection des renseignements personnels. Les lignes directrices du Conseil du Trésor sont un point de départ, mais je crois qu'il faut absolument des règles juridiques. En fait, une réforme est d'autant plus nécessaire qu'il n'existe pas de normes de sécurité claires dans la loi. Il faut des dispositions établissant de telles normes et prévoyant la communication de toute atteinte à la vie privée pour établir un niveau de responsabilité convenable et pour garantir aux Canadiens qu'ils peuvent se prémunir contre le vol d'identité et autres préjudices.

    La dernière chose est l'évaluation des facteurs relatifs à la vie privée. Comme vous le savez tous, la protection des renseignements personnels nous intéresse tous de bien des façons, et elle est incluse de la même façon dans diverses lois. Au cours de la dernière session parlementaire, le commissaire à la vie privée a régulièrement comparu devant des comités pour examiner diverses lois dans la perspective de la protection des renseignements personnels. Cette façon de faire, de se pencher sur cet aspect une fois qu'un comité est saisi du projet de loi risque, je pense, de faire de la protection des renseignements personnels un aspect très secondaire tout au plus. Il est plus pertinent de réaliser une évaluation des facteurs relatifs à la vie privée avant le dépôt d'un projet de loi ou, du moins, avant sa mise en oeuvre.

    Ce sont certains des problèmes relatifs à la Loi sur la protection des renseignements personnels. Comme je l'ai dit, j'aimerais parler de trois questions plus générales qui comptent parmi les pièces mobiles de l'univers des dispositions législatives fédérales en matière de protection des renseignements personnels.

    Premièrement, il y a les dispositions du projet de loi C-51 sur la communication d'information. Je sais que le gouvernement mène en ce moment une consultation sur la Politique de sécurité nationale et qu'on met en particulier l'accent sur le projet de loi C-51. D'après moi, l'un des plus gros problèmes résidait dans les dispositions sur la communication d'information. Les préoccupations liées à la protection des renseignements personnels découlent d'une des lois incluses dans le projet de loi C-51, soit la Loi sur la communication d'information ayant trait à la sécurité du Canada. Comme vous le savez peut-être, la communication d'information a nettement dépassé l'information relative à l'activité terroriste.

    La loi permet la communication d'information partout au gouvernement pour un éventail incroyablement vaste de raisons dont très peu ont à voir avec le terrorisme. Le gouvernement précédent a essayé de justifier ces dispositions en soutenant que les Canadiens appuieraient la communication d'information aux fins de sécurité nationale, mais la loi permet maintenant la communication de renseignements qui, je pense, surprendraient et dérangeraient de nombreux Canadiens, étant donné l'interprétation très large qu'on fait de ces dispositions.

    De plus, la communication de l'information se fait très largement, 17 institutions gouvernementales étant incluses, et plusieurs d'entre elles n'ont qu'un lien indirect, si elles en ont un, avec la sécurité nationale. Le document d'information relatif à la consultation sur la sécurité nationale soulève cette question, mais il défend d'après moi dans une grande mesure le statu quo, ne mentionnant qu'une possibilité de modifier le libellé pour l'éclaircir. Si nous ne réglons pas la question de la communication d'information, je crains que cela mine une grande partie des améliorations qui pourraient être apportées à la Loi sur la protection des renseignements personnels. Je crois qu'il faut un réexamen complet de la communication d'information au sein du gouvernement et des mesures de protection qui existent afin de prévenir un mauvais usage des renseignements.

    Deuxièmement, je veux parler de la transparence et de la reddition de compte dans une perspective légèrement différente. Comme vous êtes nombreux à le savoir, au cours des dernières années, nous avons entendu des révélations stupéfiantes sur les demandes et la communication de renseignements personnels de millions de Canadiens, des millions de demandes, la majorité sans l'intervention des tribunaux ou sans mandat, ce qui fait ressortir, d'après moi, les faiblesses réelles des mesures législatives canadiennes en matière de protection des renseignements personnels. La plupart des Canadiens n'ont aucune idée de ces divulgations et sont choqués d'apprendre à quel point elles sont fréquentes.

    L'attention s'est portée récemment sur l'établissement de rapports de transparence dans le secteur privé. Les grandes entreprises Internet comme Google et Twitter ont rendu publics des rapports de transparence, et d'importantes entreprises canadiennes de communication comme Rogers et Telus ont fait de même. Il y a toujours des réfractaires, comme Bell, mais nous avons une meilleure idée des demandes et des communications qu'avant. Cependant, ces rapports ne représentent qu'un côté de la médaille. Le public serait bien mieux informé des demandes et des communications si le gouvernement publiait aussi des rapports de transparence. Il n'est pas nécessaire d'inclure les enquêtes en cours, mais il n'y a pas vraiment de raison pour que le gouvernement ne soit pas tenu de répondre aux mêmes attentes que le secteur privé en matière de transparence. En fait, le Parti libéral a mis l'accent sur la transparence, dans son programme électoral. Il est absolument essentiel d'améliorer l'accès à l'information, mais la transparence, ce n'est pas qu'ouvrir les portes aux demandes de renseignements. La communication proactive des demandes de renseignements sur les Canadiens doit faire partie de la même équation.

    Pour mon troisième et dernier point, je veux parler brièvement des capacités d'interception et de déchiffrement mandatées par le gouvernement. La consultation sur la sécurité publique que j'ai mentionnée et qui a été lancée au début du mois a été dans une grande mesure désignée comme étant une consultation sur le projet de loi C-51, mais c'est bien plus que cela. Le retour des questions relatives à l'accès légal pourrait mener à la mise aux rebuts du compromis sur l'accès légal auquel on était arrivé en 2014, et je pense que cela soulève de graves préoccupations en matière de protection des renseignements personnels.

    Par exemple, la consultation suppose que le « manque de capacité d'interception, uniforme et fiable, sur les réseaux nationaux de télécommunication » représente un risque pour les capacités d'enquête des forces de l'ordre. Ce qu'on ne dit pas, c'est que les solutions antérieurement proposées, les capacités d'interception mandatées par le gouvernement, ont été rejetées en raison des coûts énormes, du manque d'uniformité dans la mise en oeuvre et de l'inefficacité vraisemblable des normes qui exempteraient de nombreux petits fournisseurs. Des capacités d'interception mandatées par le gouvernement pour tous les fournisseurs représentent un risque énorme sur le plan de la protection des renseignements personnels, et cela ne tiendrait nullement compte de la LPRPDE et de la Loi sur la protection des renseignements personnels.

    De plus, dans le document relatif à la consultation, on présente une autre question de politique controversée en soulignant que le chiffrement est « essentiel à la cybersécurité, au commerce électronique, à la protection des données et de la propriété intellectuelle et aux intérêts commerciaux de l'industrie des communications », tout en déplorant que ces mêmes technologies puissent être exploitées par des criminels et des terroristes.

    Compte tenu de son usage répandu et de son importance commerciale, peu de pays ont imposé des exigences de déchiffrement. La controverse de cette année concernant l'accès aux données d'un iPhone d'Apple appartenant au tireur de San Bernardino, en Californie, a ravivé le débat sur l'accès aux communications chiffrées. Dans le document de consultation, on demande aux Canadiens de donner leur point de vue sur les circonstances dans lesquelles il pourrait être approprié de permettre aux forces de l'ordre d'imposer le déchiffrement. Opter pour le déchiffrement obligatoire menacerait plus que notre vie privée. Notre stratégie d'innovation et notre sécurité personnelle entreraient aussi en jeu.

    En terminant, il est grand temps de modifier la Loi sur la protection des renseignements personnels. Tout le monde sait ce qu’il doit être fait. Plusieurs études et commissaires à la protection de la vie privée ont cerné les problèmes et demandé une réforme de la loi. Ce ne sont pas les informations qui manquent, mais bien, sauf votre respect, la volonté politique d’obliger le gouvernement à respecter les mêmes normes que les autres.

    Je serai heureux de répondre à vos questions.

    Merci beaucoup, monsieur Geist. Nous avons entendu deux exposés intéressants qui nourriront certainement nos questions.

    Nous allons amorcer notre première série de questions. Les intervenants disposeront de sept minutes chacun.

    Monsieur Lightbound, vous avez la parole.

     Merci, monsieur le président.

    Je vais m'exprimer en français et je vais donc demander aux témoins de mettre leurs oreillettes.

    Tout d'abord, je vous remercie, messieurs, de votre présence parmi nous aujourd'hui.

    Monsieur Geist, je suis vos travaux depuis plusieurs années et je veux vous dire que la façon par laquelle, au cours de cette période, vous avez tenu le gouvernement responsable et imputable est éminemment patriotique. Je vous remercie de l'avoir fait sur tous les enjeux que vous avez abordés.

    Ma première question concerne les exceptions qui existent dans la Loi sur la protection des renseignements personnels.

    Par exemple, à l'article 2, on souligne que les agences gouvernementales peuvent partager de l'information entre elles. Dans le projet de loi C-51, il est écrit que nous devons respecter la Loi sur la protection des renseignements personnels. La Loi mentionne que de l'information peut être partagée entre les institutions dans la mesure où la réglementation d'autres lois fédérales est respectée.

    Ne retrouve-t-on pas un peu à cet égard une quadrature du cercle dans le sens où les protections qu'on retrouve dans la Loi sur la protection des renseignements personnels deviennent caduques? J'aimerais vous entendre à ce sujet. Comment devrions-nous aborder les exceptions ou les autorisations relatives au partage des informations que l'on retrouve dans la Loi sur la protection des renseignements personnels?

    Je peux répondre en premier, si vous le voulez. J’aimerais d’abord vous remercier pour ces bons mots. Je croirais presque entendre ma mère. Merci beaucoup. C’est très gentil.

    La question que vous soulevez est l’une des plus difficiles avec lesquelles nous devons composer. Comme je l’ai dit, nonobstant le manque de volonté politique pour régler une question épineuse évidente, une partie du défi repose sur le fait qu’il faut trouver un certain équilibre.

    Concernant les exceptions stipulées dans la loi et proposées dans le projet de loi C-51, je crois qu’il y a un grand désir de reconnaître que, dans un monde axé sur les données, les données ont une valeur et nous souhaitons que le gouvernement soit plus avisé, qu’il agisse plus intelligemment et qu’il puisse utiliser certains de ces renseignements. Il pourrait, par exemple, adopter des mesures de protection semblables à celles que l’on retrouve dans le secteur privé — la dépersonnalisation des données, dans de nombreux cas — de façon à ce que la valeur des données ne découle pas des personnes en tant que telles, mais plutôt de l’ensemble des renseignements. Nous souhaitons que le gouvernement adopte ce genre de pratique.

    Là où cela est impossible, nous devons trouver des façons de renforcer les mécanismes de rapports et créer des mécanismes de surveillance plus rigoureux au sein du gouvernement, tout en reconnaissant que, dans certains cas, le partage de renseignements est important, notamment lorsqu’il y a urgence. Mais, ce qui manque, et nous l’avons tous les deux signalé dans notre exposé, c’est un cadre de responsabilisation qui permet au public de mieux comprendre pourquoi les renseignements sont partagés et à des agents indépendants d’effectuer des examens plus efficaces de façon à ce que le public sache que des renseignements sont partagés, s’il y a lieu.

    Ma deuxième question s'adresse aux deux témoins.

    Vous n'avez pas parlé de ces aspects dans vos présentations, mais il y a des instances, par exemple, dans des aéroports canadiens, qui faisaient de la cueillette de métadonnées au sujet des Canadiens de façon à avoir une idée très claire de l'itinéraire virtuel d'un individu.

    Pensez-vous que la Loi sur la protection des renseignements personnels serait le bon endroit où pourraient être définies ce que sont les métadonnées? Devrions-nous s'attarder à cet aspect ou devrions-nous plutôt le retrouver dans la Loi sur la défense nationale ou dans d'autres lois?

    Je suis heureux de vous offrir mon point de vue à ce sujet.

    La Loi sur la protection des renseignements personnels est tout indiquée pour aborder la question des métadonnées. Selon la définition dans la loi, si elle est modifiée afin de tenir compte des enregistrements, les renseignements personnels sont des renseignements concernant une personne. Les métadonnées, y compris leur contenu, sont des renseignements permettant d’identifier une personne. Ce sont tous des renseignements personnels.

    Concernant l’utilisation ou la collecte de ces métadonnées et les pouvoirs relatifs à la collecte de données, notamment pour des raisons de sécurité nationale, il paraît logique que cela soit abordé dans une loi portant sur la sécurité nationale.

    Depuis des années, les organismes d’application de la loi, notamment, comparent les métadonnées à de la poussière; elles ne valent rien. En réalité, les métadonnées peuvent être très importantes en ce qui a trait aux renseignements biologiques des gens. L’itinéraire de voyage de quelqu’un ne dit pas avec qui cette personne s’est entretenue à la fin de son voyage. Par contre, il nous apprend où cette personne est allée et pendant combien de temps elle est partie, notamment. À mon avis, ces données doivent être traitées comme des renseignements personnels. C’est banaliser ces données que de prétendre qu’elles sont complètement distinctes des renseignements personnels. C’est trompeur.

    Je suis généralement d’accord avec David.

    Je me souviens, lors de mes témoignages devant les comités de la Chambre et du Sénat concernant le projet de loi C-13, le projet de loi sur l’accès licite, que de nombreux témoins tentaient de souligner l’importance des métadonnées. Il est encourageant de constater que la question est abordée dès le début et que l’importance de ces renseignements est reconnue.

    La communauté de la protection des renseignements personnels et la communauté technique — les deux se sont prononcées sur la question — ont continuellement affirmé qu’il faut considérer les métadonnées comme des renseignements personnels. C’est une chose que nous ne faisons toujours pas. Honnêtement, on nous a généralement répondu avec mépris sur la question, que, comme le soulignent les organismes d’application de la loi, les métadonnées sont à peine plus importantes que de la poussière et que les seuils moins élevés sont appropriés.

    Pourtant, lorsqu’on constate ce que les métadonnées peuvent nous apprendre sur les gens, comme l’ont parfois dit certains pouvoirs aux États-Unis… je crois que c’est Stewart Baker, l’ancien avocat général de la NSA, qui disait: « Nous tuons des gens en nous appuyant sur des métadonnées. »

    La valeur et l’importance potentielle de ces renseignements sont énormes. La question n’est pas de savoir dans quelle loi il faut aborder ce sujet. Il est essentiel que les métadonnées soient considérées comme étant des renseignements des plus confidentiels, tant dans la Loi sur la protection des renseignements personnels que dans d’autres instruments législatifs où il est question de ces données.

     Ma prochaine question s'adresse à vous, monsieur Geist.

    Sur quel modèle devrait-on s'inspirer sur le plan international? Je sais, par exemple, que les Allemands ont des lois assez fortes en matière de protection de la vie privée.

    Y a-t-il un modèle en particulier auquel vous pensez qui pourrait inspirer notre comité au moment où nous procédons à la révision de la Loi sur la protection des renseignements personnels?

    Je dirais d'abord qu'il est intéressant de souligner que le Canada a été considéré comme un modèle, notamment en ce qui concerne le secteur privé. Cela ne signifie pas pour autant que la LPRPDE est parfaite, car elle ne l'est pas.

    C'est le prochain point que nous voulons aborder.

    Il y a assurément matière à amélioration, mais si vous examinez les points de vue divergents sur la protection de la vie privée, vous verrez que le point de vue européen tend davantage vers une approche axée sur les droits de la personne, tandis que le point de vue américain tend à être davantage axé sur le commerce. À mon avis, le compromis canadien est généralement perçu comme une bonne solution.

    Ce qui fait l'efficacité de l'approche canadienne, selon moi, c'est qu'elle est fondée sur des principes internationaux en matière de protection de la vie privée, des principes qui ont été mis à jour au fil du temps. Je ne crois pas qu'il faille regarder bien loin pour trouver le genre de normes ou le genre d'exemple dont nous avons besoin. Ce genre de normes, dont vous avez continuellement entendu parler dernièrement, je crois, ne se reflète pas dans l'actuelle Loi sur la protection des renseignements personnels. D'une certaine façon, le point de départ consiste à définir ce qui est perçu comme la norme et de trouver des façons de s'assurer que la loi canadienne s'y conforme.

    Voilà qui fait près de huit minutes, monsieur Lightbound.

    Monsieur Fraser, je ne sais pas si vous vouliez ajouter quelque chose, mais je suis certain que vous en aurez l'occasion.

    Nous passons maintenant à M. Jeneroux, pour sept minutes.

    Merci beaucoup.

    Monsieur Lightbound, je vous remercie d'avoir indiqué officiellement où nous voulons amener la discussion, même si je suis certain que vous trouveriez ce débat tout de même intéressant si vous étiez de ce côté-ci de la table...

    J'aurais dû dire que cela pourrait être notre prochain point.

    Exactement; je vous en suis reconnaissant.

    Je vous remercie tous les deux d'être venus aujourd'hui. Je vous suis reconnaissant d'avoir pu vous libérer de vos obligations quotidiennes pour comparaître au Comité.

    Monsieur Fraser, je n'ai pas été assez rapide pour prendre en note vos propos. Avez-vous dit que l'approche que vous préférez est le modèle hybride? Pouvez-vous nous expliquer de façon plus détaillée, aux fins de compte rendu, pourquoi ce modèle est le meilleur modèle exécutoire?

    Avec plaisir. Je pense qu'une mesure législative dépourvue de mordant pose problème, en fin de compte. Obliger la personne en cause à s'adresser au tribunal et à devoir prouver au juge que ses droits ont été violés, d'une façon ou d'une autre, représente à mon avis un fardeau trop lourd pour un particulier. De plus, lorsqu'on regarde les facteurs financiers entre les deux — le gouvernement et le particulier —, on constate que c'est plutôt décourageant pour le particulier.

    Les possibilités sont probablement meilleures lorsque le commissaire n'a pas le pouvoir d'obliger une personne à faire quelque chose, mais qu'il détient tout de même un pouvoir considérable pour exiger la tenue de discussions. C'est ce que j'ai vu dans le secteur privé. C'est une approche bien moins conflictuelle. Le commissaire aurait la possibilité de discuter avec les responsables de l'entité publique et d'user de persuasion morale pour leur faire prendre conscience de la situation et leur présenter une recommandation. Ensuite, si l'organisme gouvernemental décidait de ne pas suivre cette recommandation, c'est à lui qu'il incomberait de se présenter devant le juge pour faire valoir qu'il ne s'agit en aucun cas d'une obligation prévue par la loi. Les divergences d'opinions sont manifestement possibles.

    Pour moi, il s'agit à la fois de ne pas modifier la nature de l'interaction entre le Commissariat et le particulier — ou le Commissariat et l'organisme — et de veiller à ce que le fardeau de la preuve incombe à la partie pertinente et que les conséquences soient assumées par la partie pertinente, d'ailleurs. Je pense aussi que cela permet une certaine... Si le commissaire a un mandat d'éducation et un mandat de défense des droits, parmi bien d'autres choses, on ne veut pas lui confier un rôle essentiellement comparable à celui d'un tribunal. Il convient de maintenir une séparation à cet égard. Le commissaire fait une recommandation, et si l'organisme choisit de ne pas la suivre, il pourrait lui incomber de justifier cette décision.

    Monsieur Geist, avez-vous des observations sur le modèle exécutoire hybride?

    Oui. Je dois admettre que la plupart de mes observations sont liées au contexte du secteur privé. Je n'ai pas eu le privilège de participer aux discussions internes entre le Commissaire à la protection des renseignements personnels et un ministère. Je suis convaincu — et je crois être en désaccord avec mon collègue sur ce point — que ces pouvoirs exécutoires sont nécessaires, du moins dans le contexte du secteur privé.

    Il y a deux ou trois raisons à cela. Je pense que les cas que nous avons eus au cours des dernières années démontrent l'importance de sanctions réelles. Le gouvernement conservateur a parfois été critiqué pour sa position à l'égard de certaines mesures législatives en matière de protection des renseignements personnels, mais un des aspects pour lesquels il a adopté des règles très strictes — je pense que nous en avons constaté certains des effets —, est la Loi canadienne anti-pourriel. La mesure législative fait évidemment l'objet de débats, mais je pense qu'elle a incontestablement eu pour effet d'attirer l'attention des entreprises, ce qui n'aurait pas été possible avec une loi dépourvue de mordant. La différence est évidente.

    Je dirais également que nous avons maintenant assez d'expérience avec des entreprises prêtes à faire fi de l'opinion du commissaire à la protection des renseignements personnels pour savoir, à mon avis, qu'il est nécessaire d'adopter une position plus ferme. Un cas classique est celui de Bell — un cas qui refait surface, je suppose —, par rapport à la décision sur la publicité ciblée. Il y a eu un long processus d'enquête auquel de nombreux Canadiens ont participé. Je crois que lorsque cet enjeu a commencé à attirer l'attention, il y a eu plus de plaintes à ce sujet que pour tout autre aspect. Le commissaire a tiré des conclusions et la position initiale de Bell consistait essentiellement à dire: « Eh bien, soit; c'est votre opinion et nous ne sommes pas d'accord. »

     J'ai de la difficulté à comprendre comment il est possible, étant donné l'importance que nous accordons au rôle du Commissaire à la protection de vie privée et aux responsabilités qui lui incombent, que les entreprises puissent adopter une telle position et dire qu'elles vont s'adresser aux tribunaux et contester une décision pendant plusieurs années avant de décider elles-mêmes de la suite des choses. Bell a finalement battu en retraite, mais je pense qu'avec un pouvoir exécutoire, la dynamique aurait été totalement différente.

    C'est un point de vue intéressant.

    J'aimerais changer de cap et parler de la technologie et de son évolution constante. La Loi sur la protection des renseignements personnels n'a pas été modifiée depuis 1983, comme vous l'avez tous les deux indiqué, je crois. Il existe toutefois diverses politiques gouvernementales qui pourraient être plus pertinentes et pourraient être adaptées en fonction de certaines de ces choses. J'aimerais avoir vos observations sur le nombre d'aspects visés par la loi comparativement aux politiques ministérielles se rapportant à des technologies émergentes.

    Monsieur Geist, vous avez mentionné que vous avez comparu au Comité dans le cadre de son étude des médias sociaux et de la LPRPDE. J'aimerais savoir dans quelle mesure, selon vous, nous devrions inclure de telles choses dans la loi.

    Dans un premier temps, je peux dire qu'il est toujours difficile de suivre l'évolution de la technologie et que nous reconnaissons tous, je pense, que le processus législatif ne suit pas la même cadence que l'évolution de la technologie. C'est indéniable, selon moi. Il me semble logique qu'il faille parfois éliminer les lacunes découlant de l'avancée remarquable de la technologie lorsqu'une intervention urgente s'impose, mais je pense qu'il faut en même temps s'assurer d'avoir des mesures législatives qui reposent sur des assises solides, ce qui signifie qu'elles doivent être mises à jour périodiquement.

    En fait, c'est le gouvernement conservateur qui a fait valoir — par rapport à au moins deux aspects qui me permettent pour ainsi dire de gagner ma vie, soit le droit d'auteur et la protection des renseignements personnels — qu'il tenait à inclure l'examen obligatoire de la loi afin qu'elle demeure à jour dans un contexte en évolution rapide. L'examen de la Loi sur le droit d'auteur aura lieu l'an prochain. La LPRPDE a été la première à comprendre un tel objectif, soit la tenue d'un examen obligatoire tous les cinq ans. Je ne crois pas que cela ait été respecté, pour être honnête.

    Je pense qu'il faut établir des fondations solides. Bien qu'il soit pertinent d'ajouter des dispositions aux lois existantes lorsque des problèmes surviennent, cette mesure législative est à peine adaptée à l'ère du magnétoscope à cassettes. Il faut remonter loin en arrière lorsqu'on pense à la technologie qui existait à l'époque où la loi est entrée en vigueur comparativement à la technologie du monde dans lequel nous vivons aujourd'hui. Abstraction faite de certains efforts visant à corriger certains problèmes à l'aide de directives, notamment, ce dont nous avons fondamentalement besoin, c'est d'établir une base de référence pertinente.

    Merci beaucoup. Nous avons légèrement dépassé les sept minutes.

    Monsieur Blaikie, allez-y. Vous avez sept minutes.

    Merci beaucoup.

    Monsieur Fraser, dans votre exposé, vous avez brièvement parlé de la notion selon laquelle le travail produit par un fonctionnaire ne devrait pas faire partie des renseignements personnels de ce fonctionnaire. Pourriez-vous donner des précisions à cet égard, ou présenter un exemple ou un cas précis? Pouvez-vous nous donner des précisions supplémentaires sur la façon dont cela fonctionne actuellement et nous dire ce qui doit être corrigé?

    Certainement.

    La Loi sur l'accès à l'information prescrit la transparence, mais elle comporte des garanties contre les intrusions déraisonnables dans la vie privée; les seuils à cet égard sont énoncés dans des dispositions de clarification. On utilise évidemment la même définition de « renseignements personnels » que dans la Loi sur la protection des renseignements personnels.

    Une des notions qui provient du secteur privé, c'est la reconnaissance d'une exception pour le travail produit, ce qui signifie qu'un document que vous produisez dans le cadre de vos fonctions est lié à votre travail et ne fait pas partie de vos renseignements personnels. Il ne s'agit pas d'un document à votre sujet. Vous ne pouvez donc pas invoquer soudainement le droit à la protection des renseignements personnels pour essayer d'empêcher sa divulgation. Je crois que George Radwanski a été le premier commissaire à soulever ce point. Il pourrait presque être l'auteur de cette disposition.

    Quant aux informations relatives au lieu d'affectation d'un fonctionnaire donné à une date précise, par exemple, j'ai parfois entendu dire que cette information ne peut être divulguée parce qu'il s'agit d'une question de protection des renseignements personnels. Toute information sur le rôle, le poste et même le salaire d'un fonctionnaire est une information liée aux activités du gouvernement, et devrait par conséquent être transparente.

    Les informations sur l'emploi du temps d'un sous-ministre — outre les rendez-vous médicaux, évidemment — peuvent être utiles pour inciter le gouvernement à la vigilance et favoriser la reddition de comptes. J'ai trop souvent entendu des arguments comme celui-ci: « La Loi sur la protection des renseignements personnels nous interdit de le faire. » Je pense qu'une clarification réelle s'impose tant dans les politiques que dans la loi afin d'établir clairement que la loi ne peut servir d'excuse pour soustraire le gouvernement de son obligation de rendre compte.

    Un autre thème que vous avez abordé tous les deux aujourd'hui et qui a aussi été soulevé lors de séances précédentes est celui de l'obligation de signaler les atteintes, et les sanctions en cas d'atteinte. L'une des préoccupations à cet égard est évidemment qu'un organisme, par exemple, pourrait dissimuler une atteinte qu'il devrait signaler pour éviter les sanctions. Sans aller jusqu'à proposer la levée des sanctions en cas de signalement d'une atteinte, un témoin a évoqué la possibilité de modifier la gradation des sanctions lorsque certaines mesures ont été prises, notamment le chiffrement, etc.

    Est-ce que l'un d'entre vous souhaiterait parler de l'interaction entre les signalements et les sanctions et nous faire part de ses observations sur la forme que pourrait prendre un régime fonctionnel?

    Dans les modifications apportées à la loi visant le secteur privé — la LPRPDE — par la Loi sur la protection des renseignements personnels numériques, il y a un seuil qui présente un risque réel de préjudice grave. Il s'agit en partie d'un énoncé de principes, mais si l'information est chiffrée et que personne ne peut y avoir accès, selon des critères raisonnables, le risque de préjudice grave est considérablement réduit, de sorte que l'incident pourrait ne pas atteindre le seuil de signalement. Je pense en effet qu'une certaine souplesse est nécessaire. On ne peut pas être trop normatif dans ce genre de situation.

    Fait important, avec la Loi sur la protection des renseignements personnels numériques, le législateur a incorporé à la mesure législative destinée au secteur privé de nouvelles infractions relatives au défaut de signalement des atteintes. Une personne peut être déclarée coupable d'une infraction pour avoir omis de signaler un incident. Je ne sais pas si cela fonctionnerait nécessairement dans la fonction publique. Je pense qu'il vaut la peine d'étudier la question. En toute logique, le gouvernement devrait respecter la loi si la loi exige le signalement.

    En fait, je serais favorable à la baisse des seuils à respecter pour le signalement au commissaire à la protection des renseignements personnels. Le commissaire pourrait ainsi formuler une opinion éclairée sur la question de savoir si l'atteinte présente un risque réel de préjudice grave. En outre, le commissaire devrait pouvoir aviser lui-même les personnes en cause, aux frais de l'organisme, si l'organisme refuse de le faire.

    David soulève un point important. Dans un régime de divulgation des atteintes, les seuils sont une nécessité. Les personnes qui militent activement pour la protection des renseignements personnels diront que si nous adoptons les seuils les moins élevés, alors pratiquement tout pourrait faire l'objet d'un signalement. Cela entraînerait non seulement des coûts élevés pour les organismes, mais réduirait le régime de signalement et de divulgation à un simple bruit de fond, en quelque sorte, du point de vue des particuliers. Dans le cas présent, l'objectif est d'attirer leur attention et de leur permettre de régler le problème.

    Si des signalements sont faits tous les jours en raison de seuils incroyablement bas, la valeur médiatique de ces nouvelles s'en trouvera presque réduite à néant, car on aura l'impression qu'il ne s'agit que d'une journée comme une autre. Les gens auront de plus en plus tendance à ne pas en tenir compte, malgré le fait que cela représente des dépenses élevées.

    Je pense que David a raison. L'enjeu est de savoir comment s'assurer que les cas importants, ceux qui présentent un risque réel, sont signalés aux personnes touchées. Il faut en outre s'assurer, en même temps, d'éliminer la réticence possible des organismes — privés et publics —, à tout le moins celle qu'ils ont à l'égard du signalement initial, de façon à ce que nous puissions évaluer les risques convenablement.

    Abaisser le seuil et miser sur un organisme de confiance capable d'assurer la confidentialité comme le Commissariat la protection des renseignements personnels constitue un système de contrepoids plutôt intéressant qui permet l'examen externe des risques encourus et qui garantit que les personnes touchées qui ont un réel besoin de savoir sont avisées.

    Pour aborder un sujet légèrement différent, j'aimerais simplement savoir si nous avons déjà les mécanismes nécessaires à l'établissement de rapports de transparence. Est-ce simplement une question de faire rapport publiquement d'activités existantes des ministères? Sinon, quel genre de mécanisme vous faut-il? Quelle serait l'ampleur des changements organisationnels nécessaires à la mise en oeuvre d'un système de présentation de rapports périodiques sur la transparence?

    Je vais commencer par dire que cela dépend un peu de la personne qui rend les comptes. Commençons avec les forces de l'ordre et quelques-unes de ces demandes auprès des corps policiers. Nous savons qu'il a fallu de nombreuses années pour que les forces de l'ordre recueillent ce type de renseignements. Elles le font principalement parce que les demandes pour avoir plus facilement accès à ces renseignements étaient assorties de questions comme celle-ci: « À quelle fréquence accédez-vous à ces renseignements? Donnez-nous des données réelles. » Au final, il y avait très peu de données.

    Nous avons maintenant des données, mais je pense qu'il est quand même juste de dire qu'il y a de nombreux services de police qui ne recueillent pas complètement ces renseignements ou utilisent un mécanisme quelque peu désordonné. Si des exigences en matière de divulgation étaient en place, il y aurait également des exigences pour recueillir systématiquement les données.

    J'ai l'impression, en fait, qu'il est non seulement dans l'intérêt du public d'avoir accès à ces renseignements, mais aussi dans celui des organismes. Les mêmes entités disent maintenant qu'elles veulent accéder plus facilement à ces renseignements, en dépit du compromis législatif de 2014 et de l'arrêt Spencer de la Cour suprême du Canada. Je pense qu'elles ont à tout le moins la responsabilité de fournir plus de données sur ce qui se passe vraiment, plutôt que sur des incidents isolés.

    À l'heure actuelle, nous dépendons fortement de ce que nous pouvons apprendre des fournisseurs de services Internet et des entreprises de télécommunications sans, comme je l'ai mentionné, uniformité. Je pense que nous devons regarder de l'autre côté de la médaille en créant des obligations de collecte systématique et de divulgation. Je pense qu'il est très important de regrouper ces renseignements.

    Merci, monsieur Blaikie.

    Nous allons maintenant entendre notre dernier intervenant de la série de questions de sept minutes, M. Erskine-Smith.

    Merci beaucoup.

    Ma première question porte sur l'échange de renseignements. La Loi sur la protection des renseignements personnels régit l'échange de renseignements. Le commissaire à la protection de la vie privée a recommandé que des ententes écrites en matière d'échange de renseignements soient conclues entre les ministères.

    Monsieur Geist, vous avez dit que nous devrions procéder à un réexamen généralisé de l'échange de renseignements en ce qui a trait précisément à la nouvelle loi. Pouvons-nous régler les problèmes que vous avez relevés concernant la nouvelle loi dans le cadre de la Loi sur la protection des renseignements personnels? Existe-t-il des moyens de modifier la Loi sur la protection des renseignements personnels pour qu'elle traite de l'échange de renseignements de façon plus substantielle, ou le Comité, dans le cadre d'études futures, devrait-il se pencher sur cette nouvelle Loi sur la communication d'information et formuler des recommandations pour les deux?

    Merci de vos questions. Pour répondre à la dernière, je pense qu'il ne faut pas forcément choisir entre les deux. Je pense qu'il y a sans aucun doute un rôle que le Comité doit jouer pour régler certaines de ces questions. Par exemple, l'une des questions sur lesquelles j'ai consacré beaucoup de temps dernièrement est le Partenariat transpacifique, le PTP. Comme vous le savez sans doute, de nombreux comités étudient les répercussions du PTP. Bien entendu, le Comité du commerce international se penche sur la question, mais pas seulement lui. Le Comité de l'agriculture et d'autres comités examinent les répercussions de cet accord sur leurs champs de compétence.

    Je pense qu'il en va de même lorsque nous regardons ce qui se passe dans les consultations sur la sécurité nationale. Je pense qu'il y a clairement des répercussions à étudier par plusieurs autres comités, et pas seulement le vôtre. Par exemple, il me semble assez clair que les répercussions de certaines de ces questions dont j'ai parlé sont énormes, ou seraient énormes, sur l'industrie des communications, sur le Comité de l'industrie, sur la SITA, ou peu importe comment nous l'appelons de nos jours. Si nous n'examinons pas ces questions, alors nous oublions un élément.

    Outre la recommandation du commissaire à la protection de la vie privée voulant que des ententes écrites en matière de communication de renseignements soient conclues, y a-t-il d'autres mesures que nous pourrions inclure dans la Loi sur la protection des renseignements personnels qui pourraient contribuer à régir la communication de renseignements de façon plus concrète?

    Je pense qu'une déclaration de principe générale qui trouverait sa place dans la Loi sur la protection des renseignements personnels dans laquelle on fait état que toutes les ententes officielles ou non officielles en matière de communication de renseignements entre une institution gouvernementale et une autre institution gouvernementale ou un autre... Il y a sans arrêt des échanges de renseignements entre le gouvernement fédéral et les provinces, tout comme à l'échelle internationale entre l'ARC et l'IRS aux États-Unis. Nous le voyons de plus en plus. Il devrait y avoir un cadre décisionnel qui établirait ce qui peut être échangé et communiqué, définirait en quoi consiste un usage compatible et expliquerait pourquoi l'information a été colligée dans un premier temps. Tous ces protocoles d'entente devraient être regroupés à un seul endroit, sur le site Web, et devraient être accessibles aux membres du public pour qu'ils puissent comprendre ce qui se passe réellement.

    Parfait.

    En ce qui concerne les mesures de redressement et les recours, vous en avez parlé brièvement. Des questions ont été posées à ce sujet dans le passé. Quel modèle devrions-nous envisager? Il y a la LPRPDE, par exemple, visée aux articles 14 à 16, et il y a la présentation de demandes devant les tribunaux pour réclamer des dommages-intérêts. La dernière fois que j'ai vérifié, les dommages-intérêts pour une fouille à nu illégale s'élevaient à 5 000 $. Ce n'est peut-être pas beaucoup d'argent, mais est-ce le modèle que nous examinerons, ou y a-t-il d'autres modèles que nous devrions envisager en ce qui concerne les recours judiciaires et l'application des mesures de redressement?

    Ce qui me vient tout de suite à l'esprit, c'est qu'il y a une distinction entre s'adresser aux tribunaux pour obliger le gouvernement à faire ce qu'il est censé faire de par la loi et l'empêcher de faire ce qu'il n'est légalement pas censé faire: c'est un peu comme votre examen judiciaire classique ou la mise en oeuvre d'une ordonnance de faire ou de ne pas faire quelque chose.

    Lorsqu'il est question de causer du tort à des personnes en lien avec ce genre de choses, je dirais, dans un premier temps, de vous assurer qu'il n'existe aucune disposition dans la Loi sur la protection des renseignements personnels qui empêcherait cette possibilité. Il y a un article qui stipule qu'aucune institution gouvernementale ou qu'aucun fonctionnaire n'est responsable des actes commis en toute bonne foi dans le cadre de l'application de la loi. Il a été utilisé par le ministère fédéral de la Justice qui disait, « Nous sommes à l'abri des poursuites judiciaires ». Cet article a été invalidé par la Cour d'appel fédérale dans une audience à laquelle j'ai participé en avril.

    Là encore, vous devez vous assurer que les préjudices à la vie privée sont importants  — car on le reconnaît de plus en plus dans la jurisprudence et dans l'évolution de la common law au Canada et du Code civil au Québec.

    Devrions-nous autoriser ce genre de réclamations dans une loi? De toute évidence, la loi actuelle... Il existe une jurisprudence à l'heure actuelle qui défait ce sur quoi le gouvernement aimerait compter dans la loi. Devrions-nous les autoriser en vertu de la loi?

    Je serais prudent. D'autres lois sur la protection des renseignements personnels, ailleurs au Canada, ont des dispositions qui permettent aux gens de réclamer des dommages-intérêts après avoir passé par le processus du commissaire à la protection de la vie privée. De façon générale, les tribunaux ont dit qu'ils ne ferment pas la porte à d'autres avenues, mais vous devez bien faire attention.

    On peut voir un mécanisme... Par exemple, vous avez mentionné, à juste titre, que les préjudices à la vie privée sont assez modestes lorsqu'il est question de dommages généraux, de blessures morales, de honte, et ce genre de choses. Il vaut rarement la peine pour une personne d'embaucher un avocat et de se présenter devant un tribunal pour obtenir 5 000 $ en dommages-intérêts.

    Si vous voulez autoriser des réclamations individuelles sur un seuil de dépenses assez bas, je pense que c'est très logique, mais si vous le faites de manière à passer par une plainte déposée au commissaire à la protection de la vie privée en premier, alors il n'y a aucun mécanisme, par exemple, prévu dans la LPRPDE. Un requérant s'adresse à la Cour fédérale pour obtenir un verdict et des dommages-intérêts. On ne veut pas fermer la porte à cette avenue, ce qui donnerait carte blanche au gouvernement fédéral pour causer énormément de torts pour lesquels il ne serait pas responsable légalement.

    En ce qui a trait à l'obligation, ce n'est pas une idée que nous avons vraiment étudiée, mais je veux simplement aborder le sujet. J'essaie de penser à un exemple. Je pense qu'une mesure législative est présentée actuellement à la Chambre sur la collecte de renseignements à la frontière. L'ASFC saura maintenant quand les gens quittent le pays, et nous allons recueillir les données sur le nombre de jours qu'ils auront été à l'étranger, ce que nous n'avons pas fait de façon précise jusqu'à présent. Le simple fait de recueillir des renseignements à des points de données et de les communiquer avec d'autres organismes gouvernementaux qui veulent peut-être savoir, par exemple, si une personne présente une réclamation aux services de santé ou aux services gouvernementaux cadre-t-il dans la loi? Cette exigence correspondrait-elle à un échange de renseignements approprié? Elle permet de toute évidence au gouvernement de faire le travail qu'il est censé faire, soit s'assurer que les services sont offerts aux bonnes personnes. Est-ce que c'est conforme à ce que l'on entend par « exigence »?

    Je vais commencer par vous donner une réponse typique qu'un avocat vous donnerait. Je pense que cela dépend.

    Je peux imaginer quelques scénarios tirés de votre exemple particulier. Je peux imaginer un scénario où, en Ontario par exemple, la RAMO ou le ministère provincial de la Santé ont des raisons de croire qu'une personne est demeurée à l'extérieur de la province ou du pays pendant une année entière et ne peut donc pas être admissible à l'assurance-maladie. Il y a des preuves en ce sens, si bien que dans le cadre d'enquêtes de routine contre la fraude, on cherche différents points de données où l'on peut recueillir des renseignements. On peut soutenir que c'est nécessaire dans ces cas-là.

    Une situation différente, par contre, pourrait être que pour réduire les dépenses en soins de santé à l'échelle provinciale, on peut notamment essayer d'écarter les personnes qui ne sont pas admissibles. Nous devons donc surveiller activement les déplacements de tout le monde pour essayer de détecter proactivement ceux qui ne sont pas admissibles et de les retirer de la liste de l'assurance-maladie. Cela ne me semble pas particulièrement judicieux et ne répondrait pas au type de norme que nous voulons établir.

    Merci beaucoup.

    Monsieur Fraser, répondez brièvement si vous le pouvez, s'il vous plaît.

    J'allais simplement dire qu'il y a un continuum. On peut toujours trouver une deuxième, une troisième ou une quatrième utilisation pour des renseignements qui ont été colligés. Je pense qu'il faut être raisonnable, mais en faisant preuve de transparence concernant ce que le gouvernement fait, comment il le fait et dans quel but il le fait, les Canadiens peuvent comprendre ce qui se passe et faire une remise en question s'il y a un problème.

    Nous avons eu une bonne discussion.

    Nous allons maintenant commencer la série d'interventions de cinq minutes avec M. Jeneroux.

    Merci.

    Pour revenir à ma question précédente, monsieur Fraser, nous aimerions entendre vos observations — rapidement — sur l'intégration de la technologie dans la loi et sur le niveau d'importance que la loi devrait accorder à la nécessité de suivre le rythme des technologies émergentes, notamment.

    L'une des choses merveilleuses au sujet des lois canadiennes, de façon générale, c'est qu'elles sont technologiquement neutres. On ne met pas l'accent sur une technologie.

    Bien entendu, les changements technologiques peuvent nécessiter une révision et une mise à jour, ce qui est manifestement le cas avec la Loi sur la protection des renseignements personnels, mais je pense que ce qui nous amène à mettre à jour la loi, ce n'est pas la technologie. C'est un facteur, mais ce sont en fait les attentes et les perceptions divergentes des gens liées à la protection de la vie privée, le fait d'avoir plus de contrôle sur ses renseignements personnels et d'avoir davantage son mot à dire, et la reconnaissance que les préjudices à la vie privée sont possibles.

    En 1983, la question était davantage liée à l'année 1984 où « nous devions réglementer les renseignements que le gouvernement recueillait, car autrement, nous deviendrions un État paternaliste ». De nos jours, il y a tout simplement tellement de renseignements qui sont colligés partout, pas seulement au gouvernement, mais ailleurs, que les attentes des Canadiens à l'égard de la vie privée ont évolué, et la loi doit évoluer également.

    Si le Comité compte proposer des changements au libellé de la loi, par exemple, je vous déconseille de le faire lorsqu'il est question de technologie. C'est mieux, je pense. La LPRPDE est un vrai modèle pour élaborer une loi sur la protection des renseignements personnels qui est fondé sur des principes, des principes fondamentaux auxquels la majorité des Canadiens peuvent adhérer, je pense. Ce sont les os sur lesquels on met la viande, mais on doit s'assurer que le modèle résistera à l'épreuve du temps. En tant que mesure de protection additionnelle, les examens quinquennaux sont essentiels pour une loi comme celle-ci.

    C'est excellent.

    Si je le pouvais, je vous demanderais à tous les deux de commenter la recommandation du commissaire à la protection de la vie privée visant à étendre l'application de la loi aux ministres et au Cabinet du premier ministre également. Je pense que vous en avez parlé vaguement, mais si vous ne voyez pas d'inconvénient à en discuter encore un peu plus, nous aimerions que ce soit consigné au compte rendu.

    J'appuie cette recommandation, et ce, pour la même raison que j'appuie une partie de la transition vers un accès plus complet aux renseignements qui comporte une partie de cette recommandation également, ce dont le gouvernement a sans doute discuté.

    De plus, lorsque je pense à certaines des questions sur lesquelles je me suis concentré dans le passé, ce clivage entre les bureaux ministériels et les ministères est de plus en plus ambigu. Cela ne veut pas dire que le ministère ne s'acquitte pas de son travail pour offrir les meilleurs conseils au bureau du ministre — bien sûr qu'il le fait —, mais la prise de décisions et l'élaboration des politiques ne se font désormais plus seulement au ministère. Les bureaux ministériels le font très souvent si bien que, d'après moi, il est important de comprendre ces processus et de s'assurer qu'ils sont assujettis aux mêmes exigences de transparence et d'ouverture. Il faut donc veiller à ce que que ce soit couvert dans la Loi sur l'accès à l'information, mais aussi dans la Loi sur la protection des renseignements personnels.

    Je suis d'accord dans l'ensemble, bien que j'ajouterais qu'il y a une différence entre la Loi sur la protection des renseignements personnels et la Loi sur l'accès à l'information à cet égard. On peut comprendre qu'il y a des documents confidentiels du Cabinet et ce genre de renseignements, mais il ne devrait pas y avoir un système qui permet à un bureau au sein du gouvernement de recueillir des renseignements et de les utiliser à des fins totalement illégales. Vous vous retrouverez avec une zone complète de mesures non réglementaires. Vous ne voudriez pas, par exemple, mettre en place un système qui encouragerait un programme à être exécuté en dehors du bureau d'un ministre afin d'éviter l'application d'une loi quasi-constitutionnelle.

    Merci.

    Merci.

    Nous allons maintenant entendre M. Saini.

    Merci beaucoup à vous deux d'être ici. Vos observations sont très intéressantes.

    Je vais poser une question similaire, mais de deux manières distinctes.

    Monsieur Geist, j'ai lu une partie de ce que vous avez écrit. Vous parlez de l'option d'adhésion, que je trouve très intrigante.

    Vous avez aussi mentionné le ministère de la Santé, et je veux donc fournir un peu de contexte. En tant que pharmaciens, nous avons entre autres constaté que toutes les fois qu'un patient voulait adhérer au régime gouvernemental d'assurance-médicaments, il devait tout d'abord donner son consentement et certains renseignements. Les patients devaient autoriser le ministère de la Santé à communiquer avec l'Agence du revenu du Canada pour qu'elle procède à une vérification de leurs revenus dans le but de déterminer le groupe de revenus imposables dont ils feraient partie.

    Voici ma question. Les organismes gouvernementaux et les ministères pourraient parfois devoir parler à des gens, mais aucune option d'adhésion n'est offerte. Vous avez dit que vous pensez que cela devrait être l'approche par défaut. Comment pouvons-nous établir un équilibre pour faire en sorte que le gouvernement demeure efficace et efficient? Pourriez-vous expliquer comment nous pouvons atteindre cet équilibre?

    Je vais commencer par mentionner qu'une partie de ce que j'ai écrit au sujet de l'option d'adhésion a tendance à être axée sur le secteur privé, où des dispositions de la LPRPDE ouvrent la porte tant à un système avec option de retrait qu'à un système à option d'adhésion. Il me semble que la norme de l'option d'adhésion est beaucoup plus efficace pour ce qui de protéger la vie privée, et je pense qu'elle permet aux gens de mieux comprendre à quoi ils s'engagent et à quoi serviront leurs renseignements personnels.

    Comme M. Fraser l'a souligné d'emblée, le modèle du consentement ne s'applique pas aussi bien au secteur public étant donné que le gouvernement recueillera beaucoup d'information avec ou sans notre consentement. D'une certaine façon, notre consentement n'a pas vraiment d'importance. Il faut avoir certaines données à sa disposition.

    Votre exemple est toutefois bon parce que ce n'est pas une question de collecte, mais plutôt d'utilisation. Nous pouvons donc nous demander si nous pouvons ou devrions établir des systèmes plus efficaces pour permettre aux gens d'être maîtres, dans une certaine mesure, de leurs renseignements personnels, pas nécessairement au moment de la collecte — même si nous pourrions réfléchir à des mesures possibles à cette étape —, mais plus au moment de l'utilisation et de l'échange des renseignements.

    Y a-t-il des données pour lesquelles nous n'avons pas besoin de consentement parce qu'il n'y a aucune raison d'y penser? Lorsque nous examinons l'ajout dans certains programmes d'options qui nécessitent ces renseignements, on peut alors affirmer qu'il convient peut-être davantage de donner le choix de se prévaloir ou non de l'option ou du service concernés. Cependant, la seule façon de s'en prévaloir serait d'accorder le consentement nécessaire.

    Je suis d'accord avec M. Geist. Il existe des options qu'une personne, surtout lorsqu'elle adhère à un programme, n'est pas obligée de choisir, qui se rapportent en fait beaucoup plus à une relation facultative. C'est surtout la relation avec le gouvernement qui ne l'est pas, mais quand il s'agit d'une option, nous devons être parfaitement clairs et transparents. Je pense que nous devrions nous efforcer d'éviter les surprises.

    La protection des renseignements personnels est une de ces choses étranges qui vont au coeur du bien-être émotionnel des gens. Ils veulent être autonomes. Ils veulent être maîtres de leur vie privée. Si vous dites à la personne que l'adhésion au programme requiert une vérification de ses revenus qui se fera d'une certaine façon, et qu'elle signe, elle n'en sera ni surprise ni fâchée. Ou elle pourrait se demander si c'est vraiment nécessaire. Ainsi, les gens pourront participer en tant que citoyens beaucoup mieux informés.

    La deuxième question est plus particulièrement pour vous, monsieur Fraser, car vous avez également écrit sur le fait que l'emplacement physique des données n'a plus beaucoup d'importance. Dans votre mémoire précédent, vous avez souligné deux affaires, une impliquant Microsoft et l'autre, eBay.

    Compte tenu de cette réalité, il arrive parfois, comme vous le savez, que des gouvernements échangent des données. Lorsque nous recevons des données — disons que nous avons demandé les renseignements fiscaux d'une personne vivant dans un autre pays —, nous les confions à l'Agence du revenu du Canada, mais les renseignements pourraient être remis à l'insu de la personne à d'autres organismes gouvernementaux ou à des ministères.

    Le mécanisme que nous avons en place ici a encore des bases solides. Il pourrait être amélioré. Je peux en convenir. Dans d'autres pays, ce n'est peut-être pas le cas. Les renseignements pourraient être échangés à l'insu de la personne, et leur mécanisme de protection des renseignements personnels n'est peut-être pas aussi solide que le nôtre. Comment pouvons-nous concilier les deux?

    Je pense qu'un des thèmes que j'ai abordés dans ce que j'ai écrit et dans ma réflexion sur le sujet est que l'emplacement des données est un facteur, mais que ce n'est pas un facteur absolument essentiel. D'autres facteurs entrent en ligne de compte. La politique du Conseil du Trésor est très bonne et constitue en fait une approche très rationnelle, à savoir que si un ministère s'apprête à prendre une décision concernant l'emplacement des données et le recours aux services d'un tiers — ou autre chose du genre —, l'emplacement sera un facteur, mais d'autres facteurs entrent en ligne de compte. Qui sera le fournisseur de services? À qui est-il redevable? Quels sont ses liens nationaux?

    Nous commençons à observer une évolution plus nuancée de la question, contrairement à ce nous voyons en Nouvelle-Écosse et en Colombie-Britannique où une loi dit « tu ne laisseras pas de renseignements personnels sortir du pays. » On peut encore engager un fournisseur de services américain pour gérer des renseignements personnels au pays. Ces fournisseurs de services — du moins selon le département de la Justice des États-Unis — sont assujettis à la Patriot Act tant au Canada qu'aux États-Unis. Le simple fait de dire que les renseignements doivent se trouver au pays n'apaise pas toutes ces craintes. Nous avons besoin d'une compréhension nuancée de l'analyse des risques.

    On a mentionné à plusieurs reprises les évaluations des facteurs relatifs à la vie privée. Je pense que ces outils sont excellents pour vous permettre d'observer ce qu'il se passe — peu importe de quoi il s'agit — selon différents points de vue et en fonction de différents risques relatifs à la protection de la vie privée; pour vous forcer à réfléchir à la façon de les atténuer et déterminer si le risque est acceptable en fonction du caractère délicat des renseignements; et pour ensuite les soumettre au commissaire aux fins d'évaluation et les rendre publics dans le but d'assurer la transparence de ce genre de processus décisionnel.

    Merci beaucoup.

    Votre temps est écoulé, monsieur Saini, mais nous en aurons amplement à la fin.

    Monsieur Jeneroux, vous avez la parole.

    Merci.

    Vous avez tous les deux parlé des évaluations des facteurs relatifs à la vie privée. J'aimerais que vous expliquiez de manière plus détaillée la raison pour laquelle vous pensez qu'il est nécessaire qu'il en soit fait mention dans la loi, plutôt que le contraire.

     À moins que la loi comprenne des indications et des priorités claires, vous vous retrouverez avec ce que nous avons depuis quelque temps, à savoir une situation dans laquelle la protection de la vie privée devient trop souvent une considération secondaire qui a des répercussions importantes.

    Sur le plan législatif, il est important qu'elle fasse partie du processus d'élaboration des lois, et je ne parle pas vraiment de la protection de la vie privée dès la conception, pour reprendre l'expression qui est parfois employée. Il faut plutôt être certain qu'on reconnaît que l'examen de ses répercussions est un élément essentiel du processus.

    De plus — et David en a parlé il y a un instant dans ses observations —, lorsque vous êtes aux prises avec des questions très difficiles comme celles qui viennent d'être soulevées au sujet de l'emplacement et du transfert de données à ce que nous pourrions considérer comme des pays ayant une faible protection, que ce soit dans le cadre d'échanges de données ou autres, il faut au moins, entre autres choses, commencer à se demander si nous devons procéder ainsi ou s'il faut établir des limites dans le but que des évaluations des facteurs relatifs à la vie privée soient effectuées.

    L'ajout de dispositions à la loi donne un signal et peut également avoir des répercussions concrètes en se traduisant par ce genre de mesures.

    Je suis du même avis.

    En ajoutant ces dispositions à la Loi sur la protection des renseignements personnels, les parlementaires indiqueraient qu'il s'agit en fait d'une priorité absolue. Si cela reste quelque part dans une politique du Conseil du Trésor, la question est alors soumise au bon vouloir du gouvernement, qui pourrait faire volte-face. Si vous n'effectuez pas d'évaluation des facteurs relatifs à la vie privée, et que vous êtes légalement tenus de le faire, vous violez la loi, ce qui n'a rien à voir avec le contournement d'une politique ou d'une mesure procédurale.

    Formidable. C'est tout le temps que j'avais à ma disposition.

    Monsieur Long, vous avez la parole.

    Merci, monsieur le président, et merci aux témoins. C'est une discussion très intéressante.

    Je veux commencer par ce que vous avez écrit sur votre blogue, monsieur Fraser. Vous avez dit qu'il « faudrait mieux oublier le droit à l'oubli au Canada ».

    J'ai trouvé cela très intéressant. Je peux vous donner un exemple. Quand je faisais partie de l'organisation des Saint John Sea Dogs, une équipe de hockey, un lancer d'ours en peluche a posé problème. Pour résumer, les ours en peluche étaient potentiellement infestés de punaises de lit. Nous avons dû annuler le lancer, mais pendant de longues années, chaque fois que quelqu'un cherchait « Wayne Long » dans Google, la première chose qui apparaissait était des punaises de lit, que je le veuille ou non; je n'y pouvais rien.

    Vous êtes d'avis que:

    Pouvez-vous m'en dire plus long à ce sujet? Vous pourriez peut-être vous aussi en parler, monsieur Geist.

    C'est une question très complexe. Je ne suis pas insensible à la situation de personnes comme vous. J'ai représenté et conseillé des clients. La cyberintimidation fait partie intégrante de ma pratique, pour aider des gens qui ont eu des problèmes.

    Vous n'êtes pas seul. J'ai certainement vu des gens pleurer devant moi parce que les résultats des moteurs de recherche avaient une incidence sur leur vie amoureuse ou d'autres aspects de leur vie.

    C'est une bonne chose que nous ayons gagné la coupe Memorial et que je fasse de la politique, car ces résultats ont été déplacés très bas.

    Excellent. C'est une façon pratique de s'attaquer au problème.

    La question est de savoir comment régler le problème d'un point de vue légal, de manière conforme à l'alinéa 2b) de la Charte canadienne des droits et libertés, et à l'exception relative au journalisme de notre loi sur la protection des renseignements personnels. Nous ne voyons pas les choses comme en Europe où, dans les faits, la protection de la vie privée a préséance sur la liberté d'expression. Au Canada, il y a habituellement un équilibre entre les droits garantis par la Charte. La Charte vous confère le droit à la liberté d'expression. Vous n'avez pas de droit à la vie privée, à part le droit d'être protégé contre les perquisitions et les saisies abusives.

    C'est complexe, mais je ne pense pas que quelqu'un puisse trouver dans la LPRPDE un moyen de faire fonctionner cela de la façon dont l'entendent les gens qui vous parlent du droit à l'oubli. Sur le plan pratique, la plupart des résultats de recherche proviendraient de journaux qui ont écrit des articles là-dessus.

    Je vois.

    Vous ne seriez pas en mesure, au Canada, d'obtenir une ordonnance du tribunal pour contraindre un journal à retirer une chose qui était vraie. Notre jurisprudence sur la liberté d'expression, la diffamation et ainsi de suite appuie entièrement cela. À défaut de pouvoir dire à un journal de retirer un article, de ne plus le rendre disponible, devrions-nous pouvoir demander à un moteur de recherche, qui est une tierce partie non intéressée, de ne pas dire aux gens que l'article existe?

    Que proposez-vous? Que recommandez-vous?

    Je ne suis pas certain d'avoir une solution. J'ai l'avantage d'être spectateur et de signaler des problèmes. Dans la mesure où je peux contribuer aux solutions, je suis heureux de le faire. Le problème sera toujours une question de critères, et je pense que ce sont les gens à l'origine des publications qui devraient s'y attaquer, plutôt que des intermédiaires qui signalent leur existence. De façon semblable, vous ne tiendriez pas un bibliothécaire responsable parce qu'il a dit que l'article se trouve dans une pile de journaux poussiéreux qui datent d'il y a 20 ans. Il faut faire preuve de cohérence. Ce n'est pas la technologie qui exige la création de règles. De nombreux problèmes pourraient faire surface à cause de la technologie, mais il faut superposer à toutes ces décisions notre cadre démocratique, qui prévoit la liberté d'expression.

    Je pense que le Parlement a fait une chose formidable en présentant le projet de loi C-13. La première partie du document concernait la distribution non consensuelle d'images intimes. J'ai vu de mes propres yeux l'immense tort que ce genre d'activité cause à mes clients. Je pense que c'est un ajout très utile, et que cela pourrait figurer dans les mesures liées au droit à l'oubli. Les tribunaux ontariens ont permis, seulement en vertu de la common law, aux particuliers de recevoir une réparation sous forme de dommages-intérêts pour ce comportement horriblement préjudiciable, ce qui peut mener à une injonction en vue de retirer des images.

    On peut aisément dire, dans les cas extrêmes, alors qu'il est question d'une horrible porno-vengeance — appelez cela comme vous voulez —, que c'est absolument déplorable. Il ne fait aucun doute que les lois peuvent être améliorées à cet égard, mais des choses comme des ours en peluche infestés de punaises de lit font partie de la vie dans un monde moderne.

    Monsieur Geist.

    J'ai quelques remarques. Tout d'abord, je ne suis pas particulièrement favorable au droit à l'oubli. Je l'ai vu être invoqué dans un contexte. En fait, je siège au conseil d'administration de l'Institut canadien d'information juridique, ou IIJCan, l'organisme qui publie en ligne les lois et les décisions canadiennes. Ces textes sont sur le Web depuis longtemps. Ils ne sont pas indexés sur Google, même s'il est souvent arrivé que des gens tombent sur un grand nombre de décisions. Les textes étaient accessibles par Google, et des gens ont découvert qu'une décision datant de plusieurs années était en fait publiée en ligne.

    Je dois admettre que je n'ai jamais été particulièrement favorable à l'idée de supprimer ces informations. Il faut plutôt remédier au problème d'emblée, dès la cour, en caviardant par exemple toute information familiale de nature délicate des décisions judiciaires. Une fois la décision publiée, le principe de la publicité de la justice s'applique. Je pense qu'il en va essentiellement de même dans ce contexte.

    Le seul point sur lequel je ne suis pas tout à fait d'accord avec David est celui de la compétence sur les moteurs de recherche, à savoir si nous pouvons les obliger à faire quoi que ce soit. À vrai dire, la Cour suprême du Canada est justement saisie de cette question exacte — pas exactement dans le même contexte — dans Equustek c. Google, une affaire qui sera entendue au début du mois de décembre. En fait, les tribunaux de la Colombie-Britannique ont ordonné à Google de retirer de ses résultats de recherche certains éléments de contenu qui, aux dires de la partie provinciale, violent les droits de propriété intellectuelle de ladite partie. Les tribunaux de la province ont ordonné à Google de retirer l'information des résultats de recherche qui sont visibles non seulement au Canada, à partir de Google.ca, mais aussi dans le monde entier.

    Bien.

    Il y a donc des tribunaux canadiens qui estiment pouvoir le faire. La Cour suprême du Canada décidera vraisemblablement si les tribunaux canadiens peuvent oui ou non décider au nom du reste du monde et exercer une telle compétence.

    Bien, je vous remercie.

    Monsieur Blaikie, vous êtes le dernier intervenant et vous avez trois minutes.

    Chers collègues, il nous restera ensuite un peu de temps, si jamais vous souhaitez figurer sur la liste des intervenants.

    Je vous vois, monsieur Bratina. Y a-t-il quelqu'un d'autre qui souhaite avoir un peu plus de temps? Je suis persuadé que les témoins resteront aussi longtemps que nous aurons des questions intelligentes à leur poser.

    Monsieur Blaikie.

    Merci.

    Monsieur Geist, vous avez dit tout à l'heure faire partie d'un groupe de travail qui s'attarde à l'incidence du Partenariat transpacifique, ou PTP, sur la protection des renseignements personnels et les enjeux numériques. J'aimerais que vous nous donniez une meilleure idée de certains des enjeux soulevés dans ces études et de leur incidence possible, à savoir si ces dispositions pourraient... Nous savons qu'il arrive que de tels accords se répercutent sur les politiques gouvernementales et influencent ce que les gouvernements pensent être en mesure de faire.

    Une telle situation pourrait-elle se produire dans le cas du PTP?

    Oui. Il ne s'agit pas vraiment d'un groupe de travail, mais plutôt d'un enjeu sur lequel j'ai beaucoup écrit. J'ai comparu devant le Comité du commerce international, et j'étais un des spécialistes invités lors d'une assemblée publique sur le PTP organisée par le gouvernement.

    Quelques dispositions de l'accord portent sur la protection des renseignements personnels. Le PTP compte un chapitre sur le commerce électronique, ce qui est vraiment une première à bien des égards pour un accord commercial de ce genre, et certainement pour le Canada. Il comprend des dispositions relatives à la protection des renseignements personnels. Je suis d'avis que l'accord établit un seuil excessivement bas, ce qui est surtout fait dans l'intérêt du secteur privé. L'accord demande aux pays signataires de se doter de règles en matière de protection des renseignements personnels, mais il précise en note de bas de page que si des entreprises adoptent simplement des politiques de protection des renseignements personnels, puis qu'un organisme d'application veille à leur respect, c'est suffisant. Voilà un clin d'œil aux États-Unis, qui n'a aucune règle générale en matière de protection des renseignements personnels.

    Voici ce que je pense des dispositions sur la protection des renseignements personnels prévues au PTP, de même que de nombreuses dispositions sur l'environnement numérique. Je trouve que le Canada a une bonne histoire à raconter et que ses politiques, qu'elles portent sur la protection des renseignements personnels ou sur autre chose, reflètent de longues discussions et de longs débats réfléchis sur la façon de maintenir l'équilibre, étant donné qu'il est souvent possible de trouver un équilibre sur un grand nombre de ces questions. Nous n'avons pas procédé comme les États-Unis, en ce qui a trait à un grand nombre d'enjeux numériques; en effet, nos voisins ont recours à ces accords commerciaux pour essayer d'intégrer de manière proactive leurs politiques aux accords commerciaux dans le but que celles-ci se retrouvent dans d'autres pays. L'objectif est d'améliorer le paysage législatif du monde entier, mais aussi de veiller à ce que les entreprises américaines et d'autres sachent que si elles respectent les lois nationales, elles pourront retrouver des régimes semblables ailleurs. J'ai donc trouvé les négociateurs canadiens vraiment décevants à cet égard puisqu'ils n'ont tout simplement pas priorisé ce genre d'enjeux. Les entreprises canadiennes qui souhaitent se conformer aux règles canadiennes de notre système ne retrouveront donc pas ces mêmes règles ailleurs à la suite du PTP, ce qui est à tout le moins une occasion ratée, selon moi.

    Qu'adviendra-t-il de l'avantage concurrentiel des entreprises si nous adhérons à un bloc commercial et que les entreprises canadiennes doivent respecter des normes supérieures, qui sont adéquates, mais qu'il y a désormais des entreprises d'ailleurs dont les normes sont plus faibles qui peuvent entrer au pays sans augmenter...?

    Ces entreprises devront tout de même satisfaire aux normes canadiennes si elles sont en activité au pays ou recueillent de l'information auprès des Canadiens, dans le contexte de la protection des renseignements personnels. Elles n'auront pas carte blanche. Si nous examinons la stratégie des États-Unis, sans égard aux allégations de personnes comme Donald Trump visant à déterminer si le pays sera gagnant ou perdant dans le cadre du PTP, nous constatons que le pays cherche depuis longtemps à aligner soigneusement ses intérêts commerciaux à sa politique commerciale. Le gouvernement américain discute activement avec ses entreprises pour connaître leur orientation et tenter de refléter leurs priorités et leurs systèmes juridiques, sous prétexte que les entreprises seront avantagées si les politiques se retrouvent dans les accords commerciaux.

    Le Canada n'a rien fait de tel dans le cadre du PTP. C'est une des raisons pour lesquelles d'éminents chefs d'entreprise critiquent vertement l'accord. Comme je l'ai dit, je pense que c'est une erreur qui finit par nous désavantager légèrement sur le plan concurrentiel.

    Bien, merci.

    Excellent.

    Monsieur Bratina, s'il vous plaît.

    Merci.

    Vous avez parlé d'ancienne technologie et de magnétoscopes. Je suis assez vieux pour me souvenir fort bien des enregistrements de Nixon. Voilà qui m'amène à me demander à qui appartiennent les données et comment elles sont recueillies. Par exemple, si j'avais une conversation avec le premier ministre dans son bureau, et qu'il y avait un dispositif d'enregistrement, pourrais-je un jour demander d'en utiliser le contenu ultérieurement dans le cadre d'un échange ou d'une discussion?

     Ce ne sont que quelques réflexions d'ordre général, mais j'aimerais vous demander directement de penser aux courriels de Hilary Clinton. Dans le cadre de nos délibérations, comment pourrions-nous étudier des situations similaires, ou comment pourrions-nous éviter les problèmes que Mme Clinton rencontre? Vous avez assurément réfléchi à sa situation difficile.

    Je pense qu'il faut commencer par éviter d'envoyer ses courriels professionnels à partir de son propre serveur à la maison.

    À bien des égards, la situation semble plutôt être un problème d'accès à l'information. La question des courriels est difficile, car nous voulons bien sûr que le gouvernement, les fonctionnaires et d'autres intervenants adoptent des moyens de communication efficaces. Je soumets parfois une demande d'accès à l'information, et si je demande tous les documents, j'aurai aussi les courriels. À une certaine époque, le contenu des courriels révélait bien des choses, sous réserve bien sûr des diverses exceptions, et beaucoup de données étaient supprimées en raison de ces exceptions. Il n'en reste pas moins qu'il était bien souvent possible de lire entre les lignes puisque les documents révélaient beaucoup d'information.

    Que je sache, lorsque certains ministères ont constaté que des gens demandaient ces données, les gens ont commencé à abandonner les communications par courriel au profit d'autres moyens qui ne relèvent pas de l'accès à l'information. Dans l'affaire Clinton, il était notamment question de révélations sur ses échanges avec Colin Powell, je crois, et de la façon de structurer un système de communication qui échappe à la loi.

    À certains égards, je pense que le même genre de situation se produit ici. Des gens s'assurent de ne pas discuter par courriel; ils utilisent plutôt la messagerie à NIP du BlackBerry, alors que d'autres se servent même parfois de la messagerie directe de Twitter. Les gens trouvent des moyens de communication qui sortent du cadre de ce système.

    Ma réponse est la suivante. De façon générale, lorsque des discussions relèvent du gouvernement, des politiques et de ce genre de choses, et qu'elles sont soumises à la loi, la solution n'est pas d'essayer de trouver des façons de contourner les règles, mais plutôt de veiller à ce que la loi soit assez musclée pour englober ces pratiques.

    C'est la Semaine du droit à l’information, et on discute beaucoup de cette question relativement à la transparence du gouvernement. Il est notamment question de l'obligation de documenter, qui touche selon moi un point important que Michael vient de soulever. En effet, les décisions gouvernementales doivent être bien documentées, et être documentées de la bonne façon et au bon endroit, c'est-à-dire sur des systèmes d'information gérés par le gouvernement. Je crois fermement qu'il faut garder ses courriels personnels à l'extérieur de sa boîte de réception professionnelle, et inversement. Il doit y avoir une division entre les deux sphères.

    Dans les recommandations du commissaire, la 13^e propose de conférer au commissaire le pouvoir discrétionnaire de mettre fin à l'examen d'une plainte dans certaines circonstances, notamment lorsque la plainte est vexatoire. M. Drapeau n'était pas d'accord.

    Que pensez-vous du pouvoir discrétionnaire du commissaire lui permettant de ne pas traiter les plaintes prétendument vexatoires ou autrement frivoles, entre autres?

    Je pense qu'un tel pouvoir discrétionnaire doit être accordé. Je crois que le commissaire doit avoir cette capacité, étant donné qu'il y a sans aucun doute des plaideurs vexatoires et des gens qui abusent de la procédure. Il faudrait que la mise en place du pouvoir fasse l'objet des contrôles et des vérifications nécessaires, et possiblement d'un examen judiciaire, car il n'est pas banal de priver une personne de son recours aux termes de la Loi sur la protection des renseignements personnels, compte tenu de son statut quasi constitutionnel au Canada.

    J'ai été témoin de beaucoup d'utilisations abusives de la loi, et je suis certainement sensible au fait que le commissaire doive ouvrir le dossier et suivre toute la procédure pour une plainte qui, il se sait bien, ne mènera vraiment nulle part au bout du compte. En revanche, j'hésite vraiment à conférer à quiconque un outil qui prive une personne d'un recours légal efficace.

    M. Bennett a proposé de peut-être limiter ces plaintes à trois. Il a dit que ce genre de plainte frivole et vexatoire est souvent accompagnée d'innombrables questions. Y a-t-il des solutions? Cela semble-t-il être une façon équitable de régler le problème?

    Cet instrument est probablement trop radical puisque chaque cas est unique. Les tribunaux ont élaboré des critères concrets pour déterminer si un plaideur est vexatoire. Je ne pense pas que vous deviez réinventer la roue. Il existe déjà une mesure. Les critères tiennent toujours compte des nuances et des circonstances. Je trouve que c'est probablement une façon judicieuse de procéder.

    Je ne voudrais pas que d'énormes quantités de ressources soient gaspillées pour rien, mais comme je l'ai dit, je redoute de priver des gens d'un recours efficace.

    Si vous me le permettez, chers collègues, je voudrais poser quelques questions. Est-ce d'accord?

    Messieurs Geist et Fraser, je voudrais donner suite à un point que M. Erskine-Smith a soulevé à propos des usages secondaires ou tertiaires de l'information. Disons que des dispositions législatives sont soumises à la Chambre, puis adoptées en ce qui a trait à la saisie de l'information dans un but précis. Les données sont utilisées dans le cas d'une personne qui quitte le pays, par exemple. Elles servent à déterminer si une personne est admissible aux prestations de soins de santé, étant donné que nous avons des règles et des lois à ce chapitre. Cependant, il devient soudainement beaucoup plus facile pour Statistique Canada, disons, de connaître le nombre de personnes qui quittent le pays et les destinations de certains Canadiens; ou encore, le Service canadien du renseignement de sécurité, ou SCRS, et d'autres organisations pourraient désormais vouloir avoir accès à ces données.

    Qu'est-ce que notre Comité devrait recommander au gouvernement quant aux buts principaux de la saisie d'information? Dans quelle mesure ces buts devraient-ils être établis? Quel genre de précision et de rigueur législative faut-il pour veiller à ce que les renseignements personnels des gens soient protégés et pour que l'information soit seulement utilisée aux fins prévues initialement?

    Je vais commencer par dire que nous devons selon moi préciser certains de ces enjeux. Je pense que c'est important, et je suis ravi que nous ayons l'occasion d'en parler.

    Conformément à ce que David a dit en début de séance, certains types de renseignements dont nous parlons ne présentent aucun problème de consentement. Certaines données seront recueillies; c'est un fait. Je pense que David a aussi dit qu'il existe une échelle. Certains usages ne sont pas particulièrement inquiétants, ou sont peut-être assez importants pour que nous acceptions que les renseignements soient utilisés dans ces circonstances, à condition que la situation soit bien documentée et surveillée convenablement.

    Comme votre question le laisse entendre, il y a aussi des ministères qui ne s'intéressent pas nécessairement aux renseignements personnels en soi, mais plutôt aux données cumulatives. Dans le secteur privé, les organisations qui ont affaire aux renseignements ne se soucient souvent pas vraiment de la personne, mais s'intéressent plutôt aux données cumulatives. Dans le cas de certaines données cumulatives, nous pouvons dire que s'il est possible de séparer les données et de trouver des façons d'en éliminer les informations personnelles au profit d'un usage cumulatif, ces renseignements ont effectivement une grande valeur, et le gouvernement peut agir d'une manière judicieuse.

     C'est probablement une réponse plus ou moins satisfaisante qui veut encore dire que tout dépend, mais nous avons besoin de règles qui reconnaissent qu'il peut y avoir des usages secondaires ne portant pas sur les données personnelles des renseignements personnels. Il peut effectivement y avoir des usages secondaires plutôt utiles. Dans ces circonstances, l'obtention d'un consentement suffisant me semble être dans l'ordre des choses. Il pourrait être essentiel d'avoir accès à ces renseignements. Nous avons besoin d'un système de surveillance et de déclaration assez vigoureux qui n'empêche pas automatiquement la divulgation dans ces circonstances, étant donné que nous reconnaissons l'importance du partage. Nous avons plutôt besoin d'un système qui veille à ce que les renseignements ne soient pas utilisés à mauvais escient, et à ce que l'activité soit transparente.

     Je suis d’accord en général. On reconnaît dans la plupart des lois sur la protection des renseignements personnels, et même dans le secteur public, qu’on recueille des renseignements dans un but précis. Ce doit être autorisé par la loi ou avoir un lien raisonnable avec le programme de l'organisme public en question. Ces renseignements peuvent être utilisés à cette fin ou à une fin conforme à cet objectif. Il existe une jurisprudence, du moins au Bureau du commissaire, qui aborde la question: en quoi consiste cette conformité?

    Je pense que c'est en partie une question de lien direct. Y a-t-il un lien direct entre faire le suivi du déplacement d’une personne et déterminer s’il est probable qu’elle se rende à l’étranger pour participer à des activités terroristes? Il s’agit dans les deux cas de contextes de sécurité nationale. Vous les voyez comme étant relativement adjacents et potentiellement justifiables. Il pourrait y avoir lieu pour l’ASFC de transmettre cette information au SCRS dans les circonstances, mais ce devrait se faire dans le cadre d’un protocole d’entente sur l’échange d’information pouvant faire l’objet d’un examen du public. S’ils veulent transmettre ces renseignements au ministère du Tourisme, par exemple, je ne peux imaginer que le lien entre les deux soit aussi direct.

    Il faut tenir compte de la nature de l’information. Dans quelle mesure est-elle confidentielle et, à tout prendre, y a-t-il lieu de la transmettre? Il faut aussi être attentif aux attentes des Canadiens. Vous pouvez toujours penser que n’importe quelle donnée dont le gouvernement dispose peut probablement être utile ailleurs. Vous devez vous demander si c’est raisonnable dans les autres circonstances dans lesquelles elles seraient utilisées, surtout lorsque vous tenez compte de la très vaste diversité des organismes gouvernementaux. Le ministère de la Santé offre des soins de santé primaires aux peuples autochtones du Canada. Cela représente une énorme quantité de renseignements personnels très confidentiels qui ne devrait jamais se retrouver à Statistiques Canada, à moins d’être regroupés, ou qui ne devrait jamais se retrouver au SCRS simplement parce que le gouvernement de l’époque a décidé de faire tomber les cloisons entre les ministères.

     C’est intéressant. Depuis que je suis au Parlement, il m’est arrivé — comme nombre de mes collègues, j’en suis sûr — de recevoir la visite d’un commettant et de constater qu’il y a manifestement eu un échange d’information inapproprié entre des ministères. Les commettants croient dans certains cas que le gouvernement veut leur tête. Un tiers pourrait penser qu’il s’agit d’une simple erreur, mais nous avons parlé plus tôt d'avoir des lois qui ont du mordant et des mécanismes de reddition de comptes.

    Je me demande si vous pourriez faire la lumière sur tout cela, car il est arrivé un certain nombre de fois que des commettants viennent à mon bureau pour cette raison. Dans bien d’autres cas, je crois qu’il s’agissait de simples erreurs que des fonctionnaires avaient commises. Quoi qu’il en soit, j’ai des raisons de croire que certains de mes commettants semblent s’être retrouvés sur… Je ne sais pas si une liste existe, mais disons que des gens de divers ministères se parlent entre eux, se rencontrent pour prendre un café, passent d’un ministère à l’autre. Si un citoyen particulièrement difficile leur cause du souci, je suis certain qu’ils en discutent. Je ne sais pas s’il y a des cas où on peut le prouver, car il est très difficile pour une personne seule d’affronter le gouvernement.

    Je pense que Brian Mulroney a dit qu’une des choses les plus importantes que peuvent faire les députés est de s’assurer que le gouvernement ne soit pas en mesure d’écraser une personne s’il le souhaite.

    De quels types de mesures de protection devrions-nous discuter lorsqu’il est question de la Loi sur la protection des renseignements personnels, lorsqu’il est question d’accès à l’information — qui déborde le cadre de la présente étude, j’en suis conscient — pour veiller à ce que les particuliers canadiens aient le droit de se défendre si le gouvernement choisit d’utiliser avec malveillance des renseignements contre eux?

    C’est une question très vaste qui soulève un certain nombre de points pertinents, selon moi, dans le cadre de la présente étude. Une chose qui, à mon avis, est très importante est la capacité qu’un député a de venir en aide à un commettant en particulier. Il en est déjà question dans la Loi sur la protection des renseignements personnels. Peut-être qu’il vaut la peine de la renforcer légèrement. La prochaine étape est de nous assurer qu’il est aussi facile que possible pour une personne de faire un recours significatif auprès du Commissariat à la protection de la vie privée du Canada, de façon à ce que le commissaire puisse obtenir tous les renseignements nécessaires pour déterminer ce qui s’est passé.

    J’ai mentionné plus tôt la création d’infractions potentielles dans le cas où une personne ferait intentionnellement fi de ses obligations juridiques au titre de la Loi, ce qui permettrait de tenir les gens responsables de méfaits véritables, et pas seulement d’erreurs administratives qui peuvent se produire dans une grande organisation. Un exemple que vous avez cité permet de penser aux différents échelons et aux différentes étapes que l’on retrouverait dans un bon système. Au bout du compte, si du tort est vraiment causé à cette personne, existe-t-il un mécanisme lui permettant de faire un recours significatif? Par exemple, quelqu’un peut être exclu d’un programme d’avantages pendant un an, ce qui peut influer considérablement sur son revenu. Il faut trouver une façon de rectifier la situation car, à l’heure actuelle, beaucoup plus encore qu’en 1983, nous reconnaissons que les torts causés sur le plan des renseignements personnels sont des torts véritables.

    Je sais que M. Erskine-Smith veut dire un mot, mais j’ai une autre question sur laquelle je tiens simplement à connaître votre opinion.

    En ma qualité de Canadien ordinaire, quand je fais affaire avec le secteur privé ou public, je m’attends à ce que mes renseignements personnels soient protégés et pris en considération. Je m’attends à ce que mon accès à ces renseignements soit pratiquement continu. Je suis sûr que vous reviendrez tous les deux quand nous examinerons la Loi sur la protection des renseignements personnels et les documents électroniques. Dans le cadre de nos discussions, nous savons que la Loi sur la protection des renseignements personnels doit fonctionner en même temps que l’accès à l’information doit être mis en oeuvre.

    De quels éléments devrions-nous tenir compte lorsque nous formulons nos recommandations au gouvernement, en supposant qu’un projet de loi sera enfin présenté, sans préjudice? De quels éléments devrions-nous tenir compte lorsque nous faisons en sorte qu’il soit facile pour les Canadiens d’avoir, au fond, les mêmes attentes, qu’il soit question de leurs renseignements personnels dans le secteur privé ou public? Est-ce que cela a du sens?

     Je pense que c’est un bon argument qui jetterait les bases d’une longue discussion très intéressante. La perspective sur les types de protection des renseignements personnels dont vous devriez bénéficier et l’importance du secteur public ou privé varie d’un endroit à l’autre dans le monde. Il y a des endroits où l’on fait davantage confiance au gouvernement qu’au secteur privé, si bien qu’on a tendance à penser qu’il faut, au minimum, imposer des normes très élevées au secteur privé, car on leur fait moins confiance.

    J’étais en Europe plus tôt cette année avec des groupes de défense des libertés civiles numériques. Dans ce type de contexte, une bonne partie des discussions ont porté sur la surveillance. Lorsqu’on leur a demandé ce qui les préoccupait le plus, ils n’ont pas répondu que c’était le NSA, par exemple, mais plutôt des sociétés comme Google. Ils se préoccupaient beaucoup plus de ce que faisait le secteur privé. Si vous allez à d’autres endroits, peut-être au sud de la frontière, je croirais qu’on fait plus confiance à certaines sociétés qu’au gouvernement pour gérer les renseignements personnels. Je pense que la réponse à cette question varie. Ici au Canada, je ne suis pas certain. Je pense que nous tombons probablement un peu dans le milieu un peu flou. Je pense que nous faisons relativement confiance aux deux secteurs, mais probablement plus au gouvernement qu’aux entreprises privées parfois.

    Quoi qu’il en soit, pour ce qui est de la situation de la loi, j’en reviendrais au point où j’ai commencé plus tôt aujourd’hui, c’est-à-dire que je crois qu’il y a des normes de référence, des principes qui, à ce stade, sont relativement éprouvés et perçus comme faisant partie d’une loi moderne sur la protection des renseignements personnels. La Loi sur la protection des renseignements personnels ne contient pas ces éléments. Il est clair que la Loi sur la protection des renseignements personnels et les documents électroniques les reflète mieux. Je ne suis pas certain que ces deux lois devraient être identiques. Nous avons maintenant passé une heure et demie à parler de certaines des nuances qui existent dans le secteur public et qui sont susceptibles de ne pas correspondre exactement à celles du secteur privé; néanmoins, une partie des principes de base restent généralement les mêmes s’il est question des règles en matière de protection des renseignements personnels qui font en sorte que les gens ont relativement confiance en la façon dont leurs renseignements personnels sont recueillis.

    Dans ce sens, aujourd’hui, il est clair qu’une des deux n’est pas comme l’autre. C’est la Loi sur la protection des renseignements personnels qui a véritablement besoin d’une mise à jour.

    Monsieur Fraser.

    En fait, si je peux répondre brièvement, je pense qu’un des principaux besoins dans le contexte de la réforme de la Loi sur la protection des renseignements personnels est de changer les attentes des personnes en ce qui concerne la nature de la protection des renseignements personnels. Je pense que la Loi sur la protection des renseignements personnels et les documents électroniques a beaucoup influé sur ce changement. C’est la norme dont les gens veulent qu’elle gouverne leurs interactions avec les entreprises. Je pense que vous devriez placer ces deux lois en parallèle dans la mesure du possible pour que les attentes des consommateurs et des citoyens en matière de protection des renseignements personnels soient généralement les mêmes et qu’elles soient également respectées. Elles ne cadrent pas parfaitement, mais il y a une raison pour laquelle on les appelle des principes et des pratiques justes en matière de renseignements. Dans la mesure où il est possible d’énoncer ces principes dans une loi régissant le gouvernement, ce devrait être le but visé.

    Monsieur Erskine-Smith.

    Merci beaucoup. J’aimerais continuer dans la même veine que M. Calkins.

     Dans le secteur privé, on parle de consentement, tandis que dans le secteur public, on parlera présumément de la nécessité de recueillir les renseignements. Cependant, lorsqu’il est question d’utilisation secondaire, dans le secteur privé, on parle d’utilisation conforme au consentement initial, alors que dans le secteur public, il y a un certain nombre de façons différentes d’y penser à l'heure actuelle.

    On peut donc parler d’utilisation conforme et de compatibilité, on peut demander qu’il y ait un lien direct, et on peut parler de nécessité et d’imposer un type d’exigence en matière de proportionnalité. Je serais intéressé à savoir lesquelles de ces normes nous devrions, selon vous, examiner en ce qui concerne l’utilisation secondaire des données.

    Il est difficile de trouver une solution universelle, mais j’aime l’approche à l’égard de la nécessité. Il faut qu’il soit raisonnablement nécessaire pour un programme légitime d’un organisme gouvernemental de recueillir les données au départ, et il est évident que c’est l’objectif qui justifie l’utilisation dont on peut en faire. Vous ne voulez pas nécessairement trop l’intégrer, mais vous le faites pour le secteur privé. Le secteur privé doit dire aux particuliers à quelles fins il souhaite utiliser les renseignements, obtenir leur consentement donné en connaissance de cause, et s’il veut les utiliser à d’autres fins que celles dont il a informé la personne concernée, il doit redemander son consentement.

    Pensez-vous qu’on généraliserait si on disait que, après la collecte de renseignements initiale, un ministère pourrait échanger les renseignements qu’on lui a fournis du moment que c’est dans le but d’atteindre un objectif gouvernemental important dans un autre ministère, que c'est nécessaire dans le contexte de cette utilisation et que c'est proportionnel à cette utilisation?

    Il pourrait y avoir une autre façon d’y penser, car lorsqu’un organisme communique des renseignements et qu’un autre en recueille, on pourrait faire valoir que le second en a besoin dans le cadre de son programme légitime. Il devrait exister un lien suffisant entre les deux.

    Il pourrait y avoir d’autres mécanismes, notamment par le truchement d’un décret ou quelque chose de semblable s’il y a lieu, mais il faut tenir compte du fait que certaines choses qui ont été perçues comme étant relativement inoffensives ont eu des conséquences importantes sur la protection des renseignements personnels. Je ne me souviens plus c’était il y a combien d’années, mais je me rappelle qu’EDSC voulait regrouper un certain nombre de banques de données relatives à des programmes qu’il gérait. On pourrait facilement dire que tous les renseignements étaient recueillis par le même ministère dans le même objectif global de verser des prestations, mais il y avait, en fait, un avantage sur le plan de la protection des renseignements personnels à garder les données sur le RPC et sur l’AE séparées. Soudainement, vous créez ce qu’on appelle une base de données longitudinale — les données iraient de la naissance à la mort dans une seule base de données. Vous pourriez faire valoir qu’elles sont directement liées, mais sur le plan de la protection des renseignements personnels, vous pourriez dire, en gros, que vous avez créé une base de données de surveillance.

    Vous devez vous assurer que les décideurs tiennent compte de ces types de choses et qu’il y ait transparence et visibilité, car ces choses ne devraient pas se faire dans l’ombre.

     La réponse de David est excellente. Je pense que le besoin de souplesse est un peu ressorti comme un thème. Nous avons remarqué dans un certain nombre de cas que, lorsqu’on commence à donner des exemples concrets ou des exemples de choses qui pourraient arriver, il est de plus en plus difficile de trouver une réponse précise.

    Il arrive que la souplesse soit, en quelque sorte, une caractéristique, mais pas nécessairement négative. Elle a ses bons côtés. Si on reconnaît qu’il faudra faire preuve de souplesse, il devient alors essentiel de déterminer comment on fera en sorte d’assurer une supervision et un examen appropriés dans le cadre de ce processus, ainsi que la transparence en général, pour comprendre au moins comment certaines de ces choses sont interprétées et pouvoir mieux déterminer si cela est ou non conforme à l’idée de ce que bien des gens se font de ce qui est raisonnable.

    Autrement dit, parce que j’estime que la Loi sur la protection des renseignements personnels et les documents électroniques, assortie d’une approche fondée sur des principes, est une bonne mesure législative, s’il est question du principe de nécessité — et vous faites tous les deux valoir qu’il devrait être inclus —, serait-il aussi important d’ajouter un principe de proportionnalité en ce qui concerne, notamment, l’utilisation secondaire, et peut-être aussi la collecte initiale des données?

    Je dirais que oui à cet égard. Je pense que c’est difficile. Je n’envie pas les rédacteurs législatifs qui devront formuler ce principe. Les tribunaux ont constamment parlé de proportionnalité, et la question est beaucoup plus nuancée que ce qui se prête à la lettre de la loi, mais je pense que c’est ce qui, en fait, doit être pris en compte.

     L’avantage pour le fonctionnement du gouvernement ou le pays dans son ensemble est-il proportionnel à tout compromis en matière de protection des renseignements personnels? Je pense que ce sont des questions qu’on devrait régulièrement poser.

    Une évaluation des facteurs relatifs à la vie privée offre un très bon cadre pour poser toutes ces questions, faire ressortir des conséquences involontaires en ce qui concerne la protection des renseignements personnels et contraindre les décideurs du gouvernement à penser que c’est peut-être quelque chose qu’on pourrait atténuer de cette façon, ou peut-être que nous n’avons pas besoin de tous ces types de détails. Cependant, sans méthode pour traiter systématiquement la question, il est très facile de perdre ces nuances, si bien qu’on ne prend plus les décisions les plus éclairées.

    Merci beaucoup.

    Chers collègues, cela met fin à notre période de questions.

    À nos témoins, notre discussion nous a montré pourquoi il y a si longtemps que personne n’est arrivé à rédiger un projet de loi que nous serions à l’aise de présenter au Parlement. Nous vous remercions. Nous espérons que les efforts continus de toutes les personnes ici présentes se traduiront par la mise à jour de cette mesure législative. Je sais que vous êtes probablement prêts tous les deux à aider le Comité dans ce dossier, le cas échéant. Merci beaucoup.

    Chers collègues, comme je vois qu’il n’y a rien d'autre à l'ordre du jour, la séance est levée.