header image
The world according to cdlu

Topics

acva bili chpc columns committee conferences elections environment essays ethi faae foreign foss guelph hansard highways history indu internet leadership legal military money musings newsletter oggo pacp parlchmbr parlcmte politics presentations proc qp radio reform regs rnnr satire secu smem statements tran transit tributes tv unity

Recent entries

  1. A podcast with Michael Geist on technology and politics
  2. Next steps
  3. On what electoral reform reforms
  4. 2019 Fall campaign newsletter / infolettre campagne d'automne 2019
  5. 2019 Summer newsletter / infolettre été 2019
  6. 2019-07-15 SECU 171
  7. 2019-06-20 RNNR 140
  8. 2019-06-17 14:14 House intervention / intervention en chambre
  9. 2019-06-17 SECU 169
  10. 2019-06-13 PROC 162
  11. 2019-06-10 SECU 167
  12. 2019-06-06 PROC 160
  13. 2019-06-06 INDU 167
  14. 2019-06-05 23:27 House intervention / intervention en chambre
  15. 2019-06-05 15:11 House intervention / intervention en chambre
  16. older entries...

Latest comments

Michael D on Keeping Track - Bus system overhaul coming to Guelph while GO station might go to Lafarge after all
Steve Host on Keeping Track - Bus system overhaul coming to Guelph while GO station might go to Lafarge after all
G. T. on Abolish the Ontario Municipal Board
Anonymous on The myth of the wasted vote
fellow guelphite on Keeping Track - Rethinking the commute

Links of interest

  1. 2009-03-27: The Mother of All Rejection Letters
  2. 2009-02: Road Worriers
  3. 2008-12-29: Who should go to university?
  4. 2008-12-24: Tory aide tried to scuttle Hanukah event, school says
  5. 2008-11-07: You might not like Obama's promises
  6. 2008-09-19: Harper a threat to democracy: independent
  7. 2008-09-16: Tory dissenters 'idiots, turds'
  8. 2008-09-02: Canadians willing to ride bus, but transit systems are letting them down: survey
  9. 2008-08-19: Guelph transit riders happy with 20-minute bus service changes
  10. 2008=08-06: More people riding Edmonton buses, LRT
  11. 2008-08-01: U.S. border agents given power to seize travellers' laptops, cellphones
  12. 2008-07-14: Planning for new roads with a green blueprint
  13. 2008-07-12: Disappointed by Layton, former MPP likes `pretty solid' Dion
  14. 2008-07-11: Riders on the GO
  15. 2008-07-09: MPs took donations from firm in RCMP deal
  16. older links...

All stories filed under ethi...

  1. 2019-01-29: 2019-01-29 ETHI 132
  2. 2019-01-31: 2019-01-31 ETHI 133
  3. 2019-02-28: 2019-02-28 ETHI 139
  4. 2019-05-09: 2019-05-09 ETHI 148
  5. 2019-05-16: 2019-05-16 ETHI 150
  6. 2019-05-27: 2019-05-27 ETHI 151
  7. 2019-05-28: 2019-05-28 ETHI 153
  8. 2019-05-28: 2019-05-28 ETHI 154
  9. 2019-05-29: 2019-05-29 ETHI 155

Displaying the most recent stories under ethi...

2019-05-29 ETHI 155

Standing Committee on Access to Information, Privacy and Ethics

(0835)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

I call to order this meeting of the Standing Committee on Access to Information, Privacy and Ethics. This is meeting 155.

This is the last of our international grand committee meetings this week, the International Grand Committee on Big Data, Privacy and Democracy.

With us today from Amazon, we have Mark Ryland, director of security engineering, office of the chief information officer of the Amazon web services.

From Microsoft Canada Inc., we have Marlene Floyd, national director of corporate affairs, and John Weigelt, national technology officer.

From the Mozilla Foundation, we have Alan Davidson, vice-president of global policy, trust and security.

From Apple Inc., we have Erik Neuenschwander. He is manager of user privacy.

We're going to get into your testimony. I wanted to say that the CEOs were invited today, and it's unfortunate that they didn't come. Again, as I've said to many of you just prior to the meeting, this is supposed to be a constructive meeting on how to make it better, and some of the proposals that your companies have right from the top are good ones, and that's why we wanted to hear them today and have the CEOs answer our questions, but we do appreciate that you're here.

We'll start off with Mr. Ryland for 10 minutes.

Mr. Mark Ryland (Director, Security Engineering, Office of the Chief Information Security Officer for Amazon Web Services, Amazon.com):

Thank you very much.

Good morning, Chair Zimmer, members of the committee, and international guests.

My name is Mark Ryland. I serve as the director of security engineering in the office of the chief information security officer at Amazon web services, the cloud computing division of Amazon.

Thank you for giving me the opportunity to speak with you today. I'm pleased to join this important discussion. I'd like to focus my remarks today on how Amazon puts security and customer trust at the centre of everything we do.

Amazon's mission is to be the earth's most customer-centric company. Our corporate philosophy is firmly rooted in working backwards from what customers want and continuously innovating to provide customers better service, more selection and lower prices. We apply this approach across all our areas of business, including those that touch on consumer privacy and cybersecurity.

Amazon has been serving Canadian customers since we first launched amazon.ca in 2002. Amazon now has more than 10,000 full-time employees in Canada. In 2018, we announced plans to create an additional 6,300 jobs.

We also have two tech hubs, one in Toronto and another in Vancouver. These are clusters of offices employing more than 1,000 software engineers and a number of supporting technical workers, building some of our most advanced global systems. We also have offices in Victoria for www.abebooks.com, and our AWS Thinkbox subsidiary in Winnipeg.

We operate seven fulfillment centres in Canada, and four more have been announced. They will all open this year, in 2019.

I would now like to talk about our cloud platform.

Just over 13 years ago, Amazon launched Amazon web services, which is our cloud computing business. Montreal is home to our AWS Canada region, which is made up of a number of distinct data centres. We launched AWS, because after over a decade of building and running amazon.com, we realized we had developed a core competency in operating massively scaled technology infrastructure and data centres. We embarked on a broader mission of serving developers and businesses with information technology services that they can use to run their own businesses.

The term “cloud computing” refers to the on-demand delivery of IT resources over the Internet or over private networks. The AWS cloud spans a network of data centres across 21 geographic regions around the globe. Instead of owning and maintaining their own data centres, our customers can acquire technology such as compute power, storage, and databases in a matter of seconds on an as-needed basis by simply calling an API or clicking a mouse on a graphical console.

We provide IT infrastructure and services in the same way that you just flip a switch to turn on the lights in your home and the power company sends you electricity.

One of this committee's concerns was democracy. Well, we're really democratizing access to IT services, things that only very large organizations could previously do, in terms of the scale involved. Now the smallest organizations can get access to that same type of very sophisticated advanced technology with simply a click of a button and just paying for their consumption.

Today AWS provides IT services to millions of active customers in over 190 countries. Companies that leverage AWS range from large Canadian enterprises such as Porter Airlines, Shaw, the National Bank of Canada, TMX Group, Corus, Capital One, and Blackberry to innovative start-ups like Vidyard and Sequence Bio.

I want to underline that privacy really starts with security. Privacy regulations and expectations cannot be met unless systems are maintaining the confidentiality of data according to their design. At AWS, we say that security is “job zero”, by which we mean it's even more important than a number one priority. We know that if we don't get security right, we don't really have a business.

AWS and Amazon are vigilant about the security and privacy of our costumers and have implemented sophisticated technical and physical measures to prevent unauthorized access to data.

Security is everyone's responsibility. While we have a world-class team of security experts monitoring our systems 24-7 to protect customer data, every AWS employee, regardless of role, is responsible for ensuring that security is an integral component of every facet of our business.

Security and privacy are a shared responsibility between AWS and the customer. What that means is that AWS is responsible for the security and privacy of the cloud itself, and customers are responsible for their security and the privacy of their systems and their applications that run in the cloud. For example, customers should consider the sensitivity of their data and decide if and how to encrypt their data. We provide a wide variety of encryption tools and guidance to help customers meet their cybersecurity objectives.

We sometimes say, “Dance like no one's watching. Encrypt like everyone is.” Encryption is also helpful when it comes to data privacy. In many cases, data can be effectively and permanently erased simply by deleting encryption keys, for example.

(0840)



More and more, organizations are realizing the link between IT modernization offered by the cloud and a better security posture. Security depends on the ability to stay a step ahead of a rapidly and continuously evolving threat landscape, requiring both operational agility and the latest technologies.

The cloud offers many advanced security features that ensure that data is securely stored and handled. In a traditional on-premises environment, organizations spend a lot of time and money managing their own data centres, and worry about defending themselves against a complete range of nimble, continuously evolving threats that are difficult to anticipate. AWS implements baseline protections, such as DDoS protection, or distributed denial of service protection; authentication; access control; and encryption. From there, most organizations supplement these protections with added security measures of their own to bolster cloud data protections and tighten access to sensitive information in the cloud. They also have many tools at their disposal for meeting their data privacy goals.

As the concept of “cloud” is often new to people, I want to emphasize that AWS customers own their own data. Customers choose the geographic location in which to store their data in our highly secure data centres. Their data does not move unless the customer decides to move it. We do not access or use our customers' data without their consent.

Technology is an important part of modern life, and has the potential to offer extraordinary benefits that we are just beginning to realize. Data-driven solutions possess potentially limitless opportunities to improve the lives of people, from making far faster medical diagnoses to making farming far more efficient and sustainable. In addressing emerging technology issues, new regulatory approaches may be required, but they should avoid harming incentives to innovate and avoid constraining important efficiencies like economies of scale and scope.

We believe policy-makers and companies like Amazon have very similar goals—protecting consumer trust and privacy and promoting new technologies. We share the goal of finding common solutions, especially during times of fast-moving innovation. As technology evolves, so too will the opportunities for all of us in this room to work together.

Thank you. I look forward to taking your questions.

The Chair:

Thank you, Mr. Ryland.

Next up is Microsoft. Will it be Ms. Floyd or Mr. Weigelt?

Ms. Marlene Floyd (National Director, Corporate Affairs, Microsoft Canada Inc.):

We will share.

The Chair:

Okay. Go ahead. [Translation]

Mr. John Weigelt (National Technology Officer, Microsoft Canada Inc.):

Thank you, Mr. Chair.

We're pleased to be here today.[English]

My name is John Weigelt. I'm the national technology officer for Microsoft here in Canada. My colleague Marlene Floyd, national director of corporate affairs for Microsoft Canada, joins me. We appreciate the opportunity to appear before this committee today. The work you've undertaken is important given our increasingly digital world and the impact of technology on jobs, privacy, safety, inclusiveness and fairness.

Since the establishment of Microsoft Canada in 1985, our presence here has grown to include 10 regional offices around the country, employing more than 2,300 people. At our Microsoft Vancouver development centre, over 700 employees are developing products that are being used around the world. Cutting-edge research on artificial intelligence is also being conducted by Ph.D.s and engineers at the Microsoft research lab in Montreal. That's in partnership with the universities there.

Powerful technologies like cloud computing and artificial intelligence are transforming how we live and work, and are presenting solutions to some of the world's most pressing problems. At Microsoft we are optimistic about the benefits of these technologies but also clear-eyed about the challenges that require thinking beyond technology itself to ensure the inclusion of strong ethical principles and appropriate laws. Determining the role that technology should play in society requires those in government, academia, business and civil society to come together to help shape the future.

Over 17 years ago, when Bill Gates asserted that “trustworthy computing” would be the highest priority at Microsoft, he dramatically changed how our company delivers solutions to the marketplace. This commitment was re-emphasized by our CEO, Satya Nadella, in 2016. We believe privacy is a fundamental human right. Our approach to privacy and data protection is grounded in our belief that customers own their own data. Consequently, we protect our customers' privacy and provide them with control over their data.

We have advocated for new privacy laws in a number of jurisdictions, and we were early supporters of the GDPR in Europe. We recognize that for governments, having computer capacity close to their constituents is very important. Microsoft has data centres in more regions than any other cloud provider, with over 100 data centres located in over 50 regions around the world. We're quite proud that two of these data centres are located here in Canada, in Ontario and Quebec.

Protecting our customers and the wider community from cyber-threats is a responsibility we take very seriously. Microsoft continues to invest over $1 billion each year in security research and development, with thousands of global security professionals working with our threat intelligence centre, our digital crimes unit, and our cyber-defence operations centre. We work closely with the Government of Canada's recently announced Canadian Centre for Cyber Security. We have partnered with governments around the world under the government security program, working towards technical information exchanges, threat intelligence sharing and even co-operative botnet takedowns. Further, Microsoft led the Cybersecurity Tech Accord, signed by over 100 global organizations that came together to defend all customers everywhere from malicious cyber-attacks and to do more to keep the Internet safe.

(0845)

Ms. Marlene Floyd:

Microsoft was also proud to be a signatory to the Paris call for trust and security in cyberspace announced in November by French President Emmanuel Macron at the Paris peace summit. With over 500 signatories, it is the largest ever multi-stakeholder commitment to principles for the protection of cyberspace.

Another focus of your committee has been the increasing interference by bad actors in the democratic processes of numerous countries around the world. We fully agree that the tech sector needs to do more to help protect the democratic process. Earlier this week, we were pleased to endorse the Canada declaration on electoral integrity announced by Minister Gould.

Microsoft has taken action to help protect the integrity of our democratic processes and institutions. We have created the Defending Democracy program, which works with stakeholders in democratic countries to promote election integrity, campaign security and disinformation defence.

As part of this program, Microsoft offers a security service called AccountGuard at no cost to Office 365 customers in the political ecosystem. It is currently offered in 26 countries, including Canada, the U.S., the U.K., India, Ireland and most other EU countries. It's currently protecting over 36,000 email accounts. Microsoft AccountGuard identifies and warns individuals and organizations of cyber-threats, including attacks from nation-state actors. Since the launch of the program, it has made hundreds of threat notifications to participants.

We have also been using technology to ensure the resiliency of the voting process. Earlier this month, we announced ElectionGuard, a free, open-source software development kit aimed at making voting more secure by providing end-to-end verification of elections, opening results to third party organizations for secure validation, and allowing individual voters to confirm that their votes were counted correctly.

At Microsoft, we're working hard to ensure that we develop our technologies in ways that are human-centred and that allow for broad and fair access by everyone. The rapid advancement of compute power and the growth of AI solutions will help us be more productive in nearly every field of human endeavour and will lead to greater prosperity, but the challenges need to be addressed with a sense of shared responsibility. In some cases this means moving more slowly in the deployment of a full range of AI solutions while working thoughtfully and deliberately with government officials, academia and civil society.

We know that there is more that we need to do to continue earning trust, and we understand that we will be judged by our actions, not just our words. Microsoft is committed to continuing to work in deliberate and thoughtful partnership with government as we move forward in this digital world.

Thank you, and we're happy to receive your questions.

The Chair:

Thank you, Ms. Floyd.

We'll go next to Mr. Davidson from Mozilla.

Mr. Alan Davidson (Vice-President, Global Policy, Trust and Security, Mozilla Corporation):

Members of the grand committee and the standing committee, thank you.

I'm here today because all is not well with the Internet. For sure the open Internet is the most powerful communications medium we've ever seen. At its best, it creates new chances to learn to solve big problems to build a shared sense of humanity, and yet we've also seen the power of the Internet used to undermine trust, magnify divisiveness and violate privacy. We can do better, and I'm here to share a few ideas about how.

My name is Alan Davidson. I'm the vice-president for policy, trust and security at the Mozilla Corporation. Mozilla is a fairly unusual entity on the Internet. We're entirely owned by a non-profit, the Mozilla Foundation. We're a mission-driven open-source software company. We make the Firefox web browser, Pocket and other services.

At Mozilla we're dedicated to making the Internet healthier. For years we've been champions of openness and privacy online, not just as a slogan but as a central reason for being. We try to show by example how to create products to protect privacy. We build those products not just with our employees but with thousands of community contributors around the world.

At Mozilla we believe the Internet can be better. In my time today, I would like to cover three things: first, how privacy starts with good product design; second, the role of privacy regulation; and third, some of the content issues that you folks have been talking about for the last few days.

First off, we believe our industry can do a much better job of protecting privacy in our products. At Mozilla we're trying to do just that. Let me give you one example from our work on web tracking.

When people visit a news website, they expect to see ads from the publisher of that site, from the owner of that website. When visitors to the top news sites, at least in the U.S., visit, they encounter dozens of third party trackers, trackers from sites other than the one that they're visiting, sometimes as many as 30 or 40. Some of those trackers come from household names and some of them are totally obscure companies that most consumers have never heard of.

Regardless, the data collected by these trackers is creating real harm. It can enable divisive political ads. It can shape health insurance decisions and is being used to drive discrimination in housing and jobs. The next time you see a piece of misinformation online, ask yourself where the data came from that suggested that you would be such an inviting target for that misinformation.

At Mozilla we've set out to try to do something about tracking. We created something we call the Facebook container, which greatly limits what Facebook can collect from you when you're browsing on Firefox. It's now, by the way, one of the most popular extensions that we've ever built. Now we're building something called enhanced tracking protection. It's a major new feature in the Firefox browser that blocks almost all third party trackers. This is going to greatly limit the ability of companies that you don't know to secretly track you as you browse around the web.

We're rolling it out to more people, and our ultimate goal is to turn it on by default for everybody. I emphasize that because what we've learned is that creating products with privacy by default is a very powerful thing for users, along with efforts like our lean data practices, which we use to limit the data that we collect in our own product. It's an approach that we hope others adopt, because we've learned that it's really unrealistic to expect that users are going to sort through all of the privacy policies and all the different options that we can give them to protect themselves. To make privacy real, the burden needs to shift from consumers to companies. Unfortunately, not everybody in our industry believes that.

Let me turn to my second point, which is that we believe that regulation will be an essential part of protecting privacy online. The European Union has been a leader in this space. Many other companies around the world are now following suit and trying to build their own new data protection laws. That's important because the approach we've had for the last two decades in our industry is clearly not working anymore. We've really embraced in the past this notion of notice and choice: If we just tell people what we're going to collect and let them opt out, surely they'll be fine. What we found is that this approach is really not working for people. We've been proponents of these new data protection rules, and we hope you will be too.

We believe that a good privacy law should have three main components. It needs clear rules for companies about what they can collect and use; it should have strong rights for individuals, including granular and revocable consent about specific uses; and it should be implemented within an effective and empowered enforcement agency, which is not always the case. We think that's an important component.

(0850)



Critically, we believe that you can build those laws and you can include those components while still preserving innovation and the beneficial uses of data. That's why we're supporting a new federal privacy law in the U.S. and we're working with regulators in India, Kenya and in other places to promote those laws.

My third point is that given the conversation you have all had for the last few days, I thought it would be useful to touch on at least some of our views on the big issues of content regulation. Of all the issues being examined by the committee, we believe that this is the most difficult.

We've seen that the incentives for many in the industry encourage the spread of misinformation and abuse, yet we also want to be sure that our reactions to those real harms do not themselves undermine the freedom of expression and innovation that have been such a positive force in people's lives on the Internet.

We've taken a couple of different approaches at Mozilla. We're working right now on something we call “accountability processes”. Rather than focusing on individual pieces of content, we should think about the kinds of processes that companies should have to build to attack those issues. We believe that this can be done with a principles-based approach. It's something that's tailored and proportionate to different companies' roles and sizes, so it won't disproportionately impact smaller companies, but it will give more responsibility to larger companies that play a bigger role in the ecosystem.

We've also been really engaged in the issues around disinformation, particularly in the lead-up to the EU parliamentary elections that just happened. We're signatories to the EU Code of Practice on Disinformation, which I think is a very important and useful self-regulatory initiative with commitments and principles to stop the spread of disinformation. For our part, we've tried to build tools in Firefox to help people resist online manipulation and make better choices about and understand better what they're seeing online.

We've also made some efforts to push our fellow code signatories to do more about transparency and political advertising. We think a lot more can be done there. Candidly, we've met with mixed results from some of our colleagues. I think there is much more room to improve the tools, particularly the tools that Facebook has put out there for ad transparency. There is maybe some work that Google could do, too. If we can't do that, the problem is that we'll need stronger action from government. Transparency should be a good starting point for us.

In conclusion, I'd say that none of these issues being examined by the committee are simple. The bad news is that the march of technology—with artificial intelligence, the rise of the Internet of things and augmented reality—is only going to make it harder.

A concluding thought is that we really need to think about how we build our societal capacity to grapple with these problems. For example, at Mozilla we've been part of something called the responsible computer science challenge, which is designed to help train the next generation of technologists to understand the ethical implications of what they're building. We support an effort in the U.S. to bring back the Office of Technology Assessment to build out government's capacity to better understand these issues and work more agilely. We're working to improve the diversity in our own company and our industry, which is essential if we're going to build capacity to address these issues. We publish something every year called the “Internet Health Report”, which just came out a couple of weeks ago. It's part of what we view as the massive project we all have to help educate the public so that they can address these issues.

These are just some of the examples and ideas we have about how to work across many different levels. It's designing better products, improving our public regulations and investing in our capacity to address these challenges in the future.

We really thank you for the opportunity to speak with you today and we look forward to working with you and your colleagues around the world to build a better Internet.

Thanks.

(0855)

The Chair:

Thank you, Mr. Davidson.

Last up, from Apple Inc., we have Erik Neuenschwander, please. You have 10 minutes.

Mr. Erik Neuenschwander (Manager of User Privacy, Apple Inc.):

Thank you.

Good morning, members of the committee, and thank you for inviting me to speak with you today about Apple's approach to privacy and data security.

My name is Erik Neuenschwander, and I've been a software engineer at Apple for 12 years. I worked as the first data analysis engineer on the first iPhone. I managed the software performance team on the first iPad, and I founded Apple's privacy engineering team. Today I manage that team responsible for the technical aspects of designing Apple's privacy features. I'm proud to work at a company that puts the customer first and builds great products that improve people's lives.

At Apple we believe that privacy is a fundamental human right, and it is essential to everything we do. That's why we engineer privacy and security into every one of our products and services. These architectural considerations go very deep, down to the very physical silicon of our devices. Every device we ship combines software, hardware and services designed to work together for maximum security and a transparent user experience. Today I look forward to discussing these key design elements with you, and I would also refer the committee to Apple's privacy website, which goes into far more detail about these and other design considerations in our products and services.

The iPhone has become an essential part of our lives. We use it to store an incredible amount of personal information: our conversations, our photos, our notes, our contacts, our calendars, financial information, our health data, even information about where we've been and where we are going. Our philosophy is that data belongs to the user. All that information needs to be protected from hackers and criminals who would steal it or use it without our knowledge or permission.

That is why encryption is essential to device security. Encryption tools have been offered in Apple's products for years, and the encryption technology built into today's iPhone is the best data security available to consumers. We intend to stay on that path, because we're firmly against making our customers' data vulnerable to attack.

By setting up a device passcode, a user automatically protects information on their device with encryption. A user's passcode isn't known to Apple, and in fact isn't stored anywhere on the device or on Apple's servers. Every time, it belongs to the user and the user alone. Every time a user types in their passcode, iPhone pairs that input with the unique identifier that iPhone fuses into its silicon during fabrication. iPhone creates a key from that pairing and attempts to decrypt the user's data with it. If the key works, then the passcode must have been correct. If it doesn't work, then the user must try again. We designed iPhone to protect this process using a specially designed secure enclave, a hardware-based key manager that is isolated from the main processor and provides an additional layer of security.

As we design products, we also challenge ourselves to collect as little customer data as possible. While we want your devices to know everything about you, we don't feel that we should.

For example, we've designed our hardware and software to work together to provide great features by efficiently processing data without that data ever leaving the user's device. When we do collect personal information, we are specific and transparent about how it will be used, because user control is essential to the design of our products. For example, we recently added a privacy icon that appears on Apple devices when personal information is collected. The user can tap on it to learn more about Apple's privacy practices in plain language.

We also use local differential privacy, a technique that enables Apple to learn about the user community without learning about individuals within that community. We have pioneered just-in-time notices, so that when third party apps seek to access certain types of data, a user is given meaningful choice and control over what information is collected and used. This means third party apps cannot access users' data like contacts, calendars, photos, the camera or the microphone without asking for and obtaining explicit user permission.

These and other design features are central to Apple. Customers expect Apple and other technology companies to do everything in our power to protect personal information. At Apple we are deeply committed to that because our customers' trust means everything to us. We spend a lot of time at Apple thinking about how we can provide our customers not only with transformative products, but also with trusted, safe and secure products. By building security and privacy into everything we do, we've proved that great experiences don't have to come at the expense of privacy and security. Instead, they can support them.

I'm honoured to participate in this important hearing. I look forward to answering your questions.

Thank you.

(0900)

The Chair:

Thank you, Mr. Neuenschwander.

We'll start with questions from committee members. My colleague Damian Collins will be here shortly. He regrets he had another thing to attend to.

We'll start with Mr. Erskine-Smith for five minutes.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Thanks very much.

Thank you all for your presentations. I know Microsoft supports the GDPR and stronger privacy rules. Obviously, Tim Cook has been public in support of the GDPR. Amazon, do you also support the GDPR?

Mr. Mark Ryland:

We support the privacy principles of user control, consent and so forth. We think the actual legislation is new enough and creates some burdens that we don't think directly impact user privacy in a positive way. While we're fully compliant and fully supportive of the principles, we don't necessarily think it's something that should be applied universally at this point.

Mr. Nathaniel Erskine-Smith:

Support of the principles includes the principle of data minimization.

Mr. Mark Ryland:

Yes, as well as user control. That's really the key principle.

Mr. Nathaniel Erskine-Smith:

Microsoft, would you agree with the principle of data minimization?

Mr. John Weigelt:

Yes, we would.

Mr. Nathaniel Erskine-Smith:

Good.

With respect to consumer privacy protection, one way to better protect consumer privacy is to have additional opt-in consents that are explicit for secondary purposes. For example, with Amazon's Echo, California was proposing smart speaker rules that there would have to be opt-in consents for that information to be stored. Do you agree with those rules?

(0905)

Mr. Mark Ryland:

We believe that the user experience should be very smooth and clear, and that people's expectations should be very reasonably met. For example, with the Echo device, you use a mobile application to set up your device, and it makes it very clear what the privacy rules are.

Mr. Nathaniel Erskine-Smith:

Is there an explicit opt-in consent for recording of those conversations?

Mr. Mark Ryland:

It's not an explicit opt-in consent, but it makes it clear about the recordings and it gives you full control over the recordings. It gives a full list of recordings and the ability to delete any particular one, or all of them. It's a very explicit and clear user interface for that.

Mr. Nathaniel Erskine-Smith:

If the GDPR were in effect, there would be a requirement for explicit opt-in consent.

Mr. Mark Ryland:

Possibly. There may be legal rulings that we.... That's part of the issue. A lot of specifics are unclear until there are more regulatory or judicial findings about what the exact meaning of some of the general principles is.

Mr. Nathaniel Erskine-Smith:

Representative from Apple, does Apple engage in web tracking?

Mr. Erik Neuenschwander:

We don't have the kind of destinations around the Internet that do that kind of web tracking. Of course, with our online store, for example, we have a direct first-party relationship with users who visit our sites.

Mr. Nathaniel Erskine-Smith:

There's probably a reasonable expectation that when I visit the Apple site, I know that Apple's going to want to communicate with me afterwards, but if I'm visiting other non-related sites around the Internet, Apple wouldn't be tracking me.

Mr. Erik Neuenschwander:

We're not, and in fact our intelligent tracking prevention is on by default in our Safari web browser, so even if Apple were to attempt that, intelligent tracking prevention would seek to prevent it.

Mr. Nathaniel Erskine-Smith:

Microsoft and Amazon, are you similar to Apple, or do you engage in web tracking on a wide variety of websites across the Internet?

Mr. Mark Ryland:

We are involved in the web ecosystem, with the ability to understand where people have come from and where they're going from our site.

Again, our primary business model is selling products to customers, so that's not the way we monetize our business.

Mr. Nathaniel Erskine-Smith:

Was that a yes to web tracking, fairly broadly?

Mr. Mark Ryland:

We participate in the advertising ecosystem, so yes.

Mr. Nathaniel Erskine-Smith:

I think that's a yes.

Microsoft, would you comment?

Mr. John Weigelt:

We have our properties, as do the other communities. We have the Microsoft store and the MSN properties, so we are able to determine where our customers are coming from.

Mr. Nathaniel Erskine-Smith:

The reason I ask is that we had an individual yesterday talking about how consent in some cases isn't good enough, and in some cases, I understand that. I'm a reasonably busy person, so I can't be expected to read every agreement about terms and conditions; I can't be expected to read all of them. If secondary consents are in every single app I use and I have to agree to 10 different consents, am I really going to be able to protect my own personal information? I don't think we should expect that of consumers, which is why we have consumer protection law and implied warranties in other contexts.

McNamee yesterday suggested that some things should strictly be off the table. I put it to Google that maybe Google shouldn't be able to read my emails and target me based on ads—that should be off the table. Do you think, Apple, that certain things should just be off the table?

Mr. Erik Neuenschwander:

Yes, when we.... Our iCloud service is a place where users can store their photos or documents with Apple, and we are not mining that content to build profiles about our users. We consider it the user's data. We're storing it on our service, but it remains the user's data.

Mr. Nathaniel Erskine-Smith:

Similarly, Microsoft and Amazon: Do you think certain data collection should simply be off the table completely?

Mr. John Weigelt:

One of the things we feel strongly about is users having visibility into what data they have shared with particular organizations. We've worked very closely—I have personally worked very closely—with information privacy commissioners across Canada to talk about the consent environment and what consent means. As we rolled out tools like Cortana, for example, we worked with the federal Privacy Commissioner's office to understand which of the 12 stages of consent for consumers were particularly important.

Mr. Nathaniel Erskine-Smith:

But I'm suggesting that beyond consent, certain things be off the table. For example, my personal pictures on my phone—should those be able to be scanned, and then I get targeted ads?

Mr. John Weigelt:

To be clear, we don't scan that information—

Mr. Nathaniel Erskine-Smith:

Well, I know you don't—

Mr. John Weigelt:

—however, we do provide—

Mr. Nathaniel Erskine-Smith:

—but should certain things be off the table? That is my point.

Mr. John Weigelt:

—visibility to customers so that they understand where their data is being used and give them full control.

Our privacy dashboard, for example, allows you to see what data is resident within the Microsoft environment and then you're able to control that and be able to manage that in a better fashion. It's all about having that user interaction so that they understand the value proposition of being able to share those things.

Mr. Nathaniel Erskine-Smith:

Amazon, should certain things just be off the table?

Mr. Mark Ryland:

I don't think you can say, a priori, that certain things are always inappropriate, because again, the customer experience is key, and if people want to have a better customer experience based on data that they share.... Consent, obviously, and control are critical.

Mr. Nathaniel Erskine-Smith:

Let's take the case of kids under the age of 18, for example. Maybe we should not be able to collect information about kids under the age of 18, or under 16, or under 13.

Kids, let's say. Should that be off the table?

(0910)

Mr. Mark Ryland:

We're going to comply with all of the laws of the countries where we operate, if that is—

Mr. Nathaniel Erskine-Smith:

Are you saying you don't have a view on an ethical basis with respect to collecting information from kids?

Mr. Mark Ryland:

We certainly have a view that parents should be in charge of children's online experience, and we give parents the full control in our systems for that experience.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

It's so hard to say yes.

The Chair:

We will go to Peter next, for five minutes.

Hon. Peter Kent (Thornhill, CPC):

Thank you, Chair.

Thanks to all of our witnesses for appearing today.

My first question is for Mr. Ryland at Amazon.

In September of last year, your vice-president and associate general counsel for Amazon, Mr. DeVore, testified before a U.S. Senate committee and was very critical, I think it's fair to say, of the California consumer act that was passed.

Among the new consumer rights in that act that he was critical of was the right for users to know all of the business data that is collected about a user and the right to say no to the sale of that business data. It provides, in California, the right to opt out of the sale of that data to third parties. He said the act was enacted too quickly and that the definition of personal information was too broad.

I wonder if you could help us today by giving us Amazon's definition of protectable personal information.

Mr. Mark Ryland:

First of all, let me say that I work in Amazon web services on our security and privacy of our cloud platform. I'm not a deep expert broadly across all of our privacy policies.

However, I will say that certain elements of consumer data are used in the core parts of business. For example, if we sell a product to a customer, we need to track some of that data for tax purposes and for other legal purposes, so it's impossible to say that a consumer has complete control over certain things. There are other legal reasons that data must sometimes be retained, for example.

Hon. Peter Kent:

Have you had any users request or ask about the user data that has been collected about them and whether it has been sold?

Mr. Mark Ryland:

Yes, absolutely.

First of all, we do not sell our customer data. Full stop.

Second, we have a privacy page that shows you all the data we have accumulated about you—your order history, digital orders, book orders, etc. We have a whole privacy page for our Alexa Voice Service. All that gives users control and insight into the data we're utilizing.

Hon. Peter Kent:

Then despite Mr. DeVore's criticism, Amazon is complying with the California act and, I would assume, would comply with any other legislation passed anywhere in the world that was similar.

Mr. Mark Ryland:

We will always comply with the laws that apply to us wherever we do business. Absolutely.

Hon. Peter Kent:

Thank you.

I'd like to ask a question now to Mr. Davidson about Mozilla.

I know that Mozilla, with all of its good practices and its non-profit public benefit mandate, does work with Google and with Bing. I'm just wondering how you establish firewalls for user data accumulation that those two organizations would otherwise collect and monetize.

Mr. Alan Davidson:

It's a great question. It's pretty simple for us. We just don't send data to them beyond what they would normally get from a visitor who visits their website—the IP address, for example, when a visitor comes and visits them.

We make a practice of not collecting any information. If you're using Firefox and you do a search on Bing or on Google, we don't collect anything, we don't retain anything and we don't transmit anything special. That has allowed us to distance ourselves, honestly, and we have no financial incentive to collect that information.

Hon. Peter Kent:

I have a question for Mr. Neuenschwander.

In September of last year, the news broke that the Mac application Adware Doctor, which was supposed to protect Apple users from privacy threats, was in fact recording those users' data and delivering them to a server in China. Apple shut that down, but for how long was that exposure up? Have you determined who exactly was operating that server in China?

Mr. Erik Neuenschwander:

I remember that event and the action the App Store team took on it. Off the top of my head, I don't remember exactly the exposure. I'd be happy to go back and look up that information and get back to you with it.

(0915)

Hon. Peter Kent:

You're unaware of how long the exposure—

Mr. Erik Neuenschwander:

At this time, I don't remember exactly how long that exposure was.

Hon. Peter Kent:

This was, I understand, a very popular Mac application. How thoroughly do you research those applications in the reasonable capitalist rush to monetize new wonders?

Mr. Erik Neuenschwander:

For applications that are free on the store, there's no monetization for Apple in the App Store.

Since we introduced the App Store, we've had both a manual review and, in more recent years, added an automated review of every application that's submitted to the store, and then for every update of the applications on the store. Those applications undergo a review by a dedicated team of experts on the App Store side.

There is a limit that we don't go past, which is that we don't surveil our users' usage of the applications. Once the application is executing on a user's device, for that user's privacy we don't go further and take a look at the network traffic or the data that the user is sending. That would seem creepy to us.

We continue to invest on the App Store side to try to have as strong a review as we can. As applications and their behaviours change, we continue to enhance our review to capture behaviours that don't match our strong privacy policies on the stores.

Hon. Peter Kent:

For Microsoft and Ms. Floyd, in 2013 the European Commission fined Microsoft in the amount of some €561 million for non-compliance with browser choice commitments. There doesn't seem to have been any violation since. Does that sort of substantial fine teach lessons? We're told that even hundreds of millions of dollars or hundreds of millions of euros—even into the billion-dollar mark—don't discourage the large digital companies. I'm wondering about compliance and the encouragement to compliance by substantial financial penalties, which we don't have in Canada at the moment.

Mr. John Weigelt:

As we mentioned, trust is the foundation of our business. Any time there's a negative finding against our organization, we find that the trust is eroded, and it ripples throughout the organization, not only from the consumer side but also on the enterprise side.

That fine was substantive, and we addressed the findings by changing how we deliver our products within the marketplace, providing the choice to have products without that browser in place.

When we look at order-making powers here in Canada or whatnot, we can see that having that negative finding will really impact the business far more broadly than some of those monetary fines.

Hon. Peter Kent:

Would you encourage the Canadian government to stiffen its regulations and penalties for non-compliance with privacy protection?

Mr. John Weigelt:

I would encourage the Canadian government to have the voice you have around how technologies are delivered within the Canadian context. We have people here locally who are there to hear that and change the way we deliver our services.

Hon. Peter Kent:

Thank you.

The Chair:

Go ahead, Mr. Angus, for five minutes.

Mr. Charlie Angus (Timmins—James Bay, NDP):

Thank you, Mr. Chair.

I was talking to my friend at Apple about how I bought my first Mac Plus in 1984 with a little 350k floppy disk, and I saw it as a revolutionary tool that was going to change the world for the better. I still think it has changed the world for the better, but we are seeing some really negative impacts.

Now that I'm aging myself, back in the eighties, imagine if Bell Telephone listened in on my phone. They would be charged. What if they said, “Hey, we're just listening in on your phone because we want to offer you some really nifty ideas, and we'll have a better way to serve you if we know what you're doing”? What if the post office read my mail before I got it, not because they were doing anything illegal but because there might be some really cool things that I might want to know and they would be able to help me? They would be charged.

Yet in the digital realm, we're now dealing with companies that are giving us all these nifty options. This was where my colleague Mr. Erskine-Smith was trying to get some straight answers.

I think that as legislators, we're really moving beyond this talk about consent. Consent has become meaningless if we are being spied on, if we're being watched and if our phone is tracking us. Consent is becoming a bogus term, because it's about claiming space in our lives that we have not given. If we had old school rules, you would not be able to listen in on our phones and not be able to track us without our rights, yet suddenly it's okay in the digital realm.

Mr. Davidson, I'm really interested in the work that Mozilla does.

Is it possible, do you think, for legislators to put some principled ground rules down about the privacy rights of citizens that will not completely destroy Silicon Valley and they will not all be going on welfare and the business model will still be able to succeed. Is it possible for us to put simple rules down?

(0920)

Mr. Alan Davidson:

Yes.

I can say more.

Mr. Charlie Angus:

Say more.

Mr. Alan Davidson:

I think that actually—

Mr. Charlie Angus:

I love it when someone agrees with me.

Mr. Alan Davidson:

We were looking for some yeses.

You've heard examples already. We firmly believe that you can build good and profitable businesses and still respect people's privacy. You've heard some examples today. You've heard some examples from us. You can see good examples of laws that are out there, including the GDPR.

There are things that are probably beyond the pale, for which we need to have either clear prohibitions or really strong safeguards. I would say that I wouldn't totally reject consent. What we need is more granular consent, because I think people don't really understand—

Mr. Charlie Angus:

Explicit consent.

Mr. Alan Davidson:

—explicit consent.

There are lots of different ways to frame it, but there is a more granular kind of explicit consent. That's because there will be times when some people will want to take advantage of health apps or sharing their location with folks and with their family. They should be able to do that, but they should really understand what they're getting themselves into.

We believe that you can still build businesses that do that.

Mr. Charlie Angus:

Thank you.

Some of the concerns we've been looking at are in trying to get our heads around AI. This is the weaponization of digital media. AI could have a very positive role, or it could have a very negative role.

Mr. Ryland, certainly Amazon has really moved heavily in terms of AI. However, Amazon has also been noted as a company with 21st century innovation and 19th century labour practices.

With regard to the allegations that workers were being monitored right down to the level of being fired by AI tracking, is that the policy of Amazon?

Mr. Mark Ryland:

Certainly our policy is to respect the dignity of our workforce and to treat everyone in a proper fashion.

I don't know the specifics of that allegation, but I'd be happy to get back to you with more information.

Mr. Charlie Angus:

It was a pretty famous article about Amazon. It said that right down to the seconds, the workers were being monitored by AI, and those who were too slow were being fired.

I may be old school, but I would think that this would be illegal under the labour laws in our country. That is apparently how AI is being used in the fulfillment centres. That, to me, is a very problematic misuse of AI. Are you not aware of that?

Mr. Mark Ryland:

I'm not aware of that, and I'm almost certain that there would be human review of any decisions. There's no way we would make a decision like that without at least some kind of human review of machine-learning types of algorithms.

Mr. Charlie Angus:

It was a pretty damning article, and it was covered in many international papers.

Would you be able to get back to our committee and get us a response?

Mr. Mark Ryland:

I would be happy to follow up with that.

Mr. Charlie Angus:

I don't want to put you on the spot here, but I'd rather get a response on this. I think we would certainly want to get a sense of Amazon's perspective on how it uses AI in terms of the monitoring of the workers within the fulfillment centres. If you could get that to our committee, it would be very helpful.

Mr. Mark Ryland:

I will do that.

The Chair:

Thank you, Mr. Angus.

We'll go next to our delegation.

We'll start off with Singapore.

Go ahead, for five minutes.

Ms. Sun Xueling (Senior Parliamentary Secretary, Ministry of Home Affairs and Ministry of National Development, Parliament of Singapore):

Thank you, Mr. Chair.

I have some questions for Mr. Alan Davidson.

I was reading the Mozilla Manifesto with interest. I guess I had some time. I think there are 10 principles in your manifesto. Specifically on principle 9, it reads that “Commercial involvement in the development of the internet brings many benefits; a balance between commercial [benefit] and public benefit is critical.”

That's what principle 9 says.

Would you agree, then, that tech companies, even with the desire for growth and profitability, should not abdicate their responsibility to safeguard against abuse of their platforms?

Mr. Alan Davidson:

We absolutely agree with that. I would say that the manifesto, for those who haven't seen it, is really like our guiding principles. It was written almost 15 years ago. We just updated it with a new set of things we've added on to it to respond to modern times.

We think, yes, that balance is really important, and I think companies need to be thinking about the implications of what they're building. I also think government needs to put guardrails around it, because what we've seen is that not all companies will do that. Some companies need guidance.

Ms. Sun Xueling:

Also, I think there was an Internet health report that Mozilla Foundation put out, and I'd like to thank your organization, a non-profit working for the public benefit. I think the Cambridge Analytica scandal was referred to, and your report says that the scandal is a symptom of a much larger systemic issue, that the dominant business model and currency of today's digital world is actually based on gathering and selling data about us.

Would you agree, then, that the Cambridge Analytica scandal somehow demonstrates a mindset whereby the pursuit of profit and the pursuit for company growth had somewhat been prioritized over civic responsibility?

(0925)

Mr. Alan Davidson:

Yes, but our hope is that some of those are isolated instances. I would just say that not every company operates that way. There are, I think, companies that are trying to do the right thing for the user, trying to put their users first, and it's not just for altruistic purposes; I think it's because many of us believe that you build a better business and in the long term should be rewarded in the market if you put your users first.

Ms. Sun Xueling:

We also heard testimony yesterday. I think many of the grand committee members had spoken with businesses who talked about examples around Sri Lanka or Nancy Pelosi. It seemed that it was more about putting information out there, freedom of reach rather than real protection of freedom of speech, because there's no real freedom of speech if it is founded on false information or misleading information.

While we like to think that the Cambridge Analytica scandal is a one-off, I think our concern is that the existing business models of these corporate entities do not seem to give us the confidence that civic responsibility would be seen in the same light as company profits. I think that's where I'm coming from.

Mr. Alan Davidson:

As somebody who has been in this space for a long time, it is really disappointing to see some of those behaviours online. I do think that part of it has been the evolution of these business models, especially the ones that reward engagement as a major overriding metric. Our hope is that companies will do more and do better.

There is a risk in too much government intervention in this space, because we do want to make sure that we respect free expression. When governments are making strong choices about what is true and not true online, there's a lot of risk there. I think there's a serious balance needed there, and I think the starting point is using this bully pulpit to really push companies to do better. That is the right starting point. Hopefully that is effective.

Ms. Sun Xueling:

Yes. Thank you.

The Chair:

We'll go next to our Ireland delegation and Ms. Naughton.

Ms. Hildegarde Naughton (Chair, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Thank you. Thank you all for coming before us this morning.

My first question is to Amazon. Last November, on Black Friday, I understand there were technical issues. Many of the customers' names and emails appeared on your website. Is that correct?

Mr. Mark Ryland:

No, that's not correct.

Ms. Hildegarde Naughton:

No? Okay. I thought there was some reporting in relation to that. Were there some technical issues last November?

Mr. Mark Ryland:

It doesn't sound familiar to me at all, but I'd be happy to double-check. No, I'm not familiar with that.

Ms. Hildegarde Naughton:

In relation to GDPR and data protection, from what my colleagues asked you earlier, you're saying you would be in favour of some form of GDPR being rolled out globally.

Mr. Mark Ryland:

Again, we believe that the principles of consumer trust—putting customers first, giving them control over their data and getting their consent for usage of data—make sense. The specific ways in which that is done and the amount of record-keeping and the bureaucracy involved sometimes seem to outweigh the benefit to consumers, so we really think we need to work together as a community to find a right balance that's not too onerous.

For example, a large company like ours might be able to comply with a very onerous regulation that's very expensive to implement, but a small business might not. We have to find ways in which those principles can be implemented in a way that's efficient and relatively simple and straightforward.

Yes, we definitely support the principles behind GDPR. We think the actual legislation is still a bit of a work in progress, in the sense that we don't know exactly what the meaning of some of the legislation will be once it gets to the regulatory or judicial level—what exactly constitutes reasonable care, for example, on the part of a company.

Ms. Hildegarde Naughton:

Okay, so are you open to that, or maybe to a different version of it across the world?

Mr. Mark Ryland:

Yes.

Ms. Hildegarde Naughton:

As you know, in the GDPR as it's currently working, there are those obstacles for some companies, but that has been worked through across the European Union.

Mr. Mark Ryland:

Yes.

Ms. Hildegarde Naughton:

I suppose you're waiting to see how that works out—

Mr. Mark Ryland:

We think there will be a lot of good learnings from that experience. We can do better in the future, whether it's in Europe or in other places, but again, the principles make sense.

(0930)

Ms. Hildegarde Naughton:

Okay.

This is a question for Microsoft: Earlier this year, I understand a hacker compromised the account of a Microsoft support agent. Is that correct?

Mr. John Weigelt:

That's correct. There was a disclosure of credentials.

Ms. Hildegarde Naughton:

I understand at the time Microsoft was saying there was a possibility the hacker accessed and viewed the content of some Outlook users. Did that actually happen? Did they access the content of Microsoft users?

Mr. John Weigelt:

Having that access from the support side gave them the possibility to be able to do so.

Ms. Hildegarde Naughton:

How was it that a hacker was able to, I suppose, compromise your own security or data security features?

Mr. John Weigelt:

That whole environment is an end-to-end trust-type model, so all you have to find is the weakest chain in the link. In this case, it was unfortunate that the administrative worker had a password that the hacker community was able to guess to get into that system.

Ms. Hildegarde Naughton:

What have you done to ensure this doesn't happen again? It seems like kind of a basic breach of data security for your users.

Mr. John Weigelt:

Absolutely. Any time there's an incident within our environment, we bring the Microsoft security response team together with our engineering teams to see how we can do better. We took a look at the environment to see what happened and to make sure we could put in place tools such as multi-factor controls, which would require two things to log in—something you know, something you have. We've been looking at things like two-person controls and tools like that, so that we can ensure we maintain our customers' trust and confidence.

Ms. Hildegarde Naughton:

You're on record for having put these changes in place. Have you had a report? Did you do a report in relation to how many users' information was accessed, or the content?

Mr. John Weigelt:

We'd have to come back to the committee on the report and its findings. I'm not aware of that report. I had not searched it out myself.

Ms. Hildegarde Naughton:

Okay.

In relation to the measures taken following that.... Again, this is about the trust of users online and what your company has done. Would it be possible to get feedback about that?

Mr. John Weigelt:

Absolutely.

Ms. Hildegarde Naughton:

Thank you.

The Vice-Chair (Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.)):

You have another minute.

Mr. James Lawless (Member, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Thank you, Chair.

To Amazon, first of all, Is Alexa listening? I guess it is. What's it doing with that information?

Mr. Mark Ryland:

Alexa is listening for a keyword, the wake word, which alerts the system that you want to interact with it in some fashion. That information is not locally stored. There's nothing stored locally on the device. Once the keyword is recognized, it follows that. There's a light on the device that tells you that the device is now active, and the subsequent sound in the room is then streamed to the cloud.

The first thing the cloud does is to double-check the wake word. The software on the device often isn't sophisticated, so it occasionally makes mistakes. The cloud will then recognize that it wasn't a wake word, and then it will shut off the stream. However, if the cloud confirms that the wake word was used, that stream is then taken through a natural language processing system, which essentially produces a text output of it. From there, the systems take the next action that the user was asking for.

Mr. James Lawless:

Okay.

Is that information used by Amazon for profiling and/or marketing?

Mr. Mark Ryland:

That information becomes part of your account information, just as it would if you were buying books on our website. Therefore, it could influence what we present to you as other things you might be interested in.

Mr. James Lawless:

Okay.

Mr. Mark Ryland:

It's not passed to any third party. It's not used for advertising purposes and so forth.

Mr. James Lawless:

Okay, but if you've asked about the weather in Bermuda and then you go on the Amazon website, you might be pitched a holiday book guide for Bermuda. Is that possible?

Mr. Mark Ryland:

It's theoretically possible, yes. I don't know if that actual algorithm is there.

Mr. James Lawless:

Is it likely?

Mr. Mark Ryland:

I don't know. I'd have to get back to you on that.

Mr. James Lawless:

Okay, but it is actually using the queries, which Alexa processes, to be of profit to the user. This could be used to make intelligent marketing pitches on the platform, yes?

Mr. Mark Ryland:

This is because the user directly ties the device to their account and they have full visibility into the utterances. You can see a full list of what you've said and you can delete any one of those. Those will immediately get removed from the database and would not be the basis for a recommendation.

Mr. James Lawless:

Do users consent to that when they sign up? Is that part of the terms and conditions?

Mr. Mark Ryland:

I think it's very clear. The consent is part of the experience. To take a colloquial example, I haven't explicitly consented to my voice and video being recorded here today, but I understand from the context that it's probably happening. We believe that simple consumer experiences are best. We think our customers understand that for the service to work the way it's supposed to work, we are accumulating data about them—

The Vice-Chair (Mr. Nathaniel Erskine-Smith):

Thanks.

Mr. Mark Ryland:

—and we make it really, really easy to delete and to control that data.

(0935)

The Vice-Chair (Mr. Nathaniel Erskine-Smith):

Thanks very much, although you may have a better understanding of what's going on today than most users of Alexa.

Mr. Charlie Angus:

I'm sorry, Chair, but can I just make a point of order?

I want us to be really clear. When you're speaking before a committee, that's like speaking before a court. It's not about your consent to be recorded or that you think you may be recorded. This is a legal parliamentary process, so of course you're being recorded. To suggest that it's the same as Alexa selling you a thing in Barbados is ridiculous, and it undermines our Parliament.

I would just remind the witnesses that we are here to document for the international legislative community, and this will be on an official record.

The Vice-Chair (Mr. Nathaniel Erskine-Smith):

Thanks, Charlie.

We'll go to David for five minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you. I'll start with Microsoft.

The Microsoft ecosystem is quite large, as you know. You have the majority of the world's desktops, with Office 365, LinkedIn, Bing, Skype, MSN, Live.com, Hotmail and so on. You obviously have the ability to collect a tremendous amount of data on a tremendous number of people. Can you assure me that there's no data about individuals interchanged between any of the different platforms?

Mr. John Weigelt:

Do you mean data between, let's say, an Xbox user and your Office 365 type of user? Is that the type of question?

Mr. David de Burgh Graham:

Yes, or LinkedIn and Bing. We heard quite a bit in the first couple of days of this committee about the creation of avatars of users of different companies. Does Microsoft create an avatar of their users? Does it create an impression of who is using their services?

Mr. John Weigelt:

What we see is that if you have a common Microsoft account, that allows you to maintain and manage your data across those properties. The Bing product team would not necessarily go directly from the Xbox team and back and forth for the data that's required. You are in control of your data that's in the centre.

Mr. David de Burgh Graham:

My question was whether there is an interchange of the data between the services. You have your common log-in, but once you've gone past the log-in, you can go to different databases. Do the databases interact?

Mr. John Weigelt:

Again, across all the different platforms, I would have to look at each individual scenario that's done there to say largely that there's no data exchange across....

Mr. David de Burgh Graham:

Okay.

You recently bought GitHub, an open-source company, which I thought was pretty interesting. Why?

Mr. John Weigelt:

We recognize that the open-source community is a very vibrant community with a great development model. That open dialogue, that open discussion, has gone beyond simply the software conversation to broader projects. We saw that as an opportunity for us to help engage with that community.

In the past, you've seen that there was almost this animosity between ourselves and the open-source community. We've really embraced the concept of open source and concepts of open data to be able to help bring better innovation to the marketplace.

Mr. David de Burgh Graham:

I come from the open-source community, so I can relate to that comment.

I'd like to speak to Mozilla for a second.

You talked about enhanced tracking protections. Would you describe tracking and anti-tracking as an arms race?

Mr. Alan Davidson:

Unfortunately, yes. I think we are very clear-eyed about the fact that we will build this set of tracking protections. We think they provide real value. I'll give a shout-out to our friends at Apple. They're doing something similar with Safari that's really good.

The trackers will find other ways to get around this, and we'll have to build new tools. I think this is going to be an ongoing thing for some time, which is unfortunate for users, but it is an example of how we can do things to protect users.

Mr. David de Burgh Graham:

Understood.

To go to Apple for a second, there was recently the sensor ID hack that was patched in 12.2 of iOS—I'm not familiar with it—that permitted any website anywhere in the world to track any iPhone and most Android devices based on sensory calibration data. You're probably familiar with this.

Mr. Erik Neuenschwander:

Yes, it's the fingerprinting issue.

Mr. David de Burgh Graham:

Yes, the fingerprinting issue. Can you tell us more about this, how it was used and if it is truly prevented now in iOS 12.2?

Mr. Erik Neuenschwander:

First, I'll step back, I think, to explain a bit of the context. When we're talking about, say, tracking, there can be some technologies that are explicitly for tracking, such as cookies. One of the evolutions we've seen is the development of what we call a synthetic fingerprint. It's just a unique digital number that is synthesized by a third party, probably to attempt to track. It can also be used for anti-fraud and some other reasons, but certainly it is fit for the purposes of tracking.

You're right. Some researchers, by looking at variations in sensor manufacture, identified that there was the ability to try to synthesize one of these unique identifiers. Fingerprinting, much like anti-tracking, is going to be something that will continually evolve and that we're committed to staying in front of. When you ask how it was used, I don't have any data that it was used at all, but I also can't assure you that it was not.

We introduced a number of mitigations in our most recent update, which the researchers have confirmed have blocked their version of the attack, but again, I'd put this in the context of fingerprinting being an evolving area, so I choose my word “mitigations” also carefully. Without actually removing sensors out of the device, there will continue to be a risk there. We're also going to continue to work to mitigate that risk and stay on top of it.

(0940)

Mr. David de Burgh Graham:

I have only about 20 seconds left. I have one more question for Apple.

On iOS, when you switch between applications, one application suspends and the next one opens. When you come back to the original application, if it's been more than a few seconds, it will reload the data. Is that not providing ample tracking opportunity to any website you're on, by saying that this is the usage of the device? I find it strange to have to do that, instead of storing the content that you're actually using.

Mr. Erik Neuenschwander:

I'll split that into two parts, I guess.

One, when the application gains the foreground and is able to execute, they can reload the content, if they see fit to reload the content. At that point, you've transferred control to that application, and it will be able to execute and reload, if you'd like.

It's our goal, actually, to minimize those reloads as part of the user experience. It's also our goal that the application currently in the foreground should get, within a sandbox, within a set of limitations we have, the maximum execution and other resources of the device. This can mean that the operating system will remove some of the resources of background applications.

In terms of the reloading that you're seeing, iOS, our operating system, could contribute to that, but fundamentally, regardless of what resources are preserved for that background application, when you transition back to an app, it has execution control and it can reload if it sees fit.

Mr. David de Burgh Graham:

Thank you.

The Chair:

Thank you, Mr. Graham.

We'll go to my co-chair, Mr. Collins.

Go ahead with your opening comments. It's good to have you back.

Mr. Damian Collins (Chair, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you.

My apologies, since the other U.K. representatives and I were not here for the start of the session, but we're delighted to see all of the witnesses here on the panel.

We had focused yesterday on some of the social media platforms, but I think our interests are much broader, looking at a range of technology companies.

I wonder if I could start with a couple of questions first for Apple.

As I came in, there was a discussion about data collected about voice. Could you tell me a little bit about the sort of data Apple collects in terms of sound captured by its devices? With smart devices, are the devices capturing ambient background sound to gain an understanding of the users—maybe the environment they're in or what they're doing when they're using the device?

Mr. Erik Neuenschwander:

In terms of the information on our devices that support Siri, there is a part of the device that is constantly listening. On some of our devices we've isolated it beyond even iOS, beyond our operating system, into a dedicated coprocessor, basically a specialized piece of hardware, which is not recording or storing that information but is listening only for the wake-up word to trigger our personal assistant, so that information isn't retained on the device.

Further to the point of your question, it isn't being collected into any sort of derived profile to identify something about the users' behaviour or interests. No.

Mr. Damian Collins:

Is it collecting information about the environment they're in at the moment? Let's say, for example, I was commuting to work and I was on the bus. Would it pick up that sort of ambient sound?

Mr. Erik Neuenschwander:

It's not collecting it all. There's what we call a “ring buffer”. There's basically a short period that is transiently recorded to analyze for that wake-up word, and then it's continually overwritten as time progresses. There isn't any collection for more than just the ephemeral milliseconds of being able to listen for that wake-up word.

Mr. Damian Collins:

The only purpose of the listening is for a command to Siri.

Mr. Erik Neuenschwander:

That's correct. Yes.

Mr. Damian Collins:

For product development or training purposes, is any of that information retained by the company?

Mr. Erik Neuenschwander:

Again, it's not even retained by the device. As it's transiently listening, it's being continually overwritten. When the user uses a wake-up word, there is some machine learning that happens on the device as it adapts the audio model to the speaker to reduce the number of false positives or false negatives for that wake-up word. Then if the user is using Siri, at the point Siri is woken up and being communicated with, that is the initiation of transmission of data to Apple.

Mr. Damian Collins:

What would the scope of that data be?

Mr. Erik Neuenschwander:

The scope of the data is the utterance until it reaches a termination point and Siri thinks the user has stopped talking, along with information like the device model to tailor the response back to the device and a random device-generated identifier, which is the key to the data that is held by Siri for purposes of your interactions with Siri. This is an identifier that is separate from your Apple ID and not associated with any other account or services at Apple.

Mr. Damian Collins:

Would Apple keep a record of the sort of things I've asked Siri about, the commands I've given?

Mr. Erik Neuenschwander:

Yes.

(0945)

Mr. Damian Collins:

Is that used by the company, or is that just used to inform the response to my device?

Mr. Erik Neuenschwander:

I guess the second part is a form of use by the company. Yes, we use it for Siri, and for Siri purposes alone.

Mr. Damian Collins:

To get at what the Siri purposes are, are the Siri purposes just actually making Siri more responsive to my voice—

Mr. Erik Neuenschwander:

Yes.

Mr. Damian Collins:

—or is the data kept by the company to understand what sorts of things people ask? Do you have metadata profiles of people based on how they use Siri?

Mr. Erik Neuenschwander:

The only metadata profile that we have is one that is used to tailor your actual interactions with Siri. For example, we are training our voice models to do natural language recognition on the sound profile. This is really just within the Siri business or the Siri experience. If your question is whether it informs some broader profile used by the company to market products and services, the answer is no.

Mr. Damian Collins:

Mark Ryland, does Amazon do that?

I'd be interested to know the difference between how Amazon uses data gathered from voice compared to how Apple does. There was a recent case of a user who actually put in a request for data that Amazon held. That included a series of voice recordings from their home that the company was apparently using for training purposes. I'm interested in how Amazon gathers data from voice and how it uses it.

Mr. Mark Ryland:

Similarly, the device listens for a wake-up word. It doesn't store any of that ambient data. Once it's awakened, it will begin to stream data to the cloud to do analysis of what the user is actually requesting. That data is stored; it's explicit in the user's profile, and they can see all the utterances. They can see what Alexa thought they said; they can actually see the text that it was translated into. It also gives them some understanding of where there may be some communication issues, and so forth.

They have the ability to delete that data, either individually or collectively. We use the data just as we would use data with other interactions with that person's account. It's part of their Amazon account. It's part of how they interact with our overall platform.

Mr. Damian Collins:

The representative from Apple has said that the device is constantly listening, but only for the Siri command. It would appear that if you have an Alexa device in your home, that is different. The device is always listening and it is actually retaining in the cloud the things it has heard.

Mr. Mark Ryland:

No. It's very similar. We're retaining the utterances after the wake word. It is just like Siri in that regard.

Mr. Damian Collins:

I know from my own personal experience that Alexa responds to commands other than the wake word. It might be triggered by something it has heard in the room that's not necessarily the wake command.

Mr. Mark Ryland:

That sounds like a malfunction to me. It's not supposed to respond randomly to ambient sounds.

Mr. Damian Collins:

Roger McNamee, who gave evidence to us yesterday, discussed how he put his Alexa in a box after the first day he got it because Alexa starting interacting with an Amazon TV commercial. I think most people who have these devices know that all sorts of things can set them off. It's not just the Alexa command or the wake word.

Mr. Mark Ryland:

Well, we're certainly constantly working to refine the technology and make sure the wake word is the way by which people interact with the device.

Mr. Damian Collins:

If you were retaining data from the device that is based on things that it's heard and is then retained in the cloud—which seems to be different from what Apple does—are you saying that it's only sound data that is based on commands that Alexa has been given?

Mr. Mark Ryland:

Yes. It's only the data that is in response to the user's attempt to interact with Alexa, which is based on the wake word.

Mr. Damian Collins:

Would Amazon be in a position to respond to a police request for data or information about a crime that may have been committed in a domestic setting based on sound picked up from Alexa?

Mr. Mark Ryland:

We happily obey the laws of all the countries in which we operate. If there is a binding legal order that's reasonable in scope and so forth, then we will respond to that appropriately.

Mr. Damian Collins:

That would suggest you're retaining more data than just simply commands to Alexa.

Mr. Mark Ryland:

No, the only thing we could respond with is the information that I just described, which are the responses that come from the user once they've awakened the device. There's no storage of ambient sound in the environment.

Mr. Damian Collins:

You're saying that when someone gives the wake word to the device, then the command they've given—their dialogue with Alexa, if you like—is retained?

Mr. Mark Ryland:

That is correct.

Mr. Damian Collins:

You're saying that unless the wake word is given, the device isn't triggered and it doesn't collect ambient data.

Mr. Mark Ryland:

That is correct.

Mr. Damian Collins:

Okay.

I'm interested in the data case I referenced earlier. The concern there seemed to be that ambient sound was being kept and recorded and the company was using it for training purposes.

Mr. Mark Ryland:

No. The reference to training is simply that we improve our natural language processing models using the data that the customers give to us through their interaction with the device. It's not at all based on ambient sound.

(0950)

Mr. Damian Collins:

It would seem that all of their commands to Alexa that are triggered by the wake word are being retained by the company in the cloud. Do you think your users are aware of that?

Mr. Mark Ryland:

I think so. In my experience with using a mobile device to set up the device at home, I immediately noticed that there is a history icon, essentially, where I can go and see all my interaction with the system.

Mr. Damian Collins:

I don't remember reading that anywhere. Maybe it's in the huge sort of War and Peace-like terms and conditions that are attached to the device.

I think that although it may be the same as using any other kind of search function, the fact is that he was talking to a computer, and I'm not sure users are aware that this information is stored indefinitely. I did not know that was being done. I had no idea how you'd go about identifying that. I'm slightly intrigued as well that you can, in fact, see a transcript of what you've asked Alexa.

Mr. Mark Ryland:

Yes, absolutely. It's in the mobile app, on the website and on the Alexa privacy page that you can see all of your interactions. You can see what the transcription system believed you said, and so forth.

Mr. Damian Collins:

Presumably all of that is merged into a bucket of data that Amazon holds about me in terms of my purchasing habits and other things as well.

Mr. Mark Ryland:

It's part of your account data.

Mr. Damian Collins:

It's a lot of data.

The Chair:

Mr. Davidson wants to respond.

Mr. Alan Davidson:

I wanted to jump in to just say that I think this also highlights the problem we've been talking about with consent.

I'm a loyal Amazon Echo user. They've done a wonderful thing by putting this up. A couple of weeks ago, I went with my family, and we saw the data that was stored, but I have to say it is....

I'm a total privacy nut. I read all this stuff that you get, and I was shocked, honestly, and my family was shocked to see these recordings about us and our young children from years ago that are stored in the cloud. It's not to say that something was done wrongly or unlawfully. I think it's wonderful to see this kind of level of transparency, but users have no idea it's there. I think that many users have just no idea that this data is out there, and they don't know how it's going to be used in the future either.

I think that as an industry, we need to do a much better job of giving people better granular consent about this, or better information about it.

The Chair:

Yes.

Mr. Alan Davidson:

I don't mean to pick on Amazon; it's a wonderful product.

The Chair:

We'll move on next to Mr. Gourde.

I see a lot of hands going up. There's going to be lots of time for everybody today.

Go ahead, Mr. Gourde, for five minutes. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

My question will focus on a more technical subject.

You, and especially Amazon and other similar organizations, have a lot of information and personal data on your clients.

I'm sure that you're taking every possible measure to secure all the data. However, given the emergence of artificial intelligence, you may have received services to help you predict the market in the future.

It could be useful—especially for Amazon—to be able to predict, let's say for next summer, which item on order could qualify for a discount and be put on sale.

Perhaps some subcontractors or individuals have provided services related to the new algorithm systems. Basically, they sold these services to help you.

Can these subcontractors, if you use them—of course, you don't need to tell us—guarantee that, when they use your company's data to provide this type of service, they won't sell personal information to other people or to larger organizations? These organizations would be very happy to obtain the information, whether they use it to sell advertising or for other purposes.

Do any organizations provide this type of service? [English]

Mr. Mark Ryland:

We do contract with third parties for certain delivery of some services and, under very carefully controlled conditions, we share personal data.

For example, if we're contracting with a delivery service, we share the name and address of the customer where the package has to be delivered, but I think, for all of these core machine-learning cases of the kind you're talking about, that is all internal to our company. We do not contract out access to the core business data that we use for, essentially, running our business. It's only going to be around the peripheral use cases, and in cases where we do share data, we have audit rights and we carefully control, through contract and audit, the usage that our contractors make of any data of our customers that we do share with them for these very limited purposes.

(0955)

[Translation]

Mr. Jacques Gourde:

Do any other organizations use algorithm strategies to promote your products? [English]

Mr. John Weigelt:

We have a very robust data governance model at Microsoft whereby we recognize and are able to attribute and mark data and appropriately protect it. In areas where we need subcontractors, we use a very limited set.

A lot of adjudication occurs before we select our subcontractors, and they must enter into agreements with us to maintain the privacy of the data they are safeguarding. We have strict rules around the use of that data and the return of that data to us. We have a very robust program of policies, procedures and technical safeguards around subcontractor use to ensure that data isn't misused.

Artificial intelligence is an area of key interest to us, and certainly Satya Nadella, in his book Hit Refresh, has put together principles around the responsible use of AI to empower people. It's really the first principle. We've embraced them within our organization, ensuring that we have a robust governance structure around AI. We have a committee that looks at application of AI both inside and outside the organization to make sure we use it responsibly.

Putting these pieces in place internally helps us better manage and understand how those tools are being used and put them in place in an ethical framework. We're quite pleased that we're working with governments around the world, be they the EU with their AI ethics work or the recent OECD guidelines, or even here in Canada with the CIO Strategy Council's work on an AI ethics framework, so that we can help people and other organizations get a better sense of some of those responsible techniques, processes and governance models that need to be put in place.

Mr. Erik Neuenschwander:

I'm not aware of Apple doing the kind of modelling you're talking about. Instead, our machine learning tends to be on device intelligence.

For instance, as the keyboard learns about the user, the device itself collects and uses this information to train itself for that user without the information leaving the device. Where we are collecting data to help inform community models, we're using things like local differential privacy, which applies randomization to the data before it leaves the user's device, so we're not able to go back and tie the individual user inputs and their content to a user. It's very much a device focus for us. [Translation]

Mr. Jacques Gourde:

Mr. Davidson, do you want to add anything? [English]

Mr. Alan Davidson:

We don't deploy any of those kinds of systems. In some of our research we have been looking at experimenting on devices also. I think that's a very solid approach to trying to protect people's privacy.

The Chair:

Thank you, Mr. Gourde.

Next up, from the U.K., we have Mr. Ian Lucas.

Mr. Ian Lucas (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

If I can pick up on what Mr. Collins was asking, I was intrigued about both the phone for Apple and the Alexa device. Have there been any attempts to hack into the systems you have and access the information you retain?

Mr. Erik Neuenschwander:

Apple's systems are under constant attack. I don't know precisely if Siri itself has been a subject of attack or not, but I think a good default position would be to assume it has. However, because the Siri data is not associated with the overall Apple account, while we consider it very sensitive and will strive to protect it, it would also be challenging to gather an individual user's data out of the Siri system, even if it were breached.

Mr. Ian Lucas:

Has there ever been a successful hack into the system with respect to a particular individual?

Mr. Erik Neuenschwander:

I'm not aware of any, no.

Mr. Mark Ryland:

Similarly, we've been protecting customer data very successfully for 20-plus years. This is a new kind of data, obviously a very sensitive kind, but we continue to have a very successful record there, and there's no indication of any kind of compromise of Alexa-related data.

The Chair:

We'll move next to Mr Lawless for five minutes.

Mr. James Lawless:

Thank you.

Going back to security and data privacy and encryption, I think Apple talked about the Key Store on the iPhone and iPad, and Mozilla, I think, also has a Key Store-type feature in the browser.

One of the challenges of security is that our passwords, I think, have become so secure that nobody knows what they are anymore, except for the devices themselves. On the Apple Key Store—I think it's called the Key Store application—you can ask it to generate a password for you, and then you can ask it to remember it for you. You don't know what it is, but the app and the device know what it is, and I guess that's stored in the cloud somewhere. I know you gave an overview at the start.

I suppose Mozilla has a similar feature that allows you to ask the platform to remember the password for you, so you have multiple passwords, and I think probably Microsoft does as well in its browsers. Again, if you log in to Mozilla or Edge or any browser, you find you can autopopulate all your password keys. We end up with this situation like Lord of the Rings, in a “one ring to rule them all” scenario. In our attempts to complicate and derive better security, we've ended up with one link in the chain, and that link is pretty vulnerable.

Maybe I could get some comments on that particular conundrum from all the platforms.

(1000)

Mr. Erik Neuenschwander:

I think the application you're referring to is the Keychain Access application on the Mac and on iOS devices. Within “settings”, “passwords” and “accounts”, you can view the passwords. They are, as you say, auto-generated by the platform. Most users experience that through our Safari web browser, which offers a feature to link into the keychain. It is, as you say, stored in the cloud.

It is stored in the cloud end-to-end encrypted—I want to make that clear—so it's actually encrypted with a key that Apple never possesses. While we put that in the cloud, both to allow you to recover the passwords and to synchronize them among all devices that you've signed in to iCloud, we do that in a way that does not expose the passwords to Apple.

I think that you're right that passwords continue to be an area of challenge in terms of protecting user accounts. You see many companies, certainly Apple among them, moving to what's called two-factor authentication, in which merely the password is not sufficient to gain access to the account. We're very supportive of that. We've taken a number of steps over the years to move our iCloud accounts to that level of security, and we think that it's good industry progress.

The last thing I would say is that absolutely, the password data is extremely sensitive and deserves our highest level of protection. That's why, separate from the Keychain Access application you're talking about on the Mac, on our iOS devices and now on our T2—that's the name of the security chip in some of our latest Macs—we're using the secure enclave hardware technology to protect those passwords and separate them from the actual operating system. We have a smaller attack surface for that, so while it's absolutely a risk that we're highly attentive to, we've taken steps, down in our hardware design, to protect the data around users' passwords.

Mr. Alan Davidson:

It's a great question. I would just add that it seems counterintuitive, right? I think that 10 years ago we would have said, “This is crazy. You're going to put all your passwords in one place?” We offer a similar product—Lockwise—on our browser to help people.

I think that today the security experts will tell you this is a far better solution for most people because the biggest problem that we all have is that we can't remember our passwords, so we end up using the same password everywhere, or we end up using dumb passwords everywhere, and then that's where we get into trouble.

Our own polls of security experts and our own internal experts have said that it is actually far smarter to use a password manager, to use one of these systems. For most of us, the threat of that central vulnerability is actually a lot lower than the threat otherwise. I'd encourage you all to use password managers and think about that.

I've just sent out a note to all of our employees saying that they should do it. We all take that incredibly seriously. Two-factor authentification is an important part of this, and it's an important part of how those managers work. We take the responsibility to guard those things very seriously, but it is actually, as it turns out, a better solution for most consumers today.

Mr. John Weigelt:

Just to chime in, we see that local hardware-based protections based on encryption are important to help support that password protection. Work that together with multifactor authentication, perhaps using something you have, something you own.

I think an interesting counterpoint to this and an interesting add-on is the ability to make very robust decisions about individuals, about their use of a particular system. We use anonymized, pseudonymized data to help organizations recognize that “Hey, John's logging in from here in Ottawa, and there seems to be a log-in coming from Vancouver. He can't travel that fast.” Let's alert somebody to do that on an organizational perspective to intervene and say, “Look, we should perhaps ask John to refresh his password.”

There's another thing that we're able to do, based upon the global scope of our view into the cyber-threat environment. Often malicious users share dictionaries of user names and passwords. We come across those dictionaries, and we are able to inform our toolsets so that if organizations—say, food.com—find out that one of their names is on there, they are able to go back there as well.

For data associated with the use of a particular toolset, anonymization and pseudonymization help to provide greater assurance for privacy and security as well. Let's make sure we recognize that there's a balance we can strike to make sure that we maintain privacy while at the same time helping safeguard those users.

(1005)

Mr. James Lawless:

It's a very interesting area, and it continues to be challenging. There's a usability trade-off versus security.

I remember an IT security manager in a large corporation telling me about a policy he implemented before there were password managers, going back maybe a decade. He implemented a policy of robust passwords so that everybody couldn't use their household pet or their birthplace and so on. Then he found that despite having this enforced policy, everybody was writing their passwords down because there was no way they could otherwise remember them, so it was kind of counterproductive.

I have one final question, and then I'm going to share time with my colleague. I think there's a website called haveyoubeenhacked.com or haveibeenhacked—something like that—which basically records known breaches. If your data and any of your platforms or other third party apps or sites are in the cloud and are compromised, you can do a search for yourself or for your details and pull it back.

Is there any way to remedy that? I ran it recently, and I think there were four different sites that had been compromised that my details were on. If that happens on your platforms, how do you do that? How do you mitigate that? Do you just inform the users? Do you reach out, or do you try to wipe that data set and start again? What happens there?

Mr. John Weigelt:

We have breach notification requirements, obligations, and we notify our users if there's a suspected breach of their environment and recommend that they change their passwords.

For the enterprise set, like that toolset that I mentioned—“Have I been pwned?”, I think it's called—

Mr. James Lawless:

That's the one, yes.

Mr. John Weigelt:

—that site has readily available dictionaries, so we feed those back to enterprise users as well. There's the notification of the individual users, and the we also help enterprises understand what's happening.

Mr. Alan Davidson:

We do the same thing in the sense that we all have data breach obligations and would do those things in such a situation. We've also put together our own version of that “have I been hacked” Firefox monitor. For Firefox account holders who opt into it, we'll actually notify them affirmatively of other attacks that we're notified about, not just any breach on our system but on others as well. I think that's going to be a service that people find valuable.

Mr. James Lawless:

That's good.

Mr. Erik Neuenschwander:

If Apple security teams, in addition to the steps that have been discussed here, become aware that an account has likely been breached, then we can take steps through what's called “automated reset” on the account. We will actually force a password reset and do additional challenges to the user if they have two-factor authentication using their existing trusted devices to re-establish access to that account.

Mr. James Lawless:

Yes, it's very hard to get back in when you're out, because I've had that experience.

Voices: Oh, oh!

Mr. Erik Neuenschwander:

You mentioned balancing usability and security.

Mr. James Lawless:

Yes.

Mr. Erik Neuenschwander:

We try to strike a balance there between whether you are the good guy trying to get back in, so let's not make it hard for you, or let's definitely keep that bad guy out. That's an evolving space.

Ms. Hildegarde Naughton:

Can I just come into that, please?

The Chair:

We're actually way over time. The chair is taking the second round, and I already have you as number one on our second round, Hildegarde. Once we get through everybody, we'll start through that next round. It shouldn't be very long.

We'll go to Ms. Vandenbeld now for five minutes.

Ms. Anita Vandenbeld (Ottawa West—Nepean, Lib.):

Thank you very much.

I'd like to begin with the lack of utility of the idea of consent anymore. When you want to use a certain app or you want to use something, there are good purposes and bad purposes. Let's say that, for instance, I'm on my iPhone and I'm leaving Parliament and it's 9 p.m. My iPhone tells me exactly which route to take to get to my home. It knows where I live because it has seen that I take that route every day, and if I suddenly start taking a different route to a different place, it will know that as well.

Well, that's great when I want to know whether or not I should take the 417, but for my phone to know exactly where I'm sleeping every night is also something that could be very disturbing for a lot of people.

We don't really have a choice. If we want to use certain services, if we want to be able to access Google Maps or anything like that, we have to say yes, but then there's that alternate use of that data.

By the way, on the comment about this being a public hearing, we have a tickertape right on the side of the wall there that says this is in public. I wish there were a tickertape like that when you're searching on the Internet so that you know whether what you're doing is going to be recorded or made public.

My question, particularly to Apple, is on your collection of data about where I've been. It's not just a matter of where I'm going that day. It's not that I want to get from A to B and I want to know what bus route I should take; it's that it knows exactly the patterns of where I am travelling in terms of location.

How much of that is being stored, and what are the other purposes that this could be used for?

(1010)

Mr. Erik Neuenschwander:

I'd like to be really precise, madam, about the “you” and the “it” in your sentences because I think you used them correctly, but there is a subtle distinction there. “It”—your phone—does know that. Your phone is collecting based on sensor data and behavioural patterns and tries to infer where your home is—and that is your iPhone. “You”, being Apple, does not know this information, or at least not via that process. If you leave a billing address with us for purchases or something, that's different, but the information that your iPhone is becoming intelligent about remains on your phone and is not known by Apple.

When you ask about how much of it is collected, well, it's collected by the phone. It's collected under our “frequent locations” feature. Users can go and browse and remove those inside the device, but the collection is just for the device. It's not actually collected by Apple.

As for the purposes to which it can be put, over our versions of the operating system we try to use that information to provide good local experiences on the device, such as the time-to-leave notifications or notifications of traffic incidents on your route home; but that isn't going to extend to purposes to which Apple, the corporate entity, could put that data, because that data is never in our possession.

Ms. Anita Vandenbeld:

I think that goes to what Microsoft started talking about in their opening statement, which is the ability of hackers to access the data. Apple's not using this data, but is it possible, through cyber-threats, that other bad actors might be able to get in and access this data?

I'm actually going to ask Microsoft.

You talked about doing $1 billion a year in security research and development, and there's a term that you threw out, “co-operative botnet takedowns”. I'd like you to explain that a bit, as well as the work that you're doing on cybercrimes.

We know that once the data is out there, it's impossible to put back, and a lot of these Cambridge Analyticas and other data aggregators are using it, so what are you doing to make sure that this data doesn't get out there in the first place?

Mr. John Weigelt:

When we look at the marketplace, we see it's continuously moving, right? What was put in place for security controls 10 years ago is different today, and that's part of the efforts of the community that's out there securing the IT environment.

From our case, we analyze those common techniques. We then try to make sure that those techniques go away. We're not just trying to keep up; we're trying to jump ahead of the malicious user community so that they can't repeat their previous exploits and they will have to figure out new ways to do that.

We look at tools like encryption, tools like hardening up how the operating system works, so that things don't go in the same place every time. Think of it as if you change your route when you go home from Parliament at night, so that if they are waiting for you at the corner of Sparks, then they won't get you because you have changed your route. We do the same thing within the internal system, and it breaks a whole bunch of things that the traditional hacker community does. We also include privacy within that, and accessibility, so our whole work is around trust, security, privacy and accessibility.

At the same time, there is a broader Internet community at large, so it's nothing we can do alone. There are Internet service providers, websites, and even home computers that get taken over by these zombie networks. Hackers have started to create networks of computers that they co-opt to do their bidding. They may have up to a million zombie computers attacking different communities. It really takes the Internet down and bogs it down with traffic and whatnot.

In order to take that down, you need technical sophistication to be able to take it over, but you also need the support of legal entities within regions. One of the things that's unique for us is that our cybercrime centre has worked with government authorities in finding novel legal precedents that allow these networks to be taken down, so in addition to the technology side, we make sure we're on side from the legal side to conduct our operations.

Lastly, what we did for the Zeus and Citadel botnets, which were large zombie networks that had placed themselves into corporate Canada, was work with the Canadian Cyber Incident Response Centre as well as the corporation to clean up those infections from those machines so they would go quietly, and they could start up again.

Ms. Anita Vandenbeld:

Mr. Davidson, would you comment?

Mr. Alan Davidson:

I have two quick points.

First, we work on something that we call “lean data practices”. It's the idea that we should not keep data if we don't need it. The best way to secure data is not to retain it. Sometimes it's needed, but sometimes it's not. The industry could do a better job and consumers could learn more about insisting that data not be kept if it's not needed.

Second, location is a particularly sensitive area. It's probably an area that is ultimately going to need more government attention. Many users probably would feel really comfortable with an Apple or a Microsoft holding this data, because they have great security experts and stuff like that. We worry a lot about some of the smaller companies and third parties that are holding some of this data and maybe not doing it as securely.

(1015)

The Chair:

We will go to Ms. Jo Stevens from the U.K.

Ms. Jo Stevens (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Chair.

I would like to turn to a different subject altogether, competitions and markets. I would like to ask Mark and Erik if they think different competition and antitrust rules should apply to tech giants, considering their unprecedented influence and market power.

Mr. Erik Neuenschwander:

When it comes to antitrust regulations, I'm working with an engineering organization, so I can't say I've given a lot of thought to the regulation side. I would be happy to take any questions and refer them back to our legal or government affairs teams.

Ms. Jo Stevens:

As a consumer, do you think that large global tech giants have too much market influence and power?

Mr. Erik Neuenschwander:

My focus, in terms of our platforms, is to put the user in control of data and to leave as much control as possible in the hands of users.

Mr. Mark Ryland:

We're a relatively large company, but of course, that is largely the result of the fact that we operate globally. We operate in a lot of different markets. In any given market segment, we typically can be often a very small or middle-size player.

Again, I'm not going to opine in any depth about competition laws. It's not my area of expertise, but we feel the existing competition law as it exists today is adequate to deal with technology companies.

Ms. Jo Stevens:

How about you, John?

Mr. John Weigelt:

We've been around for quite some time, since the 1970s, so we've had some focus on the organization and the way we do our business. I think we've made appropriate adjustments, which we made based on the input and the perspective of governments around the world.

One thing that is important to me as a Canadian working for Microsoft here in Canada is the partner ecosystem and the enabling of Canadian innovation and Canadian business. Over 12,000 partners who make a living off of the toolset have the reach from a consistent platform to be able to sell innovation around the world based upon these toolsets and have a multiplying factor for the revenue that they generate here in the nation.

Sometimes with packaged software it's an eight-to-one multiplier. For cloud computing, it's estimated to be as high as a 20-to-one multiplier for the use of these toolsets, so we see that as a great economic enabler. Having that global reach is an important factor for the partners we work with.

Ms. Jo Stevens:

That quite neatly leads me on to my next question. I think there is quite a strong argument that global tech giants are a bit like a public utility and should be treated as such because of the power you wield.

Bearing in mind what you said just now about innovation, do you think that if that was the case and there was a bigger antitrust emphasis, it would negatively impact innovation? Is that your main reason?

Mr. John Weigelt:

I was making a linkage between those themes. My sense was that, look, we democratize technology. We make it silly simple for emerging nations and emerging companies with great ideas to leverage very advanced technology. When you think about artificial intelligence and the work that's happening in Montreal, Toronto, and even globally, the ability to make use of these tools to provide a new market is critically important.

I see this as a catalyst for the innovation community. We're working across the five Canadian superclusters, which is Canada's innovation engine around agriculture, oceans and advanced manufacturing, to build out new toolsets. Our ability to look across those communities and do cross-platform types of approaches and leverage our experience on a platform provides for activities in the community's best interest.

For example, in the ocean supercluster, working with data and having data about our oceans and having that sharing of a common commodity across the community is something we advocate to help that community grow . Having that platform and easy access to it provides that innovation.

(1020)

Ms. Jo Stevens:

Would either of you like to comment on the innovation point from your company's perspective?

Mr. Mark Ryland:

Yes, I would be happy to.

We face robust competition in all the markets we operate in. Cloud computing is a great example. There are not a large number of players in the cloud market, but competition is very strong, prices are dropping, and it enables, as my colleague was saying, new kinds of business models that were really previously impossible.

I worked for some years in our public sector business at Amazon Web Services. What I saw there was that we had very small companies, 10-, 20- or 30-person companies, competing for large government contracts that would have been impossible for them to compete for prior to the existence of cloud computing. It would have required a very large, dedicated government contractor to compete for these large contracts because they required so much infrastructure and so much capital investment in order to go after a large contract.

With the ability to get onto many IT services from cloud, you now have this great democratization, to reuse that word, of international market access, of mom-and-pop shops with international market access, whether through Amazon sellers on our retail site or through using our cloud platform. I think competition is really strengthened because some of these large-scale players enable people to access a broader set of markets.

Ms. Jo Stevens:

But they have to do it through you, don't they? Where else would they go?

Mr. Mark Ryland:

No, you can do it through us or our competitors.

Ms. Jo Stevens:

But there aren't that many competitors, are there?

Mr. Mark Ryland:

There are not a huge number of competitors, but the competition is fierce.

Ms. Jo Stevens:

It sounds a bit odd to me that you have very few competitors, yet it's fierce. That's not what I'd normally assume to be the case.

How about you, Erik?

Mr. Erik Neuenschwander:

From what little I know about legislation, it appears to be very challenging to write. I would presume that a goal of any legislation would be not to limit innovation, not to put a ceiling on what companies can do, but instead to try to put a floor for good behaviours.

Ms. Jo Stevens:

Okay, thank you.

The Chair:

Thank you, Jo.

We'll go next to Raj Saini for five minutes.

Mr. Raj Saini (Kitchener Centre, Lib.):

Good morning, everybody.

I'm sure you're all aware of the term “data-opoly”. Right now, in front of us, we have Apple, which controls a popular mobile operating software system. We have Amazon, which controls the largest online merchant platform software. We also have Microsoft, which has the ability to acquire a lot of data and use it to gain market advantage.

In talking about competition, I want to go beyond what Ms. Stevens said. When we look at the European Union right now, we see that Apple violated European state aid rules when Ireland granted undue tax benefits of 13 billion euros. In some cases, you paid substantially less tax, which was an advantage.

In the case of Amazon, the European Commission targeted Amazon's anti-competitive most favoured nation clause, and Luxembourg gave Amazon illegal tax benefits worth some 250 million euros.

My point is not in any way to embarrass you, but obviously there is a problem with competition. The problem stems from the fact that there are different competitive regimes or competition laws, whether it be in Europe, whether it be the FTC, or whether it be Canada. In European competition law, a special duty is imposed on dominant market players. That is not the same as the United States, because the same infractions were not charged in the United States. Do you think it's something that should be considered because of your dominant market status?

Mr. Mark Ryland:

As I said, I'm not an expert on competition law. We certainly obey the laws of the countries and regions in which we operate, and we will continue to do so.

Mr. Raj Saini:

Well, the European Commission fined Amazon, so you didn't really follow the law.

My question is about the special duty imposed in European competition law on dominant market players. Do you think that should come to the United States and Canada also?

Mr. Mark Ryland:

I really should get back to you on that. I'm not an expert in that area. I'd be happy to follow up with our experts in that area.

Mr. Raj Saini:

Sure.

Apple, would you comment?

Mr. Erik Neuenschwander:

I am aware that the state aid story made a great deal of press, I think, but I'm really aware of it as a consumer of the news. I haven't done a lot of reading on European competition law. Similarly, as I'm focused on privacy by design from the engineering side, for questions on that I'll have to get the company to get back to you.

Mr. Raj Saini:

Okay.

Amazon is probably the most dominant bookseller in the market. Do you agree with that?

Mr. Mark Ryland:

No, I don't agree with it.

Mr. Raj Saini:

You don't? Who's bigger than you?

Mr. Mark Ryland:

There's a huge market in book sales from all kinds of retailers, from Walmart to—

(1025)

Mr. Raj Saini:

Who sells more books than you?

Mr. Mark Ryland:

I don't know the answer to that, but I'd be happy to look it up for you.

Mr. Raj Saini:

Okay.

One of the approaches you use when you allow books to be sold—I read this somewhere, so correct me if I'm wrong—is that you approach small booksellers and you exact a sizable fee from them to list their books. You don't pay authors per copy when they download the book, but you pay per page. If they don't finish the book, then you pocket the difference. You track online what people read. If people are reading popular authors, you don't provide a discount to them, because you know they will buy the book anyway.

Do you think this is fair, or is what I'm saying wrong?

Mr. Mark Ryland:

I don't know the facts surrounding the questions you just raised, so I can't really answer. I would be happy to get back to you on that.

Mr. Raj Saini:

Okay.

This is my final question. Let's suspend animation for a second and look at Amazon as a mall. You own the mall. You grant space to other retailers. You allow them to be on your platform. You control access to customers and you collect data on every site. You're operating the largest mall in the world.

In some cases, whenever small retailers show some success, you tend to use that information to diminish competition. Since you have access to all the third party people who are selling products on your site, do you think that's fair?

Mr. Mark Ryland:

We don't use the data we acquire for supporting our third party seller marketplace. We don't use that data for purposes of our own retail business or for purposes of product lines that we launch.

Mr. Raj Saini:

You're sure about that.

Mr. Mark Ryland:

Yes.

Mr. Raj Saini:

You're saying that if anybody lists a product on your website, you do not track the sales of that product to know which product is popular and which product is not popular.

Mr. Mark Ryland:

We track the data for supporting that business and the customers of that business. We don't use that data in our retail business.

Mr. Raj Saini:

You won't see which product is selling more or selling less and try to compete with that in any way.

Mr. Mark Ryland:

In terms of the part of our business that supports this vast third party marketplace, which has enabled great success for thousands of companies and mom-and-pop shops around the globe, absolutely that part of our business uses the data to maximize the success of the marketplace. It's not used in our retail business.

Mr. Raj Saini:

One of the complaints in the area of innovation is that a number of market players are dominant because of the access to data they have and because of their ability to retain and use that data. In many cases, smaller companies or smaller players don't have access to the data, don't have access to the market. More importantly, in some cases, when emerging companies are on the rise, the larger companies will buy the technology to kill the technology so it does not compete.

Is that something Amazon or Apple or Microsoft is involved in, in any way?

Mr. Mark Ryland:

If you look at our history of acquisitions, they tend to be very small and very targeted, so in general, the answer would be no.

Mr. Erik Neuenschwander:

I believe that's also the answer for Apple.

Mr. Raj Saini:

I mean any emerging technology, any company that's emerging that might be a competitor to any of your platforms. You don't engage in that, or you just...? I don't get what you mean.

Mr. Erik Neuenschwander:

The acquisitions that I'm familiar with have been companies like, say, AuthenTec, which was a firm whose technology we used to build the first version of touch ID into our phones. We look for technological innovations that we can integrate into our products, but I don't really see that as a fingerprint sensor company directly competing with Apple.

Mr. John Weigelt:

We're actively involved with the start-up community around the world. Programs like BizSpark and Microsoft Ventures help our partners and start-ups really get their legs under them so that they can sell their product. We are a commodity software provider—we provide a common platform that helps communities around the world—so there will be areas that are innovated on top of our platform. We saw one such platform here built out of Montreal, Privacy Analytics, which was a start-up here that was doing perfect forward privacy. That was a technology that we didn't have that we thought would help catalyze our business, and as a result we acquired the company with the goal of building that into our products.

We make a decision about whether we build or buy based on the resources that we have, and in some cases there's great innovation out there that we acquire and build into our toolset. That's really how we look at that acquisition strategy.

Mr. Raj Saini:

Thank you.

The Chair:

Thank you, Mr. Saini.

Last up will be Mr. Baylis.

What's going to happen is Mr. Baylis will finish, and then we're going to start the rounds all over again. Delegations will all start from the top again, just to be clear.

Mr. Baylis, go ahead for five minutes.

Mr. Frank Baylis (Pierrefonds—Dollard, Lib.):

Thank you, Chair.

Thank you to the witnesses. You're both very knowledgeable and very open and willing to answer questions, which was not exactly what we had yesterday, so I'm very grateful for that.

Mr. Davidson, in your opening remarks you mentioned that Google and Facebook have an opportunity to improve their transparency. Could you expand a bit on that, please?

(1030)

Mr. Alan Davidson:

Sure.

We do think that ad transparency is a major tool to think about in how we fight disinformation protection, particularly in the election context. We've been working with some of the other big players as part of this EU code of practice, to try to get better transparency tools out there for consumers to see what ads they're seeing and for researchers and for journalists to understand how these big disinformation campaigns happen. We have a fellow at the Mozilla Foundation working on this. The big frustration, honestly, is that it's very hard to get access to these archives of ads, even though some of our colleagues have pledged to make that access available.

We recently did an analysis. There are five different criteria that experts have identified—for example, is it historical? Is it publicly available? Is it hard to get the information? It's those kinds of things.

We put out a blog post, for example, that Facebook had only met two of the five criteria, the minimum criteria that experts had set for reasonable access to an ad archive. Not to pick on them—we've already picked on them publicly—but I'll say we hope we can do more, because I think without that kind of transparency....

Google did better. It got four out of five on the experts' chart, but without more transparency around ads, we're really stuck in trying to understand what kinds of disinformation campaigns are being built out there.

Mr. Frank Baylis:

You mentioned that if they're not willing to self-regulate, you felt that they should be regulated. Did I understand that correctly?

Mr. Alan Davidson:

What I was trying to say is that if we can't get better information....Transparency is the first step here, and it can be a really powerful tool. If we could have transparency and more notice to people about what political advertising they're seeing, that could go a long way toward helping to deal with these disinformation campaigns and this election manipulation. If we don't get that transparency, that's when it will be more reasonable for governments to try to step in and impose more restrictions. We think that's a second-best answer, for sure. That's what I think we were trying to get at.

Mr. Frank Baylis:

My colleague, Charlie, my senior colleague—

Mr. Charlie Angus:

Your older brother.

Mr. Frank Baylis:

My older brother Charlie here has made an argument that some things should require consent—you talked about granular consent—while some things should just be prohibited. Do you agree with this line of thought?

Mr. Alan Davidson:

We have said we believe that. We think it's important to recognize that there is a lot of value that people get out of different kinds of tools, even around things like health or financial or location information, so we want to give people that ability. Probably when you get to kids and certain kinds of health information, the bar needs to be very high, if not prohibited.

Mr. Frank Baylis:

My colleague here, my younger brother Nathaniel, has said that certain age things.... For example, we prohibit driving at a certain age and we prohibit drinking at a certain age. Are there any thoughts from the rest of the panel on this concept of just out-and-out prohibiting some data collecting, whether it's age related or some type of data? Do any of you have anything to add to that?

Mr. Erik Neuenschwander:

In my earlier answers I talked about how we seek to leave the data on the user's device and under their control. I'd separate collection by a corporate entity from collection from a device that's under the user's control. Where possible, we want to leave that control in the hands of the users through explicit consent and through retaining the data on their device.

Mr. Frank Baylis:

If it's collected, but not used or seen by a corporation such as yours.... If the corporation has collected it and just held it, and then I can delete it or not, you see that as differentiated from collecting it for use elsewhere. Is that what you're saying?

Mr. Erik Neuenschwander:

I do see collection from a company compared to being on the user's device as different. I almost wouldn't want to use the word “collection”. Maybe we should say “storage” or something.

Mr. John Weigelt:

I take pause when I try to answer that question, to be thoughtful around potential scenarios. I try to imagine myself as a parent and how these tools would be used. I really think it depends on the context in which that interaction occurs. A medical setting will be dramatically different from an online entertainment setting.

The context of the data is really important in managing the data, in terms of the obligations for safeguarding protections or even for the prohibition of collecting that data.

Mr. Frank Baylis:

Do I have time for another question, Mr. Chair?

The Chair:

You do if you have a very quick, 30-second comment.

Mr. Frank Baylis:

Leading into cloud computing, it sounds like a beautiful cloud, but there's no cloud. There's a physical server somewhere. That's what we're talking about. Let's forget the cloud; it's a physical server. The laws that apply to it depend on where that server actually sits.

We talk about Apple, Microsoft or Amazon—and Amazon, this is a big part of your business. If we Canadian legislators make a bunch of laws that protect Canada, but your server happens to be outside of Canada, our laws have zero impact.

Are you doing anything about aligning with government laws by making sure that these servers sit within the confines of the country that's legislating them?

(1035)

Mr. Mark Ryland:

We do have our data centres in multiple countries around the world, including Canada. There is legal control there, but we have to obey the laws of all the countries where we operate. Those laws may have extraterritorial impact as well.

Mr. John Weigelt:

We have delivered data centres in 54 regions around the world and we've put data centres here in Canada, in Toronto and Quebec City. I happen to be accountable for making sure that they're compliant with Canadian laws and regulations, be it the Office of the Superintendent of Financial Institutions, the federal government's legislation or provincial privacy legislation. It's critically important to us that we make sure we respect the local legal environment. We treat data that's stored in those data centres like a piece of paper. We want the laws to make sure that they treat that electronic information like the piece of paper.

We have been staunch advocates for the CLOUD Act, which helps to clarify the conflict of laws that are a challenge for multinational companies like ours. We abide by laws around the regions, but sometimes they conflict. The CLOUD Act hopes to set a common platform for understanding around mutual legal assistance treaties, or to follow on from that—because we all understand that mutual legal assistance treaties are somewhat slow and based upon paper—this provides new legal instruments to to provide confidence to governments that their residents' information is protected in the same manner that it would be protected in local data centres.

The Chair:

Thank you.

Thank you, Mr. Baylis.

It hasn't come up yet, so that's why I'm going to ask the question.

We're here because of a scandal called Cambridge Analytica and a social media company called Facebook. We wanted to differentiate between who you are. You're not social media; social media was here yesterday. You're big data, etc.

I have a comment specifically for Apple. This is why we wanted Tim Cook here. He has made some really interesting comments. I'll read exactly what he said: First, the right to have personal data minimized. Companies should challenge themselves to strip identifying information from customer data or avoid collecting it in the first place. Second, the right to knowledge—to know what data is being collected and why. Third, the right to access. Companies should make it easy for you to access, correct and delete your personal data. And fourth, the right to data security, without which trust is impossible.

That's a very strong statement. Apple, from your perspective—and I'm also going to ask Mozilla—how do we or how would you fix Facebook?

Mr. Erik Neuenschwander:

I don't know that I would presume to even understand the aspects of Facebook enough to fix it.

What I know we can focus on is primarily two ways. I always put technological solutions first. What we want to do is put the user in control of the data and of access to the data on their device. We've taken it upon ourselves as part of our platform to put the operating system as a barrier between applications and the user's data, and to require that user's consent, as mediated by the operating system, to come in between that app and its data. This is a set of things that we've evolved over time.

You've heard comments today about trying to keep usability front of mind as well, so we're trying to keep things clear and simple for users to use. In doing that, we've built refinements into our technology platform that allow us to expand that set of data that the operating system.... Again, this is separate from Apple, the corporate entity. The operating system can take a step forward and put the user in control of that access.

That's a process that we're going to remain committed to.

The Chair:

To me, changing legislation around this is very difficult, given all the parameters that are around us. It might be simpler for somebody like Tim Cook and an ideology that considers users as paramount. It might be simpler for Apple to do this than for legislators around the world to try to pull this off. However, we're giving it a soldier's try. We're definitely trying.

Mr. Davidson, do you have any comment on how we fix Facebook?

(1040)

Mr. Alan Davidson:

It's very hard from the outside to decide how to fix another company. I think a lot of us are really disappointed in the choices they've made that have created concern among a lot of people and a lot of regulators.

Our hope would be for privacy and more user control. That's a huge starting point.

I guess if I were going to say anything to my colleagues there, it would be to be a little less short term in their thinking about how to address some of these concerns. I think they have a lot of tools at their disposal to give people a lot more control over their information.

There are a lot of tools in the hands of regulators right now to try to make sure we have good guardrails around what companies do and don't do. Unfortunately, it sets a bad standard for other companies in the space when people aren't obeying good privacy practices.

We all can do things on our side too. That's why we built the Facebook container in our tracking tools: to try to give people more control.

The Chair:

Thank you for your answer.

I'm getting signals for questions again. We'll start with my co-chair and we'll go through our normal sequencing. You'll have time. Don't worry.

We'll go to Mr. Collins to start it off.

Mr. Damian Collins:

Thank you.

I will start with Mr. Ryland and Amazon.

Following on from the chair's comments about Facebook, if I connect my Amazon account to Facebook, what data am I sharing between the two platforms?

Mr. Mark Ryland:

I'm not familiar with any way in which you do connect your Facebook account to Amazon. I know that Amazon can be used as a log-in service for some other websites, but Facebook is not one of those. I'm not familiar with any other connection model.

Mr. Damian Collins:

You're saying you can't do it. You can't connect your Facebook and Amazon accounts.

Mr. Mark Ryland:

As far as I know, that's true. I'll follow up to make sure that's true.

Mr. Damian Collins:

There was the Digital, Culture, Media and Sport Committee in London, which I chaired with my colleagues here. We published some documents in December of last year that were relevant to the Six4Three case.

At the same time, there was also an investigation by The New York Times that suggested a series of major companies had entered into special data reciprocity agreements with Facebook so that they had access to their users' Facebook data and to their friends' data as well. Amazon was listed as one of those companies.

Could you say what sort of data protocols you have with Facebook and whether that gives you access not just to your customers' data or Facebook account holders, but also their friends as well?

Mr. Mark Ryland:

I'll have to get back to you on that. I really don't know the answer to that question.

Mr. Damian Collins:

It was a quite major story in The New York Times last year. I'm amazed that you were not briefed on it.

I'll ask the same question of Microsoft as well.

You can log into Skype with your Facebook account. Again, if you're connecting your Skype and your Facebook accounts, what sort of data are you sharing between them?

Mr. John Weigelt:

As far as I understand, it's a simplified log-in from Facebook into your Skype account. When you connect, there should be a pop-up that provides you with an indication of what Facebook is giving to the Skype environment.

It's a simplified log-in type of environment.

Mr. Damian Collins:

What type of data is shared between the different accounts? For users who do that, what type of data about their Skype usage is shared with Facebook?

Mr. John Weigelt:

It's simply a log-on.

Mr. Damian Collins:

Yes, but all these Facebook log-ins have data reciprocity agreements built into them as well. The question is whether—

Mr. John Weigelt:

It's simply a simplified way to share an identity token, so to speak, so that you can log in to Skype.

Mr. Damian Collins:

I know the way the basic log-in works, but these log-in arrangements with Facebook give reciprocal access to data between the two. There's actual connecting, effectively.

Mr. John Weigelt:

It's nothing that would not have been disclosed in that initial connection, so when you connect, when you actually do that linkage, there is a pop-up that says this is the data that will be interacted or interchanged.

Mr. Damian Collins:

Then it's in the terms and conditions.

Mr. John Weigelt:

It's in the actual pop-up that you have to go through. It's a simplified term, and as I understand it, it's a tiered notice. It provides you notice of what the category of data is, and then as you click through it, you have the ability to dig deeper to see what that is.

Mr. Damian Collins:

In layman's terms, would Facebook know who I was engaging with on Skype?

Mr. John Weigelt:

I don't believe so, but I'd have to get back to you on that. I really don't believe so.

Mr. Damian Collins:

Okay.

I'll just go back to Amazon. I want to quickly get this out.

Under “How do I connect my Facebook account to Amazon?”, Amazon.com says: From Settings, tap My Accounts, and then tap Connect your social networks. Tap Connect Your Facebook Account. Enter your log-in information, and then tap Connect.

That is a pretty simple way of connecting your Facebook account with your Amazon account, so I'll just ask again: If you do that, what type of data are you sharing between the two platforms?

(1045)

Mr. Mark Ryland:

I'll need to get back to you on that. I really don't know the answer to that.

Mr. Damian Collins:

Okay. I think this is pretty basic stuff. My concern is that data is being shared between the two platforms.

Again, in a question asked in The New York Times investigation, it said there were preferential data reciprocity agreements between Amazon, between Microsoft and Facebook, so that they not only had access to the data about the Facebook accounts of their users but the users' friends as well, which was a setting that had been turned off for other apps. However, the major partners of Facebook, in terms of the money they spend together or the value of the data, have preferential access.

Again, I'll ask one more time whether either Amazon or Microsoft can say something about that—the nature of the data, what it includes, and whether you still have those arrangements in place.

Mr. John Weigelt:

I can't comment on—

Mr. Damian Collins:

I don't know whether that means you don't know what to say or you don't know. Either way, if you could write to us, we'd be grateful.

Mr. Mark Ryland:

Yes.

Mr. John Weigelt:

Absolutely.

Mr. Mark Ryland:

We'll follow up on that.

The Chair:

We'll go next to Mr. Erskine-Smith for five minutes.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

I first want to talk about ethical AI. This committee started a study on this topic, and the Government of Canada now requires algorithmic impact assessments for government departments when they employ an algorithm for the first time, as a risk assessment in the public interest. Do you think that should be a requirement on large public sector, big-data companies such as yourselves?

I'll start with Amazon and go down the table.

Mr. Mark Ryland:

We strive very hard to work on good algorithmic fairness, and it's one of our fundamental principles. We have test data sets to make sure that we're constantly meeting the bar on that.

Mr. Nathaniel Erskine-Smith:

Do you think there should be transparency to the public so that there's proper public accountability with the algorithms that you employ with such large troves of data and personal information?

Mr. Mark Ryland:

I think the market is doing a good job of making sure that companies set a good bar on that.

Mr. Nathaniel Erskine-Smith:

You see, the frustrating thing is that previously you said you agree with the principles in the GDPR, and algorithmic explainability is a principle in the GDPR.

Apple, what do you think about it?

Mr. Erik Neuenschwander:

In the machine learning that we employ, we do want users to understand that we do it primarily by putting it on the users' devices and training it on their data, as I've said. When we're training generalized models, we're doing that based on public data sets. Primarily, we're not training on personal data.

Where we would be training on personal data, we absolutely want to make sure that it is explainable and understandable by users.

Mr. Nathaniel Erskine-Smith:

Then you believe in that public transparency.

Mr. Erik Neuenschwander:

We believe in transparency across many things.

Mr. Nathaniel Erskine-Smith:

Microsoft, would you comment?

Mr. John Weigelt:

We're participating and we're contributing to the work that's happening here in Canada and one of the challenges around definitions. For large-scale unhuman intervention-type systems, there needs to be ability to tell the user what's happening behind the scenes.

It's a big area of controversy, a big area of research around explainability, generalizability, and how we look at outcomes.

The way that documentation is currently written, it almost looks as though if you have website localization—for example, if I am coming from Quebec and I then present a French website because of that—it would require algorithmic risk assessment and notice to the public.

Mr. Nathaniel Erskine-Smith:

You're concerned with definition, but in principle you agree with the idea.

Mr. John Weigelt:

In principle, we agree with the idea and applaud the Government of Canada for putting that in place right now, and others should examine similar opportunities.

Mr. Nathaniel Erskine-Smith:

Including the private sector and Microsoft.

On competition law, I read a quote yesterday from the German regulator, who noted Facebook's superior market power and said, “The only choice the user has is either to accept comprehensive combination of data or to refrain from using the social network. In such a difficult situation the user's choice cannot be referred to as voluntary consent.”

Does the same principle apply to your companies?

Mr. Mark Ryland:

We face robust competition in the markets we're in. In the cloud business, for example, our main competition is the old way of doing IT business, and there's a vast array of competitors across that.

Mr. Nathaniel Erskine-Smith:

I appreciate that. I'll flip it a bit. Should the impact on consumer privacy be a consideration in competition law?

Mr. Mark Ryland:

Again, it's an area outside of my expertise. I hate to give that answer.

Mr. Nathaniel Erskine-Smith:

It's frustrating, because I did specifically let Amazon know that competition would be a matter we'd be discussing today.

Other companies, do you have a view as to whether the impact on consumer privacy should be a consideration in competition law?

Mr. Erik Neuenschwander:

You imply that there is, at least in some cases, a single, all-or-nothing sort of consent, and we're very cognizant of that. What we do is offer very nuanced and fine-grained consent. It's possible to use an Apple device without signing in to or creating any Apple account, so we try to differentiate and separate those things.

(1050)

Mr. Nathaniel Erskine-Smith:

I appreciate that.

Does Microsoft have a view?

Mr. John Weigelt:

It's all about the data, and in particular safeguarding the data and how the data is used. I think you need to look more broadly at the data use. Perhaps data sheets for data would help in that regard, because I think privacy is about that data's security and accessibility.

Mr. Nathaniel Erskine-Smith:

I'm interested in seeing what the associate general counsel says tomorrow at the competition commissioner's data forum.

I'm moving forward with a secondary question on competition law.

In the 1990s, Explorer was free, and yet Microsoft was prevented from monopolizing the browser space. It wasn't protecting consumers on price; it was actually protecting innovation.

I'm going to pick on Amazon a bit. You said before that what I input into Alexa becomes part of my user profile. I assume that also means that what I watch on Prime, purchase from any number of sellers and search for on Amazon or beyond on the Internet all combine into a single profile, presumably to direct targeted ads.

I also wonder if my user profile, combined with everyone's user profile, drives your decisions to create new products. Is that fair?

Mr. Mark Ryland:

We certainly look at the trends, purchases and behaviour of our customers, in terms of determining future—

Mr. Nathaniel Erskine-Smith:

Far apart from that, and in answer to Mr. Saini's questions, you said you're not tracking the information of third party sellers on your websites. If you look at it from the other perspective, you are tracking all of our individual purchase decisions on Amazon and combining all of those decisions in order to compete against those third party sellers in your marketplace. How is that not use of dominance?

Mr. Mark Ryland:

I think the fact that the third party marketplace is wildly successful and that there are a huge number of very successful businesses in it is a very clear indicator that this is not a problem.

Mr. Nathaniel Erskine-Smith:

You don't think you have an unfair market advantage.

Mr. Mark Ryland:

No.

Mr. Nathaniel Erskine-Smith:

The last question I have was raised by—

The Chair:

Please go very quickly, because I know we're trying to squeeze everybody in.

Mr. Nathaniel Erskine-Smith:

With respect to the monetization of personal data, I raised the point with experts yesterday that the business model is the problem. That was put forth by a number of folks, and Apple, I think—Tim Cook—made the same point about the industrial data complex.

Microsoft and Amazon, do you think the business model is itself a problem? You just want to collect more and more information about us. What's the value to us in your collecting so much information about us? Is the business model a problem?

Mr. John Weigelt:

To be clear, the information we collect is only there for the products. We're not looking at doing things personalized to you and you only, to target to you.

When we find that people aren't using a feature, grosso modo we anonymize, pseudonymize, and that's a great feature. We try to surface that feature in subsequent releases. That's simply there to help enhance our business. We're a software and services company. That's what we do, and that's our business line.

Mr. Mark Ryland:

Our business model is very consistent with consumer privacy, because it's all about meeting customer choice through a traditional purchase-and-sale model of capabilities and products and services.

Mr. Nathaniel Erskine-Smith:

Thank you.

The Chair:

Now we'll go to Mr. Angus for five minutes.

Mr. Charlie Angus:

Thank you very much.

Diapers.com was an online business selling diapers in this competitive market that Amazon says is out there. Jeff Bezos wanted to buy it. They refused, so Amazon went to predatory pricing. Amazon was losing $100 million on diapers every three months to put a competitor out of business or to force them to sell. They finally agreed, because they were afraid Amazon would drop prices even lower.

We talk about antitrust because of the “kill zone” of innovation that The Economist is talking about, but with Amazon, it's the kill zone of competition—the power that you have through all of your platforms to drive down prices and actually put people out of business. Shaoul Sussman says that the predatory pricing practices of Amazon are antitrust in nature and need legislation.

What do you say?

Mr. Mark Ryland:

Again, I have to say that I'm not an expert in competition law and I don't know the history or the details of some of the things you mention.

In the general business that we're in, we see robust competition across all these businesses. There are a lot of new start-ups, and we even have a great number of competitors who use our Amazon Web Services platform. Some of the largest online commerce platforms in, say, Germany and Latin America use AWS and trust us with their businesses, so we think competition is working.

Mr. Charlie Angus:

Yes, so you've got all the people to use your cloud services and then you can drive down prices against mom and pop. Lena Kahn, from Open Markets, says that because you are controlling so much market dominance in so many various areas, you can use your profits from the cloud to run predatory pricing and to run down competition. She says that your “structure and conduct pose anticompetitive concerns—yet it has escaped antitrust scrutiny”.

This is an issue that I think legislators need to think about. We see that in Canada one of the great advantages you have is that you're not paying taxes the way our poorest businesses have to. In the U.K., you made 3.35 billion pounds and paid only only 1.8 million pounds in taxable income. I mean, you're like our biggest welfare case on the planet if you're getting that.

In the U.S., it's even better. You made $11 billion in profits and you got a $129-million rebate. You were actually paying a negative 1% tax rate. That seems to me to be an extraordinary advantage. I don't know of any company that wouldn't want to get a rebate rather than pay taxes—or any citizen.

How is it that we have a marketplace where you can undercut any competitor and you can undercut any book publisher and you're not even properly paying taxes? Don't you think that it's at least our job to rein you guys in and make sure that we have some fair rules in the marketplace?

(1055)

Mr. Mark Ryland:

Again, I apologize. I'm not an expert in the competition law area. The panel discussion was on security, consumer protection and privacy, where I do have some expertise, but I'm not able to answer your questions on that area.

Mr. Charlie Angus:

Yes, that's unfortunate. I mean, this is why our chair asked that we get people who would be able to answer questions, because these are the questions that as legislators we need to have answered. We're dealing in this new age, and your colleagues at Facebook have put us in this situation. If Facebook had better corporate practices, we might not even be paying attention, but we're having to pay attention. If Amazon was not engaged in such anti-competitive practices, we might think that the free market was great, but it's not great right now, and you can't answer those questions for us.

It puts us in a bind, because as legislators we're asking for answers. What's a fair taxation rate? How do we ensure competition in the marketplace? How do we ensure that we don't have predatory pricing that is deliberately driving down prices and putting businesses—our businesses— out of business because you have such market dominance and you can't answer the question? It leaves us very confused. Should we call Alexa or Siri? Would they help?

Voices: Oh, oh!

Mr. Mark Ryland:

I apologize, but I don't have the expertise to answer those questions.

Mr. Charlie Angus:

Thank you.

The Chair:

I would like to highlight what Mr. Angus said. This is the reason we asked Mr. Bezos to come. He can answer those kinds of questions before this grand committee. He's exactly the person who could have answered all our questions. We wouldn't have kept anybody off the panel, but certainly we wanted people who could give us comprehensive answers with regard to the whole package.

I will go next to Mr. Lucas from the U.K.

Mr. Ian Lucas:

John, could I return to transfer of data within Microsoft? You mentioned that Microsoft has acquired a number of companies. LinkedIn, which you mentioned, was one of them. Can you just be clear? If I give information to LinkedIn, within the Microsoft organization is it then transferred to other businesses within Microsoft?

Mr. John Weigelt:

Absolutely not. LinkedIn remains rather independent from the organization.

Mr. Ian Lucas:

You're saying there is a wall around the information that is collected by LinkedIn and it's not transferred within the Microsoft organization.

Mr. John Weigelt:

Any transfer of.... Excuse me. Let me step back from that. Any connection between your LinkedIn profile and, let's say, your Office toolset is done by the user, and that's a connection that's done explicitly. For example, in your email clients, you may choose to leverage your LinkedIn connection there. That's something that the user intervenes with in their LinkedIn profile. It's their Office—

Mr. Ian Lucas:

I'm interested in the default position. If I join LinkedIn and I don't go through the terms and conditions and I give information to LinkedIn, does it get transferred or is it capable of being transferred to other businesses within the Microsoft family, as you guys like to call it?

Mr. John Weigelt:

LinkedIn doesn't share that information across the business from the back end.

Mr. Ian Lucas:

As a general rule regarding the separate businesses within the Microsoft organization, is the information transferred generally?

Mr. John Weigelt:

As a general rule, each business line is independent.

(1100)

Mr. Ian Lucas:

Is the information transferred between the separate businesses?

Mr. John Weigelt:

Personal information is maintained by each individual business line.

Mr. Ian Lucas:

I just asked a very specific question. Is the policy of the Microsoft organization to allow transfer of personal data between separate businesses owned by Microsoft?

Mr. John Weigelt:

This is a consistent purpose—

Mr. Ian Lucas:

Can I have a yes or no?

Mr. John Weigelt:

It's a consistent purpose question, right? So we, as a—

Mr. Ian Lucas:

It's a question to which either yes or no is the answer.

Mr. John Weigelt:

I will have to answer that I cannot affirm or deny that there is.... I don't have that knowledge.

Mr. Ian Lucas:

Right, okay. That's not very helpful.

Could you come back to me on that question?

Mr. John Weigelt:

Absolutely.

Mr. Ian Lucas:

Thank you.

Erik, I have in front of me two very impressive Apple devices, although my techie colleagues tell me that my iPhone is really very old.

The issue I have is that people access, for example, Facebook, very much through Apple, through the hardware that you provide. You have said that a lot of information goes into the Apple phone or the iPad, and it's not transferred elsewhere, and it's not your responsibility to transfer it elsewhere. I don't really buy that argument, because people access other platforms through your hardware.

You are one of the biggest businesses on the planet and you can deal with whom you like. Why should you be allowing businesses that don't agree with your approach to privacy to use your hardware to do business?

Mr. Erik Neuenschwander:

I don't know if the businesses agree or disagree with our approach. I think we'd certainly encourage.... We try to demonstrate that people can copy us in our approach to privacy.

What my team seeks to do and what I think the focus is, as I said, is to put the information on the device, but I do think we have a responsibility about where it goes. That's why we've taken steps in our operating system to get in between an application and certain data on the device.

There is some data that we've never exposed on the device, and I don't think we would. For instance, the user's phone number or hardware identifiers that could be used for tracking have never been available on our platform.

We did this with the design of a technology we call sandboxing, which actually separates applications from themselves and from data in the OS.

Mr. Ian Lucas:

My point is that you set out the principles. The chairman set them out, and it's really complex and difficult for us to legislate on these issues, as we're all discovering.

You can do business with Facebook or not. You could disallow access to Facebook through your hardware if you so chose if they did not adhere to the principles. Facebook has done your industry a lot of damage. Why do you continue to do business with them?

Mr. Erik Neuenschwander:

I guess if you're talking about their availability on the App Store, I think there are two—

Mr. Ian Lucas:

Well, it's a fact that so many people access Facebook through your devices.

Mr. Erik Neuenschwander:

Right, so on one hand, under the hypothetical, if the Facebook application wasn't there, Facebook offers a website, and people would still be able to access Facebook through the website, through our browser, or through a competing browser.

If we go further down that route and say that we should actually begin imposing what I would call—

Mr. Ian Lucas:

It's not imposing; it's about agreement. If you believe in your principles and you're an ethical company, then you should deal with people who abide by your principles. That's within your power.

Mr. Erik Neuenschwander:

Well, I suppose what's within my power are the technical controls. My approach is to say that underneath any application or any service running on the phone, we should find technical measures to keep the user in control of their data.

Mr. Ian Lucas:

What you could do is not do business with Facebook. You could choose an approach whereby you set out your principles and you apply them in dealing with who you want. Why don't you do that?

Mr. Erik Neuenschwander:

If I take that as the availability of Facebook on our App Store, it would not measurably impact privacy to withdraw that application from the App Store.

Mr. Ian Lucas:

You really don't?

Mr. Erik Neuenschwander:

I think that users—

Mr. Ian Lucas:

Do you think you'd get a bit of a headline?

(1105)

Mr. Erik Neuenschwander:

We'd get headline, sure. I don't personally believe that headlines necessarily impact privacy, with respect. I think users would—

Mr. Ian Lucas:

Don't you think it would make a substantial impact on the approach that Facebook has been taking?

Mr. Erik Neuenschwander:

As you point out, Facebook is an extremely popular service. Users would turn to web technologies in other ways to continue to access Facebook. I don't personally see a way that either Apple could or, out of respect for an individual's privacy, that I would be—

Mr. Ian Lucas:

What concerns me is that you're presenting yourselves as the good guys, but you're facilitating the bad guys through the use of your hardware.

Mr. Erik Neuenschwander:

We have taken many steps over the years to continue to constrain and raise the bar higher than any other platform on privacy and user control over the data on our hardware. It's precisely because of our hardware integration that we've been able to take so many positive, proactive steps toward putting users in control of data and finding ways to encourage date minimization.

Mr. Ian Lucas:

But you still want to do business with the bad guys.

The Chair:

Thank you, Mr. Lucas. We have to move on.

Next is Ms. Naughton, from Ireland.

Ms. Hildegarde Naughton:

Thank you.

I want to go back to Mr. Ryland and my earlier question in relation to Amazon displaying the names and email addresses of customers. Were you categorical that it did not happen?

Mr. Mark Ryland:

I'm certainly not familiar with the incident. I don't believe so, but we'll follow up.

Ms. Hildegarde Naughton:

There were two articles on November 21, 2018, in The Guardian and The Telegraph. Both of them stated that Amazon suffered a major data breach that caused the names and email addresses of customers to be disclosed on its website.

Mr. Mark Ryland:

I'd be happy to follow up on that.

Ms. Hildegarde Naughton:

Thank you. I just wanted to clarify that. It's very much on the record.

The Chair:

Go ahead, Mr. Lawless.

Mr. James Lawless:

I have a question about data portability and the GDPR principle. It struck me as an issue.

In terms of big data, it's where it sits, how it's housed and what form it's kept in, etc. Is that something you embrace? Do you want to hold proprietary data, so that it's exclusive to your corporation, or is it something you're comfortable with using open formats to share? Where are each of you at on data portability at the moment?

Mr. Alan Davidson:

We think access and data portability are extremely important parts of the GDPR and are actually really important pillars of any good privacy rules. Not only that, but they also could have a positive effect in the competition space. We think there's a lot of promising work to be done in not just getting people to be able to see what people have—and we do that when we hold data—but also in making it useful.

It's not just, “I can download my entire Facebook corpus of data”—which I've done and people should do, and it's really interesting—but it's also making it useful, so that I could take it somewhere else if I wanted to.

Mr. John Weigelt:

We're committed to the GDPR and the data portability principles. The big question comes around the interoperability of those profiles or that data, and making sure that you can move them from one place to another in a format that's appropriate. The jury is still out about where people want to move their data and in what formats.

Mr. James Lawless:

Microsoft has advanced on that. I know at one stage there was an alleged issue at Microsoft in terms of proprietary formats, but I know now there's always an option to “save as” in a more open format. Is that where you've gone with that?

Mr. John Weigelt:

Absolutely. We've even seen in cloud computing the industry move to take arbitrary activities and move them from one place to another. That's something that we've embraced. We've also looked to the open-source/open data community for advice and guidance.

Mr. Erik Neuenschwander:

In the expectation of GDPR, Apple launched a data and privacy portal. Users can download their personal information, both under access and under portability, in human and machine-readable formats.

Mr. Mark Ryland:

Speaking for Amazon web services, where I work, importing and exporting are fundamental capabilities of our platform. We never have an import service that doesn't have an accompanying export service, whether they are virtual machine formats or other kinds of import/export data formats. We have tools always going bidirectionally.

We also work a lot with the open-source community for the portability of application codes and so forth. For example, a lot of our platforms are supporting things like docker formats for containers, Kubernetes for cluster management and so forth. Users can very readily create highly portable systems and data portability across platforms. That's something customers expect, and we want to meet those customer needs.

(1110)

Mr. James Lawless:

You're saying it's the likes of Apache and the open-source foundations and those sorts of guidelines. We're merging open standards, and I suppose they're being embraced to an extent, or maybe they were pre-GDPR-type community concepts, but they're pretty much across the board now. Is that the case?

Mr. John Weigelt:

Absolutely.

Mr. James Lawless:

Yes, okay. That's very good. Thank you.

Thank you, Chair.

The Chair:

Next we'll go to Singapore for five minutes.

Ms. Sun Xueling:

Mr. Davidson, you mentioned earlier in a reply to Mr. Baylis that with regard to political ads, your first preference was for company action to promote transparency. I'd like to highlight two instances in which it seems that company action has fallen short.

In April 2018, Facebook implemented new rules for political ad transparency. They acknowledged they were slow to pick up foreign interference in the 2016 U.S. elections. They said they were increasing transparency around ads and that this would increase accountability, yet in late October 2018, Vice News published a report showing how easy it was to manipulate the so-called safeguard that Facebook had put in place. The reporters had been required to have their identification verified as having U.S. addresses before they could buy ads, but once verified, the reporters were able to post divisive ads and lie about who paid for them.

That's for Facebook.

Separately, in August 2018, Google said it had invested in robust systems to identify influence operations launched by foreign governments, but shortly after that, a non-profit organization, Campaign for Accountability, detailed how their researchers had posed as an Internet research agency and bought political ads targeting U.S. Internet users. According to CFA, Google made no attempt to verify the identity of the account and they approved the advertisements in less than 48 hours. The adverts ran on a wide range of websites and YouTube channels, generating over 20,000 views, all for less than $100.

Therefore, it does not sound as if the platforms are anywhere close to fulfilling their assurance to safeguard against foreign interference.

Would you agree with that?

Mr. Alan Davidson:

I think we clearly have a long way to go, absolutely, and it's been frustrating for those of us working in this space because we think that ad transparency is an incredibly important tool in being able to do this, and the other tools are not as good.

Ms. Sun Xueling:

Yes. It does not seem that it's a technical problem per se, because the researchers flagged that they used the Russian IP address to access Google's Russian advert platforms and supply the details of the Internet research agency, and they went as far as to pay for the adverts using Russian rubles.

That seems to suggest to us that it's more about a desire to sell ads rather than to cut foreign interference.

Mr. Alan Davidson:

I'd caution you a little. The jury is still out. It's still early days. There's a lot more to do, I think. Perhaps the experience in the parliamentary elections in Europe and the elections in India will be informative. That's where people were trying to take much more proactive steps. I think we need to be able to assess that. That's partly why transparency is important.

Platforms need to do more, but as somebody else among your colleagues has pointed out, we should also look at who is perpetrating these acts—

Ms. Sun Xueling:

Definitely, yes.

Mr. Alan Davidson:

—and this is where we as companies need the help of government when nation states are attacking companies.

Ms. Sun Xueling:

You used the term earlier about having guardrails.

Mr. Alan Davidson:

Yes.

Ms. Sun Xueling:

I think that's important to prevent all of us from dropping into the abyss of disinformation.

Mr. Alan Davidson:

Agreed.

Ms. Sun Xueling:

Thank you.

Chair, thank you.

The Chair:

Thank you.

We'll go to Anita next. Go ahead.

Ms. Anita Vandenbeld:

To change the topic a little, in your opening remarks, Mr. Davidson, you talked about the fact that your company's workforce is focusing more on diversity. We know and we've heard testimony that algorithms are influenced by the social biases of those who are programming them, so if most of the programmers are young 20-something males, their social bias will be perpetrated through the algorithms.

How important is it that the workforce be diversified? How are you doing that, and what impact is it having?

Mr. Alan Davidson:

We think it's extremely important. It's essential not just because it's the right thing to do—and it is the right thing to do—but also because our argument is we all will build better products if we have a more diverse workforce that reflects the broader base of the communities we serve.

It's been a big struggle in Silicon Valley, in the tech industry generally, and I think we all should acknowledge that. We constantly need to work on it.

We've made it a very big priority in our company. As an example, every executive in our company has goals for the year. We call them objectives and key results. We all set our own, but one is mandatory for everybody: How well did you do in diversity in your hiring? It adds that little extra push to know you're being graded on it.

We need to do more of that, and we will be the first to say we have a way to go. I think we've probably made a lot of progress in gender diversity, particularly within our technical community. We've done less well and still have a long way to go on other kinds of ethnic diversity, and we are really working on it.

(1115)

Ms. Anita Vandenbeld:

Thank you.

Mr. Alan Davidson:

Thank you for raising it.

Ms. Anita Vandenbeld:

Could I ask the other platforms to each comment on that aspect?

Mr. John Weigelt:

At Microsoft, Satya Nadella has made it a top priority, and we recognize that our decisions and our products are better if our company better reflects the communities we serve.

Here in Canada, we're working to have Microsoft Canada reflect the cultural mosaic that Canada has, which includes not only gender but ethic backgrounds and orientation. Also, for those people who have unique adaptive requirements and unique work styles, such as visual challenges or hearing challenges or perhaps mental attention challenges....

Really, we're creating that community, and we build that into our AI ethics program. We have a governance committee that looks at sensitive uses of AI, but then we convene a very diverse community to do a 360° view of that sensitive use. We want very explicitly to have that cross-sectional perspective from every person in the organization who has a comment and to represent, again, that cultural mosaic. That way, we feel we can address some of those potential unintended consequences up front and be able to provide advice and guidance going forward.

Ms. Anita Vandenbeld:

Go ahead.

Mr. Erik Neuenschwander:

Diversity is one of the four corporate values that our CEO Tim Cook has espoused, in addition to privacy. They're both quite important. It goes far beyond AI. Certainly speaking from a privacy dimension, it's very much about the human condition, and having a diversity of viewpoints will help us make good choices.

I don't have the numbers at hand about how our diversity is today. I'm sure we still have a long way to go. We have taken steps not only to improve our hiring and our outreach in terms of bringing diverse people into the workforce, but also in taking a look at churn, or career longevity. It's one thing to get somebody in the door, but you also want to make sure they have a productive and fulfilling career experience to stay and continue contributing.

As I said, we have more work to do on both of those dimensions.

Ms. Anita Vandenbeld:

Thank you.

Mr. Mark Ryland:

You'll hear a similar story from Amazon. We place a big focus on diversity. It's a big part of our corporate goals, and hiring managers and executives are given specific goals in that area.

Of course, it's not just a matter of hiring. It's also a matter of career longevity, career management and creating communities of interest within our company that allow people to feel both integrated into the larger organization and to have communities of interest that they feel very much at home in.

We do a lot of work across all those areas to increase the diversity of the business. Again, we think that's best for business. Not only is it the right thing to do, but it will help us to build better products, because the diverse backgrounds of our employees will match the customers we're trying to serve.

Ms. Anita Vandenbeld:

Thank you.

The Chair:

Thank you, Ms. Vandenbeld.

I have an explanation of what's going to happen. We have a few more comments, and then we're going to have some final closing comments of the IGC from our vice-chairs, my co-chair and then me. Then we'll be done. It might go a little past 11:30, but it will be very close.

I have Mr. Kent for five minutes.

Hon. Peter Kent:

Thank you, Mr. Chair.

If I could come back to the topic of competition, antitrust and monopolies in the new marketplace, there's been a lot of discussion recently, particularly in the United States, about the new digital monopolies and the fact that they may be a lot more durable than monopolies in the past—the railroads, the phone companies and so forth. They can overwhelm competition by either buying it or destroying it.

Yesterday I quoted, to the Facebook representative who was before us, the writings of Chris Hughes, the disillusioned former co-founder of Facebook. I know there's been some suggestion from some of our panellists today that their companies may be willing to accept versions of the European legislation, but one of Mr. Hughes' headlines suggests that Facebook should, in fact, be broken up and be subject to antitrust application. He said, “Facebook isn't afraid of a few more rules. It's afraid of an antitrust case”.

I know the defence against antitrust prosecution is a little more difficult because your big data monopolies use the excuse that your service is free and that there's not a tangible or identifiable dollar cost to what consumers are buying.

Again, this question may be greater than your job descriptions allow, which is why we asked that CEOs be present with us today, but I wonder, particularly in the case of Amazon and Microsoft, if you could discuss your companies' views with regard to countering these growing antitrust discussions and calls for breakup in the interests of greater competition and greater consumer protection.

I'll start with Mr. Ryland.

(1120)

Mr. Mark Ryland:

I'd be happy to say a few words about that.

Again, our business model is very traditional. We're selling goods and services—they have monetary value—both in our retail Amazon.com business and our cloud computing business, and we are facing robust competition across all kinds of different services and platforms that are not limited to online. There's a vast variety of channels and mechanisms that people use to acquire IT services, whether it be for a cloud or other kinds of capabilities. It's just a very different business model from our perspective, and our use of data to enhance the consumer experience is, we believe, very much adding value for consumers, and they really enjoy the experience of using these technologies.

I think it's a very different approach to some of the issues that you raise. Again, that's kind of a high-level statement, and beyond that, in terms of specifics around competition law, I've already disclosed that I'm not an expert.

Again, I think our business model is very traditional in that regard, so I think it's a bit different.

Hon. Peter Kent:

Thanks.

I'll go to Microsoft.

Mr. John Weigelt:

I think that as you look at our longevity since the seventies, we've seen ebbs and flows. We used to have a phone. We have a great browser, but it has undergone a number of revisions. The vision of having a PC on every desktop has now changed to a phone in every pocket. We see these ebbs and flows that move through the environment.

As for the consumer data environment, consumers will go to services that are popular to them, and they will have ebbs and flows. Certainly if you speak with millennials today, the millennials are off in different places. For example, my children, who are kind of in that space, although they'll disagree that they're millennials, will say, “Dad, I'm not there, so don't talk to me on that channel—talk to me on this channel.” These things ebb and flow.

The data then lends itself to algorithms. We see an algorithmic age coming, and people using algorithms as a monetization technique. We see a move from algorithms to APIs and people monetizing APIs.

What we have is this continual innovation engine that's moving forward. We need to work together to try to figure out those unintended consequences, the lessons that we are learning along the way when it comes to disinformation, such as, for example, the squishy bag that happens when we push down on one place and then are surprised when it's “Oh, we didn't think about that.” Working together, then we can put in place those instruments to be able to do that.

I've abstracted this out, I know, from your question around anti-competition and antitrust, but I'd like to look at it from the macro level and how these things ebb and flow. How do we then put in place strong protection mechanisms for businesses and for people? That's through partnerships.

Hon. Peter Kent:

Next are Apple and then Mozilla.

Mr. Erik Neuenschwander:

I don't know that I have much to add to the comments of the other panellists. I think that we are very much about both trying to put the diversity of the App Store in front of our users and trying to enable great competition. I think that has been wildly successful for many different companies in that space.

When it comes to personal data, we practice data minimization and are not trying to empower Apple but instead to empower users.

Mr. Alan Davidson:

I would just say that I work at a company that in some ways has its roots in a reaction to a dominant player in the market, which at the time was Internet Explorer. I think we do believe that antitrust law provides some really important guardrails in the market. We want what everybody wants, which is a level playing field of competition.

We think there are a lot of concerns out there about size. With size comes responsibility. We also think that there are a lot of very powerful tools in the hands of antitrust regulators today. We probably need to think about how to give them more information, more tools and a better understanding of things such as APIs and the power of data in their analysis. That's really where the upgrade needs to happen first, even as we think about how to expand the roles. This is a very important area.

(1125)

Hon. Peter Kent:

To contemporize digitally...?

Mr. Alan Davidson:

A contemporized digital antitrust enforcer is what we need out there.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Mr. Kent.

Last in the line of questions is David. Go ahead, Mr. Graham.

Mr. David de Burgh Graham:

Thank you.

I got everybody else earlier, so I want to go to Mr. Ryland from Amazon for a bit.

Earlier you were talking to Mr. Lucas about whether Alexa has ever been compromised. As I recall, you said that it has not. Is that correct?

Mr. Mark Ryland:

That's right.

Mr. David de Burgh Graham:

Are you not familiar with the Checkmarx hack of only a year ago that did a complete compromise of Alexa and could cause Alexa to stream live audio in an unlimited amount?

Mr. Mark Ryland:

I wasn't familiar with that particular.... I'll get back to you on that.

Mr. David de Burgh Graham:

Are you not the director of security engineering?

Mr. Mark Ryland:

What's that?

Mr. David de Burgh Graham:

Are you not the director of security engineering?

Mr. Mark Ryland:

I am, at Amazon Web Services, yes.

Mr. David de Burgh Graham:

You're at Amazon Web Services; so we weren't sent someone from Amazon proper. I just wanted to get that clear.

Amazon has an integrated marketing system. If I go and search for something on Amazon, and then I go onto another computer on another website, I will have ads pop up for me from Amazon saying, “Hey, do you want to buy this thing that you searched for on a different device on a different day at a different time with a different IP address?” How does Amazon know that? What kind of data exchange happens between Amazon and other sites like Facebook and other websites all across...? For example, National Newswatch does that to me.

What is the information exchange there? How do you know who I am on another device?

Mr. Mark Ryland:

We do participate in ad exchanges. We have a whole privacy site on our website that allows you to opt out of advertising. Again, that's not personal data. That's anonymized data. It's based on demographic profiling.

Again, it's straightforward to opt out of that on our website, or you can use some of the industry's tools, such as AdChoices, to opt out from participating in ad networks.

Mr. David de Burgh Graham:

It's anonymized data, but it knows exactly that one thing that I looked for three hours ago.

Mr. Mark Ryland:

I can't speak to the very specific experience you had, but we're not using your personal data for that type of use case.

Mr. David de Burgh Graham:

Okay.

At the very beginning of the meeting, you had some interesting perspectives on consent for the use of data. It caused a very good intervention from Mr. Angus. In Amazon's opinion or in your opinion, what is the limit of consent for the sharing of data? Is it explicit? If something is advertised on the box as a “smart” device, is that enough for consent to share data?

Mr. Mark Ryland:

We think context awareness makes sense. The reasonable consumer consuming a certain experience will have some idea of what is involved. If that is not there, then we want that to be more explicit. It's very contextual.

It also depends, obviously, on the type of data. Some data is much more sensitive than other data. As one of the other panellists mentioned, using an online gaming platform is different from using a health care site, so it's being context aware and content aware. Context-based consent makes a lot of sense.

Mr. David de Burgh Graham:

Okay.

You mentioned earlier that you're a customer-oriented company. Are you also a worker-oriented company?

Mr. Mark Ryland:

Yes. We very much try to be very worker-oriented.

Mr. David de Burgh Graham:

Do you not get engaged in anti-union practices?

Mr. Mark Ryland:

Again, it's not my area of expertise, but I would say that we treat our workers with respect and dignity. We try to pay a solid wage and give them reasonable working conditions.

Mr. David de Burgh Graham:

Do you engage in any data collection from your own employees?

Mr. Mark Ryland:

Like all companies, we collect data around things like web access and an appropriate use of our technology to protect other workers in the workforce.

Mr. David de Burgh Graham:

Then at no time did Amazon distribute anti-union marketing materials to newly acquired companies.

Mr. Mark Ryland:

I'm not familiar with that particular scenario.

Mr. David de Burgh Graham:

Well, the next time we have this committee, I hope we have somebody at Amazon who knows the policies of Amazon rather than AWS. You do very good work at web services, but we need to know about Amazon as a whole company.

I think that's all I have for the moment. Thank you.

The Chair:

Thank you, David.

I did neglect Jo from the U.K., and—

Mr. James Lawless:

Chair, before you hand it to Ms. Stevens, I must apologize; we need to catch a flight.

I would just thank the committee for the engagement over the last few days.

The Chair:

All right. Thank you. We will see you again in November of this year.

Mr. James Lawless: Absolutely.

The Chair: Give our best to Ms. Naughton. Thank you for coming.

Mr. James Lawless:

Thank you very much.

The Chair:

Go ahead, Jo.

Ms. Jo Stevens:

Thank you very much, Chair.

I want to go back to something you said earlier, John, about a board or a group that you have to look at sensitive use of AI. Can you give me an example of what sort of AI deployment you would describe as “sensitive”?

(1130)

Mr. John Weigelt:

One area is the use of artificial intelligence in medical diagnosis. We look at three criteria: Can it approve or deny consequential services? Is there infringement on human rights or human dignity? Are there health and safety issues at hand?

In one case, researchers were training artificial intelligence algorithms on chest X-rays. They then wanted to put that onto the emergency room floor, and they said, “Hey, this might impact patients. We need to understand how this works.” Our committee came together. We reviewed the datasets. We reviewed the validity of that open-source dataset and the number of people there. Then we provided guidance back to the researchers who were putting this in place. The guidance was along the lines of, “Hey, this is not for clinical use”, because software as a medical device is a completely different area. It requires certifications and whatnot.

However, if we're trying to assess whether or not artificial intelligence could potentially have the ability to learn from these scans, then that would be a good use. That's how we would tend to look at that situation.

Ms. Jo Stevens:

That's a really useful example. Thank you.

We do know, and there's plenty of evidence about this, that there is both deliberate and unconscious bias inherent in AI. I think there's quite a strong argument for a regulatory approach to govern AI deployment, much like we have in, say, the pharmaceutical sector. When you look at a product, before you can put it on the market, you have to look at what might be the unintended side effects of a particular medicine.

What do you feel about that? Do you think there is an argument for a regulatory approach, particularly because, as we know, the current deployment of AI does discriminate against women and does discriminate against black and ethnic minority citizens? People are losing jobs and are not gaining access to services like loans and mortgages because of this.

Mr. John Weigelt:

Absolutely. I think your point is well made around the unintended creep of bias into AI decision-making solutions, so we do need to guard against that. It's one of those engineering principles that we're working hard on to come out with guidance and direction to our teams.

There are some areas where we've advocated for very swift and direct action to move more carefully and more deliberately, and one area is facial recognition software. It's to your very point that a lot of these models have been trained on a very homogeneous community and are therefore not looking at the diverse community that they must serve.

We are quite strong advocates for putting in place legislative frameworks around some of the consent regimes, such as whether you have banners on the streets that say that, whether you have measurements, what the difference is between public and private space, and things like that.

Ms. Jo Stevens:

How willing are you to make the work that you've been doing public? I appreciate if you're doing it behind the scenes. That's great, but it would be useful to know what you're doing and what your colleagues are doing.

Mr. John Weigelt:

Absolutely. Clearly, we need to do more about advising and alerting the community about all the great work that's under way. We've published guidance around bots and how to make sure that bots are behaving properly, because we've had our own negative experience around a foul-mouthed, bigoted bot that was trolled for a while. We learned from that. Our CEO stood behind our team, and we did better. Now we've provided guidance, and it's publicly available.

We have what is called the AI Business School, which has a complete set of lectures for business leaders to put in an AI governance model. We're working with that community to help them. We're working to evangelize the work that we're doing internally around our AI ethics overview.

Lastly, I would say that we're working in the 60-plus different regulatory guidance document activities that are happening around the world so that we can start to socialize this from a practical experience perspective. Here in Canada there's the AI impact assessment and the AI ethics guidance standard that are being developed.

Ms. Jo Stevens:

It would be really nice to see a virtual assistant that is not a subservient female in the future. I look forward to seeing something different.

Thank you.

The Chair:

Thank you, Jo.

Now we'll get into our closing comments from our vice-chairs and then the co-chair.

Nate, would you start with your 60 seconds, please?

Mr. Nathaniel Erskine-Smith:

I think if we've learned anything from the last few days, it's that we continue to live in an age of surveillance capitalism that has the potential for serious consequences to our elections, to our privacy and to innovation, frankly.

While it has been frustrating at times, I do think we have made progress. We have had every single platform and big data company now say what they haven't said previously: They are going to embrace stronger privacy and data protection rules.

We had the platforms yesterday note that they need public accountability in their content control decisions and yesterday they acknowledged corporate responsibility for algorithmic impacts, so there is progress, but there is also a lot more work to do with respect to competition and consumer protection, and with respect to moving from an acknowledgement of responsibility for the algorithms that they employ to real accountability and liability when there are negative consequences to those decisions.

I think there's a lot more work to do, and that will depend upon continued global co-operation. I think our Canadian community has worked across party lines effectively. This international committee has now worked effectively across oceans, in some cases, and across countries.

The last thing I will say is that it's not just about addressing these serious global problems with serious global co-operation among parliamentarians; it requires global co-operation from companies. If there is any last takeaway, it is that the companies simply didn't take it seriously enough.

(1135)

The Chair:

Thank you, Mr. Erskine-Smith.

Next we will go to Charlie.

Mr. Charlie Angus:

Thank you to our two excellent chairs. Thank you to our witnesses.

I think we have seen something extraordinary. I've been very proud of the Canadian Parliament and our willingness to be part of this process.

There's been some extraordinary testimony in terms of the quality of questions, and I've been very proud to be part of it. Two extraordinary facts are that we have never in my 15 years ever worked across party lines on pretty much anything, and yet we came together. Also, we have never, ever worked across international lines. We can thank a Canadian whistle-blower, Christopher Wylie, who opened the door to the digital Chernobyl that was happening around us.

As politicians, we stay away from complex technical things. They frighten us. We don't have the expertise, so we tend to avoid them, which I think was a great advantage for Silicon Valley for many years.

These things are not all that technical. I think what we've done these last two days with our international colleagues—and what we will continue to do internationally—is to make it as simple and clear as possible to restore the primacy of the person in the realm of big data. Privacy is a fundamental human right that will be protected. Legislators have an obligation and a duty to protect the democratic principles of our country, such as free expression and the right to participate in the digital realm without growing extremism. These are fundamental principles on which our core democracies have been founded. It's no different in the age of the phone than it was in the age of handwritten letters.

I want to thank my colleagues for being part of this. I think we came out of this a lot stronger than we went in, and we will come out even further. We want to work with the tech companies to ensure that the digital realm is a democratic realm in the 21st century.

Thank you all.

The Chair:

Thank you, Charlie.

Go ahead, Damian.

Mr. Damian Collins:

Thank you very much, Mr. Chairman.

I'd just like to start by congratulating you and the members of your committee for the excellent job you've done in hosting and chairing these sessions. I think it's done exactly what we hoped it would do. It has built on the work we started in London. I think it's a model for co-operation between parliamentary committees in different countries that are working on the same issues and benefiting from related experience and insights.

The sessions have been split between what we call social media companies yesterday and other data companies here. Really what we're talking about is that while there are different functions, these are all basically huge data businesses. What we're interested in is how they gather their data, what consent they have for doing so and how they use it.

Across the sessions, time and again we saw companies unwilling to answer direct questions about how they gather data and how they use it. Whether it's asking how Amazon and Facebook share data.... Even though this is widely reported, we don't know. My colleague, Mr. Lucas, asked about LinkedIn and Microsoft data being shared. It's possible to totally integrate your LinkedIn data with your Microsoft tools, and a quick Google search can tell you exactly how to it.

I don't understand why companies are unwilling to talk openly about the tools they put in place. People may consent to use these tools, but do they understand the extent of the data they're sharing when they do? If it's as simple and straightforward as it seems, I'm always surprised that people are unwilling to talk about it. For me, these sessions are important because we get the chance to ask the questions that people won't ask and to continue to push for the answers we need.

Thank you.

The Chair:

I'll speak to the panellists first and then get into some closing comments.

I want to encourage you. You had promised, especially Mr. Ryland, about giving us a lot of the documents that you didn't.... Various commenters didn't have all the information that we were asking for. I would implore you to provide the information we requested to the clerk next to me so we can get a comprehensive answer for the committee. We'll provide it to all the delegates here.

Something that's really going to stick with me is a comment by Roger McNamee about the term "voodoo dolls”.

I watch my kids. I have four children. One is 21, one is 19, one is 17 and one is 15. I watch them becoming more and more addicted to these phones. I see work done by our colleagues in London about the addictive capabilities of these online devices. I wondered where are they going with this. You see that the whole drive from surveillance capitalism, the whole business model, is to keep them glued to that phone, despite the bad health it brings to those children, to our kids. It's all for a buck. We're responsible for doing something about that. We care about our kids, and we don't want to see them turned into voodoo dolls controlled by the almighty dollar and capitalism.

Since we like the devices so much, I think we still have some work to do to make sure we still provide access. We like technology and we've said that before. Technology is not the problem; it's the vehicle. We have to do something about what's causing these addictive practices.

I'll say thanks and offer some last comments.

Thanks to our clerk. We'll give him a round of applause for pulling it off.

He has that look on his face because events like this don't come off without their little issues. We deal with them on a real-time basis, so it's challenging. Again, I want to say a special thanks to Mike for getting it done.

Thanks also to my staff—over to my left, Kera, Cindy, Micah, Kaitlyn—for helping with the backroom stuff too. They're going to be very much de-stressing after this.

I'll give one shout-out before we finally close—oh, I forgot the analysts. Sorry. I'm always forgetting our poor analysts. Please stand.

Thank you for everything.

Thanks to the interpreters as well. There were three languages at the back, so thank you for being with us the whole week.

I'll give a little shout-out to our friend Christopher Wylie, despite being upstaged by sandwiches. I don't know if somebody saw the tweets from Christopher Wylie: “Democracy aside, Zuckerberg also missed out on some serious sandwich action.” He suggested that I mail the leftovers to Facebook HQ. Maybe that's the way we get the summons delivered into the right hands.

I want to thank all the media for giving this the attention we think it deserves. This is our future and our kids' future.

Again, thanks to all the panellists who flew across the globe, especially our U.K. members, who are our brothers and sisters across the water.

Singapore is still here as well. Thank you for coming.

Have a great day.

We'll see you in Ireland in November.

The meeting is adjourned.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(0835)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

La 155e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique est ouverte.

Il s'agit de la dernière de nos grandes réunions internationales cette semaine, celle du Grand Comité international sur les mégadonnées, la protection des renseignements personnels et la démocratie.

Nous accueillons aujourd'hui, de chez Amazon, Mark Ryland, directeur de l'ingénierie de sécurité, au Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services.

Marlene Floyd, directrice nationale des Affaires commerciales, et John Weigelt, agent national de technologie, représentent Microsoft Canada inc.

De la Mozilla Foundation, nous recevons Alan Davidson, vice-président, Politique mondiale, confiance et sécurité.

Enfin, de chez Apple Inc., nous accueillons Erik Neuenschwander, gestionnaire pour la vie privée des utilisateurs.

Nous allons passer aux témoignages. Je tiens à signaler que nous avons invité les PDG. Il est regrettable qu'ils ne se soient pas présentés. Comme je l'ai dit à nombre d'entre vous avant la séance, il doit s'agir ici d'une réunion constructive pour chercher les moyens d'apporter des améliorations. Certaines propositions que vos sociétés ont faites d'emblée sont bonnes, et c'est pourquoi nous souhaitions accueillir les PDG, qui auraient pu répondre à nos questions. Nous sommes néanmoins heureux que vous soyez parmi nous.

Nous entendrons d'abord M. Ryland, qui aura 10 minutes.

M. Mark Ryland (directeur, Ingénierie de sécurité, Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services, Amazon.com):

Merci beaucoup.

Bonjour, monsieur le président Zimmer, et mesdames et messieurs les membres du Comité. Je salue également les invités venus de l'étranger.

Je m'appelle Mark Ryland, et je suis directeur de l'ingénierie de sécurité au Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services, la division de l'infonuagique chez Amazon.

Merci de m'avoir invité à m'entretenir avec vous. C'est un plaisir de me joindre à cette importante discussion. Je chercherai surtout à expliquer comment Amazon place la sécurité et la confiance des consommateurs au centre de toutes ses activités.

La mission d'Amazon est d'être l'entreprise la plus axée sur la clientèle au monde. Sa philosophie d'entreprise est profondément ancrée dans une démarche qui consiste à faire le cheminement inverse, à partir des besoins du client, et à innover constamment pour lui offrir ensuite un meilleur service, un choix plus vaste et des prix plus bas. Cette approche s'applique à tous ses secteurs d'activité, y compris ceux qui concernent la protection des renseignements des consommateurs et la cybersécurité.

Amazon est au service des clients canadiens depuis le lancement d'amazon.ca, en 2002. L'entreprise compte plus de 10 000 employés à temps plein au Canada et elle a annoncé en 2018 qu'elle comptait créer 6 300 emplois de plus.

Amazon a également deux carrefours technologiques, l'un à Toronto et l'autre à Vancouver. Ces regroupements de bureaux emploient plus d'un millier d'ingénieurs en logiciels et un certain nombre de techniciens de soutien. Ils élaborent certains de nos systèmes mondiaux les plus avancés. Il y a également des bureaux à Victoria pour www.abebooks.com et la filiale AWS Thinkbox, à Winnipeg.

L'entreprise exploite sept centres de traitement au Canada, et quatre autres ont été annoncés. Ils ouvriront tous leurs portes cette année, en 2019.

Un mot maintenant au sujet de notre plateforme infonuagique.

Il y a un peu plus de 13 ans, Amazon a lancé Amazon Web Services, son entreprise d'infonuagique. C'est à Montréal que se trouve le siège d'AWS au Canada, où AWS compte un certain nombre de centres de données distincts. Nous avons lancé AWS parce qu'après plus d'une décennie passée à construire et à exploiter Amazon.com, nous nous sommes aperçus que nous avions acquis une compétence fondamentale dans l'exploitation d'une infrastructure technologique et de centres de données à très grande échelle. Nous nous sommes engagés dans une mission plus vaste, celle de servir les développeurs et les entreprises en leur offrant des services de technologie de l'information qu'ils peuvent utiliser pour gérer leurs propres entreprises.

Le terme « infonuagique » désigne la prestation sur demande de ressources de TI sur Internet ou sur des réseaux privés. Le nuage d'AWS s'étend sur un réseau de centres de données répartis dans 21 régions géographiques dans le monde entier. Au lieu de posséder et d'entretenir leurs propres centres de données, nos clients peuvent acquérir des technologies telles que la puissance de calcul, le stockage et les bases de données en quelques secondes, au gré des besoins, en appelant simplement une API ou en cliquant sur une console graphique.

Nous fournissons l'infrastructure et les services de TI de la même façon que le consommateur qui appuie sur l'interrupteur d'une lampe chez lui reçoit l'électricité d'un fournisseur.

L'une des préoccupations du Comité est la démocratie. Eh bien, nous démocratisons vraiment l'accès à des services de TI que seulement de très grandes organisations pouvaient s'offrir auparavant, vu l'importance du dispositif nécessaire. Maintenant, les plus petites organisations peuvent avoir accès à ce même type de technologie de pointe très perfectionnée en cliquant simplement sur un bouton et en payant uniquement leur consommation.

Aujourd'hui, AWS fournit des services informatiques à des millions de clients actifs dans plus de 190 pays. Les entreprises qui se prévalent des services d'AWS vont de grandes entreprises canadiennes comme Porter Airlines, Shaw, la Banque Nationale du Canada, TMX Group, Corus, Capital One et Blackberry jusqu'à de jeunes entreprises novatrices comme Vidyard et Sequence Bio.

Je tiens à souligner que la protection de la vie privée commence au fond par la sécurité. Il n'est possible de se conformer aux règlements et aux attentes en matière de protection des renseignements personnels que si la confidentialité des données est prise en compte dès la conception même des systèmes. Chez AWS, nous disons que la sécurité est la fonction primordiale: elle est encore plus importante que la toute première priorité. Nous savons que, si la sécurité n'est pas assurée, notre entreprise ne peut pas exister.

AWS et Amazon veillent jalousement à la sécurité et à la protection des renseignements des consommateurs et ont mis en œuvre des mesures techniques et physiques perfectionnées pour bloquer tout accès non autorisé aux données.

La sécurité est la responsabilité de tous. Bien que nous ayons une équipe d'experts en sécurité de calibre mondial qui surveille nos systèmes 24 heures sur 24 et 7 jours sur 7, afin de protéger les données des clients, chaque employé d'AWS, peu importe son rôle, est responsable de veiller à ce que la sécurité fasse partie intégrante de toutes les facettes de notre entreprise.

La sécurité et la protection des renseignements personnels sont une responsabilité partagée d'AWS et du client. Cela signifie qu'AWS est responsable de la sécurité et de la protection des renseignements personnels dans le nuage même, et que les clients sont responsables de la sécurité et de la confidentialité dans leurs systèmes et leurs applications qui fonctionnent dans le nuage. Par exemple, les clients doivent tenir compte de la sensibilité de leurs données et décider s'il faut les crypter et comment. Nous offrons une grande variété d'outils de cryptage et des conseils pour aider les clients à atteindre leurs objectifs en matière de cybersécurité.

Nous disons parfois: « Dansez comme si personne ne vous regardait. Cryptez comme si tout le monde était aux aguets. » Le cryptage est également utile pour garantir la confidentialité des données. Dans de nombreux cas, les données peuvent être effacées de façon efficace et permanente simplement en supprimant les clés de cryptage.

(0840)



De plus en plus, les organisations prennent conscience du lien entre la modernisation de la TI offerte par le nuage et une meilleure posture en matière de sécurité. La sécurité dépend de la capacité de garder une longueur d'avance dans un contexte de menaces qui évolue rapidement et continuellement, ce qui exige à la fois agilité opérationnelle et technologies de pointe.

Le nuage offre de nombreuses caractéristiques avancées qui garantissent que les données sont stockées et manipulées en toute sécurité. Dans un environnement classique, sur place, les organisations consacrent beaucoup de temps et d'argent à la gestion de leurs propres centres de données et se préoccupent de se défendre contre une gamme complète de menaces très variables et en constante évolution qu'il est difficile de prévoir. AWS met en œuvre des mesures de protection de base, comme la protection contre les DDoS ou la protection contre les dénis de service distribués; l'authentification, le contrôle d'accès et le cryptage. À partir de là, la plupart des organisations complètent ces protections en ajoutant leurs propres mesures de sécurité pour renforcer la protection des données de l'infonuagique et resserrer l'accès à l'information délicate dans le nuage. Elles disposent également de nombreux outils pour atteindre leurs objectifs en matière de protection des données.

Comme la notion de « nuage » est une nouveauté pour bien des gens, je tiens à souligner que les clients d'AWS sont les propriétaires de leurs propres données. Ils choisissent l'emplacement géographique où ils entreposent leurs données dans nos centres hautement sécurisés. Leurs données ne bougent pas à moins qu'ils ne décident de les déplacer. Nous n'accédons pas aux données de nos clients et nous ne les utilisons pas sans leur consentement.

La technologie est un élément important de la vie moderne et elle a le potentiel d'offrir des avantages extraordinaires dont nous commençons à peine à prendre conscience. Les solutions basées sur les données offrent des possibilités illimitées d'améliorer la vie des gens, qu'il s'agisse de poser des diagnostics médicaux beaucoup plus rapides ou de rendre l'agriculture beaucoup plus efficace et durable. Face à de nouveaux enjeux liés à la technologie, il se peut qu'il faille de nouvelles approches réglementaires, mais elles devraient éviter de nuire aux incitatifs à l'innovation et de limiter les gains d'efficience importants comme les économies d'échelle et la portée des technologies.

Nous croyons que les décideurs et les entreprises comme Amazon ont des objectifs très semblables: protéger la confiance des consommateurs et les renseignements personnels et promouvoir les nouvelles technologies. Nous partageons l'objectif de trouver des solutions communes, surtout en période d'innovation rapide. À mesure que la technologie évoluera, nous aurons tous la possibilité de travailler ensemble.

Merci. Je me ferai un plaisir de répondre à vos questions.

Le président:

Merci, monsieur Ryland.

Nous passons maintenant à Microsoft. Entendrons-nous Mme Floyd ou M. Weigelt?

Mme Marlene Floyd (directeur national, Affaires commerciales, Microsoft Canada inc.):

Nous allons nous partager le temps de parole.

Le président:

D'accord. À vous. [Français]

M. John Weigelt (agent national de technologie, Microsoft Canada inc.):

Merci, monsieur le président.

Nous sommes heureux d'être ici avec vous aujourd'hui.[Traduction]

Je m'appelle John Weigelt. Je suis l'agent national de technologie pour Microsoft au Canada. Ma collègue, Marlene Floyd, directrice nationale des affaires commerciales chez Microsoft Canada, m'accompagne. Nous sommes heureux d'avoir l'occasion de comparaître devant le Comité. Le travail que vous avez entrepris est important, compte tenu de la place de plus en plus grande du numérique et de l'incidence de la technologie sur les emplois, la protection des renseignements personnels, la sécurité, la participation de tous et l'équité.

Depuis la création de Microsoft Canada, en 1985, notre présence ici s'affirme de plus en plus, au point que nous avons désormais 10 bureaux régionaux aux quatre coins du pays, et ils emploient plus de 2 300 personnes. Au centre de développement de Microsoft à Vancouver, plus de 700 employés mettent au point des produits qui sont utilisés dans le monde entier. Des recherches de pointe sur l'intelligence artificielle sont également menées par des docteurs et des ingénieurs au laboratoire de recherche de Microsoft à Montréal. Ils travaillent en partenariat avec les universités de cette ville.

Des technologies puissantes comme l'infonuagique et l'intelligence artificielle transforment notre façon de vivre et de travailler et apportent des solutions à certains des problèmes les plus urgents du monde. Chez Microsoft, nous considérons avec optimisme les avantages de ces technologies, mais nous sommes aussi lucides devant les défis qui exigent une réflexion qui va au-delà de la technologie pour garantir l'application de principes éthiques forts et de lois adaptées. Quel rôle la technologie devrait-elle jouer dans la société? Pour répondre, il faut que des représentants de l'État, du milieu universitaire, du monde des affaires et de la société civile conjuguent leurs efforts pour modeler l'avenir.

Il y a plus de 17 ans, lorsqu'il a affirmé que « l'informatique fiable » était au premier rang des priorités chez Microsoft, Bill Gates a changé radicalement la façon dont cette société offre des solutions sur le marché. Cet engagement a été réitéré par l'actuelle PDG, Satya Nadella, en 2016. Nous croyons que la vie privée est un droit fondamental. Notre approche à l'égard de la protection de la vie privée et des données personnelles repose sur notre conviction que les clients sont propriétaires de leurs propres données. Par conséquent, nous protégeons la vie privée de nos clients et leur donnons le contrôle de leurs données.

Nous avons préconisé l'adoption de nouvelles lois sur la protection de la vie privée dans un certain nombre de pays, et nous avons été parmi les premiers à appuyer le RGPD en Europe. Nous reconnaissons que, pour les gouvernements, il est très important d'avoir une capacité informatique située près de leurs administrés. Microsoft a des centres de données dans plus de régions que tout autre fournisseur de services infonuagiques, avec plus d'une centaine de centres de données répartis dans plus de 50 régions du monde. Nous sommes très fiers que deux de ces centres de données soient situés ici, au Canada, soit en Ontario et au Québec.

La protection de nos clients et de la collectivité en général contre les cybermenaces est une responsabilité que nous prenons très au sérieux. Microsoft continue d'investir plus de 1 milliard de dollars par année dans la recherche et le développement en matière de sécurité, et des milliers de professionnels de la sécurité mondiale travaillent avec notre centre de renseignement sur les menaces, notre unité de la criminalité numérique et notre centre des opérations de cyberdéfense. Nous entretenons une étroite collaboration avec le Centre canadien pour la cybersécurité annoncé récemment par le gouvernement du Canada. Nous avons établi des partenariats avec des gouvernements du monde entier dans le cadre du Government Security Program, cherchant à échanger de l'information technique et des renseignements sur les menaces et même à coopérer pour démanteler des réseaux de zombies. En outre, Microsoft a pris la tête du Cybersecurity Tech Accord, signé par plus d'une centaine d'organisations mondiales qui se sont rassemblées pour défendre tous les clients de partout contre les cyberattaques malveillantes et rendre Internet plus sûr.

(0845)

Mme Marlene Floyd:

Microsoft a également été fière de signer l'Appel de Paris pour la confiance et la sécurité dans le cyberespace lancé en novembre par le président français, Emmanuel Macron, lors du Forum de Paris sur la paix. Avec plus de 500 signataires, il s'agit du plus important engagement multipartite à l'égard des principes de protection du cyberespace.

Le Comité a également mis l'accent sur l'ingérence croissante d'acteurs malveillants dans les processus démocratiques de nombreux pays. Nous sommes tout à fait d'accord pour dire que le secteur de la technologie doit faire davantage pour aider à protéger le processus démocratique. Plus tôt cette semaine, nous avons eu le plaisir d'appuyer la Déclaration du Canada sur l’intégrité électorale en ligne annoncée par la ministre Gould.

Microsoft a pris des mesures pour aider à protéger l'intégrité de nos processus et institutions démocratiques. Il a créé le Programme de défense de la démocratie, qui travaille avec les intervenants des pays démocratiques pour promouvoir l'intégrité des élections, la sécurité des campagnes électorales et la défense contre la désinformation.

Dans le cadre de ce programme, Microsoft offre sans frais un service de sécurité appelé AccountGuard aux clients d'Office 365 dans l'écosystème politique. Il est actuellement proposé dans 26 pays, dont le Canada, les États-Unis, le Royaume-Uni, l'Inde, l'Irlande et la plupart des autres pays de l'Union européenne. Il protège actuellement plus de 36 000 comptes de courriel. AccountGuard identifie les cybermenaces, y compris les attaques d'États-nations, et met en garde les particuliers et les organisations. Depuis le lancement du programme, des centaines d'avis de menaces ont été envoyés aux participants.

Nous avons également utilisé la technologie pour assurer la résilience du processus électoral. Plus tôt ce mois-ci, nous avons annoncé ElectionGuard, une trousse de développement de logiciels libres et gratuits visant à rendre le vote plus sûr en fournissant une vérification de bout en bout des élections, en ouvrant les résultats à des organismes tiers pour permettre une validation sécurisée, et en donnant à chaque électeur la possibilité de confirmer que son vote a été compté correctement.

Chez Microsoft, nous travaillons fort pour nous assurer de développer les technologies de manière qu'elles soient centrées sur l'être humain et qu'elles permettent un accès large et équitable pour tous. L'évolution rapide de la puissance informatique et la croissance des solutions d'IA nous aideront à être plus productifs dans presque tous les domaines de l'activité humaine et conduiront à une plus grande prospérité, mais il faut relever les défis avec un sens de la responsabilité commune. Dans certains cas, cela signifie qu'il faut avancer plus lentement dans le déploiement d'une gamme complète de solutions d'IA tout en travaillant de façon réfléchie et délibérée avec les responsables gouvernementaux, le milieu universitaire et la société civile.

Nous savons que nous devons en faire plus pour continuer à gagner la confiance, et nous comprenons que nous serons jugés à nos actes, et pas seulement d'après nos paroles. Microsoft est déterminée à continuer de travailler dans le cadre d'un partenariat délibéré et réfléchi avec le gouvernement au fur et à mesure que nous progressons dans le monde du numérique.

Merci. Ce sera un plaisir de répondre à vos questions.

Le président:

Merci, madame Floyd.

Nous passons maintenant à M. Davidson, de Mozilla.

M. Alan Davidson (vice-président, Politique mondiale, confiance et sécurité, Mozilla Corporation):

Mesdames et messieurs les membres du Grand Comité et du Comité permanent, merci.

Si je témoigne aujourd'hui, c'est parce que tout ne va pas bien dans le monde d'Internet. Il est certain que l'Internet ouvert est le moyen de communication le plus puissant que nous ayons jamais connu. À son mieux, il fait apparaître de nouvelles occasions d'apprendre à résoudre de grands problèmes pour bâtir un sens commun de l'humanité, et pourtant, nous avons aussi vu le pouvoir d'Internet utilisé pour miner la confiance, accentuer les dissensions et violer la vie privée. Nous pouvons faire mieux, et je suis ici pour vous faire part de quelques idées sur la façon de s'y prendre.

Je m'appelle Alan Davidson. Je suis vice-président chargé de la politique, de la confiance et de la sécurité à la Mozilla Corporation. Mozilla est une entité assez inhabituelle sur Internet. Nous appartenons entièrement à un organisme sans but lucratif, la Mozilla Foundation. Nous sommes une entreprise de logiciels libres axée sur une mission. Nous produisons le navigateur Web Firefox, Pocket et d'autres services.

Chez Mozilla, nous sommes déterminés à rendre Internet plus sain. Depuis des années, nous nous faisons les champions de l'ouverture et de la protection de la vie privée en ligne. Ce n'est pas qu'un slogan; c'est notre principale raison d'être. Nous essayons de montrer par l'exemple comment créer des produits pour protéger les renseignements personnels. Nous fabriquons ces produits avec le concours non seulement de nos employés, mais aussi de milliers d'intervenants de la base, partout dans le monde.

Chez Mozilla, nous croyons qu'Internet peut être meilleur. Pendant la période qui m'est accordée, je voudrais aborder trois sujets: premièrement, le fait que la protection de la vie privée commence par une bonne conception des produits; deuxièmement, le rôle de la réglementation en matière de protection de la vie privée; et troisièmement, certaines des questions de contenu dont vous avez parlé ces derniers jours.

Tout d'abord, nous croyons que notre industrie est en mesure de beaucoup mieux protéger la vie privée grâce à nos produits. C'est exactement ce que nous essayons de faire chez Mozilla. Permettez-moi de vous donner un exemple tiré de notre travail sur le pistage en ligne.

Lorsque les utilisateurs se rendent sur un site Web d'information, ils s'attendent à y voir des annonces de l'éditeur, du propriétaire de ce site. Or, les visiteurs des principaux sites d'information, du moins aux États-Unis, y trouvent des dizaines de dispositifs de pistage provenant de sites autres que celui qu'ils visitent, parfois même une trentaine ou une quarantaine. Certains de ces dispositifs de pistage sont rattachés à des entreprises fort bien connues, mais d'autres sont ceux d'entreprises totalement obscures dont la plupart des consommateurs n'ont jamais entendu parler.

Quoi qu'il en soit, les données recueillies par ces dispositifs causent des préjudices réels. Ils permettent de lancer des publicités politiques clivantes, d'influencer les décisions en matière d'assurance-maladie, d'encourager la discrimination dans le domaine du logement et de l'emploi. La prochaine fois que vous verrez un élément de désinformation en ligne, demandez-vous d'où viennent les données qui ont permis de croire que vous seriez une cible attrayante pour cette désinformation.

Chez Mozilla, nous avons décidé d'essayer de lutter contre le pistage en ligne. Nous avons créé ce que nous appelons le Facebook Container, qui limite grandement les données que Facebook peut recueillir sur l'utilisateur qui navigue sur Firefox. En passant, c'est maintenant l'une des extensions les plus populaires que nous ayons jamais produites. Nous sommes en train de mettre en place ce qu'on appelle la protection améliorée contre le pistage. Il s'agit d'une nouvelle fonction majeure du navigateur Firefox qui bloque presque tout le pistage effectué par des tiers. Cela va grandement limiter la capacité d'entreprises que vous ne connaissez pas de vous suivre secrètement pendant que vous naviguez sur le Web.

Nous l'offrons à un plus grand nombre de personnes, et notre but ultime est de l'appliquer par défaut à tout le monde. J'insiste là-dessus, parce que nous avons appris que la création de produits avec protection de la vie privée par défaut est un moyen très puissant pour les utilisateurs. Et il ne faut pas oublier des efforts comme nos pratiques de gestion allégée des données, que nous utilisons pour limiter les données que nous recueillons dans notre propre produit. C'est une approche que d'autres adopteront, nous l'espérons, parce que nous avons appris qu'il est vraiment irréaliste de s'attendre à ce que les utilisateurs s'y retrouvent dans toutes les politiques sur la protection des renseignements personnels et toutes les options que nous pouvons leur offrir pour qu'ils se protègent. Si nous voulons que la protection de la vie privée devienne réalité, le fardeau doit passer des consommateurs aux entreprises. Malheureusement, ce n'est pas une conviction partagée par tout le monde dans notre industrie.

Je passe maintenant à mon deuxième point: nous croyons que la réglementation sera un élément essentiel de la protection de la vie privée en ligne. L'Union européenne a été un chef de file dans ce domaine. Beaucoup d'autres entreprises dans le monde emboîtent le pas et essaient maintenant d'élaborer leurs propres lois sur la protection des données. C'est important, car l'approche que nous avons adoptée au cours des deux dernières décennies dans notre industrie ne fonctionne manifestement plus. Par le passé, nous avons vraiment adopté la notion de notification et de choix, c'est-à-dire que si nous disons simplement aux navigateurs ce que nous allons recueillir comme données et en leur permettant de s'exclure, tout ira bien. Nous avons constaté que cette approche ne fonctionne vraiment pas pour eux. Nous avons été les promoteurs de ces nouvelles règles de protection des données, et nous espérons que vous le serez aussi.

Nous croyons qu'une bonne loi sur la protection de la vie privée devrait comporter trois éléments principaux. Il faut pour les entreprises des règles claires sur ce qu'elles peuvent recueillir et utiliser; il devrait y avoir des droits solides pour les personnes, y compris le consentement granulaire et révocable au sujet d'utilisations précises; et la loi devrait être appliquée par un organisme efficace et doté de pouvoirs, ce qui n'est pas toujours le cas. C'est là un élément important, à notre avis.

(0850)



Nous croyons qu'il est essentiel d'élaborer ces lois et d'y inclure ces éléments tout en préservant l'innovation et les utilisations bénéfiques des données. C'est pourquoi nous appuyons une nouvelle loi fédérale sur la protection des renseignements personnels aux États-Unis et nous travaillons avec les organismes de réglementation en Inde, au Kenya et ailleurs pour promouvoir des lois de cette nature.

Troisièmement, étant donné les échanges que vous avez tous eus ces derniers jours, il serait utile de dire au moins un mot de certaines de nos opinions sur les grandes questions de réglementation du contenu. De toutes les questions étudiées par le Comité, c'est la plus ardue, selon nous.

Nous avons constaté que de nombreux éléments, dans l'industrie, sont incités à encourager la propagation de la désinformation et des abus, mais nous voulons aussi nous assurer que nos réactions à ces préjudices réels ne minent pas elles-mêmes la liberté d'expression et l'innovation qui ont été une force constructive dans la vie des utilisateurs d'Internet.

Chez Mozilla, nous avons adopté quelques approches différentes. Nous travaillons actuellement à ce que nous appelons des « processus de responsabilisation ». Plutôt que de nous concentrer sur des éléments de contenu individuels, nous devrions réfléchir au genre de processus que les entreprises devraient mettre en place pour s'attaquer à ces problèmes. Cela peut se faire au moyen d'une approche fondée sur des principes. Elle doit être adaptée au rôle et proportionnelle à la taille des différentes entreprises, de sorte qu'elle n'ait pas d'incidence disproportionnée sur les petites entreprises, mais donne plus de responsabilités aux grandes entreprises qui jouent un rôle plus important dans l'écosystème.

Nous nous sommes également beaucoup occupés des problèmes de désinformation, surtout en prévision des élections législatives européennes qui viennent de se tenir. Nous sommes signataires du Code de bonnes pratiques de l'Union européenne sur la désinformation, qui est, à mon avis, une initiative d'autoréglementation très importante et utile, assortie d'engagements et de principes visant à stopper la propagation de la désinformation. Pour notre part, nous avons créé des outils dans Firefox pour aider les navigateurs à résister à la manipulation en ligne, à mieux choisir et comprendre ce qu'ils regardent en ligne.

Nous avons également déployé des efforts pour inciter les autres signataires du Code à en faire davantage en matière de transparence et de publicité politique. Il nous semble possible d'en faire beaucoup plus à cet égard. Honnêtement, il y a eu des résultats discutables chez certains de nos collègues. Il y a encore beaucoup de place pour améliorer les outils, en particulier ceux que Facebook a mis en place pour assurer la transparence de la publicité. Il y a peut-être aussi du travail à faire chez Google. Si nous n'arrivons pas à faire ce qu'il faut, nous aurons besoin de mesures plus énergiques de la part des gouvernements. La transparence devrait être un bon point de départ pour nous.

En conclusion, je dirai qu'aucune des questions examinées par le Comité n'est simple. La mauvaise nouvelle, c'est que la progression de la technologie — avec l'intelligence artificielle, la montée de l'Internet des objets et la réalité augmentée — ne fera que rendre la tâche plus difficile.

Une dernière réflexion: nous devons vraiment songer aux moyens de bâtir la capacité de la société d'affronter ces problèmes. Par exemple, chez Mozilla, nous avons participé à ce qu'on a appelé le défi de l'informatique responsable. Il s'agit d'aider à former la prochaine génération de technologues pour qu'ils comprennent les implications éthiques de ce qu'ils élaborent. Nous appuyons les efforts déployés aux États-Unis pour rétablir l'Office of Technology Assessment afin de renforcer la capacité de l'État de comprendre ces questions et de travailler avec plus de dextérité. Nous travaillons à améliorer la diversité dans notre propre entreprise et notre industrie, ce qui est essentiel si nous voulons renforcer la capacité de régler ces problèmes. Nous publions chaque année un rapport, Bulletin de santé d'Internet, qui a paru il y a quelques semaines. Cela fait partie de ce que nous considérons comme l'énorme projet que nous voulons tous réaliser pour sensibiliser le public afin qu'il puisse affronter ces problèmes.

Ce ne sont là que quelques exemples et quelques idées sur la façon de travailler à de nombreux niveaux. Il s'agit de concevoir de meilleurs produits, d'améliorer notre réglementation publique et d'investir dans notre capacité de relever ces défis à l'avenir.

Nous vous remercions sincèrement de nous avoir donné l'occasion de vous parler aujourd'hui et nous avons hâte de travailler avec vous et vos collègues du monde entier pour bâtir un Internet meilleur.

Merci.

(0855)

Le président:

Merci, monsieur Davidson.

Enfin, nous accueillons Erik Neuenschwander, d'Apple Inc. Je vous en prie. Vous avez 10 minutes.

M. Erik Neuenschwander (gestionnaire pour la vie privée des utilisateurs, Apple Inc.):

Merci.

Bonjour, mesdames et messieurs les membres du Comité, et merci de m'avoir invité à vous parler aujourd'hui de l'approche d'Apple en matière de protection des renseignements personnels et de sécurité des données.

Je m'appelle Erik Neuenschwander et je suis ingénieur en logiciels chez Apple depuis 12 ans. J'ai été l'ingénieur principal en analyse de données sur le premier iPhone. J'ai géré l'équipe de performance du logiciel du premier iPad, et j'ai fondé l'équipe d'ingénierie de la protection de la vie privée d'Apple. Aujourd'hui, je gère l'équipe chargée des aspects techniques de la conception des caractéristiques de confidentialité d'Apple. Je suis fier de travailler dans une entreprise qui accorde la priorité au client et fabrique d'excellents produits qui améliorent la vie des utilisateurs.

Chez Apple, nous croyons que la vie privée est un droit fondamental et qu'elle est essentielle à tout ce que nous faisons. C'est pourquoi nous intégrons la protection de la vie privée et la sécurité à chacun de nos produits et services. Ces considérations architecturales vont très loin, jusqu'au silicium très physique de nos appareils. Chaque appareil que nous expédions combine des logiciels, du matériel et des services conçus pour fonctionner ensemble pour une sécurité maximale et une expérience utilisateur transparente. Aujourd'hui, j'ai hâte de discuter avec vous de ces éléments clés de conception, et je renvoie également le Comité au site Web d'Apple sur la protection des renseignements personnels, qui donne beaucoup plus de détails sur ces éléments et d'autres facteurs dont il est tenu compte dans la conception dans nos produits et services.

L'iPhone est devenu une partie essentielle de nos vies. Nous l'utilisons pour stocker une quantité incroyable de renseignements personnels, comme nos conversations, nos photos, nos notes, nos contacts, nos calendriers, nos renseignements financiers, nos données sur la santé, et même de l'information sur nos allées et venues. Notre principe, c'est que les données appartiennent à l'utilisateur. Tous ces renseignements doivent être protégés contre les pirates informatiques et les criminels qui voudraient les voler ou les utiliser à notre insu ou sans notre permission.

C'est pourquoi le cryptage est essentiel à la sécurité des dispositifs. Les outils de cryptage sont offerts dans les produits d'Apple depuis des années, et la technologie de cryptage intégrée à l'iPhone d'aujourd'hui est la meilleure sécurité de données qui soit à la disposition des consommateurs. Nous avons l'intention de poursuivre dans cette voie, parce que nous sommes fermement opposés à ce que les données de nos clients soient vulnérables aux attaques.

En établissant un code d'accès, l'utilisateur protège automatiquement l'information de son appareil au moyen d'un cryptage. Apple ne connaît pas le code d'accès de l'utilisateur. En fait, ce code n'est stocké nulle part sur l'appareil ou sur les serveurs d'Apple. Chaque fois, il appartient à l'utilisateur et à lui seul. Chaque fois qu'un utilisateur saisit son mot de passe, l'iPhone est jumelé à l'identificateur unique que l'iPhone fusionne dans son silicium au moment de la fabrication. L'iPhone crée une clé à partir de ce jumelage et tente de décrypter les données de l'utilisateur. Si la clé fonctionne, alors le mot de passe doit avoir été correct. Si cela ne fonctionne pas, l'utilisateur doit réessayer. Nous avons conçu l'iPhone pour protéger ce processus à l'aide d'une enclave sécurisée spécialement conçue, un gestionnaire de clés qui fait partie du matériel, isolé du processeur principal et offrant une couche de sécurité supplémentaire.

En concevant des produits, nous nous efforçons également de recueillir le moins de données possible sur les clients. Nous voulons que vos appareils sachent tout sur eux, mais nous ne pensons pas que nous devions tout savoir.

Par exemple, nous avons conçu notre matériel et nos logiciels de manière qu'ils fonctionnent ensemble pour offrir d'excellentes fonctions en traitant efficacement les données sans que celles-ci ne quittent jamais l'appareil de l'utilisateur. Lorsque nous recueillons des renseignements personnels, nous disons avec précision et transparence à quoi ils serviront, car le contrôle par l'utilisateur est essentiel à la conception de nos produits. Ainsi, nous avons récemment ajouté une icône de confidentialité qui apparaît sur les appareils Apple lorsque des renseignements personnels sont recueillis. L'utilisateur peut s'en servir pour en apprendre davantage sur les pratiques d'Apple en matière de protection des renseignements personnels, le tout étant expliqué en langage simple.

Nous utilisons également la « confidentialité différentielle locale », une technique qui permet à Apple d'en apprendre davantage sur un groupe d'utilisateurs sans en savoir plus sur les membres du groupe. Nous avons fait œuvre de pionnier en ce qui concerne les avis « juste-à-temps », de sorte que, lorsque des applications tierces cherchent à accéder à certains types de données, l'utilisateur a un choix et un contrôle sérieux sur les renseignements recueillis et utilisés. Cela signifie que les applications tierces ne peuvent pas accéder aux données des utilisateurs comme les contacts, les calendriers, les photos, la caméra ou le microphone sans demander et obtenir l'autorisation explicite de l'utilisateur.

Ces caractéristiques de conception, parmi d'autres, sont au cœur d'Apple. Les clients s'attendent à ce qu'Apple et d'autres entreprises de technologie fassent tout en leur pouvoir pour protéger les renseignements personnels. Chez Apple, nous sommes profondément engagés à cet égard parce que la confiance de nos clients signifie tout pour nous. Nous passons beaucoup de temps à réfléchir à la façon dont nous pouvons offrir à nos clients non seulement des produits qui transforment l'existence, mais aussi des produits fiables, sûrs et sécuritaires. En intégrant la sécurité et la protection de la vie privée à tout ce que nous faisons, nous avons prouvé que les expériences formidables n'ont pas à se faire aux dépens de la vie privée et de la sécurité. Ils peuvent plutôt les appuyer.

Je suis honoré de participer à cette importante séance. Je me ferai un plaisir de répondre à vos questions.

Merci.

(0900)

Le président:

Merci, monsieur Neuenschwander.

Nous allons passer aux questions des membres du Comité. Mon collègue Damian Collins sera ici sous peu. Il regrette d'être retenu par autre chose.

Nous allons commencer par M. Erskine-Smith, qui aura cinq minutes.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Merci beaucoup.

Merci à tous de vos exposés. Je sais que Microsoft appuie le RGPD et des règles plus strictes en matière de protection de la vie privée. De toute évidence, Tim Cook a publiquement appuyé le RGPD. Chez Amazon, appuyez-vous également ce règlement?

M. Mark Ryland:

Nous appuyons les principes de protection de la vie privée que sont le contrôle par l'utilisateur, le consentement et ainsi de suite. La loi actuelle est plutôt récente et elle entraîne un fardeau qui, à notre avis, ne favorise pas directement une meilleure protection de la vie privée des utilisateurs. Bien que nous nous conformions tout à fait aux principes et que nous les appuyions pleinement, nous ne pensons pas nécessairement que c'est un dispositif qui devrait être appliqué universellement pour l'instant.

M. Nathaniel Erskine-Smith:

Le soutien des principes s'étend au principe de la minimisation des données.

M. Mark Ryland:

Oui, ainsi qu'au contrôle par l'utilisateur. C'est vraiment le principe fondamental.

M. Nathaniel Erskine-Smith:

Chez Microsoft, approuvez-vous le principe de la minimisation des données?

M. John Weigelt:

Oui, nous sommes d'accord

M. Nathaniel Erskine-Smith:

Bien.

En ce qui concerne la protection des renseignements des consommateurs, une façon de s'y prendre consiste à obtenir des consentements positifs supplémentaires qui sont explicites pour des fins secondaires. Par exemple, dans le cas d'Echo d'Amazon, la Californie proposait des règles sur les haut-parleurs intelligents selon lesquelles il faudrait obtenir le consentement pour que l'information soit stockée. Êtes-vous d'accord sur ces règles?

(0905)

M. Mark Ryland:

Nous croyons que l'expérience des utilisateurs devrait être très fluide et claire, et que les attentes des gens devraient être très raisonnablement satisfaites. Par exemple, dans le cas du dispositif Echo, on utilise une application mobile pour configurer son appareil, et les règles de confidentialité sont très claires.

M. Nathaniel Erskine-Smith:

Y a-t-il consentement explicite pour enregistrer ces conversations?

M. Mark Ryland:

Il ne s'agit pas d'un consentement explicite, mais il indique clairement les enregistrements et vous en donne le plein contrôle. Il donne une liste complète des enregistrements et la capacité de supprimer un enregistrement en particulier, ou tous les enregistrements. Il s'agit d'une interface utilisateur très explicite et claire.

M. Nathaniel Erskine-Smith:

Si le RGPD était en vigueur, il faudrait un consentement explicite.

M. Mark Ryland:

Peut-être. Il peut y avoir des décisions juridiques que nous... Cela fait partie du problème. Beaucoup de détails ne seront pas clairs tant qu'il n'y aura pas plus de décisions des pouvoirs réglementaires ou des tribunaux sur la signification exacte de certains des principes généraux.

M. Nathaniel Erskine-Smith:

Le représentant d'Apple pourrait-il dire si sa société pratique le pistage en ligne?

M. Erik Neuenschwander:

Nous n'avons pas le genre de destinations sur Internet où se fait ce genre de pistage. Bien sûr, notre magasin en ligne, par exemple, entretient une relation directe de première partie avec les utilisateurs qui le visitent.

M. Nathaniel Erskine-Smith:

Il est probablement raisonnable de s'attendre à ce que, lorsque je me rends sur le site d'Apple, cette société veuille communiquer avec moi par la suite, mais si je me rends sur d'autres sites non connexes sur Internet, Apple ne pratiquerait aucun pistage.

M. Erik Neuenschwander:

Non, Apple ne le fait pas. En réalité, notre système intelligent de prévention du pistage est activé par défaut dans notre navigateur Web Safari. Si Apple essayait de faire du pistage, le système de prévention chercherait à l'en empêcher.

M. Nathaniel Erskine-Smith:

Je m'adresse à Microsoft et à Amazon. Faites-vous comme Apple ou faites-vous du pistage en ligne sur de nombreux sites Internet?

M. Mark Ryland:

Nous sommes engagés dans l'écosystème du Web et nous avons la capacité de comprendre d'où viennent les utilisateurs et où ils vont lorsqu'ils quittent notre site.

Encore une fois, notre principal modèle d'affaires consiste à vendre des produits à des clients. Le pistage n'est pas pour nous un moyen de recueillir de l'argent pour l'entreprise.

M. Nathaniel Erskine-Smith:

Était-ce un oui au pistage en ligne, de façon assez générale?

M. Mark Ryland:

Nous participons à l'écosystème de la publicité. Alors c'est oui.

M. Nathaniel Erskine-Smith:

C'est ainsi que j'interprète votre réponse.

Les représentants de Microsoft ont-ils quelque chose à dire?

M. John Weigelt:

Nous avons nos propriétés particulières, comme les autres groupes. Nous avons le magasin Microsoft et les propriétés de MSN. Nous sommes donc en mesure de trouver l'origine de nos clients.

M. Nathaniel Erskine-Smith:

Si je pose la question, c'est qu'hier, un témoin nous a dit que le consentement, parfois, n'était pas suffisant, et je comprends que, dans certains cas, ce soit vrai. Comme je suis raisonnablement occupé, on ne peut pas s'attendre à ce que je lise chaque entente sur les modalités. On ne peut pas s'attendre à ce que je lise tout. S'il y a des consentements secondaires dans chaque application que j'utilise et que je dois donner 10 consentements différents, vais-je vraiment pouvoir protéger mes renseignements personnels? Nous ne devrions pas nous attendre à cela des consommateurs, et c'est pourquoi nous avons une loi sur la protection des consommateurs et des garanties implicites dans d'autres contextes.

Hier, Roger McNamee a laissé entendre que certaines choses devraient être strictement exclues. J'ai dit à Google qu'il ne devrait peut-être pas être en mesure de lire mes courriels et de me cibler en fonction de publicités — cela devrait être exclu. Pensez-vous, chez Apple, que certaines choses devraient tout simplement être exclues?

M. Erik Neuenschwander:

Oui, lorsque nous... Notre service iCloud est un lieu où les utilisateurs peuvent stocker leurs photos ou leurs documents chez Apple, et nous n'exploitons pas ce contenu pour créer des profils de nos utilisateurs. Nous considérons qu'il s'agit des données de l'utilisateur. Nous les stockons grâce à notre service, mais elles demeurent la propriété de l'utilisateur.

M. Nathaniel Erskine-Smith:

Même question pour Microsoft et Amazon: pensez-vous que la collecte de certaines données devrait être complètement exclue?

M. John Weigelt:

L'une des choses qui nous tiennent à coeur, c'est que les utilisateurs puissent savoir quelles données ils ont communiquées à certaines organisations. Nous avons travaillé en étroite collaboration — je l'ai fait personnellement — avec les commissaires à l'information et à la protection de la vie privée de tout le Canada. Nous avons discuté du consentement et du sens à donner à ce terme. Lorsque nous avons mis en place des outils comme Cortana, par exemple, nous avons travaillé avec le Commissariat à la protection de la vie privée du Canada pour arriver à comprendre laquelle des 12 étapes du consentement pour les consommateurs était particulièrement importante.

M. Nathaniel Erskine-Smith:

Mais je propose que, au-delà de la question du consentement, certains éléments soient exclus d'emblée. Par exemple, mes photos personnelles sur mon téléphone. Devrait-on pouvoir les numériser, après quoi je recevrais des annonces ciblées?

M. John Weigelt:

Soyons clairs: nous ne numérisons pas cette information...

M. Nathaniel Erskine-Smith:

Eh bien, je sais que vous ne le faites pas...

M. John Weigelt:

... mais nous fournissons...

M. Nathaniel Erskine-Smith:

... mais certaines choses devraient-elles être exclues? Voilà où je veux en venir.

M. John Weigelt:

... une certaine visibilité pour les clients afin qu'ils comprennent où leurs données sont utilisées et qu'ils en aient le plein contrôle.

Notre tableau de bord sur la protection des renseignements personnels, par exemple, permet de voir quelles données se trouvent dans l'environnement Microsoft, puis l'utilisateur peut contrôler ces données et être en mesure de mieux gérer la situation. Il s'agit d'avoir cette interaction avec les utilisateurs pour qu'ils comprennent la proposition de valeur de cette capacité de communiquer des données.

M. Nathaniel Erskine-Smith:

Les représentants d'Amazon sont-ils d'avis qu'il faudrait exclure certaines choses?

M. Mark Ryland:

Je ne pense pas qu'on puisse dire, a priori, que certaines choses sont toujours inacceptables, parce que, encore une fois, l'expérience client est essentielle, et si les gens veulent une meilleure expérience client fondée sur les données qu'ils communiquent... Le consentement, évidemment, et le contrôle sont essentiels.

M. Nathaniel Erskine-Smith:

Prenons le cas des enfants de moins de 18 ans, par exemple. Nous ne devrions peut-être pas être en mesure de recueillir des renseignements sur les jeunes de moins de 18 ans, de moins de 16 ans ou de moins de 13 ans.

Les enfants, disons. Faudrait-il exclure les données qui les concernent?

(0910)

M. Mark Ryland:

Nous allons nous conformer à toutes les lois des pays où nous menons nos activités, si...

M. Nathaniel Erskine-Smith:

Êtes-vous en train de dire que vous n'avez pas d'opinion éthique sur la collecte de renseignements auprès des enfants?

M. Mark Ryland:

Nous sommes certainement d'avis que les parents devraient être responsables de l'expérience en ligne des enfants, et nous donnons aux parents le plein contrôle de cette expérience dans nos systèmes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Il est tellement difficile de dire oui.

Le président:

Nous passons maintenant à M. Kent, qui aura cinq minutes.

L'hon. Peter Kent (Thornhill, PCC):

Merci, monsieur le président.

Je remercie tous nos témoins qui comparaissent aujourd'hui.

Ma première question s'adresse à M. Ryland, d'Amazon.

En septembre dernier, le vice-président et avocat général associé d'Amazon, M. DeVore, témoignant devant un comité du Sénat américain, a critiqué vivement, je crois que le mot est juste, la loi sur la protection des consommateurs qui avait été adoptée en Californie.

Parmi les nouveaux droits reconnus aux consommateurs dans cette loi auxquels il s'est opposé, il y avait le droit des utilisateurs de connaître toutes les données commerciales recueillies à leur sujet et le droit de s'opposer à la vente de ces données. La loi institue, en Californie, le droit d'interdire la vente de ces données à des tiers. Il a dit que la loi avait été adoptée trop rapidement et que la définition de renseignements personnels était trop large.

Je me demande si vous pourriez nous aider aujourd'hui en nous disant comment Amazon définit les renseignements personnels à protéger.

M. Mark Ryland:

Tout d'abord, permettez-moi de dire que je travaille aux services Web d'Amazon dans le domaine de la sécurité et de la protection des données sur notre plateforme infonuagique. Je ne connais pas à fond l'ensemble de nos politiques de protection des renseignements personnels.

Toutefois, je dirai que certains éléments des données sur les consommateurs sont utilisés dans les secteurs de base de l'entreprise. Par exemple, si nous vendons un produit à un client, nous devons en faire un certain suivi à des fins fiscales et juridiques, de sorte qu'il est impossible de dire qu'un consommateur a un contrôle total sur certaines choses. Il y a d'autres raisons juridiques, par exemple, pour lesquelles les données doivent parfois être conservées.

L'hon. Peter Kent:

Des utilisateurs vous ont-ils demandé de l'information sur les données qui ont été recueillies à leur sujet et si elles avaient été vendues?

M. Mark Ryland:

Oui, assurément.

Tout d'abord, je tiens à dire qu'Amazon ne vend pas de données sur ses clients. Point à la ligne.

Deuxièmement, nous avons une page de renseignements personnels protégés où l'utilisateur peut voir toutes les données le concernant que nous avons accumulées: l'historique de ses commandes, ses commandes numériques, ses commandes de livres, etc. Nous avons une page similaire pour notre service Alexa Voice. Tout cela permet aux utilisateurs de contrôler et de comprendre les données que nous utilisons.

L'hon. Peter Kent:

Ainsi, malgré les critiques de M. DeVore, Amazon se conforme à la loi californienne, et je suppose qu'elle se conformerait à toute autre loi semblable adoptée ailleurs dans le monde.

M. Mark Ryland:

Nous nous conformerons toujours aux lois qui s'appliquent à nous partout où nous faisons des affaires. Certainement.

L'hon. Peter Kent:

Merci.

J'aimerais maintenant poser une question à M. Davidson au sujet de Mozilla.

Je sais que Mozilla, avec toutes ses bonnes pratiques et son mandat d'intérêt public sans but lucratif, travaille avec Google et avec Bing. Je me demande simplement quels genres de pare-feu vous établissez pour empêcher l'accumulation de données sur les utilisateurs par ces deux entreprises qui, autrement, les recueilleraient et les monétiseraient.

M. Alan Davidson:

Voilà une excellente question. Chez nous, c'est assez simple. Nous ne leur envoyons tout simplement pas de données au-delà de ce qu'ils obtiendraient normalement d'un visiteur qui se rend sur leur site Web, l'adresse IP, par exemple.

Nous avons pour pratique de ne pas recueillir de renseignements. Si, à partir de Firefox, vous faites une recherche sur Bing ou Google, nous n'en gardons aucune trace, nous ne conservons rien et nous ne transmettons rien de spécial. Cela nous a permis de nous distancer, honnêtement, et nous n'avons aucun incitatif financier à recueillir cette information.

L'hon. Peter Kent:

J'ai une question pour M. Neuenschwander.

En septembre dernier, on a appris que l'application Mac Adware Doctor, qui était censée protéger les utilisateurs d'Apple contre les menaces à la protection de la vie privée, enregistrait en fait les données de ces utilisateurs et les transmettait à un serveur en Chine. Apple y a mis fin depuis, mais je voudrais savoir combien de temps a duré cette exposition. Avez-vous déterminé qui exactement exploitait ce serveur en Chine?

M. Erik Neuenschwander:

Je me souviens de cet événement et des mesures prises par l'équipe de l'App Store. Je ne peux pas, de mémoire, vous dire exactement quelle a été la durée de l'exposition. Je me ferai un devoir de vérifier cette information et de vous revenir là-dessus.

(0915)

L'hon. Peter Kent:

Vous ne connaissez pas la durée de l'exposition…

M. Erik Neuenschwander:

Sur le moment, je ne pourrais pas le dire exactement.

L'hon. Peter Kent:

Je crois savoir que c'était une application Mac très populaire. Dans quelle mesure examinez-vous rigoureusement ces applications, dans la ruée capitaliste, bien compréhensible, pour monétiser ces nouvelles merveilles?

M. Erik Neuenschwander:

Pour les applications gratuites en magasin, il n'y a pas de monétisation pour Apple dans l'App Store.

Depuis que nous avons lancé l'App Store, nous effectuons un examen manuel et, ces dernières années, un examen automatisé de chaque application proposée au magasin, puis de chaque mise à jour de ces applications. Elles sont soumises à l'examen d'une équipe d'experts spécialisés de l'App Store.

Il y a une limite que nous ne dépassons pas. Nous ne surveillons pas l'utilisation des applications par nos utilisateurs. Une fois l'application installée sur l'appareil d'un utilisateur, nous nous interdisons, par respect pour la vie privée de l'utilisateur, de surveiller le trafic réseau ou les données qu'il envoie. Cela nous semblerait inconvenant.

Nous continuons d'investir du côté de l'App Store pour tâcher d'avoir un examen aussi rigoureux que possible. À mesure que les applications et leurs fonctionnalités changent, nous continuons de renforcer notre examen pour saisir les fonctionnalités qui ne répondent pas à nos politiques de confidentialité dans les magasins.

L'hon. Peter Kent:

J'ai une question pour les représentants de Microsoft, Mme Floyd en particulier. En 2013, la Commission européenne a imposé à Microsoft une amende d'environ 561 millions d'euros pour non-respect des engagements relatifs au choix de navigateur. Il ne semble pas y avoir eu de violation depuis. Tire-t-on des leçons d'amendes aussi lourdes? On nous dit que les amendes, même s'élevant à des centaines de millions de dollars ou d'euros — même celles dépassant le milliard de dollars —, ne découragent pas les grandes entreprises numériques. Je m'interroge sur l'utilité de fortes sanctions pécuniaires, qui n'existent pas actuellement au Canada, comme moyen pour assurer la conformité, ou pour inciter à la conformité.

M. John Weigelt:

Comme nous l'avons dit, la confiance est le fondement de notre entreprise. Chaque fois qu'il y a un jugement prononcé contre notre entreprise, nous constatons que la confiance s'érode, et cela se répercute sur toute l'organisation, non seulement du côté des consommateurs, mais aussi au sein de l'entreprise.

Cette amende était lourde. Nous avons donné suite à ce jugement en modifiant la façon dont nous offrons nos produits sur le marché, en donnant aux consommateurs le choix d'acheter des produits sans navigateur intégré.

Lorsque nous examinons le pouvoir de rendre des ordonnances, ici au Canada ou ailleurs, nous devons conclure qu'un jugement défavorable aura une incidence beaucoup plus grande sur l'entreprise que certaines de ces sanctions pécuniaires.

L'hon. Peter Kent:

Pensez-vous que le gouvernement canadien devrait renforcer ses règlements et ses sanctions en cas de non-respect des règles de protection de la vie privée?

M. John Weigelt:

J'encouragerais le gouvernement canadien à se faire entendre sur la façon dont les technologies sont mises en place dans le contexte canadien. Nous avons des gens sur place qui sont là pour l'entendre et modifier en conséquence la façon dont nous offrons nos services.

L'hon. Peter Kent:

Merci.

Le président:

Allez-y, monsieur Angus. Vous avez cinq minutes.

M. Charlie Angus (Timmins—Baie James, NPD):

Merci, monsieur le président.

Je parlais à un ami chez Apple de l'achat, en 1984, de mon premier Mac Plus, muni d'une disquette de 350 kilobits, que je voyais comme un outil révolutionnaire qui allait changer le monde pour le mieux. Je continue de croire que le monde a changé pour le mieux, mais nous constatons aussi des dérapages vraiment regrettables.

Maintenant que j'ai moi-même pris de l'âge, je peux prendre du recul et m'imaginer ce qui se serait passé si, dans les années 1980, Bell avait écouté mes conversations téléphoniques. Des accusations auraient été portées, même si Bell se justifiait en disant: « Nous écoutons vos conversations simplement parce que nous voulons vous offrir des trucs vraiment astucieux et nous pourrons mieux vous servir si nous savons ce que vous faites. » Que se passerait-il si le bureau de poste lisait mon courrier avant de me le livrer, non dans un but illicite, mais pour me mettre au courant de choses très intéressantes que je devrais connaître et pour me proposer son aide? Des accusations seraient certainement portées.

Pourtant, dans le monde numérique, nous avons maintenant affaire à des entreprises qui nous offrent toutes sortes de possibilités alléchantes. C'est sur ce point que mon collègue, M. Erskine-Smith, essayait d'obtenir des réponses claires.

Je pense que, en tant que parlementaires, nous allons vraiment au-delà de cette discussion sur le consentement. Le consentement n'a plus aucun sens si on nous espionne, si on nous surveille et si notre téléphone sert à nous pister. Le consentement est en train de devenir un terme trompeur parce qu'il s'agit de récupérer un espace dans nos vies que nous n'avons pas cédé. Si nous suivions les anciennes règles, il ne serait pas possible d'écouter nos conversations téléphoniques et de nous pister en ligne au mépris de nos droits, mais c'est tout à coup devenu acceptable dans le monde numérique.

Monsieur Davidson, je m'intéresse beaucoup au travail que fait Mozilla.

Pensez-vous qu'il soit possible pour les parlementaires d'établir des règles de base raisonnées pour protéger le droit à la vie privée des citoyens, des règles qui n'entraîneront pas la ruine complète des gens de Silicon Valley, n'en feront pas tous des assistés sociaux, et qui permettront au modèle d'affaires de réussir? Est-il possible d'établir des règles simples?

(0920)

M. Alan Davidson:

Oui.

Je peux en dire plus.

M. Charlie Angus:

Allez-y.

M. Alan Davidson:

Je pense que c'est effectivement…

M. Charlie Angus:

J'adore ça quand on est d'accord avec moi.

M. Alan Davidson:

Nous cherchions des feux verts.

Vous connaissez déjà certains exemples. Nous croyons fermement qu'il est possible d'établir de bonnes entreprises rentables tout en respectant la vie privée des gens. Vous avez pris connaissance de quelques exemples aujourd'hui, dont certains de notre part. Il existe des exemples de bonnes lois, y compris le RGPD.

Il y a des choses qui dépassent probablement toutes les bornes, pour lesquelles nous avons besoin d'interdictions claires ou de mesures de sécurité très rigoureuses. À mon avis, il ne faut pas rejeter complètement l'idée du consentement. Ce qu'il nous faut, c'est un consentement plus précis parce que je pense que les gens ne comprennent pas vraiment…

M. Charlie Angus:

Le consentement explicite.

M. Alan Davidson:

... le consentement explicite.

Il y a toutes sortes de façons de l'encadrer, mais il y a une forme plus parcellaire de consentement explicite. C'est qu'il y aura des moments où des gens voudront profiter d'applications sur la santé ou faire connaître à des proches et à leur famille où ils se trouvent. Ils devraient pouvoir le faire, mais ils devraient vraiment comprendre ce que cela implique.

Nous croyons qu'il demeure possible de créer des entreprises qui le permettraient.

M. Charlie Angus:

Merci.

Certaines des préoccupations sur lesquelles nous nous sommes penchés concernent l'intelligence artificielle. Il s'agit de l'arsenalisation des médias numériques. L'intelligence artificielle pourrait jouer un rôle très positif ou très négatif.

Monsieur Ryland, Amazon a certainement fait beaucoup de progrès en matière d'intelligence artificielle. Cependant, elle a également été qualifiée d'entreprise novatrice du XXIe siècle, mais dont les pratiques de travail appartiennent au XIXe siècle.

Au sujet des allégations selon lesquelles les travailleurs faisaient l'objet d'une surveillance, pouvant mener jusqu'à leur congédiement, au moyen d'un pistage par intelligence artificielle, est-ce bien la politique d'Amazon?

M. Mark Ryland:

Notre politique est certainement de respecter la dignité de notre main-d’œuvre et de traiter tout le monde comme il se doit.

Je ne connais pas les détails de cette allégation, mais je me ferai un devoir de vous fournir de plus amples renseignements.

M. Charlie Angus:

C'était dans un article retentissant sur Amazon. On y lisait que les travailleurs étaient surveillés, jusqu'à la seconde près, par des moyens d'intelligence artificielle et que ceux qui étaient trop lents étaient congédiés.

Je suis peut-être de la vieille école, mais je pense que ce serait illégal en vertu des lois du travail de notre pays. C'est apparemment la façon dont l'intelligence artificielle est utilisée dans les centres de traitement. À mon avis, c'est une utilisation très problématique de l'intelligence artificielle. N'êtes-vous pas au courant de cela?

M. Mark Ryland:

Je ne suis pas au courant, et je suis presque certain qu'il y aurait un examen humain de toute décision de congédiement. Il est impossible de prendre une telle décision sans au moins un examen humain des types d'algorithmes d'apprentissage machine.

M. Charlie Angus:

C'était un article assez accablant, et le sujet a été repris par de nombreux journaux étrangers.

Pourriez-vous faire un suivi de cette question et transmettre une réponse au Comité?

M. Mark Ryland:

Je me ferai un plaisir d'y donner suite.

M. Charlie Angus:

Je ne cherche pas à vous mettre sur la sellette, mais je voudrais avoir une réponse à ce sujet. Je pense que nous aimerions certainement pouvoir nous faire une idée de l'optique dans laquelle Amazon utilise l'intelligence artificielle pour faire la surveillance des travailleurs dans les centres de traitement. Si vous pouviez faire parvenir cela au Comité, ce serait très utile.

M. Mark Ryland:

Je ne manquerai pas de le faire.

Le président:

Merci, monsieur Angus.

Nous passons maintenant à nos délégations.

Nous allons commencer par celle de Singapour.

Allez-y, vous avez cinq minutes.

Mme Sun Xueling (secrétaire parlementaire principale, Ministère des affaires intérieures et Ministère du développement national, Parlement de Singapour):

Merci, monsieur le président.

J'ai quelques questions à poser à M. Davidson.

J'ai lu avec intérêt le Manifeste Mozilla. Je suppose que j'avais un peu de temps libre. Je pense qu'il y a 10 principes dans votre manifeste. Je m'arrête en particulier sur le principe 9, qui est formulé comme suit: « L'investissement commercial dans le développement d'Internet apporte de nombreux bénéfices; un équilibre entre les bénéfices commerciaux et l'intérêt public est crucial. »

C'est textuellement ce que dit le principe 9.

Seriez-vous d'accord, alors, pour dire que les entreprises de technologie, même si elles ont un objectif de croissance et de rentabilité, ne devraient pas abdiquer leur responsabilité d'empêcher l'utilisation abusive de leurs plateformes?

M. Alan Davidson:

Nous sommes tout à fait d'accord avec cela. Je dirais que le manifeste, pour ceux qui ne l'ont pas lu, constitue en quelque sorte nos principes directeurs. Il a été rédigé il y a une quinzaine d'années. Nous venons tout juste de le mettre à jour en y apportant un ensemble d'ajouts pour répondre à la situation d'aujourd'hui.

Nous croyons effectivement que cet équilibre est vraiment important. Pour ma part, je pense que les entreprises doivent réfléchir aux conséquences de ce qu'elles construisent. Je pense aussi que le gouvernement doit baliser tout cela parce que, nous l'avons vu, ce ne sont pas toutes les entreprises qui vont le faire. Certaines ont besoin d'être guidées.

Mme Sun Xueling:

De plus, il me semble que le Bulletin de santé d'Internet a été publié par la Fondation Mozilla, et j'aimerais remercier votre organisme, qui est sans but lucratif et qui travaille dans l'intérêt public. Je pense que votre bulletin a traité du scandale impliquant Cambridge Analytica et a fait remarquer qu'il était un symptôme d'un problème systémique beaucoup plus vaste, que, de nos jours, le modèle d'affaires dominant et les activités courantes du monde numérique sont, en fait, fondés sur la collecte et la vente de données au sujet des utilisateurs.

Seriez-vous alors d'accord pour dire que le scandale impliquant Cambridge Analytica illustre en quelque sorte une attitude mentale qui priorise la quête du gain et de la croissance de l'entreprise au détriment de sa responsabilité civique?

(0925)

M. Alan Davidson:

Oui, mais nous gardons espoir qu'il s'agit de cas isolés. Je dirais simplement que ce ne sont pas toutes les entreprises qui fonctionnent de cette façon. Il y a, je crois, des entreprises qui tâchent de faire ce qu'il faut pour servir l'utilisateur, qui tentent de faire passer leurs utilisateurs en premier, et non uniquement à des fins altruistes. Je pense que c'est plutôt parce que nous sommes nombreux à croire que c'est dans l'intérêt de l'entreprise et que, sur le long terme, le marché récompensera les entreprises qui accordent la priorité aux utilisateurs.

Mme Sun Xueling:

Nous avons entendu des témoignages hier également. Je pense que bon nombre des membres du grand comité ont parlé avec des entreprises qui avaient fait état d'exemples concernant le Sri Lanka ou Nancy Pelosi. Il m'a semblé qu'il s'agissait davantage de diffuser de l'information, d'assurer la liberté d'extension de l'information, plutôt que de protéger réellement la liberté d'expression, puisqu'il qu'il n'y a pas de véritable liberté d'expression si elle est fondée sur une information fausse ou trompeuse.

Même si nous aimons croire que le scandale impliquant Cambridge Analytica est un cas unique, ce qui nous préoccupe, je pense, c'est que les modèles d'affaires existants de ces entreprises ne semblent pas devoir nous assurer que la responsabilité civique est perçue sous le même jour que la marge bénéficiaire des entreprises. Je pense que c'est à cela que je voulais en venir.

M. Alan Davidson:

Étant dans ce domaine depuis longtemps, je peux dire qu'il est vraiment désolant de voir certains de ces comportements en ligne. Je pense que c'est en partie à cause de l'évolution des modèles d'affaires, surtout ceux qui font de l'engagement la mesure prépondérante. Nous espérons que les entreprises feront plus et mieux.

Il y a un risque à une trop grande intervention gouvernementale dans ce domaine, du fait que nous tenons à respecter la liberté d'expression. Lorsque les gouvernements font des choix tranchés sur ce qui est vrai et ce qui est faux dans l'information diffusée en ligne, il y a beaucoup de risques. Je pense qu'il faut trouver un juste équilibre. Pour commencer, il me semble qu'il faudrait utiliser notre tribune exceptionnelle pour vraiment pousser les entreprises à faire mieux. C'est le bon point de départ. Espérons qu'il aura des suites utiles.

Mme Sun Xueling:

Oui. Merci.

Le président:

Nous allons maintenant passer à la délégation irlandaise et à Mme Naughton.

Mme Hildegarde Naughton (présidente, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Je vous remercie, monsieur le président. Merci à tous d'être venus ce matin.

Ma première question s'adresse au porte-parole d'Amazon. En novembre dernier, le vendredi noir, je crois savoir qu'il y a eu des problèmes techniques. Beaucoup de noms et de courriels de clients ont paru sur votre site Web. Est-ce exact?

M. Mark Ryland:

Non, ce n'est pas exact.

Mme Hildegarde Naughton:

Non? D'accord. Je croyais qu'il y avait eu des reportages à ce sujet. Y a-t-il eu des problèmes techniques en novembre dernier?

M. Mark Ryland:

Cela ne me dit rien du tout, mais je me ferai un plaisir de vérifier. Non, je ne suis pas au courant.

Mme Hildegarde Naughton:

En ce qui concerne le RGPD et la protection des données, d'après ce que mes collègues vous ont demandé tout à l'heure, vous dites que vous seriez en faveur d'une forme quelconque de RGPD à l'échelle mondiale.

M. Mark Ryland:

Encore une fois, nous croyons que les principes de la confiance des consommateurs — accorder la priorité aux clients, leur donner le contrôle de leurs données, obtenir leur consentement à l'utilisation des données — ont du sens. Les moyens précis de le faire, la tenue de dossiers et la charge administrative que cela suppose semblent parfois l'emporter sur les avantages pour les consommateurs, alors nous pensons vraiment que nous devons travailler en collectivité pour trouver un juste équilibre qui ne soit pas trop onéreux.

Par exemple, une grande entreprise comme la nôtre serait capable de se conformer à un règlement très coûteux à appliquer, mais pas nécessairement une petite entreprise. Nous devons trouver des moyens d'appliquer ces principes de façon efficace, relativement simple et directe.

Bien sûr, nous appuyons les principes qui sous-tendent le RGPD. Nous pensons que la loi comme telle n'est pas encore tout à fait au point, en ce sens que nous ne savons pas exactement comment certaines dispositions seront interprétées une fois rendues au niveau réglementaire ou judiciaire — ce qu'on entend au juste par diligence raisonnable, par exemple, de la part d'une entreprise.

Mme Hildegarde Naughton:

D'accord, alors êtes-vous ouvert à cela, ou peut-être à une version différente à travers le monde?

M. Mark Ryland:

Oui.

Mme Hildegarde Naughton:

Comme vous le savez, dans le RGPD tel qu'il s'applique actuellement, il y a de ces obstacles pour certaines entreprises, mais on les a aplanis dans l'ensemble de l'Union européenne.

M. Mark Ryland:

Oui.

Mme Hildegarde Naughton:

Je suppose que vous attendez de voir la suite des choses...

M. Mark Ryland:

Nous pensons qu'il y aura beaucoup de bonnes leçons à tirer de cette expérience. Nous pourrons faire mieux à l'avenir, que ce soit en Europe ou ailleurs, mais encore une fois, les principes ont du sens.

(0930)

Mme Hildegarde Naughton:

D'accord.

Ma question s'adresse à Microsoft. Plus tôt cette année, je crois savoir qu'un pirate a compromis le compte d'un agent de soutien de Microsoft. Est-ce exact?

M. John Weigelt:

C'est exact. Il y a eu divulgation de justificatifs d'identité.

Mme Hildegarde Naughton:

Microsoft disait alors qu'il se pouvait que le pirate ait eu accès au contenu de certains utilisateurs d'Outlook. Est-ce que cela est vraiment arrivé? A-t-il pu accéder au contenu d'utilisateurs de Microsoft?

M. John Weigelt:

Cet accès du côté du soutien leur en donnait la possibilité, oui.

Mme Hildegarde Naughton:

Comment un pirate a-t-il pu, je suppose, déjouer votre propre sécurité ou votre dispositif de sécurité des données?

M. John Weigelt:

Tout cet environnement repose sur un modèle de confiance de bout en bout, alors il suffit de trouver le maillon le plus faible dans la chaîne. Dans ce cas-ci, malheureusement, l'employé de soutien avait un mot de passe que les pirates pouvaient deviner pour entrer dans ce système.

Mme Hildegarde Naughton:

Qu'avez-vous fait pour que cela ne se reproduise plus? Cela me paraît être une atteinte fondamentale à la sécurité des données de vos utilisateurs.

M. John Weigelt:

Tout à fait. Chaque fois qu'il se produit un incident dans notre environnement, nous réunissons notre équipe d'intervention de sécurité avec nos techniciens pour voir comment nous améliorer. Nous avons examiné ce qui s'était passé et nous nous sommes assurés de pouvoir mettre en place des protections comme le contrôle multifactoriel, qui exige deux choses pour se connecter: quelque chose que vous savez, quelque chose que vous avez. Nous avons envisagé des choses comme le contrôle à deux personnes et des outils de ce genre, afin de nous assurer de préserver la confiance de nos clients.

Mme Hildegarde Naughton:

Nous savons que vous avez apporté ces changements. Avez-vous eu un rapport? Avez-vous fait un rapport sur le nombre d'utilisateurs dont les renseignements ou le contenu ont été compromis?

M. John Weigelt:

Il faudrait que nous revenions devant le Comité pour en discuter. Je ne suis pas au courant de ce rapport. Je n'avais pas moi-même cherché à savoir.

Mme Hildegarde Naughton:

D'accord.

En ce qui concerne les mesures prises par la suite... Là encore, il s'agit de la confiance des utilisateurs en ligne et de ce que votre entreprise a fait. Pourriez-vous nous revenir à ce sujet?

M. John Weigelt:

Absolument.

Mme Hildegarde Naughton:

Merci.

Le vice-président (M. Nathaniel Erskine-Smith (Beaches—East York, Lib.)):

Il vous reste une minute.

M. James Lawless (membre, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Merci, monsieur le président.

Je m'adresse d'abord à Amazon. Est-ce qu'Alexa nous écoute? Je suppose que oui. Que fait-elle de cette information?

M. Mark Ryland:

Alexa est à l'affût d'un mot-clé, le mot qui l'active, qui avertit le système que vous voulez interagir avec lui d'une façon ou d'une autre. Cette information n'est pas stockée localement. Rien n'est stocké localement sur l'appareil. Une fois que le mot-clé est reconnu, il suit le flux de données. Un témoin lumineux vous indique que l'appareil est maintenant actif, et le son suivant qui se produit dans la pièce est alors envoyé dans le nuage.

La première chose que fait le nuage, c'est de revérifier le mot-clé. Souvent, le logiciel de l'appareil n'est pas évolué, alors il fait parfois des erreurs. Si le nuage reconnaît que ce n'était pas un mot-clé, il interrompt le flux. Par contre, si le nuage confirme que le mot-clé a été prononcé, le flux est ensuite acheminé par un système de traitement du langage naturel, qui produit essentiellement un texte. À partir de là, les systèmes prennent le relais pour répondre à la demande de l'utilisateur.

M. James Lawless:

D'accord.

Est-ce qu'Amazon se sert de cette information à des fins de profilage ou de marketing?

M. Mark Ryland:

L'information est versée dans les renseignements sur votre compte, tout comme si vous achetiez des livres sur notre site Web. Elle pourrait donc influencer ce que nous vous présentons comme autres choses susceptibles de vous intéresser.

M. James Lawless:

D'accord.

M. Mark Ryland:

Elle n'est transmise à aucun tiers. Elle ne sert pas à des fins publicitaires et ainsi de suite.

M. James Lawless:

D'accord, mais si vous avez demandé le temps qu'il fait aux Bermudes et que vous allez ensuite sur le site Web d'Amazon, vous pourriez tomber sur un guide de vacances aux Bermudes, n'est-ce pas?

M. Mark Ryland:

C'est théoriquement possible, oui. Je ne sais pas si cet algorithme existe.

M. James Lawless:

Est-ce probable?

M. Mark Ryland:

Je ne sais pas. Il faudrait que je vous revienne là-dessus.

M. James Lawless:

D'accord, mais on utilise tout de même les questions posées, qui sont traitées par Alexa, pour offrir quelque chose à l'utilisateur. On pourrait s'en servir pour lui faire une présentation de marketing intelligent sur la plateforme, non?

M. Mark Ryland:

C'est parce que l'utilisateur lie directement l'appareil à son compte et que tous ses énoncés deviennent visibles. Vous pouvez voir une liste complète de ce que vous avez dit et vous pouvez supprimer n'importe quel énoncé. Il sera aussitôt retiré de la base de données et ne pourra plus servir à vous faire une recommandation.

M. James Lawless:

Est-ce que l'utilisateur consent à cela lorsqu'il s'inscrit? Est-ce que cela fait partie des modalités?

M. Mark Ryland:

Je pense que c'est très clair. Le consentement fait partie de l'expérience. Pour prendre un exemple familier, je n'ai pas explicitement consenti à ce que ma voix et mon image soient enregistrées ici aujourd'hui, mais le contexte me dit que c'est probablement ce qui se passe. Nous croyons que les expériences simples pour le consommateur sont les meilleures. Nous pensons que nos clients comprennent que, si nous accumulons des données à leur sujet, c'est justement pour que le service fonctionne comme il est censé fonctionner...

Le vice-président (M. Nathaniel Erskine-Smith):

Merci.

M. Mark Ryland:

... et nous facilitons vraiment, vraiment, la suppression et le contrôle de ces données.

(0935)

Le vice-président (M. Nathaniel Erskine-Smith):

Merci beaucoup, même si vous comprenez peut-être mieux ce qui se passe aujourd'hui que la plupart des utilisateurs d'Alexa.

M. Charlie Angus:

Excusez-moi, monsieur le président, mais puis-je invoquer le Règlement?

Je veux que ce soit bien clair. Quand on s'adresse à un comité, c'est comme s'adresser à un tribunal. Il ne s'agit pas de savoir si vous consentez à être enregistré ou si vous pensez que vous l'êtes. Il s'agit d'un processus parlementaire prévu par la loi, alors, bien sûr, vous êtes enregistré. Il est ridicule de comparer cela avec Alexa qui vous vend quelque chose à la Barbade, cela mine les fondements de notre Parlement.

Je rappellerais simplement aux témoins que nous sommes ici pour recueillir de l'information au profit de la communauté internationale des législateurs, et que tout est consigné officiellement.

Le vice-président (M. Nathaniel Erskine-Smith):

Merci, monsieur Angus.

Monsieur de Burgh Graham, vous avez cinq minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci. Je vais commencer par Microsoft.

L'écosystème de Microsoft est assez vaste, comme vous le savez. Vous avez la majorité des ordinateurs de bureau du monde, avec Office 365, LinkedIn, Bing, Skype, MSN, Live.com, Hotmail, etc. De toute évidence, vous avez la capacité de recueillir une énorme quantité de données sur un nombre immense de personnes. Pouvez-vous m'assurer qu'il n'y a pas de données personnelles échangées entre ces différentes plateformes?

M. John Weigelt:

Parlez-vous de données échangées entre, disons, un utilisateur de Xbox et un utilisateur d'Office 365? Est-ce là votre question?

M. David de Burgh Graham:

Oui, ou entre LinkedIn et Bing. Pendant nos premiers jours de séance sur cette question, nous avons beaucoup entendu parler de la création d'avatars des utilisateurs de différentes entreprises. Est-ce que Microsoft crée un avatar de ses utilisateurs? Est-ce qu'elle crée une image de qui utilise ses services?

M. John Weigelt:

Si vous avez un compte Microsoft commun, vous pouvez conserver et gérer vos données de l'une à l'autre de ces plateformes. L'équipe de produits de Bing ne ferait pas nécessairement l'aller-retour entre elle et l'équipe de Xbox pour obtenir les données requises. C'est vous qui contrôlez les données qui se trouvent au centre.

M. David de Burgh Graham:

Je voulais savoir s'il y avait un échange de données entre les services. Vous avez votre connexion commune, mais une fois que vous l'avez passée, vous pouvez aller dans différentes bases de données. Les bases de données interagissent-elles?

M. John Weigelt:

Là encore, à travers toutes les différentes plateformes, il faudrait que j'examine chaque scénario particulier pour dire généralement qu'il n'y a pas d'échange de données entre...

M. David de Burgh Graham:

D'accord.

Vous avez récemment acheté GitHub, une entreprise à code source ouvert, ce que j'ai trouvé très intéressant. Pourquoi?

M. John Weigelt:

Nous trouvons que la communauté des partisans du code source ouvert est très dynamique et qu'elle offre un excellent modèle de développement. Ce libre dialogue entre eux, cette discussion libre, va au-delà de la simple conversation sur les logiciels pour englober des projets plus vastes. Nous y avons vu une occasion de collaboration.

Par le passé, vous savez qu'il y avait presque de l'animosité entre nous et les partisans du code source ouvert. Nous avons vraiment adhéré aux concepts du logiciel libre et des données ouvertes pour être en mesure de mieux innover dans le marché.

M. David de Burgh Graham:

Je viens moi-même de cette communauté, alors je peux comprendre ce que vous dites.

J'aimerais m'adresser un instant à Mozilla.

Vous avez parlé de meilleures protections contre le pistage en ligne. Diriez-vous qu'il y a une sorte de course aux armements entre pisteurs et contre-pisteurs?

M. Alan Davidson:

Malheureusement, oui. Nous sommes très lucides en nous apprêtant à construire cet ensemble de protections contre le pistage en ligne. Nous pensons qu'elles offrent une réelle valeur. Et je lève mon chapeau à nos amis d'Apple. Ils font quelque chose de semblable avec Safari qui est vraiment bon.

Les pisteurs vont trouver d'autres façons de déjouer nos protections, et nous allons devoir en construire de nouvelles. Je pense que cela va durer un certain temps, ce qui est malheureux pour les utilisateurs, mais c'est un exemple de ce que nous pouvons faire pour les protéger.

M. David de Burgh Graham:

Compris.

Pour passer à Apple un instant, il y a eu récemment le piratage d'identifiant de capteur qui a été corrigé dans la version 12.2 d'iOS — je ne la connais pas —, qui permettait à n'importe quel site Web dans le monde de suivre n'importe quel iPhone et la plupart des appareils Android en se servant des données de calibrage sensoriel. Vous êtes probablement au courant de cela.

M. Erik Neuenschwander:

Oui, c'est l'affaire du pistage par empreinte numérique.

M. David de Burgh Graham:

Oui, le pistage par empreinte numérique. Pouvez-vous nous en dire davantage à ce sujet, nous dire comment il a été utilisé et si c'est vraiment corrigé maintenant dans iOS 12.2?

M. Erik Neuenschwander:

Je vais commencer par expliquer un peu le contexte. Lorsque nous parlons, disons, de pistage en ligne, il peut y avoir des technologies qui servent expressément à cela, comme les témoins communément appelés cookies. Une des évolutions que nous avons observées est la mise au point de ce que nous appelons une empreinte synthétique. Il s'agit simplement d'un numéro unique qui est synthétisé par un tiers, probablement pour essayer de faire du pistage. On s'en sert aussi dans la lutte anti-fraude et pour d'autres usages, mais chose certaine, cela se prête très bien au pistage en ligne.

Vous avez raison. Certains chercheurs, en examinant les variations dans la fabrication des capteurs, ont déterminé qu'il était possible de synthétiser un de ces identifiants uniques. Le pistage par empreinte numérique, tout comme le contre-pistage, va évoluer continuellement et nous sommes déterminés à rester à l'avant-garde. Quant à savoir comment il a été utilisé, je n'ai aucune donnée indiquant qu'il ait même été utilisé, mais je ne peux pas non plus vous assurer qu'il ne l'a pas été.

Nous avons mis en place des mesures d'atténuation dans notre dernière mise à jour, et les chercheurs ont confirmé qu'elles ont bloqué leur version de l'attaque en ligne, mais je répète que c'est une technique qui continue d'évoluer, alors je pèse soigneusement mes mots « mesures d'atténuation ». À moins de retirer les capteurs de l'appareil, il y aura toujours un risque. Nous allons aussi continuer de travailler pour réduire ce risque et garder le dessus.

(0940)

M. David de Burgh Graham:

Il me reste environ 20 secondes. J'ai une autre question pour Apple.

Sur iOS, lorsque vous passez d'une application à l'autre, une application se met en suspens et l'autre s'ouvre. Lorsque vous revenez à l'application originale, si cela fait plus de quelques secondes, elle recharge les données. Est-ce que cela ne donne pas amplement l'occasion de pister vers n'importe quel site Web que vous consultez, en disant que c'est l'usage de l'appareil? Je trouve curieux de faire cela, au lieu de stocker le contenu que vous utilisez.

M. Erik Neuenschwander:

Je vais diviser cela en deux parties, je crois bien.

Premièrement, lorsque l'application passe à l'avant-plan et qu'elle peut s'exécuter, elle peut recharger le contenu, si elle juge bon de le faire. À ce moment-là, vous lui avez remis les commandes et elle peut s'exécuter et recharger, si vous voulez.

Notre objectif, en fait, est de réduire au minimum ces recharges dans le cadre de l'expérience utilisateur. Nous voulons aussi que l'application qui se trouve à l'avant-plan obtienne, dans un bac à sable, dans un ensemble de limites que nous avons, le maximum des moyens d'exécution et des autres ressources de l'appareil. Cela peut vouloir dire que le système d'exploitation enlève des ressources aux applications qui se trouvent en arrière-plan.

Pour ce qui est du rechargement que vous voyez, iOS, notre système d'exploitation, pourrait y contribuer, mais au fond, peu importe les ressources qu'on préserve pour celle qui se trouve en arrière-plan, lorsque vous retournez à une application, elle a le contrôle de l'exécution et elle peut recharger si elle le juge bon.

M. David de Burgh Graham:

Merci.

Le président:

Merci, monsieur Graham.

Nous passons maintenant à mon coprésident, M. Collins.

Allez-y de vos remarques préliminaires. C'est bon de vous revoir.

M. Damian Collins (président, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci.

Mes excuses, puisque les autres représentants du Royaume-Uni et moi-même n'étions pas ici au début de la séance, mais nous sommes ravis de voir tous les témoins ici présents.

Hier, nous nous sommes concentrés sur certaines plateformes de médias sociaux, mais je pense que notre champ d'intérêt est beaucoup plus vaste et qu'il englobe tout un éventail d'entreprises de technologie.

J'aurais d'abord quelques questions pour Apple.

Lorsque je suis entré, il était question des données recueillies sur la voix. Pourriez-vous me parler un peu du genre de données qu'Apple recueille en ce qui concerne le son capté par ses appareils? Dans le cas des appareils intelligents, est-ce qu'ils captent le son ambiant pour se faire une idée des utilisateurs — peut-être le milieu dans lequel ils se trouvent ou ce qu'ils sont en train de faire lorsqu'ils utilisent l'appareil?

M. Erik Neuenschwander:

Pour ce qui est de l'information sur nos appareils qui supportent Siri, il y a une partie de l'appareil qui est toujours à l'écoute. Sur certains de nos appareils, nous l'avons isolée même d'iOS, même de notre système d'exploitation, dans un coprocesseur dédié, essentiellement une pièce de matériel spécialisée, qui n'enregistre ni ne stocke l'information, mais qui est seulement à l'écoute du mot-clé pour activer notre assistant personnel, alors l'information n'est pas conservée dans l'appareil.

Toujours en réponse à votre question, elle n'est pas non plus versée dans un quelconque profil dérivé pour identifier quelque chose en rapport avec le comportement ou les centres d'intérêt de l'utilisateur. Non.

M. Damian Collins:

Est-ce que l'appareil recueille de l'information sur l'environnement où on se trouve en ce moment? Disons, par exemple, que je suis dans l'autobus pour me rendre au travail. Est-ce qu'il capterait ce genre de bruit ambiant?

M. Erik Neuenschwander:

Elle n'enregistre pas tout. Il y a ce que nous appelons une « période tampon ». Il s'agit essentiellement d'une courte période qui est enregistrée de façon transitoire pour analyser le mot-clé, et qui est ensuite continuellement effacée à mesure que le temps avance. Rien n'est enregistré, sauf les quelques millisecondes éphémères qui permettent d'entendre ce mot-clé.

M. Damian Collins:

L’écoute ne sert qu'à passer une commande à Siri.

M. Erik Neuenschwander:

C’est exact.

M. Damian Collins:

À des fins de développement de produits ou de formation, l’entreprise conserve-t-elle certains de ces renseignements?

M. Erik Neuenschwander:

Encore une fois, l'appareil ne conserve même pas ces renseignements. Comme il écoute de façon passagère, ces renseignements sont continuellement effacés. Lorsque l’utilisateur utilise un mot-clé, un apprentissage automatique se fait sur l'appareil en adaptant le modèle audio à l'interlocuteur pour réduire le nombre de faux positifs ou de faux négatifs de ce mot-clé. Ensuite, si l’utilisateur fait appel à Siri, au moment où Siri est interrogée et où l'on communique avec elle débute l'envoi de données à Apple.

M. Damian Collins:

Quelle est la portée des données ainsi envoyées?

M. Erik Neuenschwander:

La portée des données n'englobe que l’énoncé jusqu’à ce qu’il atteigne un point de terminaison et que Siri estime que l’utilisateur a cessé de parler, ainsi que des renseignements comme le modèle de l'appareil, pour adapter la réponse à l’appareil et un identificateur aléatoire généré par l’appareil, qui est la clé des données détenues par Siri aux fins de vos interactions avec elle. Il s’agit d’un identificateur qui est distinct de votre identificateur Apple et qui n’est associé à aucun autre compte ou service chez Apple.

M. Damian Collins:

Est-ce qu’Apple tient un registre de mes demandes à Siri, de mes commandes?

M. Erik Neuenschwander:

Oui.

(0945)

M. Damian Collins:

Est-ce que l’entreprise utilise ce registre ou est-il seulement utilisé pour faciliter la réponse à mon appareil?

M. Erik Neuenschwander:

Je suppose, en réponse à la deuxième partie de votre question, que cela donne lieu à une certaine forme d'utilisation par l’entreprise. Oui, nous utilisons ces données pour Siri, mais pour Siri seulement.

M. Damian Collins:

Pour comprendre ce que sont les objectifs de Siri, ne s'agit-il que de rendre Siri plus sensible à ma voix...

M. Erik Neuenschwander:

Oui.

M. Damian Collins:

... ou les données sont-elles conservées par l’entreprise pour établir un profil des demandes des utilisateurs? Conservez-vous des profils de métadonnées des gens selon l'utilisation qu'ils font de Siri?

M. Erik Neuenschwander:

Le seul profil de métadonnées que nous avons est celui qui est utilisé pour adapter vos interactions réelles avec Siri. Par exemple, nous formons nos modèles de voix pour qu'ils puissent reconnaître le langage naturel sur le profil sonore. Cela ne sert que pour le volet ou l’expérience Siri. Si vous demandez si les renseignements recueillis permettent d'établir un profil plus large utilisé par l’entreprise pour commercialiser des produits et des services, la réponse est non.

M. Damian Collins:

Monsieur Ryland, est-ce qu’Amazon fait cela?

J’aimerais savoir quelle est la différence entre la façon dont Amazon utilise les données recueillies à partir de la voix et la façon dont Apple les utilise. Récemment, un utilisateur a présenté une demande de données qu’Amazon détenait. Cela comprenait une série d’enregistrements de la parole à domicile que l’entreprise utilisait apparemment à des fins de formation. J’aimerais savoir comment Amazon recueille les données vocales et comment elle les utilise.

M. Mark Ryland:

L’appareil attend aussi un mot-clé. Il ne stocke aucune donnée ambiante. Une fois interpellé, il commence à acheminer des données vers le nuage pour analyser ce que l’utilisateur demande réellement. Ces données sont stockées; tout cela est expliqué dans le profil de l’utilisateur, qui peut voir tous les énoncés. Il peut voir ce qu’Alexa a cru entendre, le texte de l'interprétation qu'en a fait Alexa. Cela lui permet également de comprendre l'origine des problèmes de communication, et ainsi de suite.

L'utilisateur peut supprimer ces données, individuellement ou collectivement. Nous utilisons les données tout comme nous utilisons les données d’autres interactions concernant le compte de l'utilisateur. Cela fait partie du compte de l'utilisateur Amazon. Cela fait partie de la façon dont il interagit avec notre plateforme globale.

M. Damian Collins:

Le représentant d’Apple a dit que l’appareil écoute constamment, mais attend seulement la commande Siri. Il semble que ce soit différent avec Alexa. L’appareil est toujours à l’écoute et il conserve dans le nuage ce qu’il a entendu.

M. Mark Ryland:

Non, c’est plutôt très semblable. Nous conservons les énoncés entendus après le mot-clé, tout comme Siri.

M. Damian Collins:

Je sais d’expérience qu’Alexa répond à des commandes autres que le mot-clé. Il pourrait être déclenché par quelque chose qu’il a entendu dans la salle et qui n’est pas nécessairement le mot-clé.

M. Mark Ryland:

Cela me semble être une défaillance. Alexa n’est pas censée réagir de façon aléatoire aux sons ambiants.

M. Damian Collins:

Roger McNamee, qui est venu témoigner devant nous hier, nous a expliqué comment il avait placé Alexa dans une boîte dès le premier jour parce qu’Alexa avait commencé à interagir avec une publicité d’Amazon qui passait à la télévision. Je pense que la plupart des gens qui ont ces appareils savent que toutes sortes de choses peuvent les déclencher, et pas seulement la commande ou le mot-clé d’Alexa.

M. Mark Ryland:

Eh bien, nous travaillons sans cesse à raffiner la technologie et à nous assurer que le mot-clé constitue la seule façon dont les gens peuvent interagir avec l’appareil.

M. Damian Collins:

Si vous conserviez dans l'appareil les données qu'il entend et les gardiez ensuite dans le nuage — ce qui semble être différent de ce que fait Apple —, vous nous dites que ce ne sont que des données sonores qui sont fondées sur les commandes reçues par Alexa?

M. Mark Ryland:

Oui. Ce ne sont que les données créées en réponse à la tentative de l’utilisateur d’interagir avec Alexa, qui est déclenchée par le mot-clé.

M. Damian Collins:

Est-ce qu’Amazon serait en mesure de répondre à une demande de données ou de renseignements de la police au sujet d’un crime qui a peut-être été commis à l’intérieur du pays en fonction de paroles captées par Alexa?

M. Mark Ryland:

Nous observons évidemment les lois de tous les pays dans lesquels nous opérons. S’il y a une ordonnance exécutoire d’une portée raisonnable et ainsi de suite, nous y donnerons suite comme il se doit.

M. Damian Collins:

Cela donne à penser que vous conservez plus de données que de simples commandes à Alexa.

M. Mark Ryland:

Non, la seule chose à laquelle nous pourrions répondre, c’est l’information que je viens de décrire, c’est-à-dire les réponses qui viennent de l’utilisateur une fois qu’il a interpellé l’appareil. Il n’y a pas de stockage des données ambiantes.

M. Damian Collins:

Vous dites que lorsque quelqu’un interpelle l’appareil, la commande reçue — son dialogue avec Alexa, si vous voulez — est conservée?

M. Mark Ryland:

C’est exact.

M. Damian Collins:

Vous dites qu’à moins que le mot-clé ne soit prononcé, l’appareil n’est pas déclenché et il ne recueille pas de données ambiantes.

M. Mark Ryland:

C’est exact.

M. Damian Collins:

D’accord.

Je m’intéresse au cas des données dont j’ai parlé plus tôt. On semblait craindre que le son ambiant soit conservé et enregistré et que l'entreprise l’utilise à des fins de formation.

M. Mark Ryland:

Non. Quand j'ai parlé de formation, c’est simplement que nous améliorons nos modèles de traitement du langage naturel en utilisant les données que les clients nous donnent dans le cadre de leur interaction avec l’appareil. Ce n’est pas du tout basé sur le son ambiant.

(0950)

M. Damian Collins:

Tous les commandements d’Alexa qui sont déclenchés par le mot-clé sont donc conservés par l’entreprise dans le nuage. Pensez-vous que vos utilisateurs le savent?

M. Mark Ryland:

Je pense que oui. D'après mon expérience de l’utilisation d’un appareil mobile pour configurer l’appareil à la maison, j’ai immédiatement remarqué qu’il y a une icône d’historique, où je peux essentiellement aller prendre connaissance de toutes mes interactions avec le système.

M. Damian Collins:

Je ne me souviens pas d’avoir lu cela nulle part. C’est peut-être en raison du feuillet de l'épaisseur de Guerre et paix, des instructions qui sont rattachées à l’appareil.

Je pense que même si c’est peut-être la même chose que d’utiliser n’importe quelle autre fonction de recherche, le fait est qu’il parlait à un ordinateur, et je ne suis pas sûr que les utilisateurs savent que cette information est stockée indéfiniment. Je ne savais pas que cela se faisait. Je n’avais aucune idée de la façon dont on s’y prendrait pour le savoir. Je suis également un peu intrigué par le fait qu'il est possible, en fait, de voir la transcription de ce que vous avez demandé à Alexa.

M. Mark Ryland:

Oui, c'est exact. C’est dans l’application mobile, sur le site Web et sur la page de confidentialité d’Alexa que vous pouvez voir toutes vos interactions. Vous pouvez voir ce que le système de transcription a cru entendre, et ainsi de suite.

M. Damian Collins:

Je présume que tout cela est regroupé dans un ensemble de données qu’Amazon détient à mon sujet en ce qui concerne mes habitudes d’achat et d’autres choses également.

M. Mark Ryland:

Cela fait partie des données de votre compte.

M. Damian Collins:

Cela représente beaucoup de données.

Le président:

M. Davidson veut répondre.

M. Alan Davidson:

Je voulais simplement dire que je pense que cela met également en évidence le problème dont nous avons parlé au sujet du consentement.

Je suis un fidèle utilisateur d’Amazon Echo. L'entreprise a conçu un outil formidable. Il y a quelques semaines, je suis allé avec ma famille et nous avons vu les données qui étaient stockées, mais je dois dire que c’est...

La protection de la vie privée est un sujet qui me passionne. J’ai lu tout ce que vous recevez, et j’ai été stupéfait, honnêtement, et ma famille a été étonnée de voir ces données enregistrées de nous et de nos jeunes enfants qui remontent à plusieurs années et qui sont stockées dans le nuage. Cela ne veut pas dire que cela a été fait à tort ou illégalement. Je pense que c’est merveilleux de voir ce genre de transparence, mais les utilisateurs n’en ont aucune idée. Je pense que beaucoup d’utilisateurs ne savent tout simplement pas que ces données existent et ne savent pas non plus comment elles seront utilisées à l’avenir.

Comme industrie, nous devons faire un bien meilleur travail pour ce qui est de demander aux gens un consentement plus précis, ou fournir une meilleure information à ce sujet.

Le président:

Oui.

M. Alan Davidson:

Je ne veux pas m’en prendre à Amazon; c’est un produit merveilleux.

Le président:

Nous passons maintenant à M. Gourde.

Je vois beaucoup de mains se lever. Tout le monde aura beaucoup de temps aujourd’hui.

Monsieur Gourde, vous avez cinq minutes. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Ma question va toucher un sujet d'ordre un peu plus technique.

Vous possédez, surtout Amazon et les autres organisations semblables, beaucoup de renseignements et de données personnelles concernant vos clients.

Je suis convaincu que vous faites l'impossible pour sécuriser toutes ces données. Par contre, compte tenu de l'avènement de l'intelligence artificielle, vous avez peut-être eu des offres de service afin de vous aider à prévoir le marché dans l'avenir.

Cela pourrait être très utile — surtout pour Amazon — d'être capable de prévoir, supposons pour l'été prochain, quel article parmi ceux qui ont été commandés pourrait faire l'objet d'un rabais, être mis en solde.

Il y a peut-être des sous-traitants ou des personnes qui vous ont offert des services en ce qui a trait aux nouveaux systèmes d'algorithmes. Au fond, ils vous auraient vendu cela pour vous aider.

Est-ce que ces sous-traitants, si vous y faites appel — bien sûr, vous n'êtes pas obligé de nous le dire —, peuvent garantir que, en utilisant les données détenues par votre entreprise pour offrir ce genre de service, ils ne vont pas vendre ces renseignements personnels à d'autres personnes ou à des organisations plus importantes? Ces dernières seraient très heureuses d'obtenir ces informations, que ce soit pour vendre de la publicité ou à d'autres fins.

Y a-t-il des organisations qui vous offrent ce genre de service? [Traduction]

M. Mark Ryland:

Nous concluons des marchés avec des tiers pour la prestation de certains services et, dans des conditions très prudemment contrôlées, nous partageons des données personnelles.

Par exemple, si nous concluons un marché avec un service de livraison, nous communiquons le nom et l’adresse du client où le colis doit être livré, mais je pense que pour tous ces cas d’apprentissage automatique de base du genre dont vous parlez, tout cela ne concerne que notre entreprise. Nous ne vendons pas l’accès aux données de base aux entreprises avec lesquelles nous traitons aux fins des services que nous offrons. Ce partage de données ne se fait que dans des cas d’utilisation périphérique, et même dans ces cas, nous conservons des droits de vérification et nous contrôlons soigneusement, par l’entremise de contrats et de vérifications, l’utilisation que font nos sous-traitants des données de nos clients que nous partageons avec eux à ces fins très limitées.

(0955)

[Français]

M. Jacques Gourde:

Y a-t-il d'autres organisations qui utilisent des stratégies d'algorithmes pour mousser vos produits? [Traduction]

M. John Weigelt:

Nous appliquons chez Microsoft un très solide modèle de gouvernance des données qui nous permet de reconnaître et de marquer les données et de les protéger comme il se doit. Dans les secteurs où nous avons besoin de sous-traitants, leur nombre demeure très limité.

Il y a beaucoup de décisions à prendre avant que nous choisissions nos sous-traitants, et ils doivent conclure des ententes avec nous pour assurer la confidentialité des données qu’ils sauvegardent. Nous avons des règles strictes concernant la façon dont ils utilisent ces données et les conditions dans lesquelles ils doivent nous les renvoyer. Nous avons un programme très solide de politiques, de procédures et de mesures de sécurité techniques concernant l’utilisation des données par les sous-traitants pour veiller à ce qu’elles ne soient pas utilisées à mauvais escient.

L’intelligence artificielle est un domaine qui nous intéresse au plus haut point, et Satya Nadella, dans son livre intitulé Hit Refresh, a certes établi des principes d’utilisation judicieuse de l’intelligence artificielle afin de responsabiliser les gens. C’est vraiment le premier principe. Nous avons adopté ces principes au sein de notre organisation, en veillant à établir une structure de gouvernance robuste en matière d’intelligence artificielle. Nous avons mis sur pied un comité qui examine l’application de l’IA à l’intérieur et à l’extérieur de l’organisation pour s’assurer que nous l’utilisons de façon responsable.

La mise en place de ces éléments dans l'organisation nous aide à mieux gérer et comprendre la façon dont ces outils sont utilisés et à les mettre en place dans un cadre conforme à l'éthique. Nous sommes très heureux de collaborer avec des gouvernements partout dans le monde, que ce soit l’Union européenne avec ses travaux dans le domaine de l’éthique de l’intelligence artificielle ou les récentes lignes directrices de l’OCDE, ou même ici au Canada avec les travaux du Conseil stratégique des DPI, le CSDPI, sur un cadre déontologique de l’intelligence artificielle, afin que nous puissions aider les gens et d’autres organisations à mieux comprendre certaines de ces techniques, des processus et des modèles de gouvernance responsables qui doivent être mis en place.

M. Erik Neuenschwander:

Je ne sais pas si Apple fait le genre de modélisation dont vous parlez. Au lieu de cela, notre apprentissage automatique a tendance à être basé sur l’intelligence des appareils.

Par exemple, à mesure que le clavier apprend à connaître l’utilisateur, l’appareil lui-même recueille et utilise cette information pour s’entraîner à reconnaître cet utilisateur sans que l’information ne quitte l’appareil. Lorsque nous recueillons des données pour aider à éclairer les modèles communautaires, nous appliquons des critères comme la protection de la vie privée différentielle locale, qui applique la randomisation aux données avant qu’elles quittent l’appareil de l’utilisateur, de sorte que nous ne sommes pas en mesure de revenir en arrière et de relier les données de l’utilisateur et leur contenu à un utilisateur. Pour nous, tout est centré sur l'appareil. [Français]

M. Jacques Gourde:

Monsieur Davidson, voulez-vous ajouter quelque chose? [Traduction]

M. Alan Davidson:

Nous ne déployons aucun de ces systèmes. Dans le cadre de certaines de nos recherches, nous avons également examiné la possibilité de faire des expériences sur des appareils. Je pense que c’est une approche très solide pour protéger la vie privée des gens.

Le président:

Merci, monsieur Gourde.

Nous allons maintenant entendre M. Ian Lucas, du Royaume-Uni.

M. Ian Lucas (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Si je peux revenir à la question de M. Collins, j’ai été intrigué par le téléphone Apple et l’appareil Alexa. Y a-t-il eu des tentatives de piratage de vos systèmes et d’accès à l’information que vous conservez?

M. Erik Neuenschwander:

Les systèmes d’Apple sont constamment attaqués. Je ne sais pas exactement si l'application Siri en soi a été l’objet d’attaques ou non, mais on peut supposer qu'elle l'a été. Cependant, étant donné que les données de Siri ne sont pas associées à l’ensemble du compte Apple, même si nous les considérons comme très sensibles et que nous nous efforçons de les protéger, il serait très difficile pour une personne mal intentionnée de recueillir les données d’un utilisateur individuel à partir du système Siri.

M. Ian Lucas:

A-t-on déjà réussi à pirater le système en ce qui concerne une personne en particulier?

M. Erik Neuenschwander:

Pas à ma connaissance, non.

M. Mark Ryland:

De même, nous protégeons les données des clients avec beaucoup de succès depuis plus de 20 ans. Il s’agit d’un nouveau type de données, de toute évidence d’un type très sensible, mais nous conservons un dossier très positif à cet égard, et rien n’indique qu’il y ait eu quelque violation que ce soit à l’égard des données liées à Alexa.

Le président:

Nous cédons maintenant la parole à M. Lawless, pour cinq minutes.

M. James Lawless:

Merci.

Pour revenir à la sécurité, à la confidentialité des données et au cryptage, je crois qu’Apple a parlé du Key Store sur l’iPhone et l’iPad, et Mozilla, je crois, offre aussi une fonction de type Key Store dans son navigateur.

L’une des difficultés en matière de sécurité, c’est que nos mots de passe, selon moi, sont devenus tellement sûrs que personne ne les retient, sauf les appareils eux-mêmes. Sur le Key Store d'Apple — je crois qu’on l'appelle l’application Key Store —, vous pouvez demander à l'application de générer un mot de passe pour vous, puis lui demander de s’en souvenir pour vous. Vous ne savez pas ce que c’est, mais l’application et l’appareil le savent, et je suppose que cette information est stockée dans le nuage quelque part. Je sais que vous en avez présenté un aperçu au début.

Je suppose que Mozilla a une fonction semblable qui permet de demander à la plateforme de se souvenir du mot de passe pour vous, donc vous avez plusieurs mots de passe, et je pense que Microsoft offre aussi probablement cette fonction dans ses navigateurs. Encore une fois, si vous ouvrez une session dans Mozilla, Edge ou n’importe quel navigateur, vous pouvez remplir automatiquement tous vos champs de mot de passe. Nous nous retrouvons dans une situation comme celle du Seigneur des anneaux, où il n'existe qu'« un anneau pour tous ». Dans nos tentatives pour améliorer la sécurité, nous nous sommes retrouvés avec un seul maillon dans la chaîne, et ce maillon est assez vulnérable.

Peut-être, pourrais-je obtenir des commentaires sur ce problème particulier de toutes les plateformes.

(1000)

M. Erik Neuenschwander:

Je crois que l’application dont vous parlez est l’application Keychain Access sur les appareils Mac et iOS. Dans les « réglages », « mots de passe » et « comptes », vous pouvez voir les mots de passe. Comme vous le dites, ils sont générés automatiquement par la plateforme. La plupart des utilisateurs en font l’expérience grâce à notre navigateur Safari, qui offre une fonction de connexion à Keychain. Comme vous le dites, l'information est stockée dans le nuage.

Elle est sauvegardée dans le nuage et cryptée de bout en bout — je tiens à le préciser — au moyen d'une clé qu’Apple n’a jamais en sa possession. Même si nous plaçons cette information dans le nuage, à la fois pour vous permettre de récupérer les mots de passe et de les synchroniser entre tous les appareils que vous avez connectés à iCloud, nous le faisons d’une manière qui n’expose pas vos mots de passe à Apple.

Vous avez raison de dire que les mots de passe continuent de poser un défi en ce qui concerne la protection des comptes d’utilisateur. On voit beaucoup d’entreprises, notamment Apple, passer à ce qu’on appelle l’authentification à deux facteurs, où le simple mot de passe n’est pas suffisant pour accéder au compte. Nous sommes très favorables à cela. Nous avons pris un certain nombre de mesures au fil des ans pour faire passer nos comptes iCloud à ce niveau de sécurité, et nous estimons que c’est un bon progrès pour l’industrie.

La dernière chose que j'aimerais préciser, c’est que les données des mots de passe sont extrêmement délicates et méritent notre plus haut niveau de protection. C’est pourquoi, à part l’application Keychain Access dont vous parlez sur le Mac, sur nos dispositifs iOS et maintenant sur notre T2 — c’est le nom de la puce de sécurité dans certains de nos plus récents appareils Mac —, nous utilisons la technologie de l’enclave sécurisée pour protéger ces mots de passe et les séparer du système d’exploitation. Comme la surface d’attaque est plus petite, même si c’est un risque auquel nous sommes très attentifs, nous avons pris des mesures, à l'étape de la conception matérielle, pour protéger les données entourant les mots de passe des utilisateurs.

M. Alan Davidson:

C’est une excellente question. J’ajouterais simplement que cela semble contre-intuitif, n’est-ce pas? Il y a à peine 10 ans, nous aurions dit: « C’est fou. Vous allez mettre tous vos mots de passe au même endroit? » Nous offrons un produit semblable — Lockwise — sur notre navigateur.

Aujourd’hui, les experts en sécurité vous diront que c’est une bien meilleure solution pour la plupart des gens parce que le plus gros problème que nous avons tous est que nous ne pouvons pas nous souvenir de nos mots de passe, alors nous finissons par utiliser le même mot de passe partout, ou nous finissons par utiliser des mots de passe idiots partout, et c’est là que débutent nos problèmes.

Nos propres sondages d’experts en sécurité et nos propres experts internes ont dit qu’il est en fait beaucoup plus intelligent d’utiliser un gestionnaire de mots de passe. Pour la plupart d’entre nous, cela réduit sensiblement la menace de cette vulnérabilité centrale. Je vous encourage donc tous à utiliser des gestionnaires de mots de passe.

Je viens d’envoyer une note à tous nos employés pour leur dire qu’ils devraient le faire. Nous prenons tous cela très au sérieux. L’authentification à deux facteurs est un élément important, et c’est un élément important du fonctionnement de ces gestionnaires. Nous prenons très au sérieux la responsabilité de protéger nos informations, mais il s’avère qu’il s’agit d’une bien meilleure solution pour la plupart des consommateurs aujourd’hui.

M. John Weigelt:

J’aimerais ajouter que nous constatons que les protections matérielles locales fondées sur le cryptage sont importantes pour appuyer la protection des mots de passe. Jumelez ces protections à l’authentification multifactorielle, en utilisant peut-être quelque chose que vous possédez déjà.

Je pense qu’un contrepoint intéressant à cela et un ajout intéressant est la capacité de prendre des décisions très solides au sujet des personnes, au sujet de leur utilisation d’un système en particulier. Nous utilisons des données anonymes et pseudonymes pour aider les organisations à reconnaître que « Jean-Pierre se connecte à partir d’Ottawa, et il semble y avoir au même moment une ouverture de session à partir de Vancouver. Il ne peut pas voyager aussi vite. Avertissons Jean-Pierre qu'il est peut-être temps de rafraîchir son mot de passe. »

Il y a une autre chose que nous pouvons faire, compte tenu de la portée mondiale de notre vision de l’environnement des cybermenaces. Souvent, les utilisateurs malveillants partagent des dictionnaires de noms d’utilisateur et de mots de passe. Nous consultons ces dictionnaires, et nous sommes en mesure d’éclairer nos outils de sorte que si les organisations — par exemple, food.com — découvrent qu’un de leurs noms d'utilisateurs y figure, elles peuvent aussi s'en occuper.

Dans le cas des données associées à l’utilisation d’un ensemble d’outils particulier, l’anonymat et le pseudonymat fournissent une plus grande assurance de protection de la vie privée et de sécurité également. Assurons-nous de reconnaître qu’il y a un équilibre à trouver pour nous assurer de préserver la vie privée tout en protégeant ces utilisateurs.

(1005)

M. James Lawless:

C’est un domaine très intéressant, et les défis y demeurent nombreux. Il y a un compromis à faire entre la convivialité et la sécurité.

Je me souviens qu’un gestionnaire de la sécurité des TI d’une grande société m’a parlé d’une politique qu’il avait mise en œuvre avant l'avènement des gestionnaires de mots de passe, il y a peut-être une décennie. Il avait mis en place une politique de mots de passe robustes afin que tout le monde ne puisse pas utiliser son animal domestique ou son lieu de naissance, et ainsi de suite. Il a ensuite constaté que, même si cette politique était appliquée, tout le monde écrivait ses mots de passe sur papier parce qu’il n’y avait aucun moyen de s’en souvenir, ce qui était contre-productif.

J’ai une dernière question, puis je vais ensuite partager mon temps avec ma collègue. Je pense qu’il y a un site Web appelé haveyoubeenhacked.com ou haveibeenhacked — quelque chose du genre — qui enregistre essentiellement les atteintes connues. Si vos données, vos plateformes ou d’autres applications ou sites de tiers se trouvent dans le nuage et sont compromis, vous pouvez faire une recherche pour vous-même ou pour obtenir vos détails et les retirer.

Y a-t-il moyen de remédier à cela? J’ai fait le test récemment, et je crois qu’il y avait quatre sites différents sur lesquels mes détails avaient été divulgués. Si cela se produit sur vos plateformes, comment allez-vous procéder? Comment pouvez-vous atténuer cela? Vous contentez-vous simplement d'informer les utilisateurs? Faites-vous de la sensibilisation ou essayez-vous d’effacer cet ensemble de données et de recommencer? Que se passe-t-il dans un tel cas?

M. John Weigelt:

Nous avons des exigences et des obligations en matière de notification des atteintes, et nous avisons nos utilisateurs s’il y a un soupçon d'atteinte à leur information et nous leur recommandons de changer leur mot de passe.

Pour ce qui est de l’ensemble organisationnel, comme la trousse d’outils dont j'ai parlé — je pense que c’est « Have I been pwned »...

M. James Lawless:

C’est bien cela.

M. John Weigelt:

... ce site a des dictionnaires facilement accessibles, alors nous les transmettons également aux utilisateurs organisationnels. Il y a la notification des utilisateurs individuels, et nous aidons également les entreprises à comprendre ce qui se passe.

M. Alan Davidson:

Nous faisons la même chose en ce sens que nous avons tous des obligations en matière d’atteinte à la protection des données et nous nous en acquittons dans de tels cas. Nous avons également mis au point notre propre version Firefox de ce surveillant « Have I been hacked ». Les titulaires de compte Firefox qui choisissent d’y adhérer seront avisés des autres attaques dont nous sommes informés, pas seulement de n’importe quelle atteinte à notre système, mais à d’autres également. Ce sera un service que les gens trouveront fort utile.

M. James Lawless:

C’est bien.

M. Erik Neuenschwander:

Si les équipes de sécurité d’Apple, en plus des étapes dont il a été question ici, apprennent qu’il y a probablement eu violation d’un compte, alors nous pouvons prendre une mesure qu’on appelle la « réinitialisation automatisée » du compte. Nous obligerons en fait l’utilisateur à réinitialiser son mot de passe et lui poserons des défis supplémentaires s’il a une authentification à deux facteurs à l’aide de ses dispositifs de confiance existants pour rétablir l’accès à ce compte.

M. James Lawless:

Oui, il est très difficile de revenir à notre compte une fois qu'on en est évincé, et je le sais pour l'avoir vécu.

Des voix: Oh, oh!

M. Erik Neuenschwander:

Vous avez parlé d’équilibre entre la convivialité et la sécurité.

M. James Lawless:

Oui.

M. Erik Neuenschwander:

Nous essayons de trouver un équilibre entre la possibilité que vous soyez la bonne personne qui essaie de récupérer son compte, auquel cas il ne faut pas exagérément vous compliquer la vie, ou nous essayons de garder un utilisateur malveillant définitivement à l’écart. C’est un domaine en évolution.

Mme Hildegarde Naughton:

Puis-je intervenir, s’il vous plaît?

Le président:

Nous avons en fait largement dépassé le temps prévu. Le président passera au deuxième tour, et vous êtes déjà inscrite en premier au deuxième tour, Hildegarde. Lorsque tout le monde aura pris la parole, nous passerons à la prochaine série de questions. Cela ne devrait pas être très long.

Nous passons maintenant à Mme Vandenbeld, pour cinq minutes.

Mme Anita Vandenbeld (Ottawa-Ouest—Nepean, Lib.):

Merci beaucoup.

J’aimerais d'abord parler de la désuétude du consentement. Quand on veut utiliser une application ou autre chose, il y a de bonnes et de mauvaises fins. Disons, par exemple, que j'utilise mon iPhone et que je quitte le Parlement à 9 h. Mon iPhone me dit exactement quelle route prendre pour me rendre à la maison. Il sait où je vis parce qu’il a vu que j’emprunte cette voie tous les jours, et si je commence soudainement à emprunter une voie différente pour me rendre à un autre endroit, il le saura aussi.

Bien, c’est parfait quand je veux savoir si je devrais ou non prendre l'autoroute 417, mais le fait que mon téléphone sache exactement où je dors tous les soirs pourrait aussi être très troublant pour beaucoup de gens.

Nous n’avons pas vraiment le choix. Si nous voulons utiliser certains services, si nous voulons avoir accès à Google Maps ou à autre chose du genre, nous devons accepter, mais il y a alors d'autres utilisations de ces données.

Soit dit en passant, en ce qui concerne le fait qu’il s’agit d’une audience publique, il y a une enseigne sur le mur qui le précise. J’aimerais bien qu’il y ait une telle enseigne lorsqu’on effectue des recherches sur Internet pour savoir si ce qu’on fait sera enregistré ou rendu public.

Ma question, qui s’adresse particulièrement à Apple, porte sur les données que vous recueillez sur mes allées et venues. Il ne s’agit pas seulement de savoir où je vais ce jour-là. Le problème ne réside pas dans le fait de savoir si je veux aller du point A au point B et de savoir quel autobus je dois prendre; le problème, c'est que mon appareil sait exactement où je me trouve sur le plan géographique.

Lesquelles de ces données sont sauvegardées et à quelles autres fins pourraient-elles être utilisées?

(1010)

M. Erik Neuenschwander:

J’aimerais avoir plus de précisions, madame, à savoir de qui et de quoi vous parlez, parce qu'il y a des nuances à faire ici. « L'appareil » — votre téléphone — sait effectivement tout cela. Votre téléphone recueille des données de capteurs et des tendances comportementales et il essaie de déterminer où se trouve votre maison — et c’est votre iPhone. Quand vous dites « vous » en parlant d'Apple, sachez que nous n'avons pas cette information, ou du moins pas par ce processus. Si vous nous laissez une adresse de facturation pour des achats ou autre chose du genre, c’est différent, mais l’information qui améliore l'intelligence de votre iPhone demeure sur votre téléphone et Apple ne la connaît pas.

Lorsque vous demandez dans quelle mesure ces données sont recueillies, sachez qu'elles sont recueillies par le téléphone. Elles sont recueillies sous la fonction « lieux importants ». Les utilisateurs peuvent aller les chercher et les supprimer, mais la collecte ne concerne que l’appareil. Ce n’est pas Apple qui recueille cette information.

Pour ce qui est des fins auxquelles elle peut être utilisée, d'une version à l'autre du système d’exploitation, nous essayons d’utiliser cette information pour fournir de bonnes expériences locales sur l’appareil, comme les avis de moment du départ ou les avis d’accidents de la circulation sur votre trajet vers le domicile, mais cela ne va pas s’étendre à des fins auxquelles Apple, l’entreprise, pourrait utiliser ces données, parce que ces données ne sont jamais en notre possession.

Mme Anita Vandenbeld:

Je pense que cela revient à ce que Microsoft a commencé à dire dans sa déclaration préliminaire, c’est-à-dire la capacité des pirates informatiques d’accéder aux données. Apple n’utilise pas ces données, mais est-il possible, grâce aux cybermenaces, que d’autres utilisateurs malveillants puissent accéder à ces données?

Je vais en fait poser la question à Microsoft.

Vous avez parlé d’investir 1 milliard de dollars par année dans la recherche et le développement en matière de sécurité, et vous avez utilisé l'expression « démantèlements coopératifs de réseaux de zombies ». Pouvez-vous m'en dire plus à ce sujet, et aussi parler de votre travail en matière de cybercriminalité?

Nous savons qu’une fois que les données sont divulguées, il est impossible de revenir en arrière, et puisque bon nombre de ces Cambridge Analytica et autres agrégateurs de données les utilisent, que faites-vous pour vous assurer que ces données ne sont pas diffusées au départ?

M. John Weigelt:

Lorsque nous examinons le marché, nous constatons qu’il évolue continuellement, n’est-ce pas? Ce qui a été mis en place pour les contrôles de sécurité il y a 10 ans est différent aujourd’hui, et cela fait partie des efforts déployés par la collectivité pour protéger l’environnement des TI.

Dans notre cas, nous analysons ces techniques courantes. Nous essayons ensuite de nous assurer que ces techniques disparaissent. Nous n’essayons pas seulement de suivre; nous essayons de devancer les utilisateurs malveillants afin qu’ils ne puissent pas répéter leurs exploits antérieurs et qu’ils doivent trouver de nouvelles façons de faire.

Nous examinons des outils comme le cryptage, le renforcement du fonctionnement du système d’exploitation, pour que les choses ne se passent pas toujours au même endroit. C'est un peu comme si vous changiez d'itinéraire lorsque vous rentrez chez vous du Parlement le soir, de sorte que si des malfaiteurs vous attendent à l'angle de Sparks et Bank, ils ne vous auront pas parce que vous avez changé d'itinéraire. Nous faisons la même chose au sein du système interne, et cela rompt avec tout un tas de choses que fait la communauté des pirates traditionnels. Comme nous incluons également la protection de la vie privée et l’accessibilité, notre travail porte sur la confiance, la sécurité, la protection des renseignements personnels et l’accessibilité.

Parallèlement, comme il existe une plus vaste communauté Internet dans son ensemble, ce n’est pas quelque chose que nous pouvons faire seuls. Il y a des fournisseurs de services Internet, des sites Web et même des ordinateurs à domicile qui sont contrôlés par ces réseaux de zombies. Les pirates informatiques ont commencé à créer des réseaux d’ordinateurs qu’ils partagent pour commettre leurs méfaits. Ils peuvent avoir jusqu’à un million d’ordinateurs zombies qui attaquent différentes communautés. Cela ralentit vraiment l’Internet, embourbe le trafic sur la Toile et ainsi de suite.

Pour démanteler ces réseaux, il faut un savoir-faire technique pour en prendre le contrôle, mais il faut aussi l’appui des entités juridiques dans les régions. Ce qui est unique pour nous, c’est que notre centre de cybercriminalité a collaboré avec les autorités gouvernementales pour trouver de nouveaux précédents juridiques qui permettent de supprimer ces réseaux. Ainsi, en plus de l’aspect technologique, nous nous assurons d’être en règle sur le plan juridique pour mener nos activités.

Enfin, ce que nous avons fait pour les réseaux Zeus et Citadel, d'importants réseaux de zombies qui s’étaient installés dans les systèmes d'entreprises canadiennes, c’est collaborer avec le Centre canadien de réponse aux incidents cybernétiques ainsi qu’avec les entreprises pour désinfecter ces appareils afin qu’ils puissent redémarrer sans problème.

Mme Anita Vandenbeld:

Monsieur Davidson, avez-vous quelque chose à ajouter?

M. Alan Davidson:

J’ai deux points à soulever rapidement.

Premièrement, nous travaillons à ce que nous appelons l'« allègement des données ». Cette idée part du principe que nous ne devrions pas conserver les données dont nous n’avons pas besoin. La meilleure façon de protéger les données est de ne pas les conserver. Parfois, c’est nécessaire, mais parfois ce ne l’est pas. L’industrie pourrait faire un meilleur travail et les consommateurs pourraient en apprendre davantage sur l’importance d’insister pour que les données ne soient pas conservées si elles ne sont pas nécessaires.

Deuxièmement, l’emplacement est un aspect particulièrement délicat. C’est probablement un aspect qui, au bout du compte, exigera davantage d’attention de la part du gouvernement. De nombreux utilisateurs se sentiraient probablement très à l’aise qu'une société comme Apple ou Microsoft détienne ces données, parce qu’ils ont d’excellents experts en sécurité et ce genre de choses. Nous nous inquiétons beaucoup des petites entreprises et des tierces parties qui détiennent certaines de ces données et qui ne travaillent peut-être pas de façon aussi sûre.

(1015)

Le président:

Nous allons passer à Mme Jo Stevens, du Royaume-Uni.

Mme Jo Stevens (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

J’aimerais aborder un sujet tout à fait différent, celui de la concurrence et des marchés. J’aimerais demander à messieurs Ryland et Neuenschwander s’ils pensent que des règles en matière de concurrence et des règles antitrust différentes devraient s’appliquer aux géants de la technologie, compte tenu de leur influence et de leur pouvoir sans précédent sur le marché.

M. Erik Neuenschwander:

En ce qui concerne les règlements antitrust, comme je travaille au sein d'une organisation d’ingénierie, je ne peux pas dire que j’ai beaucoup réfléchi à cette question. Je serai heureux de répondre à vos questions et de les soumettre à nos équipes des affaires juridiques ou gouvernementales.

Mme Jo Stevens:

Comme consommateur, pensez-vous que les grands géants technologiques mondiaux ont trop d’influence et de pouvoir sur le marché?

M. Erik Neuenschwander:

Mon objectif, en ce qui concerne nos plateformes, est de permettre à l’utilisateur de contrôler les données et de laisser le plus de contrôle possible aux utilisateurs.

M. Mark Ryland:

Nous sommes une entreprise relativement importante, mais bien sûr, c’est en grande partie le résultat de nos activités à l’échelle mondiale. Nous évoluons dans beaucoup de marchés différents. Dans un segment de marché donné, nous pouvons souvent être un très petit joueur ou un joueur de taille moyenne.

Encore une fois, je ne vais pas me prononcer en profondeur au sujet des lois sur la concurrence. Ce n’est pas mon domaine d’expertise, mais nous estimons que la loi actuelle sur la concurrence est suffisante en ce qui a trait aux sociétés de technologie.

Mme Jo Stevens:

Monsieur Weigelt, qu'en pensez-vous?

M. John Weigelt:

Nous sommes sur le marché depuis pas mal de temps, depuis les années 1970, en fait, nous avons donc eu le temps de réfléchir à l'organisation et la manière dont nous exerçons nos activités. Je pense que nous avons apporté les correctifs nécessaires, en nous appuyant sur les commentaires et les points de vue des gouvernements étrangers.

Une chose qui me semble importante à signaler, en tant que Canadien travaillant pour Microsoft ici au Canada, c'est cet écosystème de partenaires qui stimule l'innovation canadienne et les entreprises canadiennes. Plus de 12 000 partenaires tirent leurs revenus grâce à l'ensemble d'outils à leur disposition et ont accès à une plateforme cohérente, ce qui leur permet de vendre leurs innovations dans le monde entier grâce à ces outils et de multiplier les revenus qu'ils génèrent ici au pays.

Les progiciels permettent parfois de multiplier les revenus par huit. Pour l'infonuagique, le facteur de multiplication peut être aussi élevé que 20 pour l'utilisation de ces ensembles d'outils. Il s'agit donc d'un moteur économique fantastique. Cet accès au marché mondial est un atout important pour nos partenaires.

Mme Jo Stevens:

Cela m'amène à ma prochaine question. Je pense que c'est une idée largement répandue que les géants mondiaux de la technologie sont un peu comme un service public et qu'ils devraient être traités à ce titre en raison du pouvoir qu'ils détiennent.

Compte tenu de ce que vous venez de dire au sujet de l'innovation, croyez-vous que, si c'était le cas et si la pression antitrust était plus forte, cela pourrait nuire à l'innovation? Est-ce la principale raison que vous invoquez?

M. John Weigelt:

Je faisais un lien entre ces deux sujets. Ce que je voulais dire, c'est que nous démocratisons la technologie. Nous la simplifions grandement pour les pays émergents et les entreprises émergentes et nous leur donnons des idées fantastiques pour tirer parti d'une technologie très avancée. Quand on pense à l'intelligence artificielle et au travail qui se fait à Montréal, à Toronto et ailleurs dans le monde, il est essentiel que nous puissions utiliser ces outils pour créer un nouveau marché.

Je vois cela comme un catalyseur pour le milieu de l'innovation. Nous collaborons avec cinq supergrappes canadiennes, qui sont le moteur de l'innovation du Canada dans les domaines de l'agriculture, des océans, de la fabrication de pointe, pour créer de nouveaux ensembles d'outils. Notre capacité d'interagir avec ces différents secteurs, d'adopter des approches multiplateformes et d'optimiser notre expérience sur une plateforme leur permet de s'engager dans des activités qui sont dans le meilleur intérêt du milieu.

Par exemple, dans la supergrappe de l'économie océanique, utiliser et obtenir des données sur nos océans et partager ce produit commun avec l'ensemble du secteur, c'est une pratique que nous encourageons afin de stimuler la croissance du secteur. Faciliter l'accès à cette plateforme est un moyen de stimuler l'innovation.

(1020)

Mme Jo Stevens:

Pourriez-vous nous parler de l'innovation du point de vue de votre entreprise? Ma question s'adresse à vous deux.

M. Mark Ryland:

Oui, avec plaisir.

La concurrence est très forte sur tous les marchés où nous sommes présents. L'infonuagique est un excellent exemple. Les joueurs ne sont pas très nombreux sur ce marché, mais la concurrence est très forte et les prix sont en baisse, ce qui facilite, comme l'a dit mon collègue, l'émergence de nouveaux modèles d'affaires qui étaient auparavant impensables.

J'ai travaillé quelques années à la division des organismes du secteur public chez Amazon Web Services. Ce que j'y ai constaté, c'est que de très petites entreprises, disons de 10, 20 ou 30 employés, étaient en concurrence pour l'obtention de gros contrats gouvernementaux, ce qui aurait été impensable pour elles avant l'existence de l'infonuagique. Seule une très grande entreprise spécialisée dans les contrats gouvernementaux aurait pu soumissionner pour ces gros contrats, parce qu'il fallait qu'elle soit dotée d'une solide infrastructure et qu'elle soit en mesure de faire d'importants investissements en capital.

Comme il est maintenant possible d'obtenir de nombreux services de TI à partir du nuage, nous assistons à une fantastique démocratisation, pour reprendre ce mot, de l'accès au marché international, de l'accès des petits commerces au marché international, que ce soit en vendant sur le site de vente au détail d'Amazon ou au moyen de notre plateforme infonuagique. Je pense que la concurrence est vraiment renforcée parce que certains de ces joueurs de grande envergure permettent aux consommateurs d'avoir accès à une gamme plus vaste de marchés.

Mme Jo Stevens:

Mais ils doivent passer par vous, n'est-ce pas? Autrement, comment feraient-ils?

M. Mark Ryland:

Non, ils peuvent y accéder par notre entremise ou celle de nos concurrents.

Mme Jo Stevens:

Mais les concurrents ne sont pas si nombreux, n'est-ce pas?

M. Mark Ryland:

Ils ne sont pas nombreux, mais la concurrence est féroce.

Mme Jo Stevens:

Il me semble un peu bizarre que vous ayez si peu de concurrents, même si la concurrence est féroce. Ce n'est pas ce que j'aurais normalement imaginé.

Et vous, monsieur Neuenschwander?

M. Erik Neuenschwander:

Je ne m'y connais pas beaucoup en matière de législation, mais il semble très difficile de légiférer dans ce domaine. Je suppose que l'objectif d'une loi n'est pas de freiner l'innovation ni d'imposer une limite à ce que les entreprises peuvent faire, mais plutôt d'encourager les bons comportements.

Mme Jo Stevens:

D'accord, merci.

Le président:

Merci, madame Stevens.

Monsieur Saini, c'est maintenant à vous. Vous avez cinq minutes.

M. Raj Saini (Kitchener-Centre, Lib.):

Bonjour à tous.

Vous connaissez tous, j'en suis certain, l'expression « monopole de données ». Nous avons devant nous Apple, qui contrôle un logiciel populaire d'exploitation mobile. Nous avons Amazon, qui contrôle la plus importante plateforme commerciale en ligne. Nous avons également Microsoft, qui a la capacité d'acquérir une foule de données et de les utiliser pour s'imposer sur les marchés.

Au sujet de la concurrence, je veux aller plus loin que Mme Stevens. Si nous regardons du côté de l'Union européenne, nous voyons qu'Apple a violé les règles de l'UE relatives aux aides d'État lorsque l'Irlande lui a accordé des avantages fiscaux indus de 13 milliards d'euros. Dans certains cas, vous avez payé beaucoup moins d'impôts, ce qui vous donnait un avantage.

Dans le cas d'Amazon, la Commission européenne a jugé anti-concurrentielle la clause de la nation la plus favorisée des contrats d'Amazon et le Luxembourg a accordé à Amazon des avantages fiscaux illégaux d'une valeur d'environ 250 000 millions d'euros.

Mon intention n'est pas de vous mettre dans l'embarras, mais il y a manifestement un problème de concurrence. Ce problème est attribuable à l'existence d'une diversité de régimes ou de lois en matière de concurrence, que ce soit en Europe, à la FTC des États-Unis, ou au Canada. La loi européenne sur la concurrence prévoit l'imposition d'un droit spécial aux acteurs dominants du marché. La situation est différente aux États-Unis parce que les mêmes infractions n'ont pas été sanctionnées. Selon vous, est-ce une mesure qui devrait être envisagée, étant donné que vous êtes en position dominante sur le marché?

M. Mark Ryland:

Je le répète, je ne suis pas un expert en droit de la concurrence, mais je vous assure que nous nous conformons aux lois des pays et des régions où nous exerçons nos activités et que nous continuerons à le faire.

M. Raj Saini:

Si la Commission européenne a imposé une amende à Amazon, c'est donc que vous n'avez pas vraiment respecté la loi.

Ma question porte sur le droit spécial imposé en vertu de la loi européenne sur la concurrence aux entreprises en position dominante sur le marché. Selon vous, les États-Unis et le Canada devraient-ils faire la même chose?

M. Mark Ryland:

Je vais devoir vous revenir sur ce point. Je ne suis pas un expert en la matière. Je serai heureux de faire le suivi avec nos experts dans ce domaine.

M. Raj Saini:

Parfait.

Des commentaires du côté d'Apple?

M. Erik Neuenschwander:

Je sais que l'affaire des aides publiques a fait beaucoup de bruit dans la presse, mais tout ce que je sais de cette affaire, je l'ai appris par les nouvelles. Je n'ai pas beaucoup lu sur le droit européen de la concurrence. Comme mon travail porte essentiellement sur la protection intégrée de la vie privée du point de vue technologique, je vais devoir demander à nos spécialistes de répondre à vos questions.

M. Raj Saini:

D'accord.

Amazon est probablement la librairie dominante sur le marché. Êtes-vous d'accord?

M. Mark Ryland:

Non, je ne suis pas d'accord.

M. Raj Saini:

Ah non? Qui occupe une place plus importante que vous?

M. Mark Ryland:

Le marché du livre est énorme et de nombreux acteurs vendent des livres, de Walmart à...

(1025)

M. Raj Saini:

Qui vend plus de livres que vous?

M. Mark Ryland:

Je ne connais pas la réponse, mais je serai heureux de faire une recherche pour vous.

M. Raj Saini:

D'accord.

L'une des méthodes que vous utilisez lorsque vous mettez des livres en vente — j'ai lu cela quelque part, corrigez-moi si je fais erreur —, c'est que vous approchez de petites librairies et leur imposez un droit appréciable pour inscrire leurs livres sur votre site. Vous ne payez pas les auteurs en fonction du nombre de copies numériques vendues, mais vous les payez en fonction du nombre de pages lues. Si le lecteur ne le lit pas le livre jusqu'au bout, vous empochez la différence. Vous enregistrez les préférences des lecteurs. S'ils lisent des auteurs populaires, vous n'offrez pas de rabais sur ces livres, parce que vous savez qu'ils les achèteront de toute façon.

Pensez-vous que cette pratique est équitable, ou est-ce que j'ai tout faux?

M. Mark Ryland:

Je ne connais pas les faits que vous évoquez, je ne peux donc pas répondre. Je serai heureux de vous revenir là-dessus.

M. Raj Saini:

D'accord.

Une dernière question. Laissons de côté l'animation un instant et imaginons qu'Amazon est un grand centre commercial. Vous en êtes le propriétaire. Vous louez des espaces aux détaillants. Vous leur donnez accès à votre plateforme. Vous contrôlez l'accès aux consommateurs et vous recueillez des données sur chaque site. Vous exploitez le plus grand centre commercial au monde.

Lorsque de petits commerçants connaissent un certain succès, vous avez tendance à utiliser cette information pour réduire la concurrence. Comme vous avez accès à toutes les tierces parties qui vendent des produits sur votre site, croyez-vous que ce soit une pratique équitable?

M. Mark Ryland:

Nous n'utilisons pas les données que nous recueillons pour soutenir le marché de nos fournisseurs tiers. Nous n'utilisons pas ces données pour promouvoir nos propres ventes ou les produits que nous lançons en ligne.

M. Raj Saini:

Vous en êtes certain?

M. Mark Ryland:

Oui.

M. Raj Saini:

Vous dites que si quelqu'un annonce un produit sur votre site Web, vous ne faites pas le suivi des ventes de ce produit pour savoir s'il est populaire ou non.

M. Mark Ryland:

Nous recueillons les données pour soutenir l'entreprise et ses clients. Nous ne les utilisons pas pour nos propres activités de vente au détail.

M. Raj Saini:

Vous ne cherchez pas à savoir quel produit se vend bien ou lequel se vend moins bien et vous n'essayez pas de concurrencer l'entreprise d'aucune manière.

M. Mark Ryland:

Le volet de notre entreprise qui soutient ce vaste marché de fournisseurs tiers et qui a contribué au succès de milliers d'entreprises et de petits commerces dans le monde entier utilise certainement les données pour maximiser leur succès sur le marché. Nous ne les utilisons pas pour nos activités commerciales.

M. Raj Saini:

L'une des plaintes que nous entendons dans le domaine de l'innovation, c'est que certains acteurs dominent le marché parce qu'ils ont accès à des données et parce qu'ils peuvent les conserver et les utiliser. Dans bien des cas, les petites entreprises ou les joueurs de moindre importance n'ont pas accès aux données ni au marché. De surcroît, il arrive parfois, lorsque des entreprises émergentes ont le vent dans les voiles, que les grandes compagnies leur achètent leur technologie pour la détruire et empêcher ainsi l'entreprise de leur faire concurrence.

Est-ce là une pratique utilisée par Amazon, Apple ou Microsoft?

M. Mark Ryland:

Si vous regardez l'historique de nos acquisitions, vous constaterez que nous avons tendance à acquérir de très petites entreprises très ciblées. En gros, la réponse serait donc non.

M. Erik Neuenschwander:

C'est la même réponse du côté d'Apple.

M. Raj Saini:

Je parle de toute technologie émergente, de toute entreprise émergente susceptible de faire concurrence à n'importe laquelle de vos plateformes. Vous ne faites pas cela, ou seulement...? Je ne comprends pas ce que vous voulez dire.

M. Erik Neuenschwander:

Les acquisitions dont je suis au courant visaient des entreprises comme AuthenTec, dont nous avons utilisé la technologie pour créer la première version de notre système Touch ID dans nos téléphones. Nous recherchons des innovations technologiques que nous pouvons intégrer à nos produits. Je ne pense pas que la technologie de lecture d'empreintes numériques de cette entreprise en faisait une concurrente directe d'Apple.

M. John Weigelt:

Nous travaillons activement avec les jeunes entreprises du monde entier. Des programmes comme BizSpark et Microsoft Ventures aident nos partenaires et les entreprises en démarrage à progresser et à vendre leur produit. Nous sommes un fournisseur de logiciels génériques; nous offrons une plateforme commune à partir de laquelle les entreprises du monde entier créent leurs innovations. Une plateforme de ce genre a été construite à Montréal, Privacy Analytics, c'est une jeune entreprise qui se spécialisait dans la technologie de confidentialité persistante appelée Perfect Forward Privacy. Nous n'avions pas cette technologie et nous avons pensé qu'elle pourrait servir de catalyseur pour nos activités. Nous avons donc fait l'acquisition de cette entreprise dans le but d'intégrer sa technologie à nos produits.

Nos décisions en matière de création ou d'acquisition s'appuient sur les ressources dont nous disposons; dans certains cas, nous avons fait l'acquisition d'innovations fantastiques que nous avons intégrées à nos produits. Voilà en quoi consiste notre stratégie d'acquisition.

M. Raj Saini:

Je vous remercie.

Le président:

Monsieur Saini, je vous remercie.

Le dernier intervenant sera M. Baylis.

Quand M. Baylis aura terminé, nous procéderons à une autre série de questions. Pour que les choses soient claires, nous recommencerons à poser des questions aux délégations en suivant l'ordre de la liste.

Monsieur Baylis, vous avez cinq minutes.

M. Frank Baylis (Pierrefonds—Dollard, Lib.):

Merci, monsieur le président.

Je remercie également nos témoins. Vous êtes tous deux très bien informés et disposés à répondre à nos questions, ce qui n'a pas été le cas hier. Je vous en suis reconnaissant.

Monsieur Davidson, dans vos observations préliminaires, vous avez dit que Google et Facebook doivent saisir l'occasion d'accroître leur transparence. Pouvez-vous nous en dire plus à ce sujet?

(1030)

M. Alan Davidson:

Bien sûr.

Nous pensons que la transparence publicitaire est un précieux outil à envisager pour lutter contre la désinformation, surtout dans un contexte électoral. Nous avons collaboré avec certains autres acteurs de premier plan à l'élaboration du Code de bonnes pratiques contre la désinformation de l'UE, afin d'améliorer les outils de transparence qui permettront aux consommateurs d'avoir plus de discernement face aux annonces qu'ils voient, tout en aidant les chercheurs et les journalistes à comprendre comment se produisent des vastes campagnes de désinformation. À la Fondation Mozilla, nous avons quelqu'un qui travaille là-dessus. Notre grande source de frustration, pour être honnête, c'est qu'il est très difficile d'avoir accès aux archives publicitaires, même si certains de nos collègues se sont engagés à en faciliter l'accès.

Nous avons récemment fait une analyse. Les experts ont établi cinq critères distincts — par exemple, est-ce une donnée historique? Est-elle publique? Est-ce une information difficile à obtenir? Ce genre de choses.

Sur notre blogue, nous publions des billets indiquant, par exemple, que Facebook n'a respecté que deux des cinq critères, soit le nombre minimal établi par les experts pour garantir un accès raisonnable à une publicité archivée. Sans vouloir critiquer ces entreprises — nous l'avons déjà fait publiquement —, je dirais que nous espérons aller plus loin, parce que si la transparence n'est pas au rendez-vous, je pense que...

Google a obtenu une meilleure note. Elle a obtenu quatre sur cinq sur la fiche des experts, sans toutefois être plus transparente concernant les annonces publicitaires. Nous n'arrivons toujours pas à comprendre comment sont orchestrées les campagnes de désinformation.

M. Frank Baylis:

Vous avez dit que ces entreprises ne sont pas disposées à s'autoréglementer et que, à votre avis, elles devraient être réglementées. Vous ai-je bien compris?

M. Alan Davidson:

Je voulais dire que si nous ne pouvons obtenir de meilleurs renseignements... La transparence est la première étape et elle peut être un outil vraiment puissant. Si nous arrivions à assurer la transparence et à mieux informer les gens sur la publicité partisane qu'ils voient, cela pourrait contribuer grandement à contrer ces campagnes de désinformation et la manipulation des élections. Si cette transparence n'est pas assurée, il serait alors plus raisonnable que les gouvernements interviennent et imposent plus de restrictions. Selon nous, c'est la deuxième meilleure solution, c'est certain. C'est ce que nous essayons de faire.

M. Frank Baylis:

Mon collègue M. Angus ou, si vous le permettez, Charlie, mon collègue aîné...

M. Charlie Angus:

Votre frère aîné.

M. Frank Baylis:

Mon grand frère Charlie a soutenu que certaines activités devraient nécessiter le consentement — vous avez parlé de consentement granulaire ou distinct — et que d'autres devraient être carrément interdites. Êtes-vous d'accord avec cette ligne de pensée?

M. Alan Davidson:

Nous avons dit que nous l'étions. Nous pensons qu'il est important de reconnaître que ces différents outils apportent de grands avantages aux utilisateurs, même dans des domaines comme la santé, les finances ou la localisation, nous voulons donc leur donner ces moyens. Si on parle des enfants ou de certaines informations du domaine de la santé, il faut probablement placer la barre très haut, voire interdire cette pratique.

M. Frank Baylis:

Mon jeune collègue, M. Erskine-Smith, a dit que certaines pratiques fondées sur l'âge... Par exemple, nous interdisons aux personnes d'un certain âge de conduire et nous interdisons la consommation d'alcool sous un certain âge. Les témoins ont-ils des idées sur cette possibilité d'interdire carrément la collecte de certaines données, qu'elles soient ou non liées à l'âge, ou d'autres types de données? Avez-vous des commentaires à faire à ce sujet?

M. Erik Neuenschwander:

Dans mes réponses précédentes, j'ai expliqué que nous cherchions à laisser les données sur l'appareil de l'utilisateur et sous son contrôle. Je ferais une distinction entre les données recueillies par une entreprise et celles recueillies par un appareil sous le contrôle de l'utilisateur. Dans la mesure du possible, nous voulons laisser les utilisateurs contrôler leurs données, par consentement explicite, et les laisser dans leur appareil.

M. Frank Baylis:

Si l'information est recueillie, mais qu'elle n'est pas utilisée ou vue par une entreprise comme la vôtre... Si l'entreprise l’a recueillie et simplement conservée et que j'ai ensuite le choix de la supprimer ou non, vous estimez que c'est différent d'une collecte destinée à une utilisation ailleurs. C'est bien ce que vous dites?

M. Erik Neuenschwander:

Je crois effectivement que la collecte effectuée par une entreprise est différente de la collecte effectuée sur l’appareil de l’utilisateur. À la limite, je n'emploierais pas le mot « collecte ». On devrait peut-être dire « stockage » ou quelque chose de ce genre.

M. John Weigelt:

Je prends mon temps pour répondre à cette question parce que je réfléchis aux différentes situations possibles. J’essaie de me mettre à la place d'un parent et je me demande comment j'utiliserais ces outils. Je suis convaincu que cela dépend du contexte dans lequel s'inscrit cette interaction. Un environnement médical sera radicalement différent d’un environnement de divertissement en ligne.

La gestion des données dépend énormément du contexte, qu'il s'agisse des garanties de protection ou même de l’interdiction de recueillir ces données.

M. Frank Baylis:

Est-ce que j'ai le temps de poser une autre question, monsieur le président?

Le président:

Si vous faites vite, oui; vous avez 30 secondes.

M. Frank Baylis:

Parlons de l'infonuagique. On dirait un beau nuage, mais ce n'est pas là que cela se passe. Il y a un serveur physique quelque part. C’est de cela qu'il est question. Oublions le nuage; c’est un serveur physique. Les lois applicables dépendent de l’endroit où se trouve le serveur.

On parle d’Apple, de Microsoft ou d’Amazon — et Amazon, c’est une grande partie de vos activités. Si nous, législateurs canadiens, adoptons une série de lois protégeant le Canada, mais que le serveur se trouve à l’étranger, nos lois n’auront aucun effet.

Est-ce que vous prenez des mesures pour vous aligner sur les lois gouvernementales en veillant à ce que ces serveurs se trouvent dans les limites territoriales du pays qui les réglemente?

(1035)

M. Mark Ryland:

Nous avons des centres de données dans de nombreux pays, y compris au Canada. Il y a un contrôle juridique, mais nous devons respecter les lois de tous les pays où nous fonctionnons. Ces lois peuvent aussi avoir une incidence extraterritoriale.

M. John Weigelt:

Nous avons créé des centres de données dans 54 régions du monde et nous en avons installé ici au Canada, à Toronto et à Québec. Il se trouve que j’ai la responsabilité de veiller à ce qu’ils respectent les lois et règlements canadiens, qu’il s’agisse des normes du Bureau du surintendant des institutions financières ou des lois fédérales ou provinciales sur la protection des renseignements personnels. Nous accordons la plus grande importance au respect du cadre juridique local. Nous traitons les données stockées dans ces centres de données comme des documents imprimés. Nous voulons que les lois fassent en sorte que ces renseignements électroniques soient traités comme des documents imprimés.

Nous sommes d’ardents défenseurs de la CLOUD Act, qui permet de clarifier les conflits de lois qui posent des problèmes aux entreprises multinationales comme la nôtre. Nous respectons les lois régionales, mais elles sont parfois contradictoires. Avec la CLOUD Act, on espère créer une plateforme commune pour comprendre les traités d’entraide juridique ou pour y donner suite — car nous savons tous que l'application des traités d’entraide juridique est plutôt lente et que ces traités s'appuient sur des documents imprimés —, qui fournira de nouveaux instruments juridiques pour donner aux gouvernements la garantie que les renseignements de leurs résidants sont protégés de la même façon qu’ils le seraient dans des centres de données locaux.

Le président:

Merci.

Merci, monsieur Baylis.

On n'en a pas encore parlé, et c’est pourquoi je vais poser la question.

Nous sommes ici à cause d’un scandale appelé Cambridge Analytica et d’une entreprise de médias sociaux appelée Facebook. Nous voulions vous différencier. Vous n’êtes pas dans les médias sociaux; les médias sociaux étaient représentés ici hier. Vous vous occupez de mégadonnées, etc.

J’ai un commentaire qui concerne plus précisément Apple. C’est pourquoi nous voulions que Tim Cook soit ici. Il a fait des observations très intéressantes. Je vais lire exactement ce qu’il a dit: Il y a d'abord le droit d'avoir des données personnelles réduites au minimum. Les entreprises devraient se faire un devoir de supprimer les renseignements signalétiques dans les données sur les clients ou d’éviter de les recueillir. Il y a ensuite le droit de savoir — c'est-à-dire de savoir quelles données sont recueillies et pourquoi. En troisième lieu, il y a le droit d’accès. Les entreprises devraient faire en sorte qu'il soit facile pour vous de consulter, de corriger et de supprimer vos données personnelles. Enfin, il y a le droit à la protection des données, sans quoi la confiance est impossible.

C’est une déclaration très forte. Dans la perspective d'Apple — et je poserai aussi la question à Mozilla —, que feriez-vous pour régler le problème de Facebook?

M. Erik Neuenschwander:

Je ne suis même pas sûr de comprendre suffisamment tous les aspects du problème de Facebook pour pouvoir le régler.

Mais je sais qu'on peut se concentrer sur deux moyens. J’accorde toujours la priorité aux solutions technologiques. Ce que nous voulons, c’est placer l’utilisateur au contrôle des données et de l’accès aux données sur son appareil. Nous avons pris l’initiative, dans le cadre de notre plateforme, de dresser la barrière du système d’exploitation entre les applications et les données de l’utilisateur et d’exiger le consentement de l’utilisateur, par la médiation du système d’exploitation, entre ces applications et ses données. C’est un ensemble de mesures que nous avons fait évoluer au fil du temps.

On vous a dit aussi aujourd’hui qu'il fallait également songer à la convivialité, et c'est pourquoi nous essayons de garder les choses claires et simples pour les utilisateurs. Ce faisant, nous avons apporté à notre plateforme technologique des améliorations qui nous permettent d’élargir cet ensemble de données que le système d’exploitation... Je rappelle que c’est distinct d’Apple, distinct de l'entreprise. Le système d’exploitation peut prendre de l'avance et permettre à l’utilisateur de contrôler cet accès.

C’est un processus auquel nous resterons fidèles.

Le président:

À mon avis, il est très difficile de modifier la loi à cet égard, étant donné tous les paramètres qui entrent en ligne compte. Ce serait peut-être plus simple pour quelqu’un comme Tim Cook et dans le cadre d'une idéologie qui considère que les utilisateurs sont primordiaux. Il serait peut-être plus simple pour Apple de s'en charger que pour les législateurs du monde entier d’essayer de régler cette question. Nous faisons cependant tout notre possible. Nous essayons vraiment.

Monsieur Davidson, est-ce que vous avez quelque chose à dire sur la façon de régler le problème de Facebook?

(1040)

M. Alan Davidson:

Vu de l'extérieur, il est très difficile d'imaginer comment régler le problème d'une autre entreprise. À mon avis, nous sommes nombreux à être déçus des choix qu’elle a faits et qui ont suscité l’inquiétude de beaucoup de gens et de nombreux organismes de réglementation.

Notre espoir est qu'elle garantisse la protection de la vie privée et permette aux utilisateurs d'exercer plus de contrôle. C’est un point de départ extrêmement important.

Si je devais dire quelque chose à mes collègues, je les inviterais à réfléchir un peu moins à court terme au sujet des moyens de répondre à certaines de ces préoccupations. Je pense qu’ils ont beaucoup d’outils à leur disposition pour donner aux gens beaucoup plus de contrôle sur leurs renseignements personnels.

À l’heure actuelle, les organismes de réglementation disposent de nombreux outils pour bien encadrer ce que les entreprises peuvent se permettre ou non. Malheureusement, quand les gens ne respectent pas de bonnes pratiques en matière de protection de la vie privée, ils donnent le mauvais exemple.

Nous pouvons tous faire quelque chose. C’est pourquoi nous avons intégré l'extension Facebook Container dans nos outils de suivi: pour essayer de donner plus de contrôle aux gens.

Le président:

Merci de votre réponse.

Il y a encore des questions. Nous allons commencer par mon coprésident, puis nous suivrons l'ordre habituel. Vous aurez du temps. Ne vous inquiétez pas.

Commençons par M. Collins.

M. Damian Collins:

Merci.

Je vais m'adresser d'abord à M. Ryland et à Amazon.

Pour faire suite aux commentaires du président au sujet de Facebook, si je relie mon compte Amazon à Facebook, quelles sont les données qui sont partagées entre les deux plateformes?

M. Mark Ryland:

Je ne sais pas comment on relie un compte Facebook à Amazon. Je sais qu’Amazon peut servir de service de connexion vers d’autres sites Web, mais Facebook n’en fait pas partie. Je ne connais aucun autre modèle de connexion.

M. Damian Collins:

Vous dites qu'on ne peut pas le faire. On ne peut pas connecter un compte Facebook et un compte Amazon.

M. Mark Ryland:

Pas à ma connaissance. Je ferai un suivi pour m’en assurer.

M. Damian Collins:

Il y a eu le Digital, Culture, Media and Sport Committee à Londres, que j’ai présidé avec mes collègues ici présents. En décembre dernier, nous avons publié des documents concernant l’affaire Six4Three.

Au même moment, une enquête du New York Times donnait à penser qu’un certain nombre de grandes entreprises avaient conclu avec Facebook des accords spéciaux de réciprocité leur permettant d'avoir accès aux données de leurs utilisateurs sur Facebook et à celles de leurs amis. Amazon figurait parmi ces entreprises.

Pourriez-vous nous dire quel genre de protocoles d'entente vous avez avec Facebook et si cela vous donne accès non seulement aux données de vos clients ou des titulaires de comptes Facebook, mais aussi à celles de leurs amis?

M. Mark Ryland:

Je vais devoir vous revenir à ce sujet. Je ne sais pas du tout.

M. Damian Collins:

Cet article du New York Times a fait des vagues l’année dernière. Je suis étonné qu’on ne vous en ait pas parlé.

Je vais poser la même question à Microsoft également.

On peut se connecter à Skype à partir de son compte Facebook. Je vous le demande également: si on relie son compte Skype et son compte Facebook, quelles sont les données qui sont partagées entre les deux?

M. John Weigelt:

Si je comprends bien, il s’agit d’une connexion simplifiée à votre compte Skype à partir de Facebook. Quand on se connecte, une fenêtre contextuelle devrait s'ouvrir pour donner une idée de ce que Facebook fournit à l’environnement Skype.

C’est un modèle de connexion simplifié.

M. Damian Collins:

Quelles sont les données qui sont partagées entre les comptes? Pour les utilisateurs qui utilisent ce moyen, quelles sont les données d'utilisation de Skype qui sont communiquées à Facebook?

M. John Weigelt:

C’est simplement une connexion.

M. Damian Collins:

Oui, mais toutes ces connexions sur Facebook comportent également des accords de réciprocité. La question est de savoir si...

M. John Weigelt:

C’est seulement une façon simplifiée de partager une preuve d’identité, si on veut, et c'est ce qui vous permet de vous connecter à Skype.

M. Damian Collins:

Je sais comment fonctionne la connexion de base, mais ces dispositions de connexion à partir de Facebook donnent un accès réciproque aux données des deux. C'est effectivement une connexion.

M. John Weigelt:

Ce n’est rien qui n’aurait pas été divulgué dans le cadre de la connexion initiale; donc, quand vous vous connectez, quand vous utilisez cette passerelle, une fenêtre contextuelle indique les données qui interagissent ou sont échangées.

M. Damian Collins:

Et puis c'est dans les conditions et modalités.

M. John Weigelt:

C’est dans la fenêtre contextuelle par laquelle vous devez passer. C’est une modalité simplifiée et, si j’ai bien compris; c’est un avis à plusieurs niveaux. On vous donne un aperçu de la catégorie de données; puis, en cliquant dessus, vous pouvez aller plus loin pour voir de quoi il s’agit.

M. Damian Collins:

En termes simples, est-ce que Facebook saurait avec qui j’ai communiqué sur Skype?

M. John Weigelt:

Je ne crois pas, mais je vais devoir vous revenir à ce sujet. Mais, vraiment, je ne crois pas.

M. Damian Collins:

D’accord.

Je voudrais revenir à Amazon. Rapidement.

Voici comment Amazon.com prévoit la connexion entre un compte Facebook et un compte Amazon: Aller dans réglages, sélectionner son compte, puis choisir la fonction de connexion aux réseaux sociaux. Sélectionner ensuite son compte Facebook. Fournir ses données de connexion et cliquer sur Se connecter.

C’est une façon très simple de connecter son compte Facebook à son compte Amazon. Je vais donc vous reposer la question: quand on fait cela, quelles sont les données qui sont partagées entre les deux plateformes?

(1045)

M. Mark Ryland:

Je vais devoir vous revenir à ce sujet. Je ne sais pas du tout.

M. Damian Collins:

Je vois. C'est pourtant assez élémentaire. Ce qui m’inquiète, c’est que des données soient partagées entre les deux plateformes.

Je rappelle que l’enquête du New York Times a révélé l'existence d'accords de réciprocité préférentiels entre Amazon et Facebook, entre Microsoft et Facebook, pour que ces entreprises aient accès non seulement aux données de leurs utilisateurs sur Facebook, mais aussi à celles de leurs amis, alors que ce réglage avait été éliminé d’autres applications. Il reste que les principaux partenaires de Facebook ont un accès préférentiel compte tenu de l’argent qu’ils dépensent ensemble ou de la valeur des données.

Je voudrais savoir, encore une fois, si Amazon ou Microsoft peut nous parler de la nature des données, de ce qu’elles englobent, et si ces arrangements sont toujours en vigueur.

M. John Weigelt:

Je ne peux rien dire de...

M. Damian Collins:

Je ne sais pas si cela veut dire que vous ne savez pas ou que vous ne savez pas quoi dire. Quoi qu’il en soit, si vous pouviez nous écrire, nous vous en serions reconnaissants.

M. Mark Ryland:

D'accord.

M. John Weigelt:

Sans faute.

M. Mark Ryland:

Nous ferons un suivi.

Le président:

Passons à M. Erskine-Smith. Vous avez cinq minutes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Je voudrais d’abord parler d'éthique et d’intelligence artificielle. Le Comité a entrepris une étude à ce sujet, et le gouvernement du Canada exige désormais des évaluations algorithmiques d'impact sur les ministères quand ceux-ci emploient un algorithme pour la première fois, à titre d'évaluation du risque dans l’intérêt public. D'après vous, est-ce qu'on devrait l'exiger des grandes entreprises de mégadonnées du secteur public comme la vôtre?

Je vais commencer par Amazon, puis je ferai le tour de la table.

M. Mark Ryland:

Nous faisons le maximum pour garantir l'impartialité des algorithmes, et c’est l’un de nos principes fondamentaux. Nous avons des ensembles de données d’essai pour veiller à toujours respecter la norme à cet égard.

M. Nathaniel Erskine-Smith:

Selon vous, est-ce qu'il devrait y avoir transparence pour le public afin de garantir une reddition des comptes suffisante concernant les algorithmes que vous appliquez à ces trésors considérables de données et de renseignements personnels?

M. Mark Ryland:

Je pense que le marché arrive très bien à faire en sorte que les entreprises se dotent de bonnes normes à cet égard.

M. Nathaniel Erskine-Smith:

Voyez-vous, ce qui est frustrant, c’est que vous avez dit être d’accord avec les principes du RGPD, et le droit à l'explication des algorithmes est justement un principe du RGPD.

Apple, qu’en pensez-vous?

M. Erik Neuenschwander:

Dans le modèle d’apprentissage machine que nous employons, nous voulons effectivement que les utilisateurs comprennent que nous le faisons principalement en le plaçant sur leurs appareils et en le développant à partir de leurs données. Quand nous développons des modèles généralisés, nous nous appuyons sur des ensembles de données publiques. Nous ne le faisons surtout pas à partir de données personnelles.

Si l'apprentissage machine se fait à partir de données personnelles, nous tenons absolument à ce que le processus puisse être expliqué aux utilisateurs et que ceux-ci puissent le comprendre.

M. Nathaniel Erskine-Smith:

Vous croyez donc à cette transparence publique.

M. Erik Neuenschwander:

Nous croyons en la transparence à bien des égards.

M. Nathaniel Erskine-Smith:

Microsoft, quel est votre avis?

M. John Weigelt:

Nous participons et nous contribuons au travail qui se fait ici, au Canada, et notamment au règlement des difficultés liées aux définitions. Dans le cas des systèmes d’intervention artificielle à grande échelle, il faut pouvoir expliquer à l’utilisateur ce qui se passe dans les coulisses.

C’est un sujet très controversé, un large domaine de recherche sur le droit à l’explication, sur la généralisabilité et sur la façon dont nous examinons les résultats.

D'après la documentation actuelle, tout se passe pour ainsi dire comme si l'évaluation des risques algorithmiques et un avis au public étaient obligatoires à partir du moment où on a la localisation du site Web — par exemple, si je viens du Québec et que je présente un site Web en français pour cette raison.

M. Nathaniel Erskine-Smith:

Vous vous inquiétez de la définition, mais vous êtes d'accord sur le principe.

M. John Weigelt:

Nous sommes d’accord sur le principe et nous félicitons le gouvernement du Canada d’avoir mis cela en place dès maintenant; d’autres devraient envisager des possibilités semblables.

M. Nathaniel Erskine-Smith:

Notamment le secteur privé et Microsoft.

Concernant la réglementation de la concurrence, j’ai lu hier une citation de l’organisme de réglementation allemand, qui souligne la position dominante de Facebook sur le marché et estime que « le seul choix donné à l’utilisateur est d’accepter de fournir une combinaison complète de données ou de s’abstenir d’utiliser le réseau social. En tout état de cause, on ne peut pas parler de consentement volontaire ».

Est-ce que le même principe s’applique à vos entreprises?

M. Mark Ryland:

Nous faisons face à une concurrence féroce sur les marchés où nous exploitons. Dans le domaine de l’infonuagique, par exemple, notre principal concurrent est l’ancien modèle d'exploitation des entreprises informatiques, et il y a un vaste éventail de concurrents.

M. Nathaniel Erskine-Smith:

Je vois. Changeons un peu de sujet. Est-ce qu'on devrait tenir compte de l’incidence sur la vie privée des consommateurs dans la réglementation de la concurrence?

M. Mark Ryland:

C’est un domaine qui n’est pas non plus de mon ressort. Je déteste donner cette réponse.

M. Nathaniel Erskine-Smith:

Dommage, parce que j’avais précisé à Amazon que nous discuterions justement de concurrence aujourd’hui.

Je pose la question aux autres entreprises: pensez-vous qu'on devrait tenir compte de l’incidence sur la vie privée des consommateurs dans la réglementation de la concurrence?

M. Erik Neuenschwander:

Vous laissez entendre qu’on exige, du moins dans certains cas, un consentement unique, du genre tout ou rien, et nous le savons très bien. Nous proposons, en fait, un consentement très nuancé et détaillé. Il est possible d’utiliser un appareil Apple sans s'inscrire ni créer de compte Apple. Nous essayons donc de différencier et de séparer ces choses.

(1050)

M. Nathaniel Erskine-Smith:

Je vois.

Est-ce que Microsoft a un point de vue sur cette question?

M. John Weigelt:

C'est une question de données et plus particulièrement de protection et d'utilisation des données. Je crois que nous devons examiner l'utilisation des données de façon plus générale. À ce chapitre, des fiches de données pourraient être utiles puisque, selon moi, la protection des renseignements personnels est une question de sécurité et d'accessibilité des données.

M. Nathaniel Erskine-Smith:

J'ai hâte de savoir ce que l'avocat général associé aura à dire demain au forum des données du commissaire à la concurrence.

J'ai une autre question au sujet du droit de la concurrence.

Dans les années 1990, Explorer était gratuit, et pourtant, on a empêché Microsoft d'être en situation de monopole avec son navigateur. Il ne s'agissait pas de protéger les consommateurs contre une hausse des prix. Il s'agissait de protéger l'innovation.

Je vais lancer quelques flèches en direction d'Amazon. Tout à l'heure, vous avez dit que les renseignements que je verse dans Alexa font partie de mon profil d'utilisateur. J'en déduis que ce que je regarde sur Prime, ce que j'achète de n'importe quel vendeur et ce que je recherche sur Amazon ou ailleurs sur Internet, tout cela est agrégé en un profil unique aux fins des publicités ciblées, je présume.

J'aimerais aussi savoir si mon profil d'utilisateur, combiné au profil des autres utilisateurs, oriente vos décisions en matière de nouveaux produits. Est-ce une question légitime?

M. Mark Ryland:

Nous examinons les tendances, les achats et le comportement de nos clients pour déterminer quels seront les prochains...

M. Nathaniel Erskine-Smith:

Au contraire, en réponse aux questions de M. Saini, vous avez dit ne pas faire le pistage en ligne des renseignements des vendeurs tiers sur vos sites Web. Si l'on regarde les choses sous un autre angle, on constate que vous faites le pistage de toutes les décisions d'achat individuelles sur Amazon et que vous combinez ces données pour faire concurrence aux vendeurs tiers sur votre plateforme de commerce. N'exploitez-vous pas ainsi votre position hégémonique?

M. Mark Ryland:

Je pense que le fait que le marché des vendeurs tiers est si prospère — on y retrouve un très grand nombre d'entreprises prospères — montre très clairement que ce n'est pas un problème.

M. Nathaniel Erskine-Smith:

Vous n'estimez pas détenir un avantage indu sur le marché.

M. Mark Ryland:

Non.

M. Nathaniel Erskine-Smith:

Ma dernière question a été soulevée par...

Le président:

Faites vite, je vous prie. Nous essayons de donner la parole à tout le monde.

M. Nathaniel Erskine-Smith:

En ce qui concerne la monétisation des données personnelles, comme je l'ai dit hier aux experts, le problème tient au modèle d'affaires. Cette proposition a été formulée par un certain nombre de personnes. Je crois que Tim Cook d'Apple a fait valoir le même argument en ce qui a trait au complexe industriel de données.

J'aimerais que les témoins de Microsoft et d'Amazon me disent s'ils pensent que le modèle d'affaires est problématique en soi. Vous voulez recueillir de plus en plus de renseignements à notre sujet. Quelle est l'utilité, pour nous, de cette collecte massive de renseignements à notre sujet? Le modèle d'affaires pose-t-il problème?

M. John Weigelt:

Je tiens à préciser que les renseignements que nous recueillons ne concernent que les produits. Nous ne cherchons pas à personnaliser les choses pour cibler une personne en particulier.

Lorsque nous nous rendons compte que les gens n'utilisent pas une fonctionnalité, grosso modo, nous faisons usage de l'anonymat et du pseudonymat; c'est une excellente fonctionnalité. Nous essayons de faire ressortir cette fonctionnalité dans les versions subséquentes. C'est simplement pour nous aider à améliorer notre entreprise. Nous sommes une société de logiciels et de services. C'est notre secteur d'activité.

M. Mark Ryland:

Notre modèle d'affaires est tout à fait conforme à la protection de la vie privée des consommateurs, car il s'agit de respecter les choix de ceux-ci grâce à un modèle traditionnel d'achat et de vente de ressources et de produits et de services.

M. Nathaniel Erskine-Smith:

Merci.

Le président:

Nous passons maintenant à M. Angus. Vous avez cinq minutes.

M. Charlie Angus:

Merci beaucoup.

Diapers.com était une entreprise en ligne qui vendait des couches dans ce « marché concurrentiel » dont parle Amazon. Jeff Bezos voulait l'acheter. L'entreprise a refusé l'offre, alors Amazon a fixé des prix d'éviction. Amazon perdait 100 millions de dollars en couches tous les trois mois, et ce, afin de pousser un concurrent à la vente ou à la faillite. Finalement, Diapers.com a accepté l'offre. On craignait qu'Amazon ne baisse les prix encore plus.

Nous parlons d'antitrust en raison de ce qu'on appelle, dans The Economist, la « zone de destruction » de l'innovation. Or, dans le cas d'Amazon, il s'agit d'une zone de destruction de la concurrence fondée sur le pouvoir que vous avez, sur toutes vos plateformes, de baisser les prix et de pousser les gens à la faillite. Selon Shaoul Sussman, les pratiques de prix d'éviction d'Amazon relèvent de l'antitrust et réclament une mesure législative.

Que répondez-vous à cela?

M. Mark Ryland:

Je me dois de répéter que je ne suis pas un expert en droit de la concurrence et que je ne connais pas l'historique ou les détails de certains éléments dont vous faites mention.

Dans notre secteur d'activité en général, nous constatons une forte concurrence entre toutes ces entreprises. Il y a beaucoup d'entreprises en démarrage et un grand nombre de concurrents qui utilisent notre plateforme Amazon Web Services — soit AWS. Certaines des plus grandes plateformes de commerce en ligne en Allemagne et en Amérique latine, par exemple, nous font confiance et utilisent AWS. Nous pensons donc que la concurrence fonctionne bien.

M. Charlie Angus:

Oui, vous avez tous ces gens qui utilisent vos services infonuagiques, puis vous pouvez baisser les prix dans une attaque contre les petites entreprises familiales. Lena Kahn, de Open Markets, dit que, étant donné que vous dominez le marché dans un si grand nombre de secteurs, vous pouvez utiliser les profits que vous tirez des services infonuagiques pour imposer des prix d'éviction et réduire la concurrence. Elle dit que la « structure et la conduite [de votre entreprise] soulèvent des préoccupations d'ordre anticoncurrentiel, et pourtant, [la société] échappe au contrôle antitrust ».

Les législateurs doivent se pencher sur cette question, selon moi. Nous constatons que, au Canada, vous jouissez de l'avantage de ne pas payer des impôts au même titre que nos entreprises les plus pauvres. Au Royaume-Uni, vous avez gagné 3,35 milliards de livres et vous n'avez payé que 1,8 million de livres sur des revenus imposables. Si vous obtenez ce genre de traitement, on peut dire que vous êtes le plus grand assisté social de la terre entière.

Aux États-Unis, les choses vont encore plus rondement. Vous avez réalisé des profits de 11 milliards de dollars et vous avez obtenu un remboursement de 129 millions de dollars. De fait, vous avez eu droit à un taux d'imposition négatif de 1 %. Voilà un avantage extraordinaire. Quelle entreprise ou quel particulier ne voudrait obtenir un remboursement au lieu de payer des impôts?

Comment justifier l'existence d'un marché où Amazon peut couper l'herbe sous le pied de n'importe quel concurrent ou éditeur de livres sans même payer sa juste part d'impôts? Ne croyez-vous pas qu'il nous incombe de vous rappeler à l'ordre et de veiller à ce que le marché soit gouverné par des règles équitables?

(1055)

M. Mark Ryland:

Mes excuses. Comme je vous l'ai déjà dit, je ne suis pas un expert en droit de la concurrence. La discussion devait porter sur la sécurité, la protection des consommateurs et la protection de la vie privée, un domaine dans lequel j'ai une certaine expertise. Je ne suis pas en mesure de répondre à vos questions sur les sujets dont vous parlez.

M. Charlie Angus:

Oui, c'est malheureux. C'est pourquoi le président du Comité a demandé que nous invitions des gens qui soient à même de répondre aux questions, parce que ce sont là les questions qui, pour nous, les législateurs, exigent des réponses. Nous sommes dans une nouvelle ère et en raison de Facebook, nous nous trouvons dans la situation actuelle. Si les pratiques d'entreprise de Facebook étaient meilleures, nous ne serions peut-être pas tenus de nous pencher là-dessus. Or, nous y sommes tenus. Si Amazon ne se livrait pas à de telles pratiques anticoncurrentielles, nous pourrions penser que le libre marché fonctionne parfaitement, mais ce n'est pas le cas actuellement, et vous n'arrivez pas à nous donner des réponses.

Voilà qui nous place dans une situation difficile. À titre de législateurs, nous demandons des réponses. Qu'est-ce qu'un taux d'imposition équitable? Comment assurer la concurrence sur le marché? Comment pouvons-nous nous assurer qu'il n'y a pas de pratique de prix d'éviction acculant les entreprises — nos entreprises — à la faillite en raison de votre hégémonie sur le marché? Pourtant, vous n'arrivez pas à répondre à nos questions. Tout cela nous laisse très perplexes. Devrions-nous demander l'aide d'Alexa ou de Siri?

Des voix: Oh, oh!

M. Mark Ryland:

Je m'excuse, mais je n'ai pas l'expertise nécessaire pour répondre à ces questions.

M. Charlie Angus:

Merci.

Le président:

J'aimerais revenir sur ce qu'a dit M. Angus. C'est la raison pour laquelle nous avons demandé à M. Bezos de venir. Il peut répondre à ce genre de questions devant notre grand Comité. C'est lui qui aurait été à même de répondre à toutes nos questions. Nous n'aurions exclu aucun témoin du Comité, mais nous voulions entendre des gens capables de nous donner des réponses complètes au sujet de l'ensemble du dossier.

Je donne maintenant la parole à M. Lucas, du Royaume-Uni.

M. Ian Lucas:

Monsieur Weigelt, puis-je revenir à la question du transfert de données au sein de Microsoft? Vous avez dit que Microsoft avait acquis un certain nombre d'entreprises, dont LinkedIn. Pouvez-vous apporter des éclaircissements? Si je confie des renseignements à LinkedIn, ceux-ci sont-ils ensuite communiqués à d'autres entreprises au sein de Microsoft?

M. John Weigelt:

Pas du tout. LinkedIn conserve une certaine indépendance par rapport à la société Microsoft.

M. Ian Lucas:

Vous dites donc que l'information recueillie par LinkedIn est isolée et qu'elle n'est pas communiquée au sein de la société Microsoft.

M. John Weigelt:

Tout transfert de... Excusez-moi. Permettez-moi de revenir en arrière. Toute connexion entre votre profil LinkedIn et, par exemple, votre suite Office est effectuée par vous-même, l'utilisateur. C'est une connexion qui est établie sciemment. Par exemple, vous pouvez choisir de tirer parti d'une connexion à LinkedIn dans vos clients de messagerie. Alors, l'utilisateur accomplit une action dans son profil LinkedIn. C'est sa suite Office...

M. Ian Lucas:

Ce qui m'intéresse, c'est le fonctionnement par défaut. Si je m'inscris à LinkedIn, j'omets de lire les modalités d'utilisation et je donne des renseignements, est-il possible que ceux-ci soient transférés vers d'autres entreprises de la famille Microsoft, pour reprendre votre appellation?

M. John Weigelt:

LinkedIn ne partage pas de tels renseignements à l'échelle de l'entreprise à partir du système informatique dorsal.

M. Ian Lucas:

En règle générale, les renseignements sont-ils transférés à travers les différentes entreprises faisant partie de la société Microsoft?

M. John Weigelt:

En règle générale, chaque secteur d'activité est indépendant.

(1100)

M. Ian Lucas:

Y a-t-il un transfert d'informations entre les différentes entreprises?

M. John Weigelt:

Les renseignements personnels sont conservés dans chaque secteur d'activité.

M. Ian Lucas:

Je viens de poser une question très précise. La politique de la société Microsoft permet-elle le transfert de données personnelles entre les différentes entreprises appartenant à Microsoft?

M. John Weigelt:

C'est une question d'usage compatible...

M. Ian Lucas:

Pouvez-vous répondre par un oui ou par un non?

M. John Weigelt:

C'est une question d'usage compatible, n'est-ce pas? Donc, nous, à titre de...

M. Ian Lucas:

La réponse à cette question est soit oui, soit non.

M. John Weigelt:

Je dois répondre que je ne peux ni affirmer ni nier qu'il y ait... Je ne suis pas au courant.

M. Ian Lucas:

Bon, d'accord. Voilà qui ne nous avance pas beaucoup.

Pourriez-vous me revenir là-dessus?

M. John Weigelt:

Certainement.

M. Ian Lucas:

Merci.

Monsieur Neuenschwander, j'ai devant moi deux appareils Apple très impressionnants, quoique mes collègues technophiles me disent que mon iPhone est complètement dépassé.

Le problème, c'est que bien souvent, les gens accèdent à Facebook, par exemple, au moyen d'un appareil Apple. Vous avez dit qu'une grande quantité de renseignements se retrouvent dans le téléphone ou dans l'iPad d'Apple. Vous avez aussi dit que ces renseignements ne sont pas transférés ailleurs et qu'il ne vous appartient pas de les transférer. Je n'accepte pas vraiment cet argument, parce que les gens ont accès à d'autres plateformes au moyen de vos appareils.

Votre entreprise est l'une des plus grandes sociétés du monde. Vous pouvez choisir avez qui vous faites affaire. Pourquoi permettre aux entreprises qui ne partagent pas votre approche en matière de protection de la vie privée d'utiliser votre matériel pour faire des affaires?

M. Erik Neuenschwander:

Je ne sais pas si les entreprises sont d'accord ou non avec notre approche. Je pense que nous encouragerions... Nous essayons de donner l'exemple dans notre approche en matière de protection de la vie privée.

Comme je l'ai dit, l'objectif de mon équipe est, je crois, de mettre les renseignements sur l'appareil, mais je pense que nous avons une responsabilité à l'égard du déplacement de ces renseignements. C'est pourquoi nous avons pris des mesures pour que notre système d'exploitation s'interpose entre les applications et certaines données présentes sur l'appareil.

Il y a des données présentes sur l'appareil que nous n'avons jamais rendues accessibles. Il en restera ainsi, je crois. Par exemple, le numéro de téléphone de l'utilisateur ou les identificateurs du matériel qui pourraient être utilisés pour le pistage n'ont jamais été rendus accessibles sur notre plateforme.

Il s'agit d'un concept technologique du type « vase clos », selon lequel chaque application est séparée à la fois des autres applications et des données présentes dans le système d'exploitation.

M. Ian Lucas:

Là où je veux en venir, c'est que vous établissez les principes. Le président les a énoncés. C'est vraiment complexe et difficile pour nous de légiférer sur ces questions. Nous nous en rendons tous compte.

Vous pouvez décider si vous faites affaire avec Facebook. Si vous le vouliez, vous pourriez refuser à Facebook l'accès à votre matériel en cas de non-respect des principes. Facebook a causé beaucoup de tort à votre secteur. Pourquoi continuez-vous de faire affaire avec cette entreprise?

M. Erik Neuenschwander:

Si vous parlez de la disponibilité de l'application sur l'App Store, je crois qu'il y a deux...

M. Ian Lucas:

On ne peut nier qu'énormément de gens accèdent à Facebook au moyen de vos appareils.

M. Erik Neuenschwander:

D'accord. D'un côté, supposons que l'application Facebook ne soit pas offerte. Facebook a un site Web auquel les gens pourraient toujours avoir accès au moyen de notre navigateur ou d'un navigateur concurrent.

Si nous allons plus loin et disons que nous devrions commencer à imposer ce que j'appellerais...

M. Ian Lucas:

Il ne s'agit pas d'imposer quelque chose. C'est une question d'accord. Si vous croyez en vos principes et si vous êtes une entreprise éthique, vous devriez faire affaire avec des gens qui respectent vos principes. Vous avez le pouvoir de faire cela.

M. Erik Neuenschwander:

Ce qui est en mon pouvoir, je suppose, ce sont les mesures techniques. Mon approche consiste à dire que toute application ou tout service passant par le téléphone devrait comprendre des mesures techniques permettant à l'utilisateur de garder la maîtrise de ses données.

M. Ian Lucas:

Vous pourriez décider de ne pas faire affaire avec Facebook. Vous pourriez établir vos propres principes et les appliquer en choisissant avec qui vous faites affaire. Pourquoi ne faites-vous pas cela?

M. Erik Neuenschwander:

Si vous parlez de la disponibilité de Facebook sur l'App Store, le retrait de cette application n'aurait pas une incidence mesurable sur la protection de la vie privée.

M. Ian Lucas:

Vraiment?

M. Erik Neuenschwander:

Je pense que les utilisateurs...

M. Ian Lucas:

Vous feriez les manchettes, ne croyez-vous pas?

(1105)

M. Erik Neuenschwander:

Bien sûr, nous ferions les manchettes. Avec tout le respect que je vous dois, je ne crois pas que les manchettes aient nécessairement une incidence sur la protection de la vie privée. Je pense que les utilisateurs...

M. Ian Lucas:

Ne pensez-vous pas que cela aurait une incidence importante sur l'approche adoptée par Facebook?

M. Erik Neuenschwander:

Comme vous l'avez souligné, Facebook est un service extrêmement populaire. Les utilisateurs se tourneraient vers les technologies Web pour trouver d'autres façons de continuer à accéder à Facebook. Personnellement, je ne vois pas comment Apple pourrait... ou comment je pourrais, par respect pour la vie privée d'une personne...

M. Ian Lucas:

Ce qui me préoccupe, c'est que vous vous présentez comme les bons tout en facilitant les choses pour les méchants par l'entremise de votre matériel.

M. Erik Neuenschwander:

Au fil des ans, nous avons adopté de nombreuses mesures pour établir des limitations et pour en faire plus que toute autre plateforme en matière de protection de la vie privée et de maîtrise des utilisateurs sur les données présentes sur nos appareils. C'est précisément grâce à l'intégration de notre matériel informatique que nous avons pu prendre tant de mesures positives et proactives pour encourager la minimisation des données et pour permettre aux utilisateurs d'avoir une maîtrise sur leurs données.

M. Ian Lucas:

Cependant, vous voulez tout de même faire affaire avec les méchants.

Le président:

Merci, monsieur Lucas. Nous devons poursuivre.

Nous passons maintenant à Mme Naughton, de l'Irlande.

Mme Hildegarde Naughton:

Merci.

J'aimerais revenir à M. Ryland et à la question que j'ai posée plus tôt au sujet de l'affichage des noms et des adresses électroniques des clients par Amazon. Êtes-vous absolument certain que cela ne s'est pas produit?

M. Mark Ryland:

Chose certaine, je ne suis pas au courant de l'incident. Je ne crois pas que cela se soit produit, mais nous vous reviendrons là-dessus.

Mme Hildegarde Naughton:

Le 21 novembre 2018, deux articles ont paru dans The Guardian et dans The Telegraph. Dans les deux cas, on faisait état d'une importante atteinte à la protection des données chez Amazon, si bien que les noms et adresses électroniques des clients avaient été divulgués sur le site Web de l'entreprise.

M. Mark Ryland:

Je me ferai un plaisir de vous revenir là-dessus.

Mme Hildegarde Naughton:

Merci. Je voulais simplement tirer cela au clair. C'est consigné au compte rendu.

Le président:

Monsieur Lawless, vous avez la parole.

M. James Lawless:

J'ai une question au sujet de la transférabilité des données et du principe du RGPD. Cela m'a semblé poser problème.

Pour ce qui est des mégadonnées, il s'agit de savoir où elles se trouvent, comment elles sont stockées, sous quelle forme elles sont conservées, etc. Acceptez-vous cela? Souhaitez-vous conserver des données qui soient exclusives à votre société ou êtes-vous à l'aise avec l'utilisation de formats ouverts qui permettent le partage? J'aimerais savoir quelle est la position actuelle de chacun d'entre vous au sujet de la transférabilité des données.

M. Alan Davidson:

Nous pensons que l'accès et la transférabilité des données sont des éléments extrêmement importants du RGPD. En fait, ce sont des piliers de toute bonne réglementation en matière de protection de la vie privée. C'est sans parler de l'effet positif que cela pourrait avoir sur la concurrence. Nous pensons qu'il y a beaucoup de travail prometteur à accomplir pour faire en sorte que les gens sachent ce qui se trouve à tel endroit et pour que cette information — laquelle nous fournissons, d'ailleurs, lorsque nous détenons des données — soit utilisable.

Il ne s'agit pas seulement de savoir que l'on peut télécharger tout son corpus de données Facebook — je l'ai fait et j'encourage les gens à le faire, c'est très intéressant. Il s'agit aussi de rendre ces données utilisables, de telle sorte que l'utilisateur puisse les transporter ailleurs s'il le souhaite.

M. John Weigelt:

Nous nous sommes engagés à respecter le RGPD et les principes de la transférabilité des données. La grande question porte sur l'interopérabilité des profils ou des données et sur la possibilité de les déplacer dans un format approprié. Pour l'heure, on ignore encore où les gens veulent transférer leurs données et dans quels formats ils veulent le faire.

M. James Lawless:

Microsoft a fait des progrès à ce chapitre. Je sais que, par le passé, on alléguait qu'il y avait chez Microsoft un problème qui tenait aux formats exclusifs, mais aujourd'hui, on offre toujours l'option de « sauvegarder sous » un format plus ouvert. Est-ce là ce que vous avez fait?

M. John Weigelt:

Tout à fait. Même que dans le secteur, dans le domaine de l'infonuagique, des activités arbitraires ont été déplacées d'un endroit à l'autre. Nous avons adopté cette approche. De plus, nous nous sommes tournés vers la communauté des codes sources ouverts et des données ouvertes pour obtenir des conseils.

M. Erik Neuenschwander:

Anticipant le RGPD, Apple a lancé un portail de données et de renseignements personnels. Les utilisateurs peuvent télécharger leurs renseignements personnels, au titre de l'accès à l'information comme au titre de la transférabilité, en formats lisibles par des humains et par des machines.

M. Mark Ryland:

Au nom d'Amazon Web Services, où je travaille, je dirai que l'importation et l'exportation sont des fonctionnalités fondamentales de notre plateforme. Chez nous, toute fonction d'importation se double d'une fonction d'exportation dans des formats lisibles par des machines virtuelles ou dans d'autres types de formats de données d'importation ou d'exportation. Nos outils sont toujours bidirectionnels.

Nous collaborons aussi beaucoup avec la communauté des codes sources ouverts en vue de la transférabilité des codes des applications, entre autres. Par exemple, bon nombre de nos plateformes sont compatibles avec les formats pour le débardage des conteneurs, tel Kubernetes pour la gestion de grappes de serveurs. Les utilisateurs peuvent très facilement créer des systèmes caractérisés par une très grande transférabilité des données entre les plateformes. Telles sont les attentes de nos clients, attentes auxquelles nous souhaitons répondre.

(1110)

M. James Lawless:

Vous dites que c'est comme Apache, suivant les lignes directrices des fondations du code source ouvert. Les normes du code source ouvert sont en train d'être consolidées et acceptées, je suppose, dans une certaine mesure. Peut-être s'agissait-il de concepts communautaires antérieurs au RGPD, mais ces concepts sont maintenant assez généralisés, n'est-ce pas?

M. John Weigelt:

Tout à fait.

M. James Lawless:

Oui, d'accord. C'est très bien. Merci.

Merci, monsieur le président.

Le président:

Nous passons maintenant à Mme Xueling, de Singapour. Vous avez cinq minutes.

Mme Sun Xueling:

Monsieur Davidson, vous avez dit tout à l'heure, en réponse à une question de M. Baylis, qu'en ce qui concerne les publicités politiques, vous aimeriez voir les entreprises adopter des mesures pour promouvoir la transparence. J'aimerais donner deux exemples dans lesquels les mesures prises par les entreprises n'ont pas été suffisantes.

En avril 2018, Facebook a mis en œuvre de nouvelles règles pour la transparence en matière de publicité politique. Chez Facebook, on a admis avoir pris beaucoup de temps pour déceler l'ingérence étrangère dans les élections américaines de 2016. On a dit avoir amélioré la transparence en matière de publicité et on a argué que, par conséquent, il y aurait une meilleure reddition de comptes. Pourtant, à la fin d'octobre 2018, Vice News a publié un rapport montrant à quel point il était facile de contourner les barrières que Facebook avait prétendu avoir mises en place. Les journalistes ont dû se soumettre à une vérification d'identité avant de pouvoir acheter des annonces publicitaires, mais une fois cette étape franchie, ils ont été capables de publier des annonces semant la discorde et de mentir au sujet de ceux qui les avaient payées.

Voilà pour Facebook.

Par ailleurs, en août 2018, Google a déclaré avoir investi dans des systèmes robustes visant à identifier les opérations d'influence lancées par des gouvernements étrangers. Cependant, peu de temps après, un organisme sans but lucratif nommé Campaign for Accountability a mené une expérience qui a été décrite en détail: des chercheurs de l'organisme ont prétendu travailler pour un organisme de recherche Internet, puis ils ont acheté des publicités politiques ciblant les internautes américains. Selon Campaign for Accountability, chez Google, on n'a pas tenté de vérifier l'identité du compte et on a approuvé les annonces en moins de 48 heures. Les publicités ont été diffusées sur un large éventail de sites Web et de chaînes YouTube, générant plus de 20 000 visionnements, et ce, pour un coût inférieur à 100 $.

Ainsi, il ne semble pas que les plateformes soient sur le point de remplir leur promesse de protection contre l'ingérence étrangère.

Êtes-vous d'accord avec ce que je viens de dire?

M. Alan Davidson:

Manifestement, il nous reste beaucoup de travail à faire. Tout à fait. Nous qui travaillons dans ce domaine avons ressenti une frustration, car nous pensons que la transparence de la publicité est un outil extrêmement important pour accomplir cela. Les autres outils ne sont pas aussi efficaces.

Mme Sun Xueling:

Oui. Il ne semble pas qu'il s'agisse d'un problème technique à proprement parler, puisque les chercheurs ont indiqué avoir utilisé l'adresse IP russe pour accéder aux plateformes de publicité russe de Google et fournir les détails de l'organisme de recherche Internet. Ils sont allés jusqu'à payer les publicités en roubles.

Voilà qui semble indiquer que le désir de vendre des publicités est plus fort que l'intention de réduire l'ingérence étrangère.

M. Alan Davidson:

Je mettrais un bémol. Il est encore trop tôt pour dire ce qu'il en est. Il reste beaucoup à faire, à mon avis. L'expérience des élections en Inde et au Parlement européen sera peut-être instructive. Là-bas, les gens ont tenté d'adopter des mesures de manière beaucoup plus proactive. Nous devons être à même d'évaluer cela, je crois. C'est pourquoi, entre autres raisons, la transparence est importante.

Les plateformes doivent en faire plus, mais comme l'un de vos collègues l'a souligné, nous devrions aussi nous pencher sur les auteurs de ces actes...

Mme Sun Xueling:

Tout à fait, oui.

M. Alan Davidson:

... et lorsque des États-nations s'en prennent à nos entreprises, nous avons besoin de l'aide du gouvernement.

Mme Sun Xueling:

Plus tôt, vous avez parlé de garde-fous.

M. Alan Davidson:

Oui.

Mme Sun Xueling:

Je crois que c'est important pour que nous évitions de plonger dans l'abîme de la désinformation.

M. Alan Davidson:

Je suis d'accord.

Mme Sun Xueling:

Merci.

Merci, monsieur le président.

Le président:

Merci.

Nous passons maintenant à Mme Vandenbeld. C'est à vous.

Mme Anita Vandenbeld:

Je vais changer un peu le sujet de la conversation. Monsieur Davidson, dans votre déclaration préliminaire, vous avez mentionné le fait que votre entreprise met davantage l'accent sur la diversité de la main-d'œuvre. Nous savons — des témoins entendus ici l'ont aussi dit — que les algorithmes sont influencés par les préjugés sociaux de ceux qui en écrivent le code, de sorte que si la plupart des programmeurs sont des hommes dans la vingtaine, leurs préjugés sociaux seront reconduits par les algorithmes.

Dans quelle mesure est-il important de diversifier la main-d'œuvre? Comment vous y prenez-vous? Quelles sont les répercussions?

M. Alan Davidson:

Selon nous, c'est extrêmement important. Non seulement est-ce la bonne chose à faire, mais nous soutenons aussi que les produits que nous créerons seront meilleurs si nous disposons d'une main-d'œuvre plus diversifiée qui reflète l'ensemble des communautés que nous desservons.

C'est un grand problème dans la Silicon Valley et dans le secteur de la technologie en général. Je pense que nous devrions tous l'admettre. Nous devons travailler là-dessus sans relâche.

Dans notre entreprise, nous en avons fait une très grande priorité. Par exemple, chaque année, tous les cadres de notre entreprise ont des objectifs. Nous parlons d'objectifs et de résultats clés. Chacun établit ses propres critères, mais il y a un critère qui est obligatoire pour tout le monde. La question se pose comme suit: dans quelle mesure avez-vous réussi à assurer la diversité dans votre processus d'embauche? Lorsque l'on se sait évalué, on a tendance à fournir un effort quelque peu accru.

Nous devons en faire plus à ce chapitre. Nous sommes les premiers à reconnaître qu'il nous reste du chemin à faire. Je pense que nous avons fait beaucoup de progrès en matière de diversité des genres, surtout parmi les membres de la communauté du domaine technique. Dans d'autres aspects de la diversité ethnique, nos résultats sont moins bons, il nous reste beaucoup à faire. Nous y travaillons vraiment.

(1115)

Mme Anita Vandenbeld:

Merci.

M. Alan Davidson:

Merci d'avoir soulevé la question.

Mme Anita Vandenbeld:

Pourrais-je demander à chacun des autres témoins de s'exprimer à ce sujet?

M. John Weigelt:

Chez Microsoft, Satya Nadella en a fait une priorité absolue. Nous reconnaissons que nos décisions et nos produits sont meilleurs si notre entreprise reflète mieux les communautés que nous desservons.

Ici, au Canada, nous travaillons à faire en sorte que Microsoft Canada reflète la mosaïque culturelle du Canada, ce qui comprend non seulement le sexe, mais aussi les origines ethniques et l'orientation. De plus, pour les personnes qui ont des exigences d'adaptation et des méthodes de travail uniques, comme des problèmes de vision, d'ouïe ou d'attention...

Nous travaillons vraiment à forger une telle communauté en intégrant cet effort au sein de notre programme d'éthique de l'IA. Nous avons un comité de gouvernance qui se penche sur les utilisations délicates de l'IA. Ensuite, nous réunissons un groupe de personnes très diversifié pour examiner toutes les facettes de cette utilisation délicate. Nous voulons expressément obtenir le point de vue intersectionnel de toute personne de l'entreprise souhaitant émettre un commentaire afin de refléter cette mosaïque culturelle dont j'ai parlé. De cette façon, nous pensons être à même de tuer dans l'œuf certains effets imprévus potentiels, de manière à pouvoir donner des conseils et une orientation à l'avenir.

Mme Anita Vandenbeld:

Allez-y.

M. Erik Neuenschwander:

En plus de la protection des renseignements personnels, la diversité constitue l'une des quatre valeurs d'entreprise de notre PDG Tim Cook. Les deux valeurs sont très importantes. Cela va bien au-delà de l'IA. La protection de la vie privée relève surtout de la condition humaine. Pour ce qui est de la diversité des points de vue, elle nous aidera à faire de bons choix.

En matière de diversité dans notre entreprise, je n'ai pas les chiffres sous la main. Je suis sûr qu'il nous reste encore beaucoup de travail à faire. Nous avons adopté des mesures d'amélioration non seulement en matière de recrutement et de rayonnement visant à attirer des personnes de la diversité, mais aussi en matière de roulement ou de longévité de la carrière. Faire entrer une personne dans l'entreprise est une chose, s'assurer qu'elle a une expérience de carrière productive et enrichissante pour qu'elle reste dans l'entreprise et continue d'y contribuer en est une autre.

Comme je l'ai dit, nous avons encore du travail à faire sur ces deux aspects.

Mme Anita Vandenbeld:

Merci.

M. Mark Ryland:

La situation est similaire chez Amazon. Nous mettons beaucoup l'accent sur la diversité. Parmi nos objectifs d'entreprise, cet enjeu occupe une grande place. Les gestionnaires d'embauche et les cadres supérieurs sont tenus d'atteindre des objectifs précis à cet égard.

Bien entendu, ce n'est pas seulement une question d'embauche. C'est aussi une question de longévité de carrière, de gestion de carrière et de création de communautés d'intérêts au sein de notre entreprise. Ainsi, les gens sentent qu'ils font partie à la fois de l'entreprise dans son ensemble et de communautés d'intérêts qui leur ressemblent vraiment.

Nous travaillons très fort dans tous ces domaines pour accroître la diversité de l'entreprise. Encore une fois, nous pensons que c'est ce qu'il y a de mieux pour les affaires. Non seulement est-ce la bonne chose à faire, mais c'est aussi ce qui nous aidera à créer de meilleurs produits, parce que les origines diverses de nos employés correspondent aux clients que nous essayons de rejoindre.

Mme Anita Vandenbeld:

Merci.

Le président:

Merci, madame Vandenbeld.

J'aimerais expliquer le déroulement des choses. Nous aurons encore quelques interventions, puis nous entendrons les derniers commentaires des vice-présidents, du coprésident et de moi-même. Ensuite, ce sera terminé. Si nous dépassons les 11 h 30, ce sera de peu.

Monsieur Kent, vous avez cinq minutes.

L'hon. Peter Kent:

Merci, monsieur le président.

J'aimerais revenir à la question de la concurrence, de l'antitrust et des monopoles dans le nouveau marché. On a beaucoup parlé récemment, particulièrement aux États-Unis, des nouveaux monopoles numériques et du fait qu'ils sont peut-être beaucoup plus durables que les monopoles du passé — les chemins de fer, les compagnies de téléphone, etc. Ces monopoles peuvent vaincre leurs concurrents en les achetant ou en les détruisant.

Hier, j'ai cité, à l'intention du représentant de Facebook qui comparaissait au Comité, les écrits de Chris Hughes, le cofondateur de Facebook, désormais désillusionné. Certains de nos témoins d'aujourd'hui ont laissé entendre que leurs entreprises seraient peut-être prêtes à accepter des déclinaisons de la loi européenne. Toutefois, M. Hughes a fait les manchettes en laissant entendre que Facebook devrait être démantelée et faire l'objet d'une démarche antitrust. Il a dit ceci: « Ce qui effraie chez Facebook, ce n'est pas quelques règles de plus. C'est une poursuite antitrust ».

Je sais que la défense contre les poursuites antitrust peut poser problème. En situation de monopole en matière de mégadonnées, vous invoquez l'excuse suivante: votre service est gratuit, il n'y a pas de coûts tangibles associés aux achats des consommateurs.

C'est peut-être une question trop vaste pour le poste que vous détenez, comme on l'a déjà dit. C'est pourquoi nous avions demandé que les PDG soient présents aujourd'hui. Je me demande tout de même, particulièrement dans le cas d'Amazon et de Microsoft, si vous pourriez nous parler du point de vue de vos entreprises visant à contrer ces discussions antitrust et les appels au démantèlement dans l'intérêt d'une plus grande concurrence et d'une plus grande protection des consommateurs.

Je pose d'abord la question à M. Ryland.

(1120)

M. Mark Ryland:

Je dirai volontiers quelques mots à ce sujet.

Comme je l'ai déjà dit, notre modèle d'affaires est très traditionnel. Nous vendons des biens et des services — lesquels ont une valeur pécuniaire — tant dans notre commerce de détail Amazon.com que dans notre entreprise d'infonuagique, et nous faisons face à une concurrence féroce pour toutes sortes de services et de plateformes qui ne se limitent pas à l'Internet. Les gens utilisent une grande variété de canaux et de mécanismes pour acquérir des services de TI, que ce soit pour l'infonuagique ou pour d'autres types de ressources. De notre point de vue, il s'agit tout simplement d'un modèle d'affaires très différent, et notre utilisation des données pour améliorer l'expérience des consommateurs est, à notre avis, très avantageuse pour les consommateurs. Ceux-ci apprécient vraiment l'expérience d'utilisation de ces technologies.

À mon avis, c'est une approche qui diffère beaucoup de certains enjeux que vous soulevez. Je m'en tiens à cette affirmation plutôt générale. En ce qui concerne les détails du droit de la concurrence, comme je l'ai déjà dit, je ne suis pas un expert.

Je pense vraiment que notre modèle d'affaires est très traditionnel à cet égard. C'est un peu différent, à mon avis.

L'hon. Peter Kent:

Merci.

Je vais passer au témoin de Microsoft.

M. John Weigelt:

Au vu de la longévité de notre entreprise, qui existe depuis les années 1970, nous avons connu des fluctuations. Nous avons eu un téléphone par le passé. Nous avons un excellent navigateur, mais celui-ci a subi un certain nombre de modifications. Auparavant, on disait: un ordinateur sur chaque bureau. Aujourd'hui, on dit plutôt: un téléphone dans chaque poche. Ces fluctuations traversent le milieu qui est le nôtre.

Pour ce qui est de l'environnement des données, les consommateurs se tourneront vers les services qui leur plaisent. Il y aura des fluctuations. Si vous parlez aux milléniaux, ils vous diront qu'ils utilisent différents services. Par exemple, mes enfants — qui, s'ils ne se considèrent pas comme des milléniaux, occupent le même espace —, diront ceci: « Papa, ne me parle pas sur cette plateforme, je ne suis pas là. Parle-moi sur cette autre plateforme ». Ces choses-là fluctuent.

Des données, on passe ensuite aux algorithmes. Nous entrevoyons une ère algorithmique et une monétisation des algorithmes. Nous assistons à une transition des algorithmes aux API, les gens tirant un profit pécuniaire de ces API.

Nous voyons ce moteur d'innovation en marche, qui va continuellement de l'avant. Nous devons travailler ensemble pour essayer d'anticiper les conséquences imprévues et d'apprendre en cours de route des leçons en matière de désinformation. C'est comme le jeu de la taupe: on n'a pas plus tôt frappé une taupe qu'une autre resurgit à un endroit imprévu. On s'exclame alors: « Oh, nous n'avions pas pensé à cela. » En travaillant ensemble, nous pouvons mettre en place les instruments pour y arriver.

J'ai donné une réponse abstraite à votre question au sujet de l'anticoncurrence et de l'antitrust, je sais, mais j'aimerais aborder la question sous l'angle général et sur le plan des fluctuations. Comment pouvons-nous mettre en place des mécanismes de protection solides pour les entreprises et les particuliers? Grâce à des partenariats.

L'hon. Peter Kent:

C'est au tour des témoins d'Apple et de Mozilla.

M. Erik Neuenschwander:

Je ne crois pas avoir grand-chose à ajouter aux observations des autres témoins. Je pense que nous essayons à la fois d'offrir la diversité de l'App Store à nos utilisateurs et de favoriser une grande concurrence. De nombreuses entreprises ont connu une grande réussite dans cet espace.

En ce qui concerne les données personnelles, nous pratiquons la minimisation des données et nous essayons de donner le pouvoir non pas à Apple, mais bien aux utilisateurs.

M. Alan Davidson:

Je dirai simplement que je travaille pour une entreprise qui, d'une certaine façon, a pris naissance en réaction à Internet Explorer, qui était un joueur dominant dans le marché à l'époque. Nous croyons que la loi antitrust constitue un garde-fou très important pour le marché. Comme tout le monde, nous voulons qu'il y ait des règles du jeu équitables sur le plan de la concurrence.

À notre avis, il y a beaucoup de préoccupations au sujet de la taille des entreprises. Plus grande est la taille, plus grande est la responsabilité. Nous pensons aussi que les organismes de réglementation antitrust disposent de beaucoup d'outils très puissants à l'heure actuelle. Nous devons, je crois, réfléchir à la façon de donner à ces organismes plus d'information, plus d'outils et une meilleure compréhension des API et de la puissance des données dans leur analyse, notamment. C'est d'abord là que nous devons effectuer une mise à niveau, tandis que nous réfléchissons à la façon d'élargir les rôles. C'est un domaine très important.

(1125)

L'hon. Peter Kent:

Pour moderniser numériquement...?

M. Alan Davidson:

Nous avons besoin d'une application contemporaine et numérique de la loi antitrust.

L'hon. Peter Kent:

Merci.

Le président:

Merci, monsieur Kent.

Le dernier intervenant est M. Graham. C'est à vous.

M. David de Burgh Graham:

Merci.

J'ai posé des questions à tout le monde un peu plus tôt. J'aimerais donc discuter un peu avec M. Ryland d'Amazon.

Plus tôt, vous avez discuté avec M. Lucas de la question de savoir si la sécurité d'Alexa avait déjà été compromise. Si je me souviens bien, vous avez dit que non. Est-ce exact?

M. Mark Ryland:

C'est exact.

M. David de Burgh Graham:

Vous n'êtes pas au courant du piratage de Checkmarx d'il y a à peine un an, qui a complètement compromis Alexa et qui pourrait causer la diffusion en direct d'innombrables enregistrements audio?

M. Mark Ryland:

Je n'étais pas au courant de ce... Je vais vous revenir là-dessus.

M. David de Burgh Graham:

N'êtes-vous pas le directeur de l'ingénierie de sécurité?

M. Mark Ryland:

Qu'est-ce que c'est?

M. David de Burgh Graham:

N'êtes-vous pas le directeur de l'ingénierie de sécurité?

M. Mark Ryland:

Oui, chez Amazon Web Services.

M. David de Burgh Graham:

Vous travaillez pour Amazon Web Services; on ne nous a donc pas envoyé quelqu'un de Amazon. Je voulais simplement que ce soit clair.

Amazon a un système de marketing intégré. Si je cherche une information sur Amazon et je vais ensuite sur un autre ordinateur et un autre site Web, il y aura des annonces de Amazon me demandant si je veux acheter l'article que j'avais cherché antérieurement sur un autre appareil et avec une adresse IP différente. Que fait Amazon pour savoir cela? Quel genre d'échange de données y a-t-il entre Amazon et des sites comme Facebook et autres? Par exemple, National Newswatch me fait le coup.

Comment se fait cet échange d'information? Comment savez-vous qui je suis quand j'utilise un autre appareil?

M. Mark Ryland:

Nous faisons des échanges publicitaires. Nous avons tout un site consacré à la vie privée, qui vous permet de désactiver la publicité. Cela dit, il ne s'agit pas de renseignements personnels. Les données sont anonymisées. Le système se fonde sur un profilage démographique.

Je répète qu'il est très simple de désactiver la publicité sur notre site Web. On peut également se valoir d'outils commerciaux, comme AdChoices, pour éviter de participer aux réseaux publicitaires.

M. David de Burgh Graham:

Ce sont des données soi-disant anonymes, mais le système sait exactement ce que j'ai cherché il y a trois heures.

M. Mark Ryland:

Je ne sais quoi vous dire dans votre cas précis, mais nous n'utilisons pas vos renseignements personnels à de telles fins.

M. David de Burgh Graham:

D'accord.

Au tout début de la réunion, vous avez présenté des points de vue intéressants sur le consentement à l'utilisation des données, ce qui a suscité une excellente intervention de M. Angus. Selon Amazon ou selon vous, quelle est la limite de consentement pour la divulgation de données? Est-ce explicite? Suffit-il que la boîte précise qu'il s'agit d'un appareil « intelligent » pour que le consentement à divulguer des données soit sous-entendu?

M. Mark Ryland:

Nous pensons que le plus logique, c'est d'être sensible au contexte. Le consommateur averti aura sûrement une idée de ce qui est en jeu. Si ce n'est pas le cas, il faudra nous arranger pour que ce soit plus explicite. C'est très contextuel.

Cela dépend aussi, bien entendu, du type de données. Certaines sont beaucoup plus délicates que d'autres. Comme l'un des panélistes l'a mentionné, utiliser une plateforme de jeux en ligne et consulter un site sur les soins de santé sont deux choses entièrement différentes; il faut donc connaître le contexte et le contenu. Le consentement fondé sur le contexte est tout à fait logique.

M. David de Burgh Graham:

D'accord.

Vous avez dit plus tôt que votre entreprise est axée sur la clientèle. Accordez-vous autant d'importance à vos travailleurs?

M. Mark Ryland:

Oui. Nous nous efforçons de le faire.

M. David de Burgh Graham:

Vous ne suivez pas des pratiques antisyndicales?

M. Mark Ryland:

Ce n'est pas mon champ d'expertise, mais je dirais que nous traitons nos travailleurs avec respect et dignité. Nous nous efforçons de leur offrir de bons salaires et des conditions de travail raisonnables.

M. David de Burgh Graham:

Obtenez-vous des données de vos propres employés?

M. Mark Ryland:

Comme toutes les entreprises, nous recueillons des données sur des aspects comme l'accès à Internet et l'utilisation responsable de notre technologie pour protéger les autres travailleurs.

M. David de Burgh Graham:

Alors Amazon n'aurait jamais distribué de matériel promotionnel antisyndical à des entreprises nouvellement acquises.

M. Mark Ryland:

Je ne suis pas au courant de ce genre de scénario.

M. David de Burgh Graham:

Eh bien, j'espère que lors de notre prochaine réunion, nous pourrons compter sur un représentant de Amazon qui en sache plus long sur les politiques de l'entreprise. Vous maîtrisez sans doute les services sans fil évolués, mais ce qu'il nous faut, c'est nous faire une idée globale du fonctionnement de Amazon.

Je pense que c'est tout pour l'instant. Merci.

Le président:

Merci, monsieur de Burgh Graham.

Il semble que j'ai oublié Mme Stevens du Royaume-Uni, et...

M. James Lawless:

Monsieur le président, avant que vous ne donniez la parole à Mme Stevens, je dois m'excuser, car nous devons prendre l'avion.

Je voudrais simplement remercier les membres de tout le travail qui a été fait ces derniers jours.

Le président:

D'accord. Merci. Nous vous reverrons en novembre prochain.

M. James Lawless: Absolument.

Le président: Toutes nos salutations à Mme Naughton. Merci d'être venus.

M. James Lawless:

Merci beaucoup.

Le président:

Allez-y, madame Stevens.

Mme Jo Stevens:

Merci beaucoup, monsieur le président.

J'aimerais revenir à quelque chose que vous avez dit tout à l'heure, monsieur Weigelt, au sujet d'un conseil ou d'un groupe qui doit se pencher sur l'utilisation judicieuse de l'intelligence artificielle. Pouvez-vous me donner un exemple du genre de déploiement qui serait « judicieux » d'après vous?

(1130)

M. John Weigelt:

Il y a d'abord l'utilisation de l'intelligence artificielle dans le diagnostic médical. Il y a trois critères à examiner: le système peut-il approuver ou refuser des services corrélatifs? Y a-t-il atteinte aux droits de la personne ou à la dignité humaine? Y a-t-il des problèmes de santé et de sécurité?

Dans un cas, des chercheurs ont établi des algorithmes d'intelligence artificielle sur les radiographies pulmonaires. Ils ont ensuite voulu les incorporer à la salle d'urgence, pour en constater le fonctionnement et les effets sur les patients. Notre comité s'est réuni. Nous avons examiné les ensembles de données. Nous avons étudié la validité de cet ensemble de données ouvertes et le nombre de personnes visées. Nous avons ensuite déconseillé leur usage clinique aux chercheurs en cause en leur précisant que tout logiciel utilisé comme instrument médical est un domaine complètement différent. Il faut des certifications et tout le reste.

Un usage judicieux serait d'évaluer si l'intelligence artificielle peut oui ou non tirer des leçons de ces examens. C'est l'optique que nous avons tendance à adopter en la matière.

Mme Jo Stevens:

C'est un exemple très utile. Merci.

Nous savons, et ce ne sont pas les preuves qui manquent, qu'il y a des préjugés délibérés et inconscients inhérents à l'intelligence artificielle. Je pense qu'il y a un argument assez solide en faveur d'une approche réglementaire pour régir son déploiement, un peu comme ce que nous avons dans, disons, le secteur pharmaceutique. Avant de mettre un médicament sur le marché, il faut en examiner les effets secondaires indésirables.

Qu'en pensez-vous? Pensez-vous qu'il y a un argument en faveur d'une approche réglementaire, particulièrement parce que, comme nous le savons, le déploiement actuel de l'intelligence artificielle est discriminatoire envers les femmes, les Noirs et les minorités ethniques? Des gens perdent leur emploi et n'ont pas accès à des services comme des prêts et des hypothèques à cause de cela.

M. John Weigelt:

Absolument. Je pense que vous avez raison de parler du parti pris involontaire en ce qui a trait aux décisions en matière d'intelligence artificielle; il s'agit donc de nous protéger contre cela. C'est l'un des principes techniques sur lesquels nous travaillons fort pour donner des conseils et des directives à nos équipes.

Il y a certains domaines où nous avons préconisé une action très rapide et directe pour agir plus prudemment et plus délibérément, comme dans le cas du logiciel de reconnaissance faciale. Pour revenir à ce que vous disiez, bon nombre de ces modèles ont été formés en fonction d'une communauté très homogène et ne tiennent donc pas compte de la diversité des gens qu'ils doivent servir.

Nous sommes d'ardents défenseurs de la mise en place de cadres législatifs pour certains régimes de consentement, par exemple s'il faut des bannières dans les rues, s'il faut des paramètres, s'il faut définir la différence entre l'espace public et l'espace privé, et ainsi de suite.

Mme Jo Stevens:

Dans quelle mesure êtes-vous prêt à rendre public le travail que vous avez fait? Je vous en sais gré si vous le faites officieusement. C'est très bien, mais il serait utile de savoir ce que vous faites et ce que font vos collègues.

M. John Weigelt:

Absolument. Il est clair que nous devons mieux renseigner la collectivité de l'excellent travail qui est en cours. Nous avons publié des lignes directrices sur les robots et sur la façon de s'assurer qu'ils se comportent correctement, car figurez-vous que nous avons eu nos propres ennuis avec un robot sectaire qui a semé la discorde pendant un certain temps. Nous en avons tiré des leçons. Notre PDG a appuyé notre équipe et nous avons progressé. Nous avons fourni des conseils, et ils sont accessibles au public.

Nous avons ce qu'on appelle la AI Business School, qui propose toute une série de cours à l'intention des chefs d'entreprise pour mettre en place un modèle de gouvernance de l'intelligence artificielle. Nous travaillons avec ce milieu pour l'aider. Nous nous efforçons de diffuser le travail que nous faisons à l'interne dans le cadre de notre examen de l'éthique de l'intelligence artificielle.

Enfin, je dirais que nous travaillons dans le cadre d'une soixantaine d'activités d'orientation en matière de réglementation qui se déroulent partout dans le monde afin de commencer à socialiser cet aspect du point de vue de l'expérience pratique. Ici, au Canada, on s'occupe de mettre au point les critères d'évaluation de l'impact de l'intelligence artificielle et la norme d'éthique correspondante.

Mme Jo Stevens:

Ce serait vraiment bien de voir un assistant virtuel coupé sur un patron tout autre que celui d'une femme servile. J'ai hâte de voir quelque chose de différent.

Merci.

Le président:

Merci, madame Stevens.

Nous allons maintenant entendre les observations finales de nos vice-présidents, puis du coprésident.

Monsieur Erskine-Smith, voulez-vous commencer par vos 60 secondes, s'il vous plaît?

M. Nathaniel Erskine-Smith:

Je pense que si nous avons tiré des leçons des derniers jours, c'est que nous continuons de vivre dans une ère de capitalisme de surveillance qui pourrait avoir de graves conséquences sur nos élections, sur notre vie privée, voire sur notre envie d'innover.

Malgré certaines frustrations, je crois que nous avons fait des progrès. Toutes les plateformes et toutes les entreprises de mégadonnées nous ont dit ce qu'elles n'avaient pas dit auparavant, à savoir qu'elles allaient adopter des règles plus rigoureuses en matière de protection de la vie privée et des données.

Hier, les responsables des plateformes ont fait remarquer qu'ils doivent rendre des comptes au public lorsqu'ils prennent des décisions sur le contrôle du contenu, et ils ont reconnu la responsabilité des entreprises à l'égard des répercussions algorithmiques. Il y a donc des progrès, mais il reste encore beaucoup de travail à faire en ce qui concerne la concurrence et la protection des consommateurs, et la reconnaissance de la responsabilité des algorithmes qu'ils utilisent, pour passer à une responsabilisation et responsabilité réelles lorsque les décisions ont des conséquences négatives.

Je pense qu'il y a encore beaucoup de travail à faire, et cela dépendra d'une coopération mondiale suivie. Je pense que notre communauté canadienne a su transcender les lignes de parti. Ce comité international travaille maintenant efficacement dans plusieurs pays.

La dernière chose que je dirai, c'est qu'il ne s'agit pas seulement de s'attaquer à ces graves problèmes mondiaux au moyen d'une coopération mondiale sérieuse entre les parlementaires; il faut une coopération mondiale de la part des entreprises. S'il y a une dernière chose à retenir, c'est que les entreprises ne l'ont tout simplement pas pris assez au sérieux.

(1135)

Le président:

Merci, monsieur Erskine-Smith.

Nous passons maintenant à M. Angus.

M. Charlie Angus:

Merci à nos deux excellents présidents. Merci à nos témoins.

Je pense que nous avons vu quelque chose d'extraordinaire. Je suis très fier du Parlement canadien et de notre volonté de participer à ce processus.

Il y a eu des témoignages extraordinaires en ce qui a trait à la qualité des questions, et j'ai été très fier d'en faire partie. Deux faits extraordinaires, c'est que, au cours de mes 15 années en fonction, nous n'avons jamais réussi à transcender les lignes de parti sur ainsi dire quoi que ce soit, et pourtant, nous voilà réunis. De plus, nous n'avons jamais travaillé au-delà des frontières internationales. Nous pouvons remercier un dénonciateur canadien, Christopher Wylie, qui a lancé l'alerte sur le Tchernobyl numérique qui sévissait autour de nous.

Les politiciens, nous ne nous occupons pas des aspects techniques complexes. Ils nous effraient. Nous n'avons pas l'expertise nécessaire, alors nous avons tendance à les éviter, ce qui a été un grand avantage pour la Silicon Valley pendant des années.

Ces choses ne sont pas tellement techniques. Je pense que ce que nous avons fait ces deux derniers jours avec nos collègues d'autres pays — et ce que nous continuerons de faire à l'échelle internationale — c'est de rendre les choses aussi simples et claires que possible pour rétablir la primauté de la personne humaine dans le domaine des mégadonnées. La vie privée est un droit fondamental qui sera protégé. Les législateurs ont l'obligation et le devoir de protéger les principes démocratiques de notre pays, comme la liberté d'expression et le droit de participer à l'univers numérique sans faire proliférer l'extrémisme. Ce sont là des principes fondamentaux sur lesquels reposent nos démocraties. Ce qui était vrai à l'ère des lettres manuscrites est tout aussi vrai à l'ère de la téléphonie.

Je tiens à remercier mes collègues de leur participation. Je pense que nous sortons de nos réunions beaucoup plus forts qu'avant et nous prendrons encore plus de force à l'avenir. Nous voulons travailler avec les entreprises de technologie pour faire en sorte que le monde numérique soit un monde démocratique au XXIe siècle.

Merci à tous.

Le président:

Merci, monsieur Angus.

C'est votre tour, monsieur Colllins.

M. Damian Collins:

Merci beaucoup, monsieur le président.

J'aimerais commencer par vous féliciter, vous et les membres de votre comité, de l'excellent travail que vous avez fait en organisant et présidant ces séances. Je pense que cette rencontre a réussi à faire exactement ce que nous espérions. Elle s'appuie sur les travaux que nous avions entrepris à Londres. Je pense que c'est un modèle de coopération entre les comités parlementaires de différents pays qui travaillent sur les mêmes questions et profitent mutuellement de leurs expériences et connaissances connexes.

Les séances ont été divisées entre ce que nous appelons les entreprises de médias sociaux hier et d'autres entreprises de données ici. En réalité, ce dont nous parlons, c'est que même s'il y a différentes fonctions, ce sont toutes des entreprises de données énormes. Ce qui nous intéresse, c'est la façon dont elles recueillent leurs données, si elles ont le consentement des intéressés, et ce qu'elles font de ces données.

Au cours des séances, nous avons vu à maintes reprises des entreprises refuser de répondre à des questions directes sur la façon dont elles obtiennent des données et dont elles les utilisent. Qu'il s'agisse de savoir comment Amazon et Facebook échangent les données... Même si c'est amplement diffusé, il demeure que nous ne le savons pas. Mon collègue, M. Lucas, a posé une question au sujet de l'échange des données de LinkedIn et de Microsoft. Il est possible d'intégrer totalement vos données LinkedIn à vos outils Microsoft, et une recherche rapide sur Google vous dira exactement comment faire.

Je ne comprends pas pourquoi les entreprises ne veulent pas parler ouvertement des outils qu'elles mettent en place. Les gens peuvent consentir à utiliser ces outils, mais comprennent-ils la portée des données qu'ils divulguent ce faisant? Si c'est aussi simple et direct qu'il semble, je suis toujours surpris que les gens ne veuillent pas en parler. Pour moi, ces séances sont importantes parce que nous avons l'occasion de poser les questions que les gens ne poseront pas et de continuer à insister pour obtenir les réponses dont nous avons besoin.

Merci.

Le président:

Je vais d'abord m'adresser aux panélistes, puis je ferai quelques observations finales.

Je tiens à vous encourager. Vous aviez promis, surtout M. Ryland, de nous donner beaucoup de documents que vous n'avez pas... Divers commentateurs n'avaient pas toute l'information que nous demandions. Je vous implore de fournir les renseignements que nous avons demandés au greffier à mes côtés afin que nous puissions obtenir une réponse complète pour le Comité. Nous la distribuerons ensuite à tous les délégués ici présents.

Ce que je ne risque pas d'oublier de sitôt, c'est le commentaire de Roger McNamee au sujet de l'expression « poupées vaudou ».

Je regarde mes enfants. J'en ai quatre, âgés de 21, 19, 17 et 15 ans, respectivement. Je les vois devenir de plus en plus dépendants de ces appareils téléphoniques. Je vois le travail effectué par nos collègues à Londres au sujet de la dépendance que ces appareils peuvent créer. Je me demandais où on voulait en venir. On voit clairement que le capitalisme de surveillance, tout le modèle des affaires, ne demandent qu'une chose: garder ces enfants, nos enfants, collés au téléphone, même si c'est au prix de leur santé. C'est une question d'argent, tout simplement. Nous avons la responsabilité de faire quelque chose à ce sujet. Nous nous soucions de nos enfants, et nous ne voulons pas qu'ils soient transformés en poupées vaudou contrôlées par le tout-puissant dollar et le capitalisme.

Comme nous aimons tellement les appareils, je pense qu'il nous reste du travail à faire pour nous assurer que nous continuons d'offrir l'accès. Nous aimons la technologie et nous l'avons déjà dit. La technologie n'est pas le problème; c'est le véhicule. Nous devons nous attaquer aux causes de ces pratiques qui créent une dépendance.

Je vais dire merci et faire quelques derniers commentaires.

Merci à notre greffier. Nous allons l'applaudir pour s'être si bien tiré d'affaire.

Il a ce regard sur son visage parce que des événements comme celui-ci ne se déroulent pas sans ses petits problèmes. Nous nous en occupons au fur et à mesure, alors c'est difficile. Encore une fois, un gros merci à Mike MacPherson, pour avoir tout si bien résolu.

Je remercie également mon équipe — à ma gauche, Kera, Cindy, Micah, Kaitlyn — de m'avoir aidé à régler les questions administratives. Je pense qu'ils ont hâte de décompresser.

Avant de terminer, je vais encore évoquer... Oh, j'ai oublié les analystes. Désolé. J'oublie toujours nos pauvres analystes. Veuillez vous lever.

Merci pour tout.

Merci également aux interprètes. Il y avait trois langues à traduire, alors je vous remercie de nous avoir accompagnés toute la semaine.

Je salue notre ami Christopher Wylie, même si les sandwichs ont fini par avoir la vedette. Je ne sais pas si quelqu'un a vu ses gazouillis, « En plus d'une occasion ratée de faire preuve de démocratie, Zuckerberg a manqué toute l'action autour des sandwichs. » Notre ami m'a suggéré d'envoyer les restes par la poste au siège social de Facebook. C'est peut-être ainsi que nous réussirons à remettre la convocation en bonnes mains.

Je tiens à remercier tous les médias d'avoir accordé à cette question l'attention qu'elle mérite. C'est notre avenir et celui de nos enfants qui sont en jeu.

Encore une fois, merci à tous les panélistes qui sont venus de si loin, en particulier nos membres du Royaume-Uni, qui sont nos frères et sœurs de l'autre côté de l'océan.

Singapour est toujours là aussi. Merci d'être venus.

Passez une bonne journée.

Nous nous reverrons en Irlande au mois de novembre.

La séance est levée.

Hansard Hansard

committee ethi hansard 68302 words - permanent link - comments: 0. Posted at 17:44 on May 29, 2019

2019-05-28 ETHI 154

Standing Committee on Access to Information, Privacy and Ethics

(1530)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

We'll call to order the Standing Committee on Access to Information, Privacy and Ethics for meeting 154, an by extension, the international grand committee on big data, privacy and democracy.

I don't need to go through the list of countries that we have already mentioned, but I will go through our witnesses very briefly.

From the Office of the Privacy Commissioner of Canada, we have Mr. Daniel Therrien, the Privacy Commissioner of Canada.

As an individual, we have Joseph A. Cannataci, special rapporteur on the right to privacy for the United Nations.

We are having some challenges with the live video feed from Malta. We'll keep working through that. I'm told by the clerk that we may have to go to an audio feed to get the conversation. We will do what we have to do.

Also we'd like to welcome the chair of the United States Federal Election Commission, Ellen Weintraub.

First of all, I would like to speak to the meeting's order and structure. It will be very similar to that of our first meeting this morning. We'll have one question per delegation. The Canadian group will have one from each party, and we'll go through until we run out of time with different representatives to speak to the issue.

I hope that makes sense. It will make sense more as we go along.

I would like to thank the members who came to our question period today. I personally thank the Speaker for recognizing the delegation.

I'll give Mr. Collins the opportunity for to open it up.

Mr. Collins.

Mr. Damian Collins (Chair, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you.

Let me put my first question to all three of the witnesses.

The Chair:

Shall we have statements first?

Mr. Damian Collins:

Okay.

The Chair:

We'll have opening statements. We'll start with Mr. Therrien.

Go ahead for 10 minutes.

Mr. Daniel Therrien (Privacy Commissioner of Canada, Office of the Privacy Commissioner of Canada):

Thank you, Mr. Chair.

Members of the grand committee, thank you for the invitation to address you today.

My remarks will address three points that I think go to the heart of your study: first, that freedom and democracy cannot exist without privacy and the protection of our personal information; second, that in meeting the risks posed by digital harms, such as disinformation campaigns, we need to strengthen our laws in order to better protect rights; lastly, I will share suggestions on what needs to be done in Canada, as I'm an expert in Canadian privacy regulation, so that we have 21st century laws in place to ensure that the privacy rights of Canadians are protected effectively.

I trust that these suggestions made in a Canadian context can also be relevant in an international context.

As you know, my U.K. counterpart, the Information Commissioner's Office, in its report on privacy and the political process, clearly found that lax privacy compliance and micro-targeting by political parties had exposed gaps in the regulatory landscape. These gaps in turn have been exploited to target voters via social media and to spread disinformation. [Translation]

The Cambridge Analytica scandal highlighted the unexpected uses to which personal information can be put and, as my office concluded in our Facebook investigation, uncovered a privacy framework that was actually an empty shell. It reminded citizens that privacy is a fundamental right and a necessary precondition for the exercise of other fundamental rights, including democracy. In fact, privacy is nothing less than a prerequisite for freedom: the freedom to live and develop independently as individuals, away from the watchful eye of surveillance by the state or commercial enterprises, while participating voluntarily and actively in the regular, day-to-day activities of a modern society.[English]

As members of this committee are gravely aware, the incidents and breaches that have now become all too common go well beyond matters of privacy as serious as I believe those to be. Beyond questions of privacy and data protection, democratic institutions' and citizens' very faith in our electoral process is now under a cloud of distrust and suspicion. The same digital tools like social networks, which public agencies like electoral regulators thought could be leveraged to effectively engage a new generation of citizens, are also being used to subvert, not strengthen, our democracies.

The interplay between data protection, micro-targeting and disinformation represents a real threat to our laws and institutions. Some parts of the world have started to mount a response to these risks with various forms of proposed regulation. I will note a few.

First, the recent U.K. white paper on digital harms proposes the creation of a digital regulatory body and offers a range of potential interventions with commercial organizations to regulate a whole spectrum of problems. The proposed model for the U.K. is to add a regulator agency for digital platforms that will help them develop specific codes of conduct to deal with child exploitation, hate propaganda, foreign election interference and other pernicious online harms.

Second, earlier this month, the Christchurch call to eliminate terrorist and violent extremist content online highlighted the need for effective enforcement, the application of ethical standards and appropriate co-operation.

Finally, just last week here in Canada, the government released a new proposal for an update to our federal commercial data protection law as well as an overarching digital charter meant to help protect privacy, counter misuse of data and help ensure companies are communicating clearly with users.

(1535)

[Translation]

Underlying all these approaches is the need to adapt our laws to the new realities of our digitally interconnected world. There is a growing realization that the age of self-regulation has come to an end. The solution is not to get people to turn off their computers or to stop using social media, search engines, or other digital services. Many of these services meet real needs. Rather, the ultimate goal is to allow individuals to benefit from digital services—to socialize, learn and generally develop as persons—while remaining safe and confident that their privacy rights will be respected.[English]

There are certain fundamental principles that I believe can guide government efforts to re-establish citizens' trust. Putting citizens and their rights at the centre of these discussions is vitally important, in my view, and legislators' work should focus on rights-based solutions.

In Canada, the starting point, in my view, should be to give the law a rights-based foundation worthy of privacy's quasi-constitutional status in this country. This rights-based foundation is applicable in many countries where their law frames certain privacy rights explicitly as such, as rights, with practices and processes that support and enforce this important right.

I think Canada should continue to have a law that is technologically neutral and principles based. Having a law that is based on internationally recognized principles, such as those of the OECD, is important for the interoperability of the legislation. Adopting an international treaty for privacy and data protection would be an excellent idea, but in the meantime, countries should aim to develop interoperable laws.

We also need a rights-based statute, meaning a law that confers enforceable rights to individuals while also allowing for responsible innovation. Such a law would define privacy in its broadest and truest sense, such as freedom from unjustified surveillance, recognizing its value in correlation to other fundamental rights.

Privacy is not limited to consent, access and transparency. These are important mechanisms, but they do not define the right itself. Codifying the right, in its broadest sense, along the principles-based and technologically neutral nature of the current Canadian law would ensure it can endure over time, despite the certainty of technological developments.

One final point I wish to make has to do with independent oversight. Privacy cannot be protected without independent regulators and the power to impose fines and to verify compliance proactively to ensure organizations are truly accountable for the protection of information.

This last notion, demonstrable accountability, is a needed response to today's world, where business models are opaque and information flows are increasingly complex. Individuals are unlikely to file a complaint when they are unaware of a practice that may harm them. This is why it is so important for the regulator to have the authority to proactively inspect the practices of organizations. Where consent is not practical or effective, which is a point made by many organizations in this day and age, and organizations are expected to fill the protective void through accountability, these organizations must be required to demonstrate true accountability upon request.

What I have presented today as solutions are not new concepts, but as this committee takes a global approach to the problem of disinformation, it's also an opportunity for domestic actors—regulators, government officials and elected representatives—to recognize what best practices and solutions are emerging and to take action to protect our citizens, our rights, and our institutions.

Thank you. I look forward to your questions.

(1540)

The Chair:

Thank you once again, Mr. Therrien.

We're going to double-check whether Mr. Cannataci is able to stream. No.

We'll go next to Ms. Weintraub for 10 minutes.

Ms. Ellen Weintraub (Chair, United States Federal Election Commission):

Thank you.

The Chair:

I'm sorry, Ms. Weintraub.

We just heard the comments. He's available to speak.

My apologies, Ms. Weintraub. I guess we have him on, so we'll go ahead.

Mr. Cannataci, go ahead for 10 minutes.

Professor Joseph A. Cannataci (Special Rapporteur on the Right to Privacy, United Nations, As an Individual):

Thank you very much, Mr. Chair, and members of the grand committee, for the invitation to speak.

I will try to build on what Mr. Therrien has said in order to cover a few more points. I will also make some references to what other witnesses presented previously.

First, I will be trying to take a more international view, though the themes that are covered by the committee are very global in nature. That's why when it comes to global...the previous witness spoke about an international treaty. One of the reasons, as I will be explaining, that I have decided in my mandate at the United Nations to go through a number of priorities when it comes to privacy is that the general framework of privacy and data protection in law insofar as an international treaty is concerned, who regulates this, doesn't happen to be specifically a UN treaty. It happens to be convention 108 or convention 108+, which is already ratified by 55 nations across the world. Morocco was the latest one to present its document of ratification yesterday.

When people meet in Strasbourg or elsewhere to discuss the actions and interoperability within an international framework, there are already 70 countries, ratified states and observer states, that will discuss the framework afforded by that international legal instrument. I would indeed encourage Canada to consider adhering to this instrument. While I am not an expert on Canadian law, I have been following it since 1982. I think Canadian law is pretty close in most cases. I think it would be a welcome addition to that growing group of nations.

As for the second point that I wish to make, I'll be very brief on this, but I also share preoccupations about the facts on democracy and the fact that the Internet is being increasingly used in order to manipulate people's opinions through monitoring their profiles in a number of ways. The Cambridge Analytica case, of course, is the classic case we have for our consideration, but there are other cases too in a number of other countries around the world.

I should also explain that the six or seven priorities that I have set for my United Nations mandate to a certain extent summarize maybe not all, but many of the major problems that we are facing in the privacy and data protection field. The first priority should not surprise you, ladies and gentlemen, because it relates to the very reasons that my mandate was born, which is security and surveillance.

You would recall that my United Nations mandate was born in the aftermath of the Snowden revelations. It won't surprise you, therefore, that we have dedicated a great deal of attention internationally to security and surveillance. I am very pleased that Canada participates very actively in one of the fora, which is the International Intelligence Oversight Forum because, as the previous witness has just stated, oversight is a key element that should be addressed. I was also pleased to see some significant progress in the Canadian sphere over the past 12 to 24 months.

(1545)



There is a lot to be said about surveillance, but I don't have much left of my 10 minutes so I can perhaps respond to questions. What I will restrict myself to saying at this stage is that globally we see the same problems. In other words, we don't have a proper solution for jurisdiction. Issues of jurisdiction and definitions of offences remain some of the greatest problems we have, notwithstanding the existence of the Convention on Cybercrime. Security, surveillance and basically the growth of state-sponsored behaviour in cyberspace are still a glaring problem.

Some nations are not very comfortable talking about their espionage activities in cyberspace, and some treat it as their own backyard, but in reality, there is evidence that the privacy of hundreds of millions of people, not in just one country but around the world, has been subjected to intrusion by the state-sponsored services of one actor or another, including most of the permanent powers of the United Nations.

The problem remains one of jurisdiction and defining limits. We have prepared a draft legal instrument on security and surveillance in cyberspace, but the political mood across the world doesn't seem conducive to major discussions on those points. The result is that we have seen some unilateral action, for example, by the United States with its Cloud Act, which has not seen much take-up at this moment in time. However, regardless of whether unilateral action would work, I encourage discussion even on the principles of the Cloud Act. Even if it doesn't lead to immediate agreements, the very discussion will at least get people to focus on the problems that exist at that stage.

I will quickly pass to big data and open data. In the interests of the economy of time, I refer the committee to the report on big data and open data that I presented to the United Nations General Assembly in October 2018. Quite frankly, I would advise the committee to be very wary of joining the two in such a way that open data continues to be a bit like a mother with an apple pie when it comes to politicians proclaiming all the good it's going to do for the world. The truth is that in the principles of big data and open data, we are looking at key fundamental issues when it comes to privacy and data protection.

In Canadian law, as in the law of other countries, including the laws of all those countries that adhere to convention 108, the purpose specification principle that data should be collected and used only for a specified or compatible purpose lives on as a fundamental principle. It also lives on as a principle in the recent GDPR in Europe. However, we have to remember that in many cases, when one is using big data analytics, one is seeking to repurpose that data for a different purpose. Once again, I refer the committee to my report and the detailed recommendations there.

At this moment in time, I have out for consultation a document on health data. We are expecting to debate this document, together with recommendations, at a special meeting in France on June 11 and 12. I trust there will be a healthy Canadian presence at that meeting too. We've received many positive comments about the report. We're trying to build an existing consensus on health data, but I'd like to direct the committee's attention to how important health data is. Growing amounts of health data are being collected each and every day with the use of smart phones and Fitbits and other wearables, which are being used in a way that really wasn't thought about 15 or 20 years ago.

Another consultation paper I have out, which I would direct the committee's attention to, is on gender and privacy. I'm hoping to organize a public consultation. It has already started as an online consultation, but I am hoping to have a public meeting, probably in New York, on October 30 and 31. Gender and privacy continues to be a very important yet controversial topic, and it is one in which I would welcome continued Canadian contribution and participation.

(1550)



I think you would not be surprised if I were to say that among the five task forces I established, there is a task force on the use of personal data by corporations. I make it a point to meet with the major corporations, including Google, Facebook, Apple, Yahoo, but also some of the non-U.S. ones, including Deutsche Telekom, Huawei, etc., at least twice a year all together around a table in an effort to get their collaboration to find new safeguards and remedies for privacy, especially in cyberspace.

This brings me to the final point I'll mention for now. It's linked to the previous one on corporations and the use of personal data by corporations. It's the priority for privacy action.

I have been increasingly concerned about privacy issues, especially those affecting children as online citizens from a very early age. As the previous witness has borne witness, we are looking at some leading new and innovative legislation, such as that in the United Kingdom, not only the one on digital harms, but also one about age-appropriate behaviour and the liability of corporations. I am broaching these subjects formally next with the corporations at our September 2019 meeting. I look forward to being able to achieve some progress on the subject of privacy and children and on greater accountability and action from the corporations in a set of recommendations that we shall be devising during the next 12 to 18 months.

I'll stop here for now, Mr. Chair. I look forward to questions.

The Chair:

Thank you, Mr. Cannataci.

We'll go now to Ms. Weintraub.

I just want to explain what the flashing lights are. In the Canadian Parliament the flashing lights signal that votes are to happen in about 30 minutes. We have an agreement among our parties that one member from each party will stay, and the rest are clear to go and vote. The meeting will continue with the rest of us. We won't stop. It isn't a fire alarm. We're good to go.

(1555)

Mr. Charlie Angus (Timmins—James Bay, NDP):

Being the only New Democrat, as The Clash would say, should I stay or should I go?

Voices: Oh, oh!

The Chair:

You probably should stay.

It's been cleared that we have one member for—

Mr. Charlie Angus:

If I leave, you're not taking one of my seats.

The Chair:

I just wanted to make it clear that's what's going on.

We'll go to Ms. Weintraub now for 10 minutes.

Ms. Ellen Weintraub:

Thank you, Mr. Chair and members of the committee.

I am the chair of the Federal Election Commission in the United States. I represent a bipartisan body, but the views that I'm going to express are entirely my own.

I'm going to shift the topic from privacy concerns to influence campaigns.

In March of this year, special counsel Robert S. Mueller III completed his report on the investigation into Russian interference in the 2016 presidential election. Its conclusions were chilling. The Russian government interfered in the 2016 presidential election in sweeping and systemic fashion. First, a Russian entity carried out a social media campaign that favoured one presidential candidate and disparaged the other. Second, a Russian intelligence service conducted computer intrusion operations against campaign entities, employees and volunteers, and then released stolen documents.

On April 26, 2019, at the Council on Foreign Relations, FBI director Christopher A. Wray warned of the aggressive, unabated, malign foreign influence campaign consisting of “the use of social media, fake news, propaganda, false personas, etc., to spin us up, pit us against each other, sow divisiveness and discord, and undermine Americans' faith in democracy. That is not just an election cycle threat; it's pretty much a 365-days-a-year threat. And that has absolutely continued.”

While he noted that “enormous strides have been made since 2016 by all different federal agencies, state and local election officials, the social media companies, etc.,” to protect the physical infrastructure of our elections, he said, “I think we recognize that our adversaries are going to keep adapting and upping their game. And so we're very much viewing 2018 as just kind of a dress rehearsal for the big show in 2020.”

Last week, at the House of Representatives, a representative of the Department of Homeland Security also emphasized that Russia and other foreign countries, including China and Iran, conducted influence activities in the 2018 mid-terms and messaging campaigns that targeted the United States to promote their strategic interests.

As you probably know, election administration in the United States is decentralized. It's handled at the state and local levels, so other officials in the United States are charged with protecting the physical infrastructure of our elections, the brick-and-mortar electoral apparatus run by state and local governments, and it is vital that they continue to do so.

However, from my seat on the Federal Election Commission, I work every day with another type of election infrastructure, the foundation of our democracy, the faith that citizens have that they know who's influencing our elections. That faith has been under malicious attack from our foreign foes through disinformation campaigns. That faith has been under assault by the corrupting influence of dark money that may be masking illegal foreign sources. That faith has been besieged by online political advertising from unknown sources. That faith has been damaged through cyber-attacks against political campaigns ill-equipped to defend themselves on their own.

That faith must be restored, but it cannot be restored by Silicon Valley. Rebuilding this part of our elections infrastructure is not something we can leave in the hands of the tech companies, the companies that built the platforms now being abused by our foreign rivals to attack our democracies.

In 2016, fake accounts originating in Russia generated content that was seen by 126 million Americans on Facebook, and another 20 million Americans on Instagram, for a total of 146 million Americans; and there were only 137 million voters in that election.

As recently as 2016, Facebook was accepting payment in rubles for political ads about the United States elections.

As recently as last year, in October 2018, journalists posing as every member of the United States Senate tried to place ads in their names on Facebook. Facebook accepted them all.

Therefore, when the guys on the other panel keep telling us they've got this, we know they don't.

By the way, I also invited Mark Zuckerberg and Jack Dorsey, all those guys, to come and testify at a hearing at my commission when we were talking about Internet disclosure of advertising, and once again, they didn't show up. They didn't even send a surrogate that time; they just sent us written comments, so I feel for you guys.

(1600)



This is plainly really important to all of us. In the United States, spending on digital political ads went up 260% from 2014 to 2018, from one mid-term election to the next, for a total of $900 million in digital advertising in the 2018 election. That was still less than was spent on broadcast advertising, but obviously digital is the wave of the future when it comes to political advertising.

There have been constructive suggestions and proposals in the United States to try to address this: the honest ads act, which would subject Internet ads to the same rules as broadcast ads; the Disclose Act, which would broaden the transparency and fight against dark money; and at my own agency I've been trying to advance a rule that would improve disclaimers on Internet advertising. All of those efforts so far have been stymied.

Now, we have been actually fortunate that the platforms have tried to do something. They have tried to step up, in part, I'm sure, to try to ward off regulation, but in part to respond to widespread dissatisfaction with the information and the disclosure they were providing. They have been improving, in the United States at least, the way they disclose who's behind their ads, but it's not enough. Questions keep coming up, such as about what triggers the requirement to post the disclaimer.

Can the disclaimers be relied upon to honestly identify the sources of the digital ads? Based on the study about the 100 senators ads, apparently they cannot, not all the time, anyway. Does the identifying information travel with the content when information is forwarded? How are the platforms dealing with the transmission of encrypted information? Peer-to-peer communication represents a burgeoning field for political activity, and it raises a whole new set of potential issues. Whatever measures are adopted today run the serious risk of targeting the problems of the last cycle, not the next one, and we know that our adversaries are constantly upping their game, as I said, and constantly improvising and changing their strategies.

I also have serious concerns about the risks of foreign money creeping into our election system, particularly through corporate sources. This is not a hypothetical concern. We recently closed an enforcement case that involved foreign nationals who managed to funnel $1.3 million into the coffers of a super PAC in the 2016 election. This is just one way that foreign nationals are making their presence and influence felt even at the highest levels of our political campaigns.

These kinds of cases are increasingly common, and these kinds of complaints are increasingly common in the United States. From September 2016 to April 2019, the number of matters before the commission that include alleged violations of the foreign national ban increased from 14 to 40, and there were 32 open matters as of April 1 of this year. This is again an ongoing concern when it comes to foreign influence.

As everything you've heard today demonstrates, serious thought has to be given to the impact of social media on our democracy. Facebook's originating philosophy of “move fast and break things”, cooked up 16 years ago in a college dorm room, has breathtaking consequences when the thing they're breaking could be our democracies themselves.

Facebook, Twitter, Google, these and other technology giants have revolutionized the way we access information and communicate with each other. Social media has the power to foster citizen activism, virally spread disinformation or hate speech and shape political discourse.

Government cannot avoid its responsibility to scrutinize this impact. That's why I so welcome the activities of this committee and appreciate very much everything you're doing, which has carryover effects in my country, even when we can't adopt our own regulations when you all adopt regulations in other countries. Sometimes the platforms maintain the same policies throughout the world, and that helps us. Thank you very much

Also, thank you very much for inviting me to participate in this event. I welcome your questions.

The Chair:

Thank you, Ms. Weintraub.

First of all we'll go to Mr. Collins.

Mr. Damian Collins:

Thank you. My first question is for Ellen Weintraub.

You mentioned dark money in your opening statement. How concerned are you about the ability of campaigns to use technology, particularly blockchain technology, to launder impermissible donations to campaigns by turning them into multiple, small micro-donations?

(1605)

Ms. Ellen Weintraub:

I'm very concerned about it, in part because our entire system of regulation is based on the assumption that large sums of money are what we need to worry about and that this is where we should focus our regulatory activity. On the Internet, however, sometimes very small amounts of money can be used to have vast impact, and that doesn't even get into the possibility of Bitcoin and other technologies being used to entirely mask where the money is coming from.

So yes, I have deep concerns.

Mr. Damian Collins:

Have there been any particular examples that have come to the awareness of your commission?

Ms. Ellen Weintraub:

The problem with dark money is that you never really know who is behind it. There has been about a billion dollars in dark money spent on our elections in the last 10 years, and I cannot tell you who is behind it. That's the nature of the darkness.

Mr. Damian Collins:

I just wondered whether any particular allegations had been made, or whether there had been cause for any further investigation about what might be considered to be suspicious activity.

Ms. Ellen Weintraub:

We have a constant stream of complaints about dark money. The case I just described to you is one of the foremost examples we've seen recently. It can be money that comes in through LLCs or 501(c)(4)s. In this case, it came in through the domestic subsidiary of a foreign corporation.

Mr. Damian Collins:

Do you have any concerns about the way technologies like PayPal could be used as well to bring money in from sources trying to hide their identity or even from abroad?

Ms. Ellen Weintraub:

PayPal, gift cards and all of those things are deeply concerning. If the money is going directly to a campaign, they can't accept more than a small amount of money without disclosing the source of it, and they're not allowed to accept anonymous contributions above a very small amount of money. However, once you get into the outside spending groups—super PACs and groups like that—they can accept money from corporations, which by definition are a shield against knowing who is really behind them.

Mr. Damian Collins:

I'd be interested in the comments of all three of the witnesses in response to my next question.

Ad transparency seems to be one of the most important things we should push for. Certainly in the U.K., and I think in other countries as well, our electoral law was based on understanding who the messenger was. People had to state who was paying for the advert and who the advert was there to promote. Those same rules didn't translate into social media.

Even though the platforms are saying they will require that transparency, it seems, particularly in the case of Facebook, quite easy to game. The person who claims to be the person responsible for the ads may not be the person who is the data controller or the funder. That information isn't really clear.

I wonder if you share our concerns about that, and if you have any thoughts about what sort of legislation we might need to make sure there is full, proper disclosure as to who is funding campaigns.

Ms. Ellen Weintraub:

I absolutely share that concern. Part of the problem, as far as I know, is that they're not verifying who is behind the ad. If somebody says Mickey Mouse is the sponsor of this ad, that's what they're going to run on their platform.

Mr. Damian Collins:

I'd be interested in hearing from the other two panellists as well, whether they have any concern regarding how we would create a robust system of ad transparency online.

Mr. Daniel Therrien:

I would add that to reduce the risk of misuse of information in the political process, you need to have a series of laws. In Canada and a number of other countries, such as the United States, political parties, at least federally in Canada, are not governed by privacy legislation. That's another gap in the laws of certain countries.

You need a series of measures, including transparency in advertising, data protection laws and other rules, to ensure that the ecosystem of companies and political parties is properly governed.

Mr. Damian Collins:

It sounds like the heart of it is having regulators who have statutory powers to go into the tech companies and investigate whether they feel the appropriate information is being disclosed.

Mr. Daniel Therrien:

We can investigate companies in Canada, but we cannot investigate political parties. A proper regime would authorize a regulator to have oversight over both.

Mr. Damian Collins:

That would be both parties and the platforms that are providing the advertising.

Mr. Daniel Therrien:

Yes.

Mr. Damian Collins:

I don't know if the audio feed to Malta is working.

Prof. Joseph A. Cannataci:

The audio feed is working, thank you, Mr. Collins. I thank you also for the work you've put in on your report, which I must say I found to be extremely useful for my mandate.

Very quickly, I share the concerns of both the previous witnesses. The importance of who the messenger was is very, very great when it comes to ad transparency. I share serious concerns about the use of blockchain and other distributed ledger technologies. Frankly, not enough research has been carried out at this moment in time to enable us to examine the issues concerned.

I happen to live in a country that has proclaimed itself the blockchain island, and we have some efforts going on with legislation on blockchain, but I'm afraid there is still a lot of work to be done around the world on this subject. If at all possible, I would suggest that the committee lend its name to some serious resources in studying the problem and coming up with proper recommendations.

(1610)

The Chair:

Thank you, Mr. Cannataci.

We're over time and we have some members who need to go to a vote. Therefore, I need to get to Ms. Vandenbeld as soon as I can.

I will try to get back around if you need a more fulsome answer.

Ms. Vandenbeld.

Ms. Anita Vandenbeld (Ottawa West—Nepean, Lib.):

Thank you, Chair.

Thank you very much for being here and for your very informative testimony.

I'd like to focus my questions on the foreign threats to democracy and what I call the enabling technologies: the social media platforms, the “data-opolies” that are allowing for those foreign threats to actually take hold.

I note that, as legislators, we are the front lines of democracy globally. If those of us who are elected representatives of the people are not able to tackle this and do something about these threats.... This is really up to us and that's why I'm so pleased that the grand committee is meeting today.

I also note the co-operation that even our committee was able to have with the U.K. committee on AggregateIQ, which was here in Canada when we were studying Cambridge Analytica and Facebook.

However, we do have a problem, which is that individual countries, especially smaller markets, are very easily ignored by these large platforms, because simply, they're so large that individually there is not much we can do. Therefore, we do need to work together.

Ms. Weintraub, do you believe that right now you have the tools you need to ensure that the 2020 U.S. election will be free, or as free as possible, of foreign influence?

Ms. Ellen Weintraub:

I hesitate to answer that question. As I said in my testimony, there are various laws that I wish Congress would pass. There are regulations that I wish I could persuade my colleagues on the commission to agree to pass.

I think we are not in as good shape as we could be, but I do know that the Department of Homeland Security and all the state and local governments have been working very hard on ensuring the physical infrastructure, to try to ensure that votes don't get changed, which of course is the biggest fear.

When it comes to foreign influence, as our FBI director said, we are expecting our adversaries to be changing up their game plan, and until we see it, we won't know whether we're ready for it.

Ms. Anita Vandenbeld:

In Canada, one of the issues is that during an election campaign it's very hard to know who has the authority to be able to speak out, so we've put together the critical election incident public protocol, which is a group of senior civil servants who would be able to make public if it's known through the security agencies that there is, in fact, a foreign threat.

Has the U.S. looked at something such as that? Is it something that you think would work internationally?

Mr. Cannataci, I would ask you to also answer that in terms of the global context. I wonder if you're seeing things that could potentially, during an election period, allow for that type of authority to be able to speak out on that.

I'll start with Ms. Weintraub and then go to Mr. Cannataci.

Ms. Ellen Weintraub:

I do think that authority is there. I think there are federal officials who are empowered to make that type of information public if they become aware of it, as they become aware of it. There are obviously national security and intelligence concerns that sometimes hamper that type of transparency.

Ms. Anita Vandenbeld:

Mr. Cannataci, you mentioned that there are international treaties of sorts on data and privacy protection, but is there a clearing house of sorts of international best practice?

We're finding in this committee alone that there are very good examples that we're sharing, but is there any place where these best practices are being shared and tested, and documented and disseminated?

(1615)

Prof. Joseph A. Cannataci:

Not to my knowledge. We have coming up two United Nations committees, at least one of which might be discussing ancillary subjects. There is the so-called open-ended working group inside the UN, which will start working probably in the autumn, where you might be tempted to broach the subject.

I would, however, be pleased to work together with the committee in order to devise any sets of mechanisms that can be shared on good practices, because most of the attempts we have seen in manipulating elections involve profiling individuals in one area or another and then targeting them in order to get their votes.

I'd be very pleased to carry out work, together with the committee, in that direction, and anybody who wishes to share good practices is very welcome to do so.

The Chair:

Thank you, Ms. Vandenbeld. That's your time.

We'll go over to Mr. Angus for five minutes.

Mr. Charlie Angus:

Thank you, Mr. Chair.

Thank you for appearing, Ms. Weintraub.

You Americans are like our first cousins, and we love you dearly, but we're a little smug, because we look over the border and see all this crazy stuff and say we'd never do that in Canada. I will therefore give you the entire history of electoral fraud and interference in Canada in the last 10 years.

We had a 20-year-old who was working for the Conservatives who got his hands on some phone numbers and sent out wrong information on voting day. He was jailed.

We had a member of this committee who got his cousins to help pay an electoral paying scheme. He lost his seat in Parliament and went to jail.

We had a cabinet minister who cheated on 8,000 dollars' worth of flights in an election and went over the limit. He lost his position in cabinet and lost his seat.

These situations have consequences, and yet we see wide open data interference now for which we don't seem to have any laws, or we're seemingly at a loss and are not sure how to tackle it.

I can tell you that in 2015 I began to see it in the federal election, and it was not noticed at all at the national level. It was intense anti-Muslim, anti-immigrant women material that up-ended the whole election discourse in our region. It was coming from Britain First, an extremist organization. How working-class people in my region were getting this stuff, I didn't understand.

I understand now, however, how fast the poison moves in the system, how easy it is to target individuals, how the profiles and the data profiles of our individual voters can be manipulated.

When the federal government has new electoral protection laws, they may be the greatest laws for the 2015 election, but that was like stage coach robberies compared with what we will see in our upcoming election, which will probably be testing some of the ground for the 2020 election.

In terms of this massive movement in the tools of undermining democratic elections, how do we put in in place the tools to take on these data mercenaries who can target us right down to individual voters each with their own individual fears?

Ms. Ellen Weintraub:

I don't even know how to begin to answer that question.

Obviously Canada has a different system from ours in the United States. I don't always agree with the way our Supreme Court interprets the First Amendment, but it has provided extremely strong protections for free speech rights, and that has ramifications in the area of technology, in the area of dark money, in the area of money and politics.

If it were up to me, I think they would veer a little bit more toward the Canadian model, but I don't have control over that.

Mr. Charlie Angus:

Mr. Therrien, I will go to you.

It was your predecessor, Elizabeth Denham, who identified the Facebook weakness in 2008 and attempted to have them comply. If they had done so, we might have avoided so many issues. Now, in 2019, we have you making a finding in the rule of law under your jurisdiction that Facebook broke our information protection act.

What has been very disturbing is that Facebook has simply refused to recognize the jurisdiction of our country, based on our supposed necessity to prove to them whether or not harm was caused.

I'm not sure whether you heard Mr. Chan's testimony today, but in terms of the rights of democratic legislators to ensure that laws are protected, how do we address a company that believes it can pick and choose, opt in or opt out, among national laws?

(1620)

Mr. Daniel Therrien:

You refer to the findings of my predecessors 10 years ago. It's certainly disconcerting that practices that were identified 10 years ago and were said to have been corrected by better privacy policies and better information to users were not actually corrected. There were superficial improvements, in our view, but in effect, the privacy protections of Facebook 10 years after the investigation of the OPC are still very ineffective.

On the jurisdictional argument, I believe the argument of the company is that because Canadians were not personally affected in terms of the ultimate misuse of the information for political purposes, this somehow results in the lack of jurisdiction for my office. Actually, however, what we looked at was not limited to the impact of these privacy practices on the Canadian political process. We looked at the sum total of the privacy regulatory scheme of Facebook as it applies not only to one third party application but all third party applications, of which there are millions.

I'm certainly very concerned that Facebook is saying that we do not have jurisdiction, when we were looking at the way in which Facebook handled the personal information of Canadians vis-à-vis millions of applications and not only one application.

How do you ensure that Facebook or other companies heed the jurisdiction of Canada? Well, based on the legal regime that we have, we are left with the possibility of bringing Facebook to the Canadian Federal Court—and this is what we will do—to have a ruling on Facebook's practices, including whether it is subject to our jurisdiction. We don't have much doubt that they are subject to our jurisdiction, but it will take a court finding to decide that question.

Mr. Charlie Angus:

Finally—

The Chair:

Thank you, Mr. Angus. You're out of time.

Mr. Charlie Angus:

My watch says it's four minutes and 53 seconds.

Voices: Oh, oh!

The Chair:

We'll have some more time around the hop, so I'd better get going here.

We'll go next to Singapore for five minutes.

Mr. Tong.

Mr. Edwin Tong (Senior Minister of State, Ministry of Law and Ministry of Health, Parliament of Singapore):

Thank you.

Ms. Weintraub, thank you very much for being here. In September 2017 you wrote a letter to the then chairman of the FEC. I'll just quote one paragraph from it and ask you some questions. You said, “It is imperative that we update the Federal Election Commission's regulations to ensure that the American people know who is paying for the Internet political communications they see.”

Am I right to assume that your concerns arise from the fact that foreign activity influences, interferes with, and even corrupts political communication, not just in an election but in the everyday life of people in a democratic society, and that if left unchecked over time such activity would seek to undermine institutions and the government, subvert elections and ultimately destroy democracy?

Would I be right to say that?

Ms. Ellen Weintraub:

I share many of those concerns and I worry deeply that what is going on is not just election-oriented but is an attempt to sow discord, to sow chaos and to undermine democracy in many countries.

Mr. Edwin Tong:

In fact, would you agree that the typical modus operandi of such bad actors would be precisely to sow discord on socially decisive issues; to take up issues that split open fault lines in society so that institutions and ultimately governments are undermined?

(1625)

Ms. Ellen Weintraub:

I believe that is so.

Mr. Edwin Tong:

You mentioned earlier the tech companies. I think you said that their answer to you was, “We've got this.” Obviously, that's far from the case. You also said it's obvious that they were not verifying the persons behind the advertisements and the donations.

Are you aware of the Campaign for Accountability, the CFA?

Ms. Ellen Weintraub:

I can't say that I am; I'm sorry.

Mr. Edwin Tong:

Sometime, I think, after you released Robert Mueller's findings, a non-profit organization called Campaign for Accountability posed as IRA operators, bought political ads and did so very easily. They were able to effectively get Google to run a whole series of advertisements and campaigns for a little less than $100 U.S. and they managed to get something like 20,000 views and more than 200 clicks with that kind of spending.

Is that something that would concern you, and should regulations deal with that kind of obvious foreign activity that also shows that media platforms cannot be trusted to police?

Ms. Ellen Weintraub:

I absolutely think there is a need for greater regulation to ensure that when people see things on social media, they can trust where it's coming from.

Mr. Edwin Tong:

Yes.

On the regulations that you spoke of, from the quote that I read to you, could you maybe, in 30 seconds, tell us what you think should be the core principles behind such regulations to stop the influence and corruption of foreign interference in democratic processes?

Ms. Ellen Weintraub:

Well, as I said, I think what we need is greater transparency. When people are reading something online, they need to be able to know where it's coming from.

We had this example of ads and information being placed, propaganda, coming from the Internet Research Agency in Russia. I don't know anybody who wants to get their news from a Russian troll farm. I think if they knew that was where it was coming from, that would tell them something about how much to believe it.

Mr. Edwin Tong:

Yes, because ultimately, false information is not free speech, is it?

Ms. Ellen Weintraub:

People need to know where the information is coming from, and then they can draw better conclusions.

Mr. Edwin Tong:

Yes. Thank you.

Thank you, Mr. Chair.

The Chair:

Thank you.

We'll go next to Ms. Naughton from Ireland.

Ms. Hildegarde Naughton (Chair, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

My first question will be for Mr. Cannataci. It's in relation to legislation we're looking at in Ireland, which could ultimately apply at a European level. It's an online digital safety commissioner. One of the key challenges our committee is having in relation to drawing this legislation is the definition about what is harmful communication. I don't know if you could assist us. Is there a best practice or best way of going about that?

We're also legislating ultimately at a European level, and as we know, we need to protect freedom of speech and freedom of expression. Those issues have been raised here. Have you any comments to make in relation to that?

Prof. Joseph A. Cannataci:

The short answer is, yes, I would be happy to assist you. We are setting up a task force precisely on privacy and children and online harm. It's a very difficult subject, especially because some of the terminology that has been used is not very clear, including the use of words such as “age appropriate”.

For most kids around the world, there's no such thing as one age being associated with a given level of maturity. Kids develop at different ages. The type of harm that they can receive really needs to be better studied. In fact, there are very few studies, unfortunately, on this subject. There are some studies, but not enough.

I would certainly welcome a joint European, Irish, and indeed, international approach on the subject, because this is something that goes across borders, so thank you for that.

Ms. Hildegarde Naughton:

Thank you very much. I think that's a common concern here around the table in relation to that definition.

I might ask the Privacy Commissioner, Mr. Therrien, in relation to GDPR, do you have any viewpoints on how that's working?

As you know, Facebook's Mark Zuckerberg has called for GDPR to be rolled out on a global level. I'd like your own comments, from your own professional background.

It is quite new. As you know, it has been rolled out at a European level. What are your viewpoints on that, how it's working, and Mr. Zuckerberg's call for that to be rolled out, even on a modified level, from country to country?

(1630)

Mr. Daniel Therrien:

The GDPR is still relatively new, so in terms of how it is working, I think we'll need to wait a bit longer to see what its impact is in practice. I certainly believe that the principles of the GDPR are good ones; they're good practices. I believe that individual countries obviously should seek to have the most effective privacy and data protection possible and borrow from other jurisdictions rules that have that impact.

In my opening statement, I mentioned interoperability. In addition, it's important that the national laws, although interoperable and borrowing from good principles such as the GDPR, are also aligned and informed by the culture and traditions of each country. There might be differences in certain jurisdictions, say, on the various weight or the relative weight of freedom of expression versus data protection, but GDPR is an excellent starting point.

Ms. Hildegarde Naughton:

Okay, thank you.

I think those are my questions.

The Chair: You have one minute.

Ms. Hildegarde Naughton: Do you want to ask a question?

Mr. James Lawless (Member, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Thanks.

Chair, if it's okay, I'll just use the last minute, but I'll come in on the second round again for my five minutes.

The Chair:

Yes, you bet.

Mr. James Lawless:

Ms. Weintraub, it was interesting to listen to your analysis of what happened in the recent elections, and I suppose particularly of nation-states' influence.

One thing that I think is common is that it's not necessarily that they favour one candidate over another, but—it seems to be a common theme—that they favour dissent and, I suppose, weakening western democracies. I think we saw that arguably in Brexit as well as in the U.S. elections. How do we combat that?

I have drafted legislation similar to the honest ads act, the social media transparency act, with very similar objectives. One question, and I'll come back to it in the second round, is about how we actually enforce that type of legislation. Is the onus on the publishers or is it on the platform?

We heard somebody mention that they had successfully run fake ads from the 100 U.S. senators or members of the House of Representatives or whatever it was. Should it be the platforms that are liable for ensuring that the correct disclosure and disclaimers and verification are performed? They say back to us that they can't possibly do that. Do we, then, make the people who are running the ads liable, or do we make the people who are taking out the ads liable, if you understand the distinction?

Ms. Ellen Weintraub:

Historically what we do in the States is put the onus on whoever is placing the ads to make sure that their disclaimers and disclosure obligations are fulfilled. It seems to me, though, that we could take advantage of the vaunted machine learning AI capabilities of these platforms. If the machines can detect that the name on the ad bears no relation at all to the source of the payment, you would think they could have a human being take a look at it and say, “Hey, let's just make sure we have the right name here on the ad.”

It's not the way our laws work right now, though.

The Chair:

Next up for five minutes is Mr. Zimmermann from Germany.

Mr. Jens Zimmermann (Social Democratic Party, Parliament of the Federal Republic of Germany):

Thank you, Mr. Chair.

I would first start with Mr. Cannataci and would focus on international co-operation.

We brought up earlier here that on an international level, co-operation is needed. This is also the idea behind our meeting here. Where, though, do you see forums for co-operation in these areas? We'll have, for example, the Internet Governance Forum, which is a multi-stakeholder approach on the UN level, this year in Germany.

Do you see any other approaches?

(1635)

Prof. Joseph A. Cannataci:

Thank you for that question, Mr. Zimmermann.

The Internet Governance Forum is a useful place to meet and talk, but we must be very careful not to let it remain just a talking show. The problem is that it is a forum in which many interesting ideas are heard but very little governance takes place. At this moment in time, the states unfortunately tend to dodge the responsibility of providing actual governance.

I think what we're going to see, and I think the companies feel this coming—some of them have half-admitted it—is countries getting together, including the European Parliament that has just been elected, and increasingly using measures that will focus attention.

Nothing focuses attention like money. The GDPR approach, which has been referred to, has companies around the world paying close attention, because nobody wants to be stuck with a bill of 4% of their global turnover. I think that this is one measure that will help introduce liability and responsibility. To come to the previous question, I think it will also focus attention on platforms at least as much as publishers, because as somebody said, sometimes it's difficult to detect whether the publisher was the right person.

Mr. Jens Zimmermann:

Thank you very much.

The enforcement question would have been my follow-up, but you already answered. Thank you.

I would also ask Ms. Weintraub one question.

We have mentioned many times now trolls and troll farms, and we're focusing very much on advertisements. What about homegrown trolls? We've seen to a certain degree also in Germany that especially on the far right there are activists who are really trolls on steroids. You don't have to pay them; they do this because they want to support their political affiliates.

They're also using tools whereby, in the dark, they decide to focus on such-and-such member of Parliament, attacking him or her, or simply supporting every post done by a member of a party. They are simply making the most out of the algorithms, and they don't need any money for it

Do you have that also on the radar?

Ms. Ellen Weintraub:

I think you raise another very serious question. We have seen this in the States, that some of the techniques that were pioneered by foreign activists are now being adopted by domestic activists because they've seen that they work. It has the same kind of concerning effect as promoting discord, and hate speech sometimes, and gathering from the crevices of the community people who have views that in isolation might not have much power but that, when they are able to find each other online and promote these ideas, become much more concerning.

We don't have good tools to go after that, because it's easy to say, if it's foreigners, that they're trying to intervene in our election, and we know that's not a good thing. When it's our own people, though, it's a bigger challenge.

The Chair:

You have about 30 seconds.

Mr. Jens Zimmermann:

I'll raise maybe one last aspect.

We have a lot of regulation of the media, what is allowed for a TV station, for a radio station, but in Germany right now we have a lot of debate about YouTube, people who basically have more of an audience than many TV stations but are not regulated at all.

Is that something you are also seeing?

Ms. Ellen Weintraub:

We certainly have the phenomenon of influencers. I don't spend a lot of time on YouTube myself, and when I see some of these folks, I'm really not sure why they have this kind of influence and sway, but they do.

It goes back to the model that we have. The model of regulation in the United States is a money-based model. When we began to address political activity on the Internet, it was at a point when YouTube was in its infancy and the governing assumption was that of course somebody would have to pay to put these ads up in order for anybody to see them. Now we're dealing in a whole different world in which all this free content is up there and it goes viral. There are very few controls on that.

(1640)

The Chair:

Thank you.

We're going to get back to our parliamentarians, now that they've returned from voting.

We'll go to Mr. Kent for five minutes.

Hon. Peter Kent (Thornhill, CPC):

Thank you, Chair.

My first question is for Commissioner Therrien and is related to the revelation in the government's response to an Order Paper question regarding discriminatory advertising for employment, on a number of platforms, it seems, but certainly Facebook was mentioned, in which a number of departments had requested micro-targeting advertising by sex and age.

Mr. Chan, the CEO of Facebook Canada, responded that yes, that was the case but protocols have changed, although there was a certain imprecision or ambiguity in his responses. He said that the Government of Canada has been advised that it is not only unacceptable but quite possibly illegal under various human rights legislation across the country.

Could I have your response, Commissioner?

Mr. Daniel Therrien:

I think this shows the importance of having regulations that are human rights based. Here we have a practice that allegedly resulted or could result in discrimination. I think it's important that the regulations look at the net effect of a practice and deal with it from a human rights perspective.

In terms of privacy, we tend to look at privacy or data protection as rules around consent and specification of purpose and so forth. I think Cambridge Analytica raised the issue of the close relationship between privacy protection, data protection and the exercise of fundamental rights, including, in the case of your example, equality rights.

I think that for the types of laws for which I'm responsible in Canada, by defining privacy not with regard to important mechanisms such as consent, for instance, but with regard to the fundamental rights that are protected by privacy, we would have a more effective and more fulsome protection.

Hon. Peter Kent:

Okay.

The question for you, Ms. Weintraub, is on the discussion we had with Facebook this morning with regard to the Pelosi altered video and the statement that Facebook made to the Washington Post saying,“We don't have a policy that...the information you post on Facebook must be true.”

Clearly, this is a case of political maliciousness. It is not an election year, but certainly it is tainting the well of democracy and obviously targeting one political leader's reputation and political leadership. I'm wondering what your thoughts are with regard to the Facebook argument.

They will take down a video by someone posting the truth who is falsely posting, but they will leave up the video placed by someone who is obviously quite willing to say that they put the video up and simply to put an advisory that it doesn't seem to be the truth, even though, in the Pelosi case, that manipulated video has been seen by many millions of viewers since the controversy developed, which again feeds the business plan of Facebook with regard to clicks and number of views.

Ms. Ellen Weintraub:

Well, I heard a lot of dissatisfaction voiced this morning about the answer that Facebook gave. I have to say that I also found their answer to be somewhat unsatisfactory, but it raises a really important question. I mean, in this case they know it's not true, but the broader question is, who is going to be the arbiter of truth?

Personally, I don't want that responsibility, and I think it's dangerous when government takes on that responsibility of deciding what is true and what isn't. That really veers more into the Orwellian, more authoritarian governance. I don't think I would feel comfortable either being that person or living in a regime where government had that power, but if government doesn't have that power, then the question is, who does? I'm also uncomfortable with the platforms having that much power over determining what is truth and what isn't.

(1645)

Hon. Peter Kent:

If that were to occur in an election cycle, what would your response be?

Ms. Ellen Weintraub:

In election cycles, we have various regulations that govern ads, if indeed it is paid advertising and if it mentions candidate names. Every member of the House of Representatives runs every two years. I suppose that for a member of the House of Representatives they are always in cycle, but we have stronger rules that govern once we get closer to the election. Within 30 days of a primary or 60 days of a general election, there are rules, again, that go to disclosure, though. We don't have any rules that would empower my agency to order a platform to take down an ad.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Ms. Weintraub.

Some of the membership of the committee are not going to ask questions, so we have a bit more time than you might expect. If you do want to ask another question, please signal the chair, and I'll add you in at the end of the sequence.

Next up, we have the member from Estonia.

Go ahead.

Ms. Keit Pentus-Rosimannus (Vice-Chairwoman, Reform Party, Parliament of the Republic of Estonia (Riigikogu)):

Thank you.

Ms. Weintraub, I have a question for you.

Disinformation is officially part of Russia's military doctrine. It has been so for some time already. They are using it as a strategy to divide the west, basically. It is also known that Russia uses 1.1 billion euros per year for their propaganda and spreading their narratives.

Your next presidential elections are practically tomorrow. Knowing the things we now know about the last campaigning period, are you ready today? If what happened during the previous campaign would reappear, and if all the same things would happen again, do you think that now you would be able to solve it?

Ms. Ellen Weintraub:

I'm not going to claim that I can personally solve the problem of disinformation in our elections. As I mentioned earlier, I think there are laws and regulations that have been drafted and should be adopted that would strengthen our position.

I also think that we, writ large, need to devote more attention to digital literacy. A lot of people believe all sorts of things that they see online and that they really shouldn't. My daughter tells me that this is generational, that her generation is much more skeptical of what they read online and that it's only my foolish generation that views the Internet as this novelty and assumes that everything they read is true.

I don't know that I entirely agree that it's entirely a generational problem, but I do think that we, as a whole, as the broader community of democracies, really need to look into what our resiliency is to the kind of disinformation that we know is going to be out there.

As I said, we're always fighting the last battle, so we can write laws to address what happened last time, but I'm quite sure that in the next election new techniques are going to be developed that nobody's even thinking about yet.

Ms. Keit Pentus-Rosimannus:

Can you say what are the two main threats you are preparing for?

Ms. Ellen Weintraub:

My agency is all about regulating money in politics. That is our focus, so we are trying to look at where the money is coming from. That is what we're always looking at. We're trying to get better transparency measures in place so that our voters and our electorate will better know where the money is coming from and who is trying to influence them. That's really my number one priority.

Ms. Keit Pentus-Rosimannus:

We just had elections in Europe, the European parliamentary elections. Do you see anything we went through that could be used to prepare for your next election? How closely do you co-operate with European colleagues?

Ms. Ellen Weintraub:

I'm always happy to get information from any source. That's why I'm here. It's a very educational event for me. As well, I'm happy to answer any questions that you all may have.

(1650)

Ms. Keit Pentus-Rosimannus:

Do you see already that there are some things from the European Parliament elections that you can find useful?

Ms. Ellen Weintraub:

We have not yet studied what went on in the European Parliament elections.

Ms. Keit Pentus-Rosimannus: All right.

The Chair:

You're good? Thank you.

We're going to start the cycle again, just so you know. We'll start with Nate, and then we'll go to the next parliamentarian, so it will be Nate, Ian and James.

Go ahead, Nate.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Thanks very much.

I was in Brussels recently and met with the EU data protection supervisor. There is great co-operation among the privacy commissioners in the EU. There are conferences for privacy commissioners where you get together and discuss these issues as a matter of co-operation amongst regulators.

Is there the same level of co-operation, Ms. Weintraub, with respect to elections?

Ms. Ellen Weintraub:

Our elections are run under our own unique rules. As I said before, I'm happy to have information from any source, but because our rules are different from other countries' rules, particularly when it comes to the transparency of money and politics and how we fund our elections, we kind of plow our own course.

Mr. Nathaniel Erskine-Smith:

When I suggested to a friend from Colorado and a friend from Mississippi that I wanted to get involved in politics and said that the cap in my local district was $100,000 Canadian, they laughed at me for a long time.

Voices: Oh, oh!

Ms. Ellen Weintraub:

It's very different.

Mr. Nathaniel Erskine-Smith:

Before I move to Mr. Therrien, I completely respect that as an American you have stronger free speech rules than we have here in Canada. Still, when you say “arbiters of truth”, there are still standards councils and there are still, when it comes to broadcasters.... Surely, a broadcaster in an election.... Maybe I'm incorrect, but I would expect that there are standards councils and some ethics guidelines and some basic principles they would abide by, and they wouldn't just broadcast anything.

Ms. Ellen Weintraub:

I think that's true of broadcasters, mostly out of a sense of professional responsibility. That is one of the conundrums that I think we all face. When we were living in a world where there was a small number of broadcasters and those were all professional journalists, and they had training and they exercised editorial control over what they were distributing and were doing a lot of fact-checking, that was a whole different world from the information that we get online, where everybody's a broadcaster, everyone is a content producer, and—

Mr. Nathaniel Erskine-Smith:

So sort of, right...? Because it's one thing for you and me to be friends on Facebook and you post something and I see it. It's a very different thing if the News Feed, the algorithm that Facebook employs, makes sure I see it because of a past history that I have online, or if the YouTube recommendation function ensures that I see a video that I wouldn't see otherwise because I didn't seek it out. Aren't they very akin to a broadcaster when they're employing algorithms to make sure I see something and they're increasing impressions and reach?

Ms. Ellen Weintraub:

You're discussing an entirely different topic. I was talking about individuals who are putting their own content out there. The way the platforms are regulated under current United States law is that they don't have those same responsibilities as broadcasters under section 230 that—

Mr. Nathaniel Erskine-Smith:

If they took their corporate social responsibility seriously, as broadcasters do, presumably they would join a standards council or create one.

With respect to ad transparency, we recommended at this committee.... I mean, the honest ads act would be a good start, but I think it would just be a first step.

Ms. Ellen Weintraub:

Absolutely.

Mr. Nathaniel Erskine-Smith:

Does it make sense to you that if I'm receiving an ad online, especially in an election, that I would be able to click through and see who paid for it, obviously, but also the demographics for which I've been targeted, as well as a selection criteria on the back end that the advertiser has selected, whether it's Facebook or Google or whatever it might be, for example, if it has been directed to a particular postal code, or if it's because I'm between the ages of 25 and 35? Do you agree that there should be more detailed transparency?

Ms. Ellen Weintraub:

I do, but of course part of the problem with that, though, is that very few people would actually click through to find that information. One concern I have is that everybody says that as long as you can click through and find the information somewhere, that should be good enough. I think there has to be some information right on the face of the ad that tells you where it's coming from.

(1655)

Mr. Nathaniel Erskine-Smith:

Right.

The last question I have is for Mr. Therrien.

We had a number of excellent witnesses last night and this morning who really highlighted the business model as the fundamental problem here, in that it encourages this never-ending accumulation of data.

I wonder if you have any comments on two ideas that I want to set out. One, how do we address that business model problem that was identified? Two, how do we address it in such a way that it also respects the real value of aggregate-level data in different ways?

If I look at Statistics Canada, for example, which publishes aggregate-level data, that is really helpful for informed public policy. When I use Google Maps on a daily basis, that is based upon user information that is fed into the system and, as a result, I don't need to know where I'm going all the time; I can use Google Maps. It's based on data that has been input, but in the public interest.

How do we address the business model but also protect the public interest use of aggregate-level data?

Mr. Daniel Therrien:

I think an important part of the solution is to look at the purposes for which information is collected and used. It's one thing for an organization, a company, to collect and use data to provide a direct service to an individual. That is totally legitimate, and this is the type of practice that should be allowed. It's another for an organization to collect so much information, perhaps under the guise of some type of consent, that the end outcome is something very close to corporate surveillance.

I think it's important to distinguish between the two. There are a number of technical rules that are at play, but the idea that we should define privacy beyond mechanical issues like consent and so on and so forth and define it by regard to what is the right being protected, i.e., the freedom to engage in the digital economy without fear of being surveilled, is an important part of the solution.

Mr. Nathaniel Erskine-Smith:

I'm out of time, but I'll just say one final thing. When you think of privacy from a consumer protection perspective, it's a curious thing that when I buy a phone I don't have to read the terms and conditions. I know that if it's a defective phone I can take it back, because there are implied warranties that protect me, but for every app I use on my phone, in order to be protected, I have to read the terms and conditions. I think it's just a crazy thing.

Thanks very much.

The Chair:

Thank you, Mr. Erskine-Smith.

I want to speak to the order of questions. This is what I have: Ian, James, David de Burgh Graham, Jo, Jacques, Charlie and Peter. To close out, we have Mr. Collins again, for some final words. That's what we have so far. If there is anybody else who wants to ask a question, please put your hand up. I'll try to get you added to that list, but it looks like we're tight for time.

Now we're going to Mr. Lucas for five minutes.

Mr. Ian Lucas (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Mr. Chairman.

I was very struck by something that Jim Balsillie said this morning. He said that the online business model of the platforms “subverts choice”, and choice is what democracy is essentially about. It occurred to me—you might find this quite amusing—that in the United Kingdom, broadcasters aren't allowed to do political advertising. In other words, we don't have the wonderful advertisements that I've seen in the United States, and I'm sure in other jurisdictions.

Do you think there's a case for banning paid-for political advertising online on these platforms?

Ms. Ellen Weintraub:

I don't see any way it would pass constitutional scrutiny on our Supreme Court.

Mr. Ian Lucas:

That's in the United States?

Ms. Ellen Weintraub:

Yes. It's my frame of reference.

Mr. Ian Lucas:

Yes.

If I can talk to you, Mr. Cannataci, is the use of political advertising through broadcasting worldwide nowadays? Are there jurisdictions where broadcast advertisements are not accepted?

Prof. Joseph A. Cannataci:

Thank you for the question, Mr. Lucas.

The answer is that national practices vary. Some countries go more towards the United States model. Others go towards the United Kingdom model. In truth, though, we are finding that in many countries where the law is more restrictive, in practice many individuals and political parties are using social media to get around the law in a way that was not properly envisaged in some of the actual legislation.

With the chair's permission, I'd like to take the opportunity, since I've been asked a question, to refer to something that I think is transversal across all the issues we have here. It goes back to the statement made by Ms. Weintraub regarding who is going to be the arbiter of truth. In a number of countries, that value is still very close to our hearts. It is a fundamental human right, which happens to reside in the same article 17 of the International Covenant on Civil and Political Rights, of which many of the countries around the table, if not all, are members.

In the same section that talks about privacy, we have the provision on reputation, and people [Technical difficulty—Editor] care a lot about their reputation. So in terms of the arbiter of truth, essentially, in many countries, including France—I believe there was some discussion in Canada too—people are looking at having an arbiter of truth. Call him the Internet commissioner or call him the Internet ombudsman, call him what you will, but in reality people want a remedy, and the remedy is that you want to go to somebody who is going to take things down if something is not true.

We have to remember—and this applies also to online harm, including radicalization—that a lot of the harm that is done on the Internet is done in the first 48 hours of publication, so timely takedown is the key practical remedy. Also, in many cases, while freedom of speech should be respected, privacy and reputation are best respected by timely takedown. Then, if the arbiter in the jurisdiction concerned deems that it was unfair to take something down, it can go back up. Otherwise, we need the remedy.

Thank you.

(1700)

Mr. Ian Lucas:

It occurs to me, going back to Mr. Erskine-Smith's point, that when I joined Facebook I didn't consent to agree to be targeted by political advertising from anywhere. I didn't know that was part of the deal. It's not why people join Facebook.

It seems to me that we've managed, give or take a few bad phases, to survive as a democracy in the U.K. without broadcast TV adverts, political adverts. It's a particular area of advertising that I'm seeking to restrict, and I'm supported because of the emphasis that was given this morning to the way the control of data is really removing choice from the individual in this process.

From an information regulation point of view, how clear do you think people are in that area? Do you think people understand that this is what's happening here?

Ms. Ellen Weintraub:

First of all, let me say that I think there are many people in the United States who would love a system where they didn't get political advertisements. It's not something that people actually enjoy all that much.

I think you're raising a nuance there that I think is important, and that is, it's not.... Our Supreme Court would never allow a sort of a flat-out ban on political advertising, but—

Mr. Ian Lucas:

Right. It's the position of the United States, but—

Ms. Ellen Weintraub:

Right, but what you're talking about is the use of people's personal data to micro-target them, and that, it seems to me, does raise a very different issue. I'm not actually sure that it wouldn't pass constitutional scrutiny.

Mr. Ian Lucas:

That's exactly what's happening in terms of paid-for advertising at the moment.

The other issue—

The Chair:

Mr. Lucas, could you could make it real quick? I hate to cut you off. You've come a long way.

Mr. Ian Lucas:

Very quickly, I'll pick up on an issue that Jens mentioned. He talked about trolls. Closed groups are also a massive problem, in that we do not have the information, and I think we need to concentrate more on that as an issue, too.

The Chair:

Thank you, Mr. Lucas.

Next up, we have James from Ireland.

Mr. James Lawless:

Thank you, Chair. I have another couple of questions and observations.

Just picking up on something that I think Nate was saying earlier in his other points, the question often is whether these platforms are legally publishers or dumb hosts, terminals that display the content that gets put in front of them. I think one argument to support the fact that they're publishers and therefore have greater legal responsibilities is that they have moderators and moderation policies, with people making live decisions about what should and shouldn't be shown. On top of that, of course, are the targeting algorithms. I think that's something that's of interest, just as an observation.

On my other point, before I get into questions, we were talking about nation-states and different hostile acts. One thing that's the topic of the moment, I suppose, is the most recent revelation in terms of the Chinese government and the Huawei ban, and the fact that Google, I think in the last few days, announced a ban on supporting Huawei handsets. But it strikes me that Google is tracking us through Google Maps and everything else as we walk about with our phones. I think I read that there are 72 million different data points in a typical year consumed just by walking about town with a phone in your hand or in your pocket. Maybe the difference is that somewhere Google has terms and conditions that we're supposed to take, and Huawei doesn't, but both are effectively doing the same thing, allegedly. That's just a thought.

On the legislative framework, again, as I mentioned earlier, I've been trying to draft some legislation and track some of this, and I came to the honest ads act. One of the issues we've come across, and one of the challenges, is balancing free speech with, I suppose, voter protection and protecting our democracies. I'm always loath to criminalize certain behaviours, but I'm wondering what the tipping point is.

I suppose that in the way I've drafted it initially what I've considered is that I think you can post whatever you whatever you want as long as you're transparent about who actually said it, who is behind it, who is running it or who is paying for it, particularly if it's a commercial, if it's a paid-for post. In terms of the bots and the fake accounts, and what I would call the industrial-scale fake accounts, where we have a bot farm or where we have multiple hundreds or thousands of users actually being manipulated by maybe a single user or single entity for their own ends, I think that probably strays into the criminal space.

That's one question for Ms. Weintraub.

I suppose another question, a related question, is something that we struggle with in Ireland and that I guess many jurisdictions might struggle with. Who is responsible for policing these areas? Is it an electoral commission? If so, does that electoral commission have its own powers of enforcement and powers of investigation? Do you have law enforcement resources available to you? Is it the plain and simple police force of the state? Is a data protection commissioner in the mix as well? We have different types of regulators, but it can be a bit of an alphabet soup, and it can be difficult to actually pin down who is in charge. Also, then, if we do have somebody in charge, it can be difficult; they don't always have the resources to follow through.

That's my first question. In terms of criminalization, is that a bridge too far? Where do you draw the line? Second, if there is criminalization and there's an investigation required, what kind of resourcing do you have or do you think is needed?

(1705)

Ms. Ellen Weintraub:

Again, my expertise is in the U.S. system, so I can most effectively tell you about that. We are a law enforcement agency. We have jurisdiction over money and politics, and we have civil enforcement authority. We have subpoena authority. We can do investigations. I think that some of our enforcement tools could be strengthened, but we also have the ability to refer to our justice department if we think there are criminal violations, which are basically knowing and wilful violations of the law.

Going back to something that you said earlier, in terms of our regulatory system, I don't think bots have first amendment rights. They're not people, so I don't have any problem with.... I don't understand why these smart tech companies can't detect the bots and get them off the platforms. I don't think that would raise first amendment concerns, because they're not people.

Mr. James Lawless:

Actually, that's a great line. I'm going to use that again myself.

I think I still have time for my next question. There is another way around this that we've seen in Ireland and, I guess, around the world. We've heard it again today. Because of the avalanche of fake news and disinformation, there is a greater onus on supporting the—dare I say—traditional platforms, the news media, what we'd call independents, quality news media.

There is a difficulty in terms of who decides what's independent and what's quality, but one of the approaches that we've been looking at I think I heard it in the Canadian Parliament when we watched the question period a few hours ago. I heard similar debates. One solution we're toying with is the idea of giving state subsidies or state sponsorship to independent media, not to any particular news organization but maybe to a broadcasting committee or a fund that is available to indigenous current affairs coverage, independent coverage.

That could be online, or in the broadcast media, or in the print media. It's a way to promote and sustain the traditional fourth estate and the traditional checks and balances of democracy but in a way that I suppose has integrity and is supported, asks questions of us all, and acts as a foil to the fake news that's doing the rounds. However, it's a difficult one to get right, because who decides who's worthy of sponsorship and subsidy and who isn't? I guess if you can present as a bona fide, legitimate local platform, you should be entitled to it. That's an approach we're exploring, one that has worked elsewhere and has seemed to work in other jurisdictions.

(1710)

The Chair:

Thank you James.

Next we'll go to Mr. Graham.

Go ahead for five minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you.

Ms. Weintraub, to build on that, if bots don't have first amendment rights, why does money?

Ms. Ellen Weintraub:

Well, money doesn't have first amendment rights. It's the people who are spending the money who have first amendment rights.

Let me be clear about this. I'm not a big fan of our Supreme Court jurisprudence. I mean, I would adopt the Canadian jurisprudence on this stuff if I could, but it's a little bit above my pay grade.

Mr. David de Burgh Graham:

Fair enough. So you don't necessarily think the decision in Citizens United was a good one?

Ms. Ellen Weintraub:

It would be fair to say that I am not a fan of the Citizens United decision.

Mr. David de Burgh Graham:

Fair enough.

As you were saying, the elections commission's job is to oversee the financing of elections. If a company knowingly permits the use of its algorithm or platform to influence the outcome of an election, would you consider that to be a regulated non-monetary contribution?

Ms. Ellen Weintraub:

I think it could be an in-kind contribution.

Mr. David de Burgh Graham:

Interesting. My next question is related to that.

The CEO of Facebook has a majority of voting shares in the company. He basically has absolute powers in that company. From a legal or regulatory point of view, what prevents that company from deciding to support or act in any way they feel like in an election?

Ms. Ellen Weintraub:

As a corporation, it can't give a donation directly to a candidate, and that would include an in-kind contribution.

A question was raised earlier—and forgive me as I can't recall if it was you who suggested it—about Mark Zuckerberg running for president and using all of the information that Facebook has accumulated to support his campaign. That would be a massive campaign finance violation because he doesn't own that information. Facebook, the corporation, owns it.

The wrinkle in that is that due to the decision of our Supreme Court, corporations can make contributions to super PACs, which supposedly act independently of the campaigns. If a super PAC were advancing the interests of a particular candidate, a corporation—including Facebook—could make an unlimited contribution to that super PAC to help them with their advocacy.

Mr. David de Burgh Graham:

Understood.

I don't have much time, so I'll go to Mr. Therrien for a quick second.

To Mr. Lucas's point earlier, in the social media world, are we the client or are we the product?

Mr. Daniel Therrien:

It is often said that when you do not pay with money, you are the product, and there is certainly a lot of truth to that phrase.

Mr. David de Burgh Graham:

When a surveillance-based company adds tags to sites that do not belong to them, with the approval of the site owner—for example, Google Analytics is pervasive across the Internet and has the approval of the site owner but not of the end user—do you consider them to have implied consent to collect that data?

Mr. Daniel Therrien:

Sorry, I did not get the end.

Mr. David de Burgh Graham:

If I have website and have Google Analytics on it, I have approved Google's use of my website to collect data, but somebody coming to use my website doesn't know that Google is collecting data on my site. Is there implied consent, or is that illegal from your point of view?

Mr. Daniel Therrien:

It is one of the flaws of consent, probably, that there is a term and condition somewhere that makes this consent. That's why I say that privacy is not only about the rules of consent; it's about the use of the information and the respect for rights. We should not be fixated on consent as the be-all and end-all of privacy and data protection.

The Chair:

We have Mr. Picard, who will share the rest of the time with—

Mr. Michel Picard (Montarville, Lib.):

Ms. Weintraub, you said something very interesting, and I don't know whether we have established this notion before.

In the scenario where Zuckerberg would run for president, Facebook couldn't give the information because it would be a massive contribution in kind. Have we established the ownership of the information? No one has consented that this information be spread, and therefore does Facebook own this information?

(1715)

Ms. Ellen Weintraub:

That is a very interesting question, but I'm not sure it's a campaign finance question, so it may be outside of my expertise.

Mr. Michel Picard:

What if it were in Canada, Mr. Therrien?

Mr. Daniel Therrien:

The rules around ownership of information are not very clear.

From a privacy and data protection perspective, I think the question is one of control, consent, but ownership is not a clearly cut question in Canada.

The Chair:

Thank you.

The last three are Jo, Jacques, Charlie, and then we'll finish up.

Ms. Jo Stevens (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Chair.

Ms. Weintraub, I want to ask you, as someone with an obvious professional interest and expertise in this area, do you think we in the U.K. would have more confidence in the integrity in our elections and referenda if we had a Mueller-type inquiry into the 2016 European Union referendum?

Ms. Ellen Weintraub:

You know your people better than I do. I think you're a better judge of what would give them greater confidence.

There were specific incidents that triggered the Mueller inquiry.

Ms. Jo Stevens:

Do you see any overlap between those incidents, or any trend in terms of what happened there and what you know about the European Union referendum?

Ms. Ellen Weintraub:

I haven't studied it carefully enough to wage an opinion.

Ms. Jo Stevens:

Okay, thank you.

In terms of the future for us, we potentially have a second referendum coming up soon. We may have another vote. We may even have a general election very shortly.

Are there any recommendations you would make, in terms of foreign interference through money to the U.K. and to our government? At the moment, our electoral laws, I think, are generally accepted to be unfit for purpose in the digital age.

Ms. Ellen Weintraub:

As I said, I think a lot of it goes to transparency. Do you have the ability to know who is behind the information that you're seeing both digitally and in other media?

Ms. Jo Stevens:

Are there any jurisdictions that you would identify currently as having really good electoral laws that are fit for purpose, bearing in mind what we've all been talking about today around digital interference? Is there a country that you would hold up as a really good model?

Ms. Ellen Weintraub:

I keep looking for that. I go to international conferences, and I'm hoping that somebody out there has the perfect solution. However, I have to say that I haven't found it yet.

If you find it, let me know, because I would love to find that country that's figured this out.

Ms. Jo Stevens:

Perhaps I could ask Mr. Cannataci the same question.

Is there a jurisdiction you're aware of that you think we could all look to for best practice on electoral law encompassing the digital age?

Prof. Joseph A. Cannataci:

The short answer is no.

I share Ms. Weintraub's problem. I keep looking for the perfect solution and I only find, at best, half-baked attempts.

Ms. Stevens, we'll stay in touch about the matter, and the minute we find something, I'll be very happy to share it.

Ms. Jo Stevens:

Thank you.

The Chair:

You have two minutes, Jo.

Ms. Jo Stevens: That's good.

The Chair: Okay.

Next up, we have Monsieur Gourde.

Go ahead, for five minutes. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

My question will focus on a word that seemed to me to be important just now, the word “responsibility”.

This morning, we heard from representatives from digital platforms. They seemed to brush away a major part of their responsibility.

That shocked me. I feel they have a responsibility for their platforms and for the services they provide. Despite very specific questions, they were not able to prove that they are in control of their platforms in terms of broadcasting fake news or hate propaganda that can really change the course of things and influence a huge number of people.

The users, those that buy advertising, also have a responsibility. When you buy advertising, it must be fair and accurate, in election campaigns especially, but also all the time.

If there was international regulation one day, how should we determine the responsibility of both parties, the digital platforms and the users, so they can be properly identified?

That question goes to anyone who wants to answer.

(1720)

Mr. Daniel Therrien:

In terms of protecting data or privacy, you have put your finger on concepts that are fundamental, in my opinion; they are responsibility and accountability. We live in a world where there is massive information gathering and where the information is used by companies for a number of purposes other than the first purpose for which they had been obtained.

The companies often tell us that the consent model is not effective in protecting the privacy of the public, the consumers. They are partly right. Their suggestion is to replace consent, when it is ineffective, by increased accountability for the companies. I feel that that proposal must come with a real demonstration that companies are responsible and they cannot simply claim to be. That is why it is important for regulatory organizations to ensure that companies are really responsible. [English]

Ms. Ellen Weintraub:

It seems to me that they are occupying a sort of hybrid space. They say they're not broadcasters. They say they're just the platform and they're not responsible for any of the content, yet they do seem to feel that they have some responsibility, because they are taking steps. People may feel the steps are inadequate, but they are taking some steps to provide greater transparency.

Why are they doing that? I think it's because they know they can't quite get away with just ignoring this entire issue. They do bear some responsibility in a broader sense, if not in a particular legal sense in any particular jurisdiction. Whether they would have stronger responsibilities if particular jurisdictions, either on an individual basis or on a global basis, decided to say, “No, no, you really are broadcasters and you have to start acting like it”, that is a question for legislators, not regulators. [Translation]

Mr. Jacques Gourde:

Is there, anywhere in the world…

Mr. Cannataci, did you want to add a comment?

Prof. Joseph A. Cannataci:

Yes. Thank you.

I certainly share Mr. Therrien's opinion, but I would like to add something else.[English]

If I could in this questioning just pick out one thing, it is to say that for whoever is going to control whether something should be taken down or not, or whether it's true or not—whatever—it requires effort, and that requires resources. Resources need to be paid for, and who is collecting the money? It's largely the companies.

Of course, you can have somebody for whom you can genuinely say, “Okay, this was the party, or the sponsor, or whoever who paid for the ad.” Otherwise, when push comes to shove, I think we're going to see a growing argument and a growing agreement in a lot of jurisdictions, which will say that they think the companies are collecting the money and, therefore, they have the means to control things. We've seen that to be the case when, for example, Facebook needed to have people who spoke the language of Myanmar in order to control hate speech in that country. I think we're going to see an increasing lead in many national jurisdictions and potentially probably international agreements attributing accountability, responsibility and fiscal liability for what goes on the platforms to the people who collect the money, which is normally the platforms themselves, to a large extent.

Thank you, Mr. Chair.

The Chair:

Thank you.

We'll go to you, Mr. Angus, for five minutes, with Mr. Collins following you, and then me.

Mr. Charlie Angus:

Thank you, Mr. Chair.

We heard an extraordinary statement from Google today that they voluntarily stopped spying on our emails in 2017. They did that in such a magnanimous manner, but they wouldn't agree not to spy on us in the future because there may be nifty things they can do with it.

I can't even remember 2016—it's so long ago—but 2018 changed our lives forever. I remember our committee was looking at consent and whether the consent thing should be clear or it should be bigger with less gobbledygook.

I don't ever remember giving Google consent to spy on my emails or my underage daughters' emails. I don't ever remember that it came up on my phone that, if I wanted to put my tracking location on so I could find an address, they could permanently follow me wherever I went and knew whatever I did. I don't remember giving Google or any search engine the consent to track every single thing I do. Yet, as legislators, I think we've been suckered—Zuckered and suckered—while we all talked about what consent was, what consumers can opt in on, and if you don't like the service, don't use it.

Mr. Therrien, you said something very profound the last time you were here about the right of citizens to live free of surveillance. To me, this is where we need to bring this discussion. I think this discussion of consent is so 2016, and I think we have to say that they have no consent to obtain this. If there's no reason, they can't have it, and that should be the business model that we move forward on: the protection of privacy and the protection of our rights.

As for opt-in, opt-out, I couldn't trust them on anything on this.

We've heard from Mr. Balsillie, Ms. Zuboff, and a number of experts today and yesterday. Is it possible in Canada, with our little country of 30 million people, to put in a clear law that says you can't gather personal information unless there's an express, clear reason? It seems to me that's part of what's already in PIPEDA, our information privacy laws, but can we make it very clear with very clear financial consequences for companies that ignore that? Can we make decisions on behalf of our citizens and our private rights?

(1725)

Mr. Daniel Therrien:

Of course the answer to that is yes. I think there is a role for consent in certain circumstances where the relationship is bilateral between a company service provider and a consumer, where the consumer understands the information that is required to provide the service. With the current digital economy, we're way beyond that. There are many purposes for which the information is then used, often with the purported consent of the consumer.

While there is a place for consent, it has its limits, and that's why I say it is important that privacy legislation define privacy for what it is. It is not at all limited to the mechanical question of consent. It is a fundamental right linked to other fundamental rights. When the outcome of a practice of a company, despite purported consent, is to surveil a consumer in terms of data localization or in terms of the content of messages given by that person, then I think the law should say that consent or no consent, it doesn't matter. What is at play is a privacy violation, being the surveillance of the individual in question, and that is a violation per se that should lead to significant penalties. It is possible to do that.

Mr. Charlie Angus:

Thank you.

My final question is on facial recognition technology. There's a story in the Toronto Star today that the police are using facial recognition technology. San Francisco has attempted to ban it, and other jurisdictions are at least putting a pause on it.

As for the right of a citizen to be able to walk in a public square without being surveilled and without having to bring photo ID, facial recognition technology changes all that. There are obviously legitimate uses. For example, if someone on a CCTV camera has committed a crime, and there's a database, we would maybe have judicial oversight that this is a fair use; however, what about a number of people in a crowd that you can just gather in? I'm sure Facebook and Google would be more than helpful because they have such massive facial recognition databases on us.

As a Canadian regulator, do you believe that we need to hit a pause button on facial recognition technology? How do we put the rules in place to protect citizens' rights with clear safeguards for police use and for commercial use prior to abuses?

(1730)

Mr. Daniel Therrien:

I think in terms of moratoria or outright prohibitions, I would distinguish between the use of a technology—the technology of facial recognition—and the uses to which the technology is put. I find it more likely that a ban or a moratorium would make sense for specific uses of a technology than for the technology per se, because for facial recognition there might be useful public purposes including in a law enforcement domain where, despite the privacy restrictions of facial recognition, the overall public good is in favour of using the technology. I would look at it in terms, again, of specific uses for technology. In that regard, yes, it would make sense to prohibit certain uses.

The Chair:

Thank you, Mr. Angus.

Last, Mr. Collins, go ahead.

Mr. Damian Collins:

Thank you very much.

Ellen Weintraub, given what we've talked about this afternoon, dark money in politics and how difficult it is to have any kind of proper oversight of what happens on platforms like Facebook, are you frightened by the news reporting that Facebook is going to launch its own cryptocurrency?

Ms. Ellen Weintraub:

Yes.

Mr. Damian Collins:

You are. You're frightened by the prospect.

I think you're right to be frightened by the prospect. Given all the other problems we've talked about, this seems like a sort of political money launderer's charter.

Do you not think people will look back on this period of time and say we had sophisticated democracies and societies that have developed decades of rules and regulations on campaign finance, electoral law, personal rights about data and privacy, oversight of broadcast media and news and other forms of news as well, and that we were prepared to see all those decades of experience bypassed by a company like Facebook, simply because that's the way their business model works, and it's unsustainable, the position that we're in at the moment?

Ms. Ellen Weintraub:

Whether it's unsustainable, whether it requires further regulation, I think is exactly why all of you are sitting around this table today.

Mr. Damian Collins:

But in some ways, listening to the discussion in this last session, we're tying ourselves in knots trying to solve a problem that's being caused by a company. Actually it may well be that the solution is, rather than having to abandon lots of things that we value because they've been put there to protect citizens and citizens' rights, we actually should say to these companies, “This is what we expect of you, and we will force this upon you if we can't be convinced there's any other way of doing it”, and we're not prepared to tolerate people being exposed to dark hats, elections being interfered with by bad actors, disinformation, hate speech spreading uncontrolled, and actually, these are not the standards we expect in a decent society. We say that recognizing that platforms like Facebook have become the main media channel in terms of how people get news and information, anywhere between a third and a half of Europeans and Americans.

Ms. Ellen Weintraub:

I think there is a real risk trying to take a set of rules that evolved in the 20th century and assuming that they're going to be equally appropriate for the technologies of the 21st century.

Mr. Damian Collins:

The final comment from me is that I think that's right. Those rules have been demonstrated to be out of date because of new technology and the way people engage with content in the world. Surely, what should remain is the values that brought in those rules in the first place. Saying that those rules need to change because technology's changed is one thing. What we shouldn't say is that we should abandon those values simply because they've become harder to enforce.

Ms. Ellen Weintraub:

I absolutely agree with that.

The Chair:

Mr. Therrien.

Mr. Daniel Therrien:

I totally agree.

The Chair:

I would like to finish up with one thing. We've been talking about the subpoena to Mark Zuckerberg and Sheryl Sandberg for some time and, as chair of this committee, I will say we did our very best to make sure they attended today. We're limited by what's in this book and the laws of our country, and yet the platforms seem to operate in their own bubbles without any restriction within our jurisdictions, and that's the frustration for us as legislators in this place.

Again, thank you for appearing today and thank you for assisting us, especially Commissioner Therrien, for your work in assisting this committee. We look forward to keeping those conversations going in the future.

I have some housekeeping aspects of what's going to happen tonight. Dinner is going to be at 7 p.m., downstairs in room 035. This is room 225, so two floors down will be where dinner is. It's at 7 p.m.

Just to be clear, each delegation is to give a brief presentation on what your country has done and is looking at doing to fix this problem. I'll be talking with my vice-chairs about how we're going to deliver what we are doing in Canada, but I challenge you to have that ready. Again, it's going to be brief. It can be informal. It doesn't need to be a big written presentation. I see some very serious looks on faces wondering, “What did we just get ourselves into?”

More important, I see a lot of tired faces. I think we're all ready just to go back to the hotel for about an hour's rest and then we'll reconvene at 7 p.m. I think that's all I have to say for now, but again we'll see you back at 7 p.m.

(1735)

Mr. Charlie Angus:

I have a point of order, Mr. Chair, before you try to shut us all down.

I do want to commend the excellent work of the staff, our analysts who have put this together, and Mr. Collins for what was done in England. This goes above and beyond. I think we have really set a standard. I'm hoping that in the next Parliament, and maybe in other jurisdictions, we can maintain this conversation. You've done incredible work on this. We really commend you for it.

[Applause]

The Chair:

Thank you for that. For the record, we will be holding the other platforms to account tomorrow morning at 8:30.

We'll see you tonight at seven o'clock.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1530)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

Je déclare ouverte la séance no 154 du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique et, dans une plus large mesure, de notre Grand Comité international sur les mégadonnées, la protection des renseignements personnels et la démocratie.

Il n'est pas nécessaire de répéter la liste des pays que nous avons déjà mentionnés. Je vais présenter les témoins, rapidement.

Du Commissariat à la protection de la vie privée du Canada, nous accueillons M. Daniel Therrien, le commissaire à la protection de la vie privée du Canada.

Témoignant à titre personnel, nous avons M. Joseph A. Cannataci, rapporteur spécial sur le droit à la vie privée aux Nations unies.

Nous avons des problèmes avec la diffusion vidéo à partir de Malte. Nous poursuivrons malgré tout. Le greffier m'informe que nous devrons peut-être nous contenter de l'audio. Nous ferons le nécessaire.

Nous aimerions aussi accueillir la présidente de la Commission électorale fédérale des États-Unis, Mme Ellen Weintraub.

Tout d'abord, j'aimerais parler de l'ordre et de la structure de la réunion. Ce sera très semblable à celui de notre première réunion de ce matin. Nous aurons une question par délégation. Pour le groupe canadien, il y aura une question par parti, puis nous poursuivrons avec divers représentants jusqu'à ce que le temps alloué à la question soit écoulé.

J'espère que c'est assez clair. Vous verrez au fur et à mesure que nous procéderons.

Je tiens à remercier tous les membres qui ont assisté à la période de questions ce matin. Pour ma part, je remercie le Président de la Chambre d'avoir souligné la présence de la délégation.

Je donne à M. Collins l'occasion de commencer.

Allez-y, monsieur Collins.

M. Damian Collins (président, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci.

Ma première question s'adresse aux trois témoins.

Le président:

Ne devrait-on pas commencer par entendre les exposés?

M. Damian Collins:

Très bien.

Le président:

Nous allons entendre les déclarations, en commençant par M. Therrien.

Allez-y; vous avez 10 minutes.

M. Daniel Therrien (commissaire à la protection de la vie privée du Canada, Commissariat à la protection de la vie privée du Canada):

Merci, monsieur le président.

Mesdames et messieurs les membres du Grand Comité, je vous remercie de l'occasion de vous parler aujourd'hui.

Mon allocution portera sur trois points qui, à mon avis, sont des éléments essentiels de votre étude. Tout d’abord, la liberté et la démocratie ne peuvent exister sans la protection de la vie privée et de nos renseignements personnels. Ensuite, pour faire face aux risques posés par les préjudices numériques, comme les campagnes de désinformation, nous devrions renforcer nos lois afin de mieux protéger nos droits. Enfin, à titre d’expert de la réglementation canadienne en matière de protection de la vie privée, je ferai part de mes suggestions sur les mesures qui doivent être prises au Canada afin de mettre en place des lois modernes pour assurer la protection efficace du droit à la vie privée des Canadiens.

Je suis convaincu que ces suggestions formulées dans le contexte canadien ont aussi toute leur pertinence dans le contexte international.

Comme vous le savez, dans son rapport sur la protection des renseignements personnels et le processus politique, l'Information Commissioner's Office — le pendant de mon commissariat au Royaume-Uni — a clairement conclu que le laxisme en matière de respect de la vie privée et le microciblage par les partis politiques ont révélé des lacunes dans le paysage de la réglementation. Ces lacunes ont à leur tour été exploitées pour cibler les électeurs au moyen des médias sociaux et pour diffuser de la désinformation.[Français]

Le scandale de Cambridge Analytica a mis en lumière des pratiques inattendues en matière d'utilisation de renseignements personnels. En plus, mon enquête sur Facebook a révélé un cadre de protection de la vie privée qui était en fait une coquille vide. Cette affaire a rappelé aux citoyens que la vie privée est un droit fondamental et une condition préalable nécessaire à l'exercice d'autres droits fondamentaux, notamment la démocratie. En fait, la vie privée n'est rien de moins qu'une condition préalable à la liberté, c'est-à-dire la liberté de vivre et de se développer de façon autonome, à l'abri de la surveillance de l'État ou d'entreprises commerciales, tout en participant volontairement et activement aux activités courantes d'une société moderne.[Traduction]

Les membres de ce comité ne sont pas sans savoir que les incidents et les atteintes à la vie privée qui sont maintenant trop fréquents vont bien au-delà des questions de protection de la vie privée, aussi graves soient-elles. Outre les questions de protection de la vie privée et des données, les institutions démocratiques et la confiance même des citoyens dans notre processus électoral font maintenant l'objet de méfiance et de suspicion. Les organismes publics, notamment les organismes de réglementation électorale, souhaitaient que les outils numériques, comme les réseaux sociaux, puissent mobiliser une nouvelle génération de citoyens. Toutefois, ces outils sont aussi utilisés pour subvertir nos démocraties, et non les renforcer.

L'interaction entre la protection des données, le microciblage et la désinformation représente une menace réelle pour nos lois et nos institutions. Dans certaines parties du monde, on tente de répondre à ces risques en proposant différents types de règlements. Je vais en souligner quelques-uns.

Le Livre blanc du Royaume-Uni sur les préjudices numériques publié récemment propose la création d'un organisme de réglementation numérique et offre plusieurs interventions potentielles auprès des organisations commerciales pour réglementer un ensemble de problèmes. Le modèle proposé pour le Royaume-Uni consiste à ajouter un nouvel organisme de réglementation pour des plateformes numériques qui permettra d'élaborer des codes de conduite précis pour traiter des cas d'exploitation des enfants, de propagande haineuse, d'ingérence électorale étrangère et d'autres préjudices pernicieux en ligne.

En outre, plus tôt ce mois-ci, l'appel de Christchurch pour éliminer le contenu terroriste et extrémiste violent en ligne a souligné la nécessité d'assurer une application efficace des lois, une application des normes d'éthique et une coopération appropriée.

Enfin, il y a à peine une semaine, ici même au Canada, le gouvernement a publié une nouvelle proposition de mise à jour de notre loi fédérale sur la protection des données commerciales, ainsi qu'une charte numérique visant à protéger la vie privée, à contrer l'utilisation abusive des données et à assurer que les entreprises communiquent clairement avec les utilisateurs.

(1535)

[Français]

Toutes ces approches reposent sur la nécessité d'adapter nos lois aux nouvelles réalités de notre monde numérique interconnecté. De plus en plus de gens comprennent que l'ère de l'autoréglementation doit cesser. La solution n'est pas de faire en sorte que les gens éteignent leur ordinateur ou cessent d'utiliser les médias sociaux, les moteurs de recherche ou les autres services numériques. Un bon nombre de ces services répondent à des besoins réels. L'objectif ultime est plutôt de permettre aux individus de profiter des services numériques pour socialiser, apprendre et, de façon générale, se développer en tant que personnes tout en demeurant en sécurité et en étant confiants que leur droit à la vie privée sera respecté.[Traduction]

Certains principes fondamentaux peuvent, à mon avis, guider les efforts gouvernementaux visant à rétablir la confiance des citoyens. Mettre les citoyens et leurs droits au centre de ces discussions est d'une importance vitale selon moi, et le travail des législateurs devrait être axé sur des solutions fondées sur les droits.

Au Canada, le point de départ devrait être de conférer à la loi une base fondée sur les droits, conforme au statut quasi constitutionnel du droit à la vie privée. C'est le cas dans de nombreux pays, où la loi définit explicitement certains droits à la vie privée comme tels, avec des pratiques et des processus qui appuient et font appliquer ce droit important.

Je pense que le Canada devrait continuer d'avoir une loi neutre sur le plan technologique et axée sur des principes. Une loi fondée sur des principes reconnus internationalement, tels que ceux de l'OCDE, rejoint un objectif important, soit l'interopérabilité. Adopter un traité international pour la protection de la vie privée et la protection des données personnelles serait une excellente idée, mais d'ici là, les pays devraient viser l'adoption de lois interopérables.

Nous avons également besoin d'une loi fondée sur des droits, autrement dit une loi qui confère aux personnes des garanties juridiques, tout en permettant une innovation responsable. Une telle loi définirait la vie privée dans son sens le plus large et le plus véritable, par exemple le droit d'être libre de toute surveillance injustifiée, qui reconnaisse sa valeur et son lien avec les autres droits fondamentaux.

La vie privée ne se limite pas au consentement, à l'accès et à la transparence. Ces mécanismes sont importants, mais ils ne définissent pas le droit lui-même. La codification de ce droit, en plus de la nature fondée sur des principes et neutre sur le plan technologique de la législation canadienne actuelle, lui permettrait de perdurer, malgré les inexorables progrès technologiques.

Un dernier point que je souhaite soulever à cet égard est l'importance d'une surveillance indépendante. La protection de la vie privée ne peut être assurée sans la participation d'organismes de réglementation indépendants, habilités à imposer des amendes et à vérifier la conformité de façon proactive, afin de veiller à ce que les organisations soient véritablement responsables de la protection des renseignements.

Cette dernière notion de responsabilité démontrable est une mesure nécessaire dans le monde d'aujourd'hui, où les modèles d'affaires sont opaques et où les flux d'information sont de plus en plus complexes. Il est peu probable qu'une personne dépose une plainte si elle n'est pas au courant d'une pratique qui pourrait lui nuire. C'est pourquoi il est si important que les organismes de réglementation aient le pouvoir d'examiner de façon proactive les pratiques des organisations. Lorsqu'il n'est ni pratique ni efficace d'obtenir le consentement — un point soulevé par de nombreuses organisations à notre époque — et qu'on s'attend à ce que les organisations comblent les lacunes en matière de protection au moyen de la responsabilisation, ces organisations doivent être tenues de démontrer garder une responsabilité véritable.

Les solutions que je vous ai présentées aujourd'hui ne sont pas de nouveaux concepts. Cependant, comme ce comité adopte une approche globale pour faire face au problème de la désinformation, il s'agit aussi d'une occasion pour les acteurs nationaux, c'est-à-dire les organismes de réglementation, les représentants gouvernementaux et les représentants élus, de reconnaître les pratiques exemplaires et les solutions émergentes et de prendre des mesures pour protéger nos citoyens, nos droits et nos institutions.

Merci. Je répondrai maintenant à vos questions.

(1540)

Le président:

Merci encore, monsieur Therrien.

Vérifions si la connexion avec M. Cannataci fonctionne. Non.

Nous passons à Mme Weintraub pour 10 minutes.

Mme Ellen Weintraub (présidente, Commission électorale fédérale des États-unis):

Merci.

Le président:

Je suis désolé, madame Weintraub.

Nous venons d'entendre des commentaires. Il peut nous parler.

Je suis désolé, madame Weintraub. Nous allons l'écouter, puisque la communication est établie.

Monsieur Cannataci, la parole est à vous, pour 10 minutes.

M. Joseph A. Cannataci (rapporteur spécial sur le droit à la vie privée, Nations unies, à titre personnel):

Monsieur le président, membres du Grand Comité, merci beaucoup de l'invitation à comparaître.

Je vais essayer de m'appuyer sur les propos de M. Therrien afin d'aborder quelques points supplémentaires. Je reviendrai aussi sur certains propos tenus par d'autres témoins.

Premièrement, j'essaierai d'adopter une perspective plus internationale, même si les thèmes abordés par le Comité ont certainement une dimension mondiale. Voilà pourquoi, lorsqu'il est question d'un traité mondial... Le témoin précédent a parlé d'un traité international. Comme je vais l'expliquer, l'une des raisons pour lesquelles j'ai décidé d'examiner diverses priorités en matière de protection de la vie privée, dans le cadre de mon mandat aux Nations unies, c'est que le cadre juridique général de la protection de la vie privée et des données — un traité international à cet égard — ne relève pas spécifiquement de l'ONU. Il s'agit de la Convention 108 ou de la Convention 108+, qui a déjà été ratifiée par 55 pays. Le dernier pays à présenter un document de ratification est le Maroc, qui l'a fait hier.

Les rencontres tenues à Strasbourg ou ailleurs pour discuter des actions et de l'interopérabilité dans un cadre international comprennent déjà 70 pays, États signataires et observateurs. Les discussions portent sur le cadre offert par cet instrument juridique international. J'encourage d'ailleurs le Canada à envisager d'y adhérer. Bien que je ne sois pas un spécialiste du droit canadien, je l'étudie depuis 1982. Je pense que le droit canadien est très similaire dans la plupart des cas. Je pense que l'adhésion du Canada à ce groupe de pays de plus en plus nombreux serait un atout.

Pour ce qui est du deuxième point que je voudrais aborder, je serai bref. Je suis aussi préoccupé par la situation de la démocratie et le recours croissant à diverses méthodes de surveillance des profils sur Internet pour manipuler l'opinion des gens. L'exemple parfait qu'il faut examiner est celui de Cambridge Analytica, mais il y en a d'autres dans plusieurs autres pays du monde.

Je dois aussi préciser que les six ou sept priorités que je me suis fixées pour mon mandat à l'ONU résument dans une certaine mesure, certains des principaux enjeux de protection de la vie privée et des données auxquels nous sommes confrontés. La première priorité ne devrait pas vous surprendre, mesdames et messieurs, car elle est liée à la raison d'être de mon mandat. Il s'agit de la sécurité et de la surveillance.

Vous vous souviendrez que mon mandat à l'ONU m'a été confié dans la foulée des révélations de Snowden. Vous ne serez donc pas surpris d'apprendre que nous avons accordé une grande attention à la sécurité et à la surveillance à l'échelle internationale. Je suis très heureux que le Canada participe très activement à l'une des tribunes, le Forum international sur les mécanismes de contrôle des services de renseignement, car, comme le témoin précédent vient de le mentionner, la surveillance est un élément clé auquel nous devons accorder notre attention. J'ai également été ravi de constater les progrès importants réalisés au Canada au cours des 12 à 24 derniers mois.

(1545)



La surveillance est un vaste sujet, mais puisque mes 10 minutes sont presque écoulées, je pourrais répondre aux questions à ce sujet. Pour le moment, je dirai simplement que les problèmes sont les mêmes partout dans le monde. Autrement dit, nous n'avons pas de solution appropriée en matière de compétence. Les enjeux relatifs à la compétence et à la définition des infractions demeurent parmi nos plus importants problèmes, malgré l'existence de la Convention sur la cybercriminalité. La sécurité, la surveillance et, fondamentalement, le nombre accru d'actions dans le cyberespace qui sont parrainées par des États demeurent des problèmes flagrants.

Certains pays sont plutôt réticents à évoquer leurs activités d'espionnage dans le cyberespace, tandis que d'autres les considèrent comme leur propre cour. En réalité, il est évident que les intrusions à l'égard de la vie privée touchent des centaines de millions de personnes, pas dans un seul pays, mais dans le monde entier, et ces actions sont le fait de services parrainés par un acteur ou un autre, notamment la plupart des puissances permanentes des Nations unies.

Fondamentalement, il s'agit d'un problème de compétence et de définition des limites. Nous avons préparé une ébauche d'un instrument juridique sur la sécurité et la surveillance dans le cyberespace, mais le contexte politique mondial ne semble pas propice à de grandes discussions sur ces aspects. Cela a mené à des mesures unilatérales, notamment aux États-Unis, avec le Cloud Act, une mesure qui n'obtient pas un grand appui pour le moment. Toutefois, peu importe que des mesures unilatérales soient efficaces ou non, j'encourage la discussion, même sur les principes du Cloud Act. Même si les discussions ne mènent pas à des accords immédiats, elle amènera au moins les gens à se concentrer sur les problèmes actuels.

Je passe maintenant aux mégadonnées et aux données ouvertes. Comme nous avons peu de temps, je vous invite à consulter le rapport sur les mégadonnées et les données ouvertes que j'ai présenté à l'Assemblée générale des Nations unies en octobre 2018. En toute franchise, je vous invite à ne pas regrouper les deux enjeux et à éviter de considérer les données ouvertes comme une panacée, comme le font les politiciens qui ne cessent d'en vanter les avantages. La vérité, c'est que les principes des mégadonnées et des données ouvertes sous-tendent un examen des enjeux fondamentaux clés en matière de protection de la vie privée et des données.

En droit canadien, comme c'est le cas dans d'autres pays, notamment dans les lois de tous les pays qui adhèrent à la Convention 108, le principe de la spécification des finalités selon lequel les données ne devraient être recueillies et utilisées que pour une fin précise ou compatible demeure un principe fondamental. Ce principe est toujours d'actualité dans le règlement relatif à la protection des données récemment adopté en Europe. Il convient toutefois de garder à l'esprit que souvent, ceux qui ont recours à l'analyse des mégadonnées visent à utiliser ces données à d'autres fins. Je vous invite encore une fois à consulter mon rapport et les recommandations détaillées qui s'y trouvent.

J'ai présenté un document au sujet des données sur la santé, à des fins de consultation. Le document fera l'objet de discussions en vue de la présentation de recommandations lors d'une réunion spéciale qui aura lieu les 11 et 12 juin prochains, en France. J'espère que le Canada y sera bien représenté. Nous avons reçu de nombreux commentaires positifs au sujet du rapport. Nous essayons d'établir un consensus sur les données sur la santé. J'aimerais attirer l'attention du Comité sur l'importance de ces données. On collecte de plus en plus de données sur la santé chaque jour à l'aide de téléphones intelligents, de bracelets Fitbit et d'autres dispositifs portables. Ces appareils ne sont pas vraiment utilisés comme il était prévu il y a 15 ou 20 ans.

J'aimerais attirer l'attention du Comité sur un autre document de consultation. Il porte sur le genre et la protection de la vie privée. J'espère organiser une consultation publique. Une campagne de consultation a déjà été lancée en ligne, mais j'espère tenir une réunion publique, probablement à New York, les 30 et 31 octobre. Le genre et la protection de la vie privée demeurent des sujets très importants, mais controversés. Je serais heureux que le Canada continue de contribuer et de participer aux discussions à cet égard.

(1550)



À mon avis, vous ne serez pas surpris d'apprendre que parmi les cinq groupes de travail que j'ai créés, un groupe de travail étudie l'utilisation des données personnelles par les entreprises. Je me fais un point d'honneur de rencontrer les dirigeants de grandes entreprises, notamment Google, Facebook, Apple et Yahoo. Je rencontre aussi ceux de certaines entreprises non américaines, dont Deutsche Telekom, Huawei, etc. J'essaie de tenir au moins deux réunions par année. Je les réunis autour d'une table pour obtenir leur collaboration afin de trouver de nouvelles mesures de protection et de nouveaux recours en matière de protection de la vie privée, en particulier dans le cyberespace.

Cela m'amène au dernier point que je veux mentionner pour le moment. Il est lié à l'enjeu précédent concernant les entreprises et l'usage qu'elles font des données personnelles. C'est la priorité en matière de protection de la vie privée.

Les questions de protection de la vie privée me préoccupent de plus en plus, en particulier celles qui touchent les enfants, qui deviennent des citoyens numériques à un âge précoce. Comme l'a indiqué le témoin précédent, nous étudions certaines lois nouvelles et novatrices, comme celles du Royaume-Uni, non seulement la loi sur les préjudices numériques, mais aussi la loi sur les comportements adaptés à l'âge et sur la responsabilité des entreprises. J'aborderai officiellement ces questions avec les dirigeants d'entreprise lors de notre réunion de septembre 2019. J'ai hâte de pouvoir réaliser des progrès sur l'enjeu de la vie privée et des enfants, ainsi que sur celui de la responsabilisation et l'action des entreprises afin de préparer, dans les 12 à 18 prochains mois, une série de recommandations à cet égard.

C'est tout pour le moment, monsieur le président. C'est avec plaisir que je répondrai aux questions.

Le président:

Merci, monsieur Cannataci.

Nous passons maintenant à Mme Weintraub.

Je veux simplement vous expliquer pourquoi les lumières clignotent. Au Parlement canadien, cela indique que des votes auront lieu dans environ 30 minutes. Les partis ont convenu qu'un député de chaque parti resterait ici et que les autres iraient voter. Nous poursuivrons la réunion avec ceux qui restent, sans nous arrêter. Ce n'est pas une alarme incendie. Poursuivons.

(1555)

M. Charlie Angus (Timmins—Baie James, NPD):

Puisque je suis le seul néo-démocrate, la question est de savoir, comme dirait le groupe The Clash: should I stay or should I go?

Des voix: Ha, ha!

Le président:

Vous devriez probablement rester.

Il est convenu qu'un député de...

M. Charlie Angus:

Si je pars, vous ne pouvez prendre aucun de mes sièges.

Le président:

Je voulais simplement que le fonctionnement soit clair.

Nous passons maintenant à Mme Weintraub, pour 10 minutes.

Mme Ellen Weintraub:

Monsieur le président, membres du Comité, merci.

Je suis la présidente de la Commission électorale fédérale des États-Unis. Je représente un organisme bipartisan, mais les opinions que je vais exprimer sont entièrement les miennes.

Je vais passer du sujet de la protection de la vie privée aux campagnes d'influence.

En mars de cette année, le conseiller spécial Robert S. Mueller III a terminé son rapport d'enquête sur l'ingérence russe dans l'élection présidentielle de 2016. Ses conclusions donnaient froid dans le dos. Le gouvernement russe s'est ingéré dans l'élection présidentielle de 2016 de manière générale et systémique. Tout d'abord, une entité russe a mené une campagne dans les médias sociaux qui a favorisé un candidat à la présidence et dénigré l'autre. Deuxièmement, un service de renseignement russe a mené des opérations d'intrusion informatique contre des entités de la campagne, des employés et des bénévoles, puis a divulgué des documents volés.

Le 26 avril 2019, au Council on Foreign Relations, le directeur du FBI, Christopher A. Wray, a lancé une mise en garde contre une campagne d'influence étrangère agressive, malveillante et intensive consistant à « utiliser les médias sociaux, les fausses nouvelles, la propagande, les fausses personnalités, etc., pour nous monter les uns contre les autres, semer la discorde et la division, et saper la foi des Américains à l'égard de la démocratie. Il ne s'agit pas seulement d'une menace liée au cycle électoral; il s'agit plutôt d'une menace permanente, 365 jours par année. Et cela a manifestement continué. »

Bien qu'il ait noté que « d'énormes progrès ont été réalisés depuis 2016 par l'ensemble des organismes fédéraux, les responsables électoraux des États et des municipalités, les entreprises de médias sociaux, notamment, pour protéger l'infrastructure physique de nos élections », il a déclaré: « Je pense que nous reconnaissons que nos adversaires vont continuer à adapter et à améliorer leur jeu. Nous voyons donc 2018 comme une sorte de répétition générale pour le grand spectacle de 2020. »

La semaine dernière, à la Chambre des représentants, un représentant du département de la Sécurité intérieure a également souligné que la Russie et d'autres pays étrangers, dont la Chine et l'Iran, ont mené des activités d'influence lors des élections de mi-mandat de 2018 et des campagnes de communication qui visaient les États-Unis pour promouvoir leurs intérêts stratégiques.

Aux États-Unis, comme vous le savez probablement, l'administration des élections est décentralisée. Cela relève des États et des administrations locales. Cela signifie que la protection des infrastructures physiques des élections relève d'autres fonctionnaires. Je parle des installations physiques gérées par les gouvernements des États et les administrations locales. Il est essentiel qu'ils continuent d'assurer ce rôle.

Cependant, depuis mon siège à la Commission électorale fédérale, je travaille tous les jours avec un autre type d'infrastructure électorale, le fondement de notre démocratie: la conviction que les citoyens savent qui influence nos élections. Cette conviction a été la cible d'attaques malveillantes de la part de nos ennemis étrangers, par l'intermédiaire de campagnes de désinformation. Cette conviction a été minée par l'influence corruptrice de fonds occultes qui pourraient masquer des bailleurs de fonds étrangers illégaux. Cette conviction a subi les assauts répétés de campagnes de publicité politique en ligne de sources inconnues. Cette conviction a été ébranlée par des cyberattaques contre des responsables de campagnes politiques mal équipés pour se défendre par leurs propres moyens.

Cette conviction doit être restaurée, mais elle ne peut l'être par la Silicon Valley. Nous ne pouvons laisser la reconstruction de cet élément de notre infrastructure électorale aux sociétés de technologie, celles qui ont conçu les plateformes que nos rivaux étrangers utilisent à mauvais escient en ce moment même pour attaquer nos démocraties.

En 2016, le contenu généré par de faux comptes établis en Russie a été vu par 126 millions d'Américains sur Facebook et 20 millions d'Américains sur Instagram, pour un total de 146 millions d'Américains alors que pour cette élection, on comptait seulement 137 millions d'électeurs inscrits.

Aussi récemment qu'en 2016, Facebook acceptait le paiement en roubles pour des publicités politiques sur les élections américaines.

Pas plus tard que l'année dernière, en octobre 2018, des journalistes se faisant passer pour des sénateurs du Sénat des États-Unis — tous les sénateurs — ont tenté de placer des annonces en leur nom sur Facebook. Facebook a accepté dans tous les cas.

Par conséquent, lorsque ceux qui faisaient partie de l'autre groupe de témoins n'arrêtaient pas de nous dire qu'ils contrôlent la situation, nous savons que ce n'est pas le cas.

Je souligne au passage que j'ai aussi invité M. Mark Zuckerberg et M. Jack Dorsey, et d'autres, à venir témoigner lors des audiences de la Commission portant sur la divulgation de la publicité sur Internet. Encore une fois, ils ne se sont pas présentés, mais sans envoyer de représentant, cette fois. Ils se sont contentés d'envoyer des commentaires écrits. Donc, je compatis avec vous.

(1600)



C'est tout simplement très important pour nous tous. Aux États-Unis, les dépenses en publicité politique numérique ont augmenté de 260 % de 2014 à 2018, d'une élection de mi-mandat à l'autre, pour un total de 900 millions de dollars en publicité numérique lors des élections de 2018. C'était toujours moins que les dépenses pour la publicité radiodiffusée, mais en matière de publicité politique, le numérique est évidemment la voie de l'avenir.

Des propositions constructives ont été présentées aux États-Unis pour tenter de régler ce problème. Il y a la loi sur les publicités honnêtes, qui assujettirait les publicités sur Internet aux mêmes règles que les publicités radiodiffusées, ainsi que la Disclose Act, qui accroîtrait la transparence et la lutte contre les fonds occultes. Au sein de mon propre organisme, je tente de promouvoir une règle qui permettrait d'améliorer les avis de non-responsabilité pour toute publicité en ligne. Jusqu'à présent, tous ces efforts ont été contrecarrés.

Or, les plateformes ont heureusement tenté de faire quelque chose. Elles ont essayé d'aller plus loin en partie pour éviter la réglementation, j'en suis convaincue, mais aussi pour répondre à l'insatisfaction généralisée à l'égard de leurs pratiques en matière d'information et de divulgation. Elles ont amélioré, du moins aux États-Unis, leur processus de divulgation des commanditaires des publicités, mais ce n'est pas suffisant. Des questions reviennent sans cesse, par exemple sur les critères qui déclenchent l'obligation de publier un avis de non-responsabilité.

Peut-on se fier aux avis de non-responsabilité pour identifier correctement les sources des publicités numériques? Selon l'étude portant sur les 100 annonces des sénateurs, cela ne semble pas possible, du moins pas toujours. Lorsque le contenu est transmis, l'information d'identification est-elle transmise en même temps? Comment les plateformes gèrent-elles la transmission d'informations cryptées? La communication poste-à-poste est une avenue prometteuse pour l'activité politique, et elle soulève un lot d'enjeux potentiels. Quelles que soient les mesures adoptées aujourd'hui, elles risquent fort de cibler les problèmes du dernier cycle et non du prochain, et nous savons que nos adversaires ne cessent d'améliorer leur jeu, comme je l'ai dit, d'improviser et de modifier constamment leurs stratégies.

Je suis également très préoccupée par le risque d'un afflux de fonds étrangers dans notre système électoral, en particulier par l'intermédiaire des entreprises. Cette préoccupation n'a rien d'hypothétique. Nous avons récemment clos un cas d'application de la loi lié à des ressortissants étrangers qui ont réussi à verser 1,3 million de dollars dans les coffres d'un super PAC lors des élections de 2016. Ce n'est qu'une des méthodes employées par les ressortissants étrangers pour faire sentir leur présence et exercer une influence, même dans nos campagnes politiques au plus haut échelon.

Aux États-Unis, les cas et les plaintes de ce genre sont de plus en plus courants. De septembre 2016 à avril 2019, le nombre d'affaires dont la Commission a été saisie — ce qui comprend les violations présumées de l'interdiction visant les ressortissants étrangers — est passé de 14 à 40. Au 1er avril de cette année, 32 affaires étaient en instance. Il s'agit d'une autre préoccupation constante liée à l'influence étrangère.

Tout ce que vous avez entendu aujourd'hui indique qu'il faut réfléchir sérieusement à l'incidence des médias sociaux sur notre démocratie. La philosophie d'origine de Facebook, « bouger vite et bouleverser les choses », élaborée il y a 16 ans dans une chambre de résidence d'université, a des conséquences ahurissantes lorsque l'on considère que les médias sociaux sont peut-être en train de bouleverser nos démocraties elles-mêmes.

Facebook, Twitter, Google et autres géants de la technologie ont révolutionné notre façon d'accéder à l'information et de communiquer. Les médias sociaux ont le pouvoir de favoriser le militantisme citoyen, de diffuser de la désinformation ou des discours haineux de manière virale et de façonner le discours politique.

Le gouvernement ne peut se soustraire à sa responsabilité d'examiner les répercussions. Voilà pourquoi je me réjouis des travaux de ce comité et je suis très reconnaissante de tout ce que vous faites, car cela a des retombées dans mon pays, même lorsque nous sommes incapables d'adopter nos propres règlements alors que vous le faites, dans d'autres pays. Les plateformes ont parfois des politiques uniformes partout dans le monde, et cela nous aide. Merci beaucoup.

Je vous remercie aussi de l'invitation à participer à cette réunion. C'est avec plaisir que je répondrai à vos questions.

Le président:

Merci, madame Weintraub.

Nous commençons par M. Collins.

M. Damian Collins:

Merci. Ma première question s'adresse à Mme Ellen Weintraub.

Vous avez mentionné les fonds occultes dans votre déclaration préliminaire. Dans quelle mesure êtes-vous préoccupée par la capacité des organismes de campagne à utiliser la technologie, en particulier la technologie de la chaîne de bloc, pour blanchir les dons non admissibles aux campagnes en les transformant en une multitude de dons modestes?

(1605)

Mme Ellen Weintraub:

Cela m'inquiète beaucoup, notamment parce que tout notre système de réglementation repose sur l'hypothèse que les grosses sommes d'argent doivent être la préoccupation et que la réglementation doit être axée là-dessus. Sur Internet, cependant, il arrive que de très petites sommes d'argent aient une incidence considérable. Là, on ne prend même pas en compte la possible utilisation de Bitcoin et d'autres technologies pour masquer entièrement la provenance de l'argent.

Donc oui, cela me préoccupe considérablement.

M. Damian Collins:

Votre commission a-t-elle été saisie d'autres cas particuliers?

Mme Ellen Weintraub:

Le problème avec les fonds occultes, c'est qu'on ne sait jamais vraiment qui est derrière tout cela. Au cours des 10 dernières années, environ 1 milliard de dollars en fonds occultes ont été dépensés dans le cadre de nos élections, et je ne peux pas vous dire qui est derrière tout cela. C'est la nature de la clandestinité.

M. Damian Collins:

Je me demandais simplement s'il y avait eu des allégations particulières ou s'il y avait lieu d'enquêter davantage sur ce qui pourrait être considéré comme une activité suspecte.

Mme Ellen Weintraub:

Nous recevons constamment des plaintes au sujet de fonds occultes. Le cas que je viens de décrire est l'un des exemples les plus marquants que nous ayons vus récemment. Il peut s'agir d'argent qui entre par l'intermédiaire de sociétés par actions à responsabilité limitée ou d'organisations indépendantes en vertu de l’alinéa 501(c)(4). Dans ce cas précis, la partie en cause était une filiale nationale d'une société étrangère.

M. Damian Collins:

Avez-vous des préoccupations quant à la façon dont des technologies comme PayPal pourraient être utilisées pour obtenir de l'argent de sources qui tentent de cacher leur identité ou même de l'étranger?

Mme Ellen Weintraub:

PayPal, les cartes-cadeaux et toutes ces choses suscitent d'importantes préoccupations. Si l'argent est versé directement à une campagne, les organisations ne peuvent accepter de sommes importantes sans en révéler la provenance, et elles ne sont pas autorisées à accepter des contributions anonymes importantes supérieures à un seuil par ailleurs très faible. Cependant, dès qu'il est question de groupes externes de bailleurs de fonds — les super PAC et autres groupes du genre —, elles peuvent accepter des dons de sociétés, ce qui, par définition, empêche d'en connaître la provenance exacte.

M. Damian Collins:

J'aimerais savoir ce que les trois témoins ont à répondre à ma prochaine question.

La transparence en matière de publicité semble être l'une des choses les plus importantes que nous devrions exiger. Au Royaume-Uni, certainement — et dans d'autres pays également, il me semble —, la loi électorale se fondait sur la compréhension de l'identité du messager. Les gens devaient révéler qui payait la publicité et qui cette dernière visait à faire connaître. Or, ces mêmes règles ne se sont pas appliquées dans les médias sociaux.

Même si les gestionnaires de plateforme affirment qu'ils exigeront la transparence, il semble que ces précautions soient faciles à déjouer, surtout dans le cas de Facebook. La personne qui se dit responsable des publicités n'est peut-être pas celle qui contrôle les données ou qui finance les campagnes. Ces renseignements ne sont vraiment pas clairs.

Je me demande si vous partagez nos préoccupations à cet égard et si vous avez une idée du genre de loi que nous pourrions devoir adopter afin d'assurer la divulgation pleine et entière de l'identité de ceux qui financent les campagnes.

Mme Ellen Weintraub:

Je les partage certainement. À ma connaissance, le problème vient en partie du fait que les gestionnaires de plateforme ne vérifient pas qui est derrière la publicité. Si quelqu'un affirme que Mickey Mouse la parraine, c'est ce qu'ils indiquent sur leur plateforme.

M. Damian Collins:

J'aimerais aussi connaître l'avis des deux autres témoins pour savoir s'ils ont des préoccupations et s'ils considèrent que nous devrions instaurer un système solide au sujet de la transparence en matière de publicité en ligne.

M. Daniel Therrien:

J'ajouterais que pour réduire le risque de mauvais usage de l'information dans le cadre du processus politique, il faut disposer d'une série de lois. Au Canada et dans un certain nombre de pays, comme les États-Unis, les partis politiques ne sont pas assujettis à la loi sur la protection des renseignements personnels, à l'échelle fédérale canadienne, du moins. Voilà encore une lacune observée dans les lois de certains pays.

Il faut instaurer une série de mesures, en ce qui concerne notamment la transparence en matière de publicité et la protection des données, ainsi que d'autres règles pour que l'écosystème des compagnies et des partis politiques soit adéquatement réglementé.

M. Damian Collins:

Il semble que les organismes de réglementation doivent impérativement être autorisés par la loi à effectuer des vérifications auprès des entreprises de technologie pour s'assurer qu'elles divulguent les bons renseignements.

M. Daniel Therrien:

Au Canada, nous pouvons faire enquête sur les entreprises, mais pas sur les partis politiques. Un bon régime autoriserait un organisme de réglementation à mener des enquêtes sur les deux.

M. Damian Collins:

L'organisme pourrait faire enquête sur les partis et les plateformes qui font de la publicité.

M. Daniel Therrien:

Oui.

M. Damian Collins:

J'ignore si le signal audio fonctionne à Malte.

M. Joseph A. Cannataci:

Il fonctionne, merci, monsieur Collins. Je vous remercie également du travail que vous avez investi dans votre rapport, que j'ai — je dois dire — trouvé extrêmement utile dans le cadre de mon mandat.

Je dirai très brièvement que je partage les préoccupations des deux témoins précédents. Au chapitre de la transparence en matière de publicité, il est extrêmement important de connaître l'identité du messager. Je m'inquiète grandement du recours aux chaînes de blocs et à d'autres technologies de registre distribué. À dire vrai, il n'existe pas suffisamment de recherches en ce moment pour nous permettre d'examiner les problèmes concernés.

Il se trouve que le pays dans lequel je vis s'est proclamé l'île des chaînes de blocs, et nous déployons certains efforts pour légiférer en la matière, mais je crains qu'il faille effectuer encore bien du travail à ce sujet dans le monde. Si c'est possible, je proposerais au Comité de prêter son nom à des ressources sérieuses afin d'étudier le problème et de formuler des recommandations judicieuses.

(1610)

Le président:

Merci, monsieur Cannataci.

Nous avons dépassé le temps prévu, et certains membres doivent aller voter. Je dois donc accorder la parole à Mme Vandenbeld le plus rapidement possible.

Je tenterai de vous accorder de nouveau la parole si vous avez besoin d'une réponse plus exhaustive.

Madame Vandenbeld, vous avez la parole.

Mme Anita Vandenbeld (Ottawa-Ouest—Nepean, Lib.):

Merci beaucoup, monsieur le président.

Je vous remercie grandement d'être ici et de faire des témoignages très instructifs.

Je voudrais poser mes questions sur les menaces étrangères à la démocratie et sur ce que j'appelle les technologies habilitantes, comme les médias sociaux et les « donnéeopoles » qui permettent aux menaces étrangères de prendre pied.

Je considère qu'à titre de législateurs, nous nous trouvons aux premières lignes de la démocratie mondiale. Si ceux d'entre nous qui sont les représentants élus de la population ne sont pas capables de résoudre le problème et de contrer ces menaces, alors que c'est vraiment à nous qu'il revient de le faire... Voilà pourquoi j'étais enchantée que le Grand Comité se réunisse aujourd'hui.

Je souligne également la collaboration que même notre comité a pu avoir avec le comité du Royaume-Uni au sujet d'AggregateIQ, qui était ici, au Canada, lors de notre étude sur Cambridge Analytica et Facebook.

Nous avons toutefois un problème: les plateformes ont beau jeu d'ignorer les pays pris individuellement, particulièrement les petits marchés, car elles sont si grandes que nous ne pouvons pas faire grand-chose contre elles. Nous devons donc unir nos efforts.

Madame Weintraub, considérez-vous que vous disposez actuellement des outils nécessaires pour que les élections américaines de 2020 ne subissent aucune influence étrangère ou en subissent aussi peu que possible?

Mme Ellen Weintraub:

J'hésite à répondre à cette question. Comme je l'ai souligné dans mon témoignage, je voudrais que le Congrès adopte diverses lois et j'aimerais persuader mes collègues de la commission d'accepter d'adopter certains règlements.

Je pense que nous ne sommes pas aussi solides que nous pourrions l'être, mais je sais que le département de la Sécurité intérieure, les États et les administrations locales travaillent d'arrache-pied afin de protéger les infrastructures physiques pour tenter d'éviter la manipulation des votes, laquelle constitue la plus grande crainte, bien entendu.

Sur le plan de l'influence étrangère, comme le directeur du FBI l'a indiqué, nous nous attendons à ce que nos adversaires modifient leur plan, et tant que nous ne verrons pas ce plan, nous ne saurons pas si nous sommes prêts à faire face à la menace.

Mme Anita Vandenbeld:

Au Canada, le problème vient entre autres du fait qu'il est très difficile de savoir qui a le pouvoir de parler au cours d'une campagne électorale; nous avons donc instauré le Protocole public en cas d'incident électoral majeur. Il s'agit d'un groupe de hauts fonctionnaires qui seraient en mesure de rendre la chose publique si les organismes de sécurité décelaient une menace étrangère.

Les États-Unis ont-ils envisagé de mettre en place un protocole semblable? Est-ce une solution qui pourrait fonctionner à l'échelle mondiale?

Monsieur Cannataci, je vous demanderais de répondre également en ce qui concerne le contexte international. Je me demande si vous observez des initiatives qui pourraient, au cours d'élections, permettre à ce genre d'autorité de rendre la menace publique.

J'entendrai d'abord Mme Weintraub, puis M. Cannataci.

Mme Ellen Weintraub:

Je pense que ce pouvoir existe. Certains fonctionnaires ont le pouvoir de rendre ce genre de renseignements publics s'ils sont informés de la situation. Ce genre de transparence est toutefois limité pour des questions de sécurité nationale et de renseignement, bien entendu.

Mme Anita Vandenbeld:

Monsieur Cannataci, vous avez indiqué qu'il existe certains traités internationaux sur la protection des données et des renseignements personnels, mais y a-t-il une sorte de centre d'échange des pratiques exemplaires internationales?

À lui seul, notre comité trouve d'excellents exemples de pratiques qu'il s'emploie à faire connaître, mais existe-il quelque part un endroit où les pratiques exemplaires sont échangées, mises à l'épreuve, étudiées et diffusées?

(1615)

M. Joseph A. Cannataci:

Pas à ce que je sache. Deux comités des Nations unies doivent se former bientôt, dont au moins un pourrait discuter de sujets connexes. Vous pourriez aborder la question auprès de ce qui s'appelle le groupe de travail ouvert des Nations unies, qui commencera probablement ses travaux à l'automne.

Je serais toutefois ravi de travailler avec le Comité afin d'élaborer un ensemble de mécanismes pouvant être échangés sur le plan des pratiques exemplaires, car la plupart des tentatives de manipulation électorale que nous avons observées recouraient au profilage dans un domaine ou dans un autre afin de cibler des gens pour influencer leur vote.

Je me ferais un plaisir de réaliser des travaux dans ce domaine avec le Comité, et quiconque souhaite nous faire part de pratiques exemplaires est le bienvenu.

Le président:

Merci, madame Vandenbeld. Votre temps est écoulé.

Nous accorderons maintenant la parole à M. Angus pour cinq minutes.

M. Charlie Angus:

Merci, monsieur le président.

Je vous remercie de témoigner, madame Weintraub.

Les Américains sont comme nos cousins germains et nous les aimons beaucoup, mais nous sommes légèrement suffisants, car nous observons ce qu'il se passe par-delà la frontière et nous nous disons que toutes ces folies ne pourraient jamais se produire au Canada. Je vous relaterai donc toute l'histoire de la fraude et de l'ingérence électorales au Canada depuis 10 ans.

Un jeune de 20 ans travaillant pour les conservateurs a mis la main sur des numéros de téléphone et a envoyé des renseignements erronés le jour du scrutin. Il a fini en prison.

Un membre de notre comité a demandé à ses cousins de l'aider à payer un stratagème électoral. Il a perdu son siège au Parlement et trouvé une place en prison.

Un ministre du Cabinet qui avait caché des dépenses de 8 000 dollars en voyages aériens au cours d'élections a dépassé la limite, perdant ainsi son poste au Cabinet et son siège.

Ces situations ont des conséquences; pourtant, on manipule les données au grand jour, et il semble que nous ne dispositions pas de lois pour intervenir ou que nous ne soyons apparemment pas certains de la manière dont nous pourrions nous attaquer au problème.

Je peux vous dire qu'en 2015, j'ai commencé à remarquer le problème lors des élections fédérales, alors que la situation est passée totalement inaperçue au pays. Notre région a été la cible d'une campagne intense contre les musulmans et les immigrantes, qui y a complètement chamboulé le discours électoral. L'information était issue d'une organisation extrémiste de la Grande-Bretagne. Je ne comprenais pas comment les gens de la classe ouvrière de ma région recevaient ces renseignements.

Je comprends aujourd'hui avec quelle rapidité le poison se répand dans le système et à quel point il est facile de cibler des gens et de manipuler les profils de données d'électeurs.

Quand le gouvernement fédéral aura de nouvelles lois de protection des élections, il pourrait s'agir des meilleures lois pour les élections de 2015, mais l'ingérence observée alors s'apparente à un vol de diligence si on la compare à celle que vous verrons lors des prochaines élections, lesquelles feront probablement office de banc d'essai pour les élections de 2020.

Au regard du recours massif aux outils servant à influencer les élections démocratiques, comment pouvons-nous instaurer des mesures pour mettre des bâtons dans les roues des mercenaires de données qui peuvent cibler chaque électeur en en exploitant les craintes?

Mme Ellen Weintraub:

Je ne sais même pas comment commencer à répondre à cette question.

Le système canadien diffère manifestement du nôtre. Je n'approuve pas toujours la manière dont la Cour suprême interprète le Premier amendement, mais ce dernier assure une protection extrêmement solide de la liberté d'expression. Cela a une incidence dans les domaines de la technologie, de l'argent occulte et de la politique.

S'il n'en tenait qu'à moi, je pense que la Cour suprême devrait s'inspirer un peu plus du modèle canadien, mais je n’ai aucune incidence à ce sujet.

M. Charlie Angus:

Monsieur Therrien, je m'adresserai à vous.

C'est votre prédécesseure, Elizabeth Denham, qui a mis au jour la faiblesse de Facebook en 2008 et qui a tenté de forcer l'entreprise à se conformer. Si Facebook s'était exécutée, nous aurions peut-être évité bien des problèmes. Maintenant, en 2019, vous concluez qu'en vertu de la primauté du droit, dans votre champ de compétences, Facebook a violé la loi sur la protection des renseignements personnels.

Ce qui est très troublant, c'est que Facebook a tout bonnement refusé d'admettre nos compétences dans notre pays, affirmant que nous devions supposément lui prouver si des torts avaient été causés ou non.

Je ne suis pas certain si vous avez entendu le témoignage de M. Chan aujourd'hui, mais en ce qui concerne les droits des législateurs démocratiques d'assurer la protection des lois, comment pouvons-nous lutter contre une entreprise qui considère qu'elle peut choisir de respecter ou non les lois nationales?

(1620)

M. Daniel Therrien:

Vous faites référence aux conclusions tirées par mes prédécesseurs il y a 10 ans. Il est certainement déconcertant que les pratiques observées il y a 10 ans et qui sont censées avoir été corrigées grâce à l'amélioration des politiques en matière de protection des renseignements personnels et de l'information communiquée aux utilisateurs n'ont, de fait, pas été rectifiées. Des améliorations superficielles ont été apportées, selon, nous, mais dans les faits, les mesures de protection des renseignements personnels de Facebook s'avèrent encore très inefficaces 10 ans après l'enquête du Commissariat à la protection de la vie privée du Canada.

En ce qui concerne l'argument sur les compétences, je pense que la compagnie considère que puisque les citoyens canadiens n'ont pas été personnellement touchés par la manipulation de l'information à des fins politiques, le Commissariat n'a pas compétence en la matière. Nous ne nous sommes toutefois pas contentés d'examiner l'effet des pratiques de protection des renseignements personnels dans le processus politique canadien; nous avons étudié l'ensemble du régime de réglementation en matière de protection des renseignements personnels de Facebook lorsqu'il s'applique non seulement à une application de tierce partie, mais à toutes les applications semblables, lesquelles se comptent par millions.

Je me préoccupe certainement du fait que Facebook affirme que nous n'avons pas compétence en la matière, alors que nous nous sommes penchés sur la manière dont Facebook a traité les renseignements personnels de Canadiens et de Canadiennes au moyen de millions d'applications et non d'une seule.

Comment faire en sorte que Facebook ou d'autres entreprises respectent l'autorité du Canada? Eh bien, compte tenu du régime juridique qui est le nôtre, il nous reste la possibilité de les traîner devant la Cour fédérale du Canada — et c'est ce que nous ferons — pour qu'elle rende une décision sur les pratiques de Facebook, notamment en indiquant si l'entreprise doit respecter notre autorité. Nous ne doutons guère qu'elle doive la respecter, mais il faudra qu'un tribunal se prononce sur la question.

M. Charlie Angus:

Enfin...

Le président:

Merci, monsieur Angus. Votre temps est écoulé.

M. Charlie Angus:

Ma montre indique 4 minutes et 53 secondes.

Des voix: Ah, ah!

Le président:

Nous aurons encore du temps vers la fin de la séance; je ferais donc mieux de poursuivre.

Nous entendrons maintenant notre témoin de Singapour pour cinq minutes.

Monsieur Tong, nous vous cédons la parole.

M. Edwin Tong (ministre d'État principal, Ministère de la justice et Ministère de la santé, Parlement de Singapour):

Merci.

Madame Weintraub, merci beaucoup d'être là. En septembre 2017, vous avez écrit une lettre à la personne qui assumait alors la présidence de la Federal Election Commission, dans laquelle vous indiquiez qu'il fallait impérativement moderniser la réglementation de cet organisme pour que les Américains sachent qui paie les messages politiques qu'ils voient sur Internet.

Ai-je raison de présumer que vos inquiétudes découlent du fait que les activités étrangères influencent, voire corrompent les messages politiques, pas seulement lors d'élections, mais aussi dans la vie quotidienne des membres d'une société démocratique, et que si on leur laisse libre cours, ces activités chercheront à ébranler les institutions et le gouvernement, à influencer les élections et, au bout du compte, à renverser la démocratie?

Aurais-je raison de dire cela?

Mme Ellen Weintraub:

Je partage un grand nombre de ces préoccupations, et je crains vivement que ces activités visent non seulement à influencer les élections, mais aussi à semer la discorde et le chaos et à ébranler la démocratie dans de nombreux pays.

M. Edwin Tong:

En fait, conviendriez-vous que le mode opératoire typique de tels mauvais acteurs viserait à semer la discorde quant aux questions sociales primordiales et à provoquer des problèmes qui ouvrent des lignes de faille dans la société pour que les institutions et, au final, les gouvernements soient ébranlés?

(1625)

Mme Ellen Weintraub:

Je pense que c'est le cas.

M. Edwin Tong:

Vous avez parlé précédemment des entreprises de technologie. Je pense que vous avez dit qu'elles vous ont répondu qu'elles s'occupaient du problème. De toute évidence, c'est loin d'être le cas. Vous avez également indiqué que les entreprises ne vérifiaient pas qui se trouve derrière les publicités et les dons.

Connaissez-vous la Campaign for Accountability, ou CFA?

Mme Ellen Weintraub:

Je ne peux pas dire que je la connais; je suis désolée.

M. Edwin Tong:

Après la diffusion des conclusions de Robert Mueller, je pense, une organisation sans but lucratif du nom de Campaign for Accountability s'est faite passer pour l'IRA et a très facilement acheté des publicités politiques. Elle a réussi à faire publier toute une série de publicités et de campagnes par Google pour un peu moins de 100 $US et a obtenu quelque 20 000 visionnements et plus de 200 clics avec ce genre de dépense.

Est-ce une situation qui vous préoccupe? Faudrait-il réglementer ce genre d'activité étrangère, qui montre également qu'on ne peut s'en remettre aux plateformes de médias sociaux pour surveiller la situation?

Mme Ellen Weintraub:

Je suis convaincue qu'il faut réglementer davantage le domaine pour que les gens puissent savoir qui est derrière les publicités qu'ils voient sur les médias sociaux.

M. Edwin Tong:

Oui.

En ce qui concerne les règlements dont il est question dans la lettre que vous avez écrite, pourriez-vous nous dire, en 30 secondes, quels devraient être, selon vous, les principes fondamentaux sous-jacents à ces règlements pour que nous puissions mettre fin à l'influence et à la corruption étrangères dans les processus démocratiques?

Mme Ellen Weintraub:

Eh bien, comme je l'ai indiqué, je pense qu'il faut assurer une meilleure transparence. Quand les gens lisent des informations en ligne, ils doivent pouvoir en connaître l'origine.

Par exemple, l'Internet Research Agency de Russie a diffusé des publicités et des renseignements aux fins de propagande. Je ne connais personne qui veuille que ses nouvelles viennent d'une usine de trolls russe. Je pense que si les gens savaient que c'est de là d'où vient l'information, ils sauraient à quel point ils peuvent s'y fier.

M. Edwin Tong:

Oui, car au bout du compte, la fausse information, ce n'est pas la liberté d'expression, n'est-ce pas?

Mme Ellen Weintraub:

Les gens doivent savoir d'où vient l'information pour pouvoir tirer de meilleures conclusions.

M. Edwin Tong:

Oui. Merci.

Je vous remercie, monsieur le président.

Le président:

Merci.

Nous accorderons maintenant la parole à Mme Naughton, de l'Irlande.

Mme Hildegarde Naughton (présidente, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Ma première question s'adressera à M. Cannataci. Elle concerne les lois que nous envisageons d'adopter en Irlande, lois qui pourraient éventuellement s'appliquer à l'échelle de l'Europe. Nous voulons créer un poste de commissaire à la sécurité numérique en ligne. Dans le cadre de l'élaboration de cette loi, la définition de « communication préjudiciable » donne notamment du fil à retordre à notre comité. Je me demande si vous pourriez nous aider. Existe-t-il à cet égard une pratique exemplaire ou une manière optimale de procéder?

Nous voulons éventuellement légiférer à l'échelle de l'Europe et, comme nous le savons, il faut protéger la liberté d'expression. Ces questions ont été soulevées ici. Avez-vous des observations à formuler à ce sujet?

M. Joseph A. Cannataci:

La réponse brève est oui, je serais enchanté de vous aider. Nous sommes en train de mettre sur pied un groupe de travail précisément sur la protection des renseignements personnels, les enfants et les préjudices causés en ligne. C'est un sujet très difficile, car certains termes utilisés ne sont pas très clairs, notamment les mots « adapté à l'âge ».

Pour la plupart des enfants du monde, le niveau de maturité n'est pas lié à l'âge. Les enfants se développent à différents âges. Il faut vraiment mieux étudier le genre de préjudices dont ils peuvent être victimes en ligne. En fait, les études sur le sujet sont malheureusement rarissimes. Il en existe, mais pas suffisamment.

Je verrais certainement d’un œil favorable une approche irlandaise, européenne, voire internationale à ce sujet, car le problème transcende les frontières. Je vous remercie donc d'agir dans ce dossier.

Mme Hildegarde Naughton:

Merci beaucoup. Je pense que nous nous préoccupons tous ici de cette définition.

J'interrogerai peut-être le commissaire à la protection de la vie privée, M. Therrien, au sujet du Règlement général sur la protection des données. Avez-vous une opinion quant au fonctionnement de ce règlement?

Comme vous le savez, le président de Facebook, Mark Zuckerberg, a demandé que le Règlement général sur la protection des données soit mis en application à l'échelle internationale. J'aimerais savoir ce que vous en pensez d'un point de vue professionnel.

Ce règlement est très récent et a été mis en oeuvre à l'échelle européenne, comme vous le savez. Que pensez-vous de ce règlement, de son fonctionnement et du fait que M. Zuckerberg en réclame l'application dans tous les pays, même s'il fallait pour cela le modifier?

(1630)

M. Daniel Therrien:

Le Règlement général sur la protection des données est encore relativement nouveau; je pense donc qu'il faudra attendre encore un peu pour en déterminer les effets dans la pratique. Je considère certainement que les principes de ce règlement sont bons. Il s'agit de saines pratiques. Je pense que les divers pays devraient évidemment chercher à protéger le plus efficacement possible les renseignements personnels et les données, et s'inspirer des règles d'autres pays pour y parvenir.

Dans mon exposé, j'ai parlé de l'interopérabilité. J'ajouterais qu'il importe que les lois internationales, bien qu'elles soient interopérables et qu'elles reposent sur de bons principes comme ceux du Règlement général sur la protection des données, soient adaptées à la culture et aux traditions de chaque pays. Par exemple, le poids relatif accordé à la liberté d'expression et à la protection des données peut varier dans certains pays, mais le Règlement général sur la protection des données constitue un excellent point de départ.

Mme Hildegarde Naughton:

D'accord, merci.

Je pense que ce sont toutes les questions que je voulais poser.

Le président: Vous disposez d'une minute.

Mme Hildegarde Naughton: Voulez-vous poser une question?

M. James Lawless (membre, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Merci.

Monsieur le président, si vous le voulez bien, j'utiliserai la dernière minute, mais j'interviendrai de nouveau lors du deuxième tour pour utiliser mes cinq minutes.

Le président:

Oui, bien sûr.

M. James Lawless:

Madame Weintraub, votre analyse de ce qu'il s'est passé lors des dernières élections était intéressante, particulièrement en ce qui concerne l'influence des États-nations.

Ces derniers ont comme dénominateur commun le fait qu'ils ne favorisent pas nécessairement un candidat au détriment d'un autre, mais cherchent à semer la discorde et à affaiblir les démocraties occidentales. Cela semble être un thème commun. Je pense que c'est le phénomène que nous avons pu observer lors du Brexit et des élections américaines. Comment pouvons-nous lutter contre ces interventions?

J'ai élaboré des mesures législatives s'apparentant à la loi sur la publicité honnête et à la loi sur la transparence dans les médias sociaux, fort d'objectifs très semblables. J'ai une question, à laquelle je reviendrai lors du deuxième tour, sur la manière dont nous pouvons appliquer ce genre de loi. La responsabilité incombe-t-elle à ceux qui font de la publicité ou à la plateforme?

Quelqu'un a affirmé qu'un organisme avait réussi à diffuser de fausses publicités sur les 100 sénateurs ou membres de la Chambre des représentants. Les plateformes devraient-elles être responsables des divulgations, des avertissements et des vérifications d'usage? Elles nous ont affirmé qu'elles ne pouvaient pas le faire. Devons-nous faire porter cette responsabilité à ceux qui placent les publicités ou à ceux qui les publient, si vous saisissez la distinction?

Mme Ellen Weintraub:

Les États-Unis ont coutume d'imposer ces obligations à ceux qui placent les publicités. Il me semble toutefois que nous pourrions exploiter les fameuses capacités d'apprentissage machine de l'intelligence artificielle de ces plateformes. Si les machines peuvent s'apercevoir que le nom sur la publicité n'a aucun lien avec la source du paiement, elle pourrait avertir un humain qui entreprendrait de vérifier si le nom figurant dans la publicité est le bon.

Ce n'est toutefois pas ainsi que nos lois fonctionnent actuellement.

Le président:

M. Zimmermann, de l'Allemagne, aura la parole pour les cinq prochaines minutes.

M. Jens Zimmermann (Parti social-démocrate, Parlement de la République fédérale d'Allemagne):

Merci, monsieur le président.

Je commencerais avec M. Cannataci pour traiter de la collaboration internationale.

Nous avons indiqué plus tôt qu'il fallait collaborer à l'échelle internationale. C'est d'ailleurs l'objectif derrière la présente séance. Mais où verriez-vous des forums propices à la collaboration dans ces domaines? Cette année, par exemple, l'Allemagne accueillera le Forum sur la gouvernance d'Internet, une approche plurilatérale des Nations unies.

Voyez-vous d'autres approches?

(1635)

M. Joseph A. Cannataci:

Je vous remercie de cette question, monsieur Zimmermann.

Le Forum sur la gouvernance d'Internet est un endroit utile pour se réunir et discuter, mais nous devons faire très attention de ne pas nous en tenir aux belles paroles. Le problème, c'est que ce forum offre un endroit où les bonnes idées abondent, mais où la gouvernance est bien mince. À l'heure actuelle, les États tendent malheureusement à éluder la responsabilité de la gouvernance.

Je pense que nous verrons des pays se réunir, y compris le Parlement européen nouvellement élu, pour appliquer des mesures qui susciteront l'attention. Selon moi, les entreprises sentent le vent tourner; certaines d'entre elles l'ont d'ailleurs admis à demi-mot.

Rien n'attire l'attention comme l'argent. L'approche du Règlement général sur la protection des données, à laquelle on a fait référence, suscite une vive attention de la part des entreprises du monde, car aucune ne veut être obligée de payer une facture équivalant à 4 % de son chiffre d'affaires mondial. Je pense que cette mesure favorisera la reddition de comptes et la responsabilité. Pour répondre à la question précédente, je pense que cette démarche fera porter l'attention sur les plateformes au moins autant que sur ceux qui placent les publicités, car, comme quelqu'un l'a fait remarquer, il est parfois difficile de savoir si ces derniers sont les véritables responsables.

M. Jens Zimmermann:

Merci beaucoup.

La question de l'application devait suivre, mais vous y avez déjà répondu. Merci.

Je poserais une question à Mme Weintraub également.

Nous avons maintes fois parlé des trolls et des usines de trolls, mettant beaucoup l'accent sur la publicité. Qu'en est-il des trolls à l'oeuvre au pays? Nous avons constaté que dans une certaine mesure, des activistes qui sont en fait des trolls surpuissants sont en activité en Allemagne, particulièrement dans le mouvement d'extrême droite. On n'a pas besoin de les payer; ils agissent parce qu'ils veulent soutenir leurs groupes politiques.

Cachés dans l'ombre, ils décident d'utiliser des outils pour s'attaquer à un ou à une députée ou ils appuient simplement chaque publication d'un membre d'un parti. Ils font une utilisation optimale des algorithmes, sans avoir besoin d'argent pour le faire.

Vous intéressez-vous aussi à ce problème?

Mme Ellen Weintraub:

Je pense que vous soulevez une autre question très sérieuse. Aux États-Unis, nous avons constaté que certaines techniques instaurées par des activistes étrangers sont maintenant adoptées par des activistes américains, car ils ont vu qu'elles fonctionnaient. Ces techniques ont le même genre d'effet préoccupant que les démarches visant à semer la discorde et à répandre parfois les discours haineux. Elles permettent d'aller chercher, dans les crevasses de la communauté, des gens qui ont des idées et qui, seuls, n'ont pas beaucoup de pouvoir, mais qui, lorsqu'ils se réunissent en ligne et diffusent ces idées, deviennent bien plus inquiétants.

Nous n'avons pas d'outils efficaces pour lutter contre eux, car quand ces trolls sont des étrangers, il est facile de dire qu'ils cherchent à s'ingérer dans nos élections, et nous savons que ce n'est pas une bonne chose; c'est toutefois une autre paire de manches quand il s'agit de nos propres citoyens.

Le président:

Il vous reste une trentaine de secondes.

M. Jens Zimmermann:

J'aborderai peut-être une dernière question.

Nous avons de nombreux règlements régissant les médias et stipulant ce qu'une station de télévision ou de radio peut faire, mais YouTube soulève actuellement tout un débat en Allemagne, car on y trouve des gens qui joignent essentiellement un auditoire plus vaste que celui de nombreuses stations de télévision, sans pour autant être soumis à la moindre réglementation.

Est-ce un problème que vous observez également?

Mme Ellen Weintraub:

Nous observons certainement le phénomène des influenceurs. Je ne passe pas moi-même beaucoup de temps sur YouTube, mais quand je vois certaines de ces personnes, je ne suis pas vraiment certaine de comprendre pourquoi elles ont autant d'influence, mais elles en ont.

Cela nous ramène au modèle qui est le nôtre. Le modèle de réglementation des États-Unis se fonde sur l'argent. Quand nous avons commencé à nous intéresser à l'activité politique sur Internet, YouTube en était à ses balbutiements, et la plupart des gens présumaient qu'il faudrait évidemment payer pour diffuser une publicité afin que le public la regarde. Nous évoluons maintenant dans un monde entièrement différent où tout ce contenu est diffusé gratuitement et devient viral. Il existe très peu de mesures de contrôle dans ce domaine.

(1640)

Le président:

Merci.

Nous allons maintenant revenir aux parlementaires, de retour de leurs votes.

Nous accorderons la parole à M. Kent pour cinq minutes.

L'hon. Peter Kent (Thornhill, PCC):

Merci, monsieur le président.

Ma première question s'adresse au commissaire Therrien et concerne la révélation que le gouvernement a faite en réponse à une question inscrite au Feuilleton sur les annonces d'emplois discriminatoires publiées sur un certain nombre de plateformes, et Facebook a certainement été mentionnée. Un certain nombre de ministères auraient demandé que les annonces soient microciblées par sexe et par âge.

M. Chan, président et directeur général de Facebook Canada, a répondu que cela s'était effectivement produit, mais que les protocoles avaient changé, même si ses réponses étaient quelque peu imprécises ou ambiguës. Il a indiqué que le gouvernement fédéral avait été avisé que cette façon de faire était non seulement inacceptable, mais aussi potentiellement illégale en vertu des diverses lois relatives aux droits de la personne du pays.

Pourrais-je avoir votre réaction, monsieur le commissaire?

M. Daniel Therrien:

Je pense que cette affaire fait ressortir l'importance d'avoir des lois fondées sur les droits de la personne. Nous sommes ici en présence d'une pratique qui aurait pu engendrer de la discrimination. Je pense qu'il importe que les règlements tiennent compte de l'effet net d'une pratique et règlent la question en application des droits de la personne.

Sur le plan de la protection de la vie privée, nous tendons à considérer que la protection des données et des renseignements personnels prend la forme de règles entourant le consentement, la divulgation de l'objectif et d'autres facteurs. Je pense que l'affaire Cambridge Analytica a soulevé la question de la relation étroite entre la protection de la vie privée, la protection des données et l'exercice des droits fondamentaux, y compris, dans le cas de votre exemple, les droits à l'égalité.

Je pense que pour le genre de lois dont je suis responsable au Canada, nous assurerions une protection plus efficace et plus exhaustive en définissant la protection de la vie privée en fonction non pas des mécanismes importants comme le consentement, par exemple, mais des droits fondamentaux qui sont préservés grâce à la protection des renseignements personnels.

L'hon. Peter Kent:

D'accord.

Madame Weintraub, la question que je vous poserai concerne les échanges que nous avons eus ce matin concernant Facebook au sujet de la vidéo falsifiée de Mme Pelosi et de la déclaration que Facebook a faite au Washington Post, selon laquelle l'entreprise n'avait pas de politique exigeant que les publications sur sa plateforme soient véridiques.

Il s'agit manifestement d'un cas de malveillance politique. Ce n'est pas une année électorale, mais de pareils actes entachent le processus démocratique et ciblent de manière évidente la réputation d'un dirigeant politique et le leadership politique. Je me demande ce que vous pensez de l'argument de Facebook.

La plateforme retirera une vidéo publiée par quelqu'un qui révèle la vérité sous une fausse représentation, mais laissera celle publiée par quelqu'un qui est manifestement prêt à dire que c'est une falsification, se contentant de publier un avertissement indiquant que le contenu ne semble pas véridique, même si, dans le cas de la vidéo de Mme Pelosi, la vidéo a été vue par des millions de personnes depuis le déclenchement de la controverse, laquelle sert le plan d'affaires de Facebook au sujet des clics et du nombre de visionnements.

Mme Ellen Weintraub:

Eh bien, ce matin, j'ai entendu un grand nombre de commentaires qualifiant d'insatisfaisante la réponse donnée par Facebook. Je dois dire que j'ai aussi trouvé cette réponse insatisfaisante, mais cela soulève une question très importante, c'est-à-dire que dans ce cas-ci, ils savent que l'information est fausse, mais de façon plus générale, on peut se demander qui sera responsable de discerner le vrai du faux.

Personnellement, je ne veux pas assumer cette responsabilité, et je crois que c'est dangereux lorsque le gouvernement assume la responsabilité de décider ce qui est vrai et ce qui ne l’est pas. En effet, cela ressemble plutôt au type de gouvernance autoritaire qu'on retrouve dans un roman orwellien. Je ne crois pas que je serais à l'aise d'être la personne responsable de cela ou de vivre dans un régime où le gouvernement a ce pouvoir, mais si le gouvernement n’a pas ce pouvoir, on peut se demander à qui il revient. De plus, je ne suis pas à l'aise avec le fait que des plateformes ont le pouvoir de décider ce qui est vrai et ce qui est faux.

(1645)

L'hon. Peter Kent:

Si cela devait se produire en période d'élections, quelle serait votre réponse?

Mme Ellen Weintraub:

Dans les cycles électoraux, nous avons divers règlements qui régissent la publicité, s'il s'agit de publicité payée et si cette publicité mentionne le nom des candidats. Tous les membres de la Chambre des représentants doivent se faire réélire tous les deux ans. Je présume que les membres de la Chambre des représentants sont toujours au milieu d'un cycle, mais nous avons des règlements plus sévères qui régissent cela lorsque nous approchons d'une élection. En effet, dans les 30 jours précédant une élection primaire et dans les 60 jours précédant une élection générale, encore une fois, des règlements encadrent la divulgation. Toutefois, aucun règlement n'autorise mon organisme à ordonner à une plateforme de retirer une publicité.

L'hon. Peter Kent:

Merci.

Le président:

Merci, madame Weintraub.

Certains des membres du Comité ne poseront pas de questions, et nous avons donc un peu plus de temps que nous le pensions. Si vous souhaitez poser une autre question, veuillez en aviser le président, et j'ajouterai votre nom à la fin de la série de questions.

Nous entendrons maintenant la représentante de l'Estonie.

Allez-y.

Mme Keit Pentus-Rosimannus (vice-présidente, Parti réformateur, Parlement de la République d'Estonie (Riigikogu)):

Merci.

Madame Weintraub, j'aimerais vous poser une question.

La désinformation fait officiellement partie de la doctrine militaire de la Russie depuis un certain temps. On l'utilise essentiellement comme stratégie pour diviser l'Occident. On sait également que les Russes investissent 1,1 milliard d'euros par année dans la propagande et la diffusion de leur version des faits.

Vous êtes sur le point d'avoir des élections présidentielles. En sachant ce que nous savons au sujet de la dernière période électorale, êtes-vous prête maintenant? Si les événements de la dernière campagne électorale devaient se reproduire, pensez-vous que vous seriez maintenant en mesure de régler ces problèmes?

Mme Ellen Weintraub:

Je ne prétendrai pas que je peux personnellement résoudre le problème de la désinformation dans nos élections. Comme je l'ai dit plus tôt, je crois que des lois et des règlements ont été rédigés et qu'ils seront adoptés pour renforcer notre position.

Je crois également que, dans l'ensemble, nous devons accorder plus d'attention aux compétences numériques. En effet, un grand nombre de personnes croient toutes sortes de choses qu'elles voient en ligne et qu'elles ne devraient vraiment pas croire. Ma fille me dit que c'est une question de génération, car les gens de sa génération sont beaucoup plus sceptiques à l'égard de ce qu'ils lisent en ligne et que ce sont seulement les gens de ma génération, qui sont un peu crédules, qui considèrent qu'Internet est une nouveauté et qui présument que tout ce qu’ils lisent est vrai.

Je ne sais pas si je suis tout à fait d'accord avec elle sur le fait que cet enjeu se résume à une question de génération, mais je crois que dans l'ensemble, la communauté des démocraties doit réellement déterminer quelle est sa résilience face à la désinformation qui, nous le savons, sera diffusée un peu partout.

Comme je l'ai dit, nous menons toujours la dernière bataille, et nous pouvons donc rédiger des lois pour encadrer ce qui s'est produit la dernière fois, mais je suis certaine que lors des prochaines élections, de nouvelles techniques auxquelles personne n'a encore pensé seront mises au point.

Mme Keit Pentus-Rosimannus:

Pouvez-vous nommer les deux principales menaces contre lesquelles vous vous préparez?

Mme Ellen Weintraub:

Mon organisme s'occupe de réglementer les fonds dans la sphère politique. C'est notre priorité, et nous essayons de déterminer d'où proviennent ces fonds. C'est ce que nous surveillons en tout temps. Nous tentons de mettre en œuvre des mesures plus efficaces en matière de transparence, afin que nos électeurs comprennent mieux d'où viennent les fonds et qu'ils connaissent l'identité des intervenants qui tentent de les influencer. C'est réellement ma priorité.

Mme Keit Pentus-Rosimannus:

Nous venons tout juste d'avoir les élections parlementaires européennes. Selon vous, avons-nous fait face à certains enjeux que vous pourriez utiliser pour vous préparer à votre prochaine élection? Dans quelle mesure coopérez-vous avec vos collègues européens?

Mme Ellen Weintraub:

Je suis toujours heureuse d'obtenir des renseignements de n'importe quelle source. C'est la raison pour laquelle je suis ici. En effet, c'est un événement très enrichissant pour moi. De plus, je serai heureuse de répondre à toutes vos questions.

(1650)

Mme Keit Pentus-Rosimannus:

Observez-vous déjà certaines choses liées aux élections parlementaires européennes que vous trouvez utiles?

Mme Ellen Weintraub:

Nous n'avons pas encore étudié le déroulement des élections parlementaires européennes.

Mme Keit Pentus-Rosimannus: D'accord.

Le président:

Avez-vous terminé? Merci.

À titre d'information, nous allons recommencer le cycle. Nous entendrons d’abord M. Erskine-Smith, et nous donnerons ensuite la parole au parlementaire suivant. Nous entendrons donc M. Erskine-Smith, M. Lucas et M. Lawless.

Allez-y, monsieur Erskine-Smith.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Merci beaucoup.

Je suis récemment allé à Bruxelles, où j'ai rencontré le contrôleur européen de la protection des données. Il y a une excellente coopération entre les commissaires à la protection de la vie privée au sein de l'Union européenne. En effet, des conférences sont organisées pour leur permettre de se rencontrer et de discuter de ces enjeux, afin de favoriser la coopération entre les organismes de réglementation.

Madame Weintraub, le même niveau de coopération a-t-il été observé dans le cadre des élections?

Mme Ellen Weintraub:

Nos élections sont régies par nos propres règlements. Comme je l'ai dit plus tôt, je suis heureuse d'obtenir des renseignements de toutes les sources, mais étant donné que nos règlements diffèrent de ceux d'autres pays, surtout lorsqu'il s'agit de la transparence en matière de fonds et de politique et de la façon dont nous finançons nos élections, nous utilisons notre propre processus.

M. Nathaniel Erskine-Smith:

Lorsque j'ai laissé entendre à un ami du Colorado et à un autre ami du Mississippi que je voulais faire de la politique et que je leur ai dit que le plafond de mon district local était de 100 000 $ canadiens, ils ont ri un bon coup.

Des voix: Oh, oh!

Mme Ellen Weintraub:

C'est très différent.

M. Nathaniel Erskine-Smith:

Avant de m'adresser à M. Therrien, je tiens à préciser que je respecte absolument le fait que les règlements américains en matière de liberté d'expression sont beaucoup plus stricts que les règlements canadiens en la matière. Toutefois, lorsque vous parlez des gens responsables « de discerner le vrai du faux », il y a tout de même des conseils sur les normes et il y a toujours, dans le cas des radiodiffuseurs… Certainement, un radiodiffuseur, lors d'une élection… Je me trompe peut-être, mais je m'attends à ce qu'il y ait des conseils sur les normes et des lignes directrices en matière d'éthique et certains principes fondamentaux qu'ils seraient tenus de respecter, et qu'ils ne diffuseraient pas n'importe quoi.

Mme Ellen Weintraub:

Je crois que c'est vrai dans le cas des radiodiffuseurs, surtout pour des raisons de responsabilité professionnelle. Je pense que c'est l'un des dilemmes auxquels nous faisons tous face. Lorsque nous vivions dans un monde où il y avait moins de radiodiffuseurs et qu’ils étaient tous des journalistes professionnels, qu'ils avaient reçu la formation appropriée, qu'ils exerçaient un contrôle rédactionnel sur le contenu qu’ils diffusaient et qu’ils vérifiaient plus souvent les faits, ce monde était complètement différent de celui des renseignements que nous obtenons en ligne, où tout le monde est radiodiffuseur et même producteur de contenu, et…

M. Nathaniel Erskine-Smith:

Donc, c'est un peu…? Car c'est une chose que nous soyons amis sur Facebook et que vous publiez quelque chose et que je voie cette publication. Toutefois, c'est très différent si mon fil d'actualité, c'est-à-dire l'algorithme employé par Facebook, s’assure que je voie cette publication en raison de mes habitudes précédentes en ligne, ou si le système de recommandations de YouTube veille à ce que je voie une vidéo que je n'aurais pas vue autrement, car je ne l'aurais pas cherchée. Ces plateformes n'agissent-elles pas grandement comme des radiodiffuseurs lorsqu'elles utilisent des algorithmes pour veiller à ce que je voie une publication et qu'elles augmentent ainsi leur impact et leur portée?

Mme Ellen Weintraub:

Vous parlez de quelque chose de complètement différent. Je parlais des individus qui publient leur propre contenu. En effet, en raison de la façon dont les plateformes sont régies par les lois en vigueur aux États-Unis, ces gens n'ont pas les mêmes responsabilités que les radiodiffuseurs en vertu de l'article 230 qui…

M. Nathaniel Erskine-Smith:

S’ils prenaient leur responsabilité sociale d'entreprise au sérieux, comme le font les radiodiffuseurs, on peut présumer qu’ils deviendraient membres d'un conseil des normes ou qu'ils créeraient un tel conseil.

En ce qui concerne la transparence en matière de publicité, notre comité a recommandé… En fait, la loi sur les publicités honnêtes serait un bon point de départ, mais je crois que ce serait seulement la première étape.

Mme Ellen Weintraub:

Certainement.

M. Nathaniel Erskine-Smith:

Cela vous semble-t-il logique que si je reçois une publicité en ligne, surtout en période d'élection, je puisse cliquer sur l'annonce pour vérifier qui l'a payée, manifestement, mais également pour vérifier les données démographiques selon lesquelles j'ai été ciblé, ainsi que les critères de sélection choisis par l'annonceur, que ce soit Facebook ou Google ou une autre plateforme, par exemple si la publicité a ciblé un code postal particulier ou si c'est parce que je suis âgé de 25 à 35 ans? Convenez-vous que la transparence devrait être plus détaillée?

Mme Ellen Weintraub:

J'en conviens, mais évidemment, une partie de ce problème est liée au fait que très peu de personnes cliqueraient sur l'annonce pour trouver ces renseignements. L'une de mes préoccupations, c'est que tout le monde affirme que pourvu qu'il soit possible de cliquer sur une annonce et de trouver les renseignements quelque part, cela devrait être suffisant. Toutefois, je crois que certains renseignements devraient être affichés bien en vue sur l'annonce pour expliquer sa provenance.

(1655)

M. Nathaniel Erskine-Smith:

D'accord.

Ma dernière question s'adresse à M. Therrien.

Hier soir et ce matin, nous avons entendu d'excellents témoins qui ont insisté sur le fait que le modèle opérationnel était le problème fondamental dans ce cas-ci, car il encourage cette accumulation sans limites de données.

J'aimerais avoir vos commentaires sur deux idées que je vais vous présenter. Tout d'abord, comment pouvons-nous régler le problème lié au modèle opérationnel qui a été cerné? Deuxièmement, comment pouvons-nous le régler tout en respectant aussi la valeur réelle des données agrégées de différentes façons?

Par exemple, les données agrégées publiées par Statistique Canada sont très utiles pour éclairer la politique publique. Lorsque j'utilise Google Maps chaque jour, comme les renseignements sur les utilisateurs sont intégrés au système, je n'ai pas besoin de savoir où je vais en tout temps; je peux utiliser Google Maps. Ce système utilise des données qui y ont été entrées, mais dans l'intérêt public.

Comment pouvons-nous régler les problèmes posés par le modèle opérationnel tout en protégeant l'utilisation des données agrégées dans l'intérêt public?

M. Daniel Therrien:

Je crois qu'une partie importante de la solution consiste à examiner les raisons pour lesquelles les renseignements sont recueillis et utilisés. C'est une chose qu'un organisme ou une entreprise collecte et utilise des données pour fournir un service direct à une personne. Cette utilisation est tout à fait légitime, et c'est le type de pratique qui devrait être autorisé. Toutefois, c'est une autre chose lorsqu'un organisme collecte autant de renseignements, peut-être sous le couvert d'un certain type de consentement, et que le résultat final ressemble énormément à une surveillance opérationnelle.

Je crois qu'il est important d'établir une distinction entre ces deux situations. Plusieurs règles techniques entrent en jeu, mais l'idée selon laquelle nous devrions définir la confidentialité au-delà des questions mécaniques tels le consentement et d'autres questions semblables, et la définir dans le contexte du droit protégé, c'est-à-dire la liberté de participer à l'économie numérique sans craindre de faire l’objet d'une surveillance, est une partie importante de la solution.

M. Nathaniel Erskine-Smith:

Mon temps est écoulé, mais j'aimerais ajouter une dernière chose. Lorsqu'il s'agit de la confidentialité du point de vue de la protection des consommateurs, il est curieux que lorsque j'achète un téléphone, je n'ai pas besoin de lire les modalités d'utilisation. En effet, je sais que si le téléphone est défectueux, je peux le retourner, car des garanties tacites me protègent. Toutefois, si je veux profiter de la même protection pour chaque application que j'utilise sur ce téléphone, je dois lire les modalités. Je crois que c'est insensé.

Merci beaucoup.

Le président:

Merci, monsieur Erskine-Smith.

J'aimerais parler de l'ordre des questions. Voici la liste des intervenants, dans l'ordre: M. Lucas, M. Lawless, M. de Burgh Graham, Mme Stevens, M. Gourde, M. Angus et M. Kent. Pour terminer, nous entendrons M. Collins, car il aura le mot de la fin. C'est la liste que nous avons pour le moment. Si quelqu'un d’autre souhaite poser une question, veuillez lever la main. Je tenterai d'ajouter votre nom à la liste, mais il ne reste plus beaucoup de temps.

La parole est maintenant à M. Lucas. Il a cinq minutes.

M. Ian Lucas (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

J'ai été frappé par quelque chose qu’a dit M. Balsillie ce matin. En effet, il a dit que le modèle opérationnel des plateformes en ligne « subvertit le libre-choix » — et le libre-choix est essentiellement le fondement de la démocratie. Je me suis souvenu — il se peut que vous trouviez cela très amusant — qu’au Royaume-Uni, les radiodiffuseurs n'ont pas le droit de faire de la publicité politique. Autrement dit, nous n'avons pas les merveilleuses publicités que j'ai vues aux États-Unis, et qui sont également présentes dans d'autres pays, j'en suis sûr.

Croyez-vous qu'il y a lieu d'interdire les publicités politiques payantes en ligne sur ces plateformes?

Mme Ellen Weintraub:

Je ne vois pas du tout comment une telle mesure pourrait résister à un examen constitutionnel de notre Cour suprême.

M. Ian Lucas:

Est-ce aux États-Unis?

Mme Ellen Weintraub:

Oui. C'est mon cadre de référence.

M. Ian Lucas:

Oui.

Monsieur Cannataci, si vous me permettez de vous poser une question, de nos jours, la publicité politique utilise-t-elle la radiodiffusion partout dans le monde? Y a-t-il des pays dans lesquels les radiodiffuseurs n'ont pas le droit de diffuser de telles publicités?

M. Joseph A. Cannataci:

Je vous remercie de votre question, monsieur Lucas.

Je dois répondre que les pratiques varient selon les pays. Certains pays ont adopté un modèle qui ressemble plus à celui des États-Unis. D'autres ont adopté un modèle qui ressemble à celui du Royaume-Uni. Toutefois, nous constatons que dans un grand nombre de pays qui ont des lois plus restrictives, de nombreuses personnes et de nombreux partis politiques utilisent en réalité les médias sociaux pour contourner ces lois d'une façon qui n'a pas été prévue adéquatement dans le cadre de certaines lois.

Avec la permission du président, j'aimerais profiter de l'occasion, puisqu'on m'a posé une question, de mentionner une notion qui, selon moi, touche à tous les enjeux que nous avons abordés ici. Cela revient à la déclaration faite par Mme Weintraub sur les personnes qui seront responsables de discerner le vrai du faux. Dans plusieurs pays, cette valeur est toujours très importante. C'est un droit de la personne fondamental qui se trouve à l'article 17 du Pacte international relatif aux droits civils et politiques, auquel un grand nombre des pays représentés autour de la table, sinon tous, ont adhéré.

Dans le même article qui parle de la confidentialité, il y a une disposition sur la réputation, et les gens [Difficultés techniques] se soucient énormément de leur réputation. Il s'ensuit que dans de nombreux pays, y compris la France — je crois qu'on a également eu cette discussion au Canada —, les gens cherchent essentiellement à nommer une personne responsable d'établir la vérité. Cette personne peut porter le titre de commissaire d'Internet ou d'ombudsman d'Internet — on peut lui donner le nom que l'on veut —, mais en réalité, les gens veulent un recours, et ce recours consiste à s'adresser à une personne qui supprimera les publications qui contiennent de fausses informations.

Mais nous ne devons pas oublier — et cela s'applique également aux préjudices en ligne, notamment la radicalisation — qu'une grande partie des préjudices sur Internet sont causés pendant les 48 heures qui suivent la publication, et la suppression rapide d'une publication est donc le recours concret le plus important. De plus, dans de nombreux cas, même si on devrait respecter la liberté d'expression, on peut mieux respecter la vie privée et la réputation d'une personne si une publication est rapidement supprimée. Ensuite, si la personne responsable dans l'instance concernée juge que la publication a été injustement supprimée, elle pourra être rétablie. Autrement, il nous faut un recours.

Merci.

(1700)

M. Ian Lucas:

Je me rends compte, pour revenir au point que faisait valoir M. Smith, que lorsque j'ai créé un compte sur Facebook, je n'ai pas consenti à recevoir des publicités politiques ciblées, peu importe leur source. Je ne savais pas que cela faisait partie de l'entente. Ce n'est pas la raison pour laquelle les gens créent un compte sur Facebook.

Il me semble qu’au Royaume-Uni, nous avons réussi, à l'exception de quelques mauvais moments, à survivre comme démocratie sans la présence de publicités politiques à la télévision. Je cherche à restreindre un domaine particulier de la publicité, et je suis appuyé par le fait qu'on a insisté, ce matin, sur la façon dont le contrôle des données élimine réellement le libre-choix des gens dans ce processus.

À votre avis, dans quelle mesure les gens comprennent-ils la réglementation de l'information? Selon vous, comprennent-ils que c'est ce qui se passe actuellement?

Mme Ellen Weintraub:

Tout d'abord, permettez-moi de dire que de nombreuses personnes, aux États-Unis, adoreraient avoir un système dans lequel elles ne reçoivent pas de publicités politiques. Les gens n'aiment pas vraiment ce type de publicité.

Je crois que vous avez apporté une nuance très importante, et c'est que ce n'est pas… Notre Cour suprême n'autoriserait jamais une interdiction complète de la publicité politique, mais…

M. Ian Lucas:

D'accord. C'est la position des États-Unis, mais…

Mme Ellen Weintraub:

D'accord, mais vous parlez de l'utilisation des données personnelles des gens pour les microcibler, et il me semble que c'est un problème complètement différent. Je ne suis pas tout à fait certaine que cela ne résisterait pas à un examen constitutionnel.

M. Ian Lucas:

C'est exactement ce qui se produit actuellement avec les publicités payantes.

L'autre problème…

Le président:

Monsieur Lucas, pourriez-vous terminer très rapidement? Je déteste vous interrompre, car vous avez parcouru beaucoup de chemin.

M. Ian Lucas:

Très brièvement, j'aimerais revenir sur un enjeu mentionné par M. Zimmermann. Il a parlé des trolls sur Internet. Les groupes fermés représentent aussi un énorme problème, car nous n'avons pas les renseignements nécessaires, et je pense que nous devons nous concentrer davantage sur ce problème.

Le président:

Merci, monsieur Lucas.

Nous entendrons maintenant M. Lawless, qui représente l'Irlande.

M. James Lawless:

Merci, monsieur le président. J'ai deux ou trois autres questions et observations.

Pour revenir sur quelque chose que disait, je pense, M. Erskine plus tôt, il s'agit souvent de savoir si ces plateformes sont des éditeurs autorisés ou des hôtes passifs qui affichent le contenu qui est placé devant eux. Je crois que l'un des arguments qui appuient le fait qu'il s'agit d'éditeurs et qu'ils ont ainsi une responsabilité juridique plus importante, c'est que ces plateformes ont des modérateurs et des politiques en matière de modération, et des gens prennent donc des décisions en temps réel sur ce qui devrait et ne devrait pas être publié. De plus, il y a manifestement des algorithmes de ciblage. Je crois que c'est une question intéressante, et c'est une observation que je tenais à formuler.

En ce qui concerne l’autre point que je ferai valoir, nous parlions plus tôt d’Etats-nations et de différents actes d'hostilité. Je présume que le sujet qui fait actuellement les manchettes, c'est la révélation la plus récente sur le gouvernement chinois et l’interdiction qui frappe Huawei, et le fait qu'au cours des derniers jours, Google a annoncé, je crois, une interdiction d'appuyer les combinés téléphoniques d’Huawei. Mais je trouve cela frappant, car je pense que Google nous suit dans nos déplacements par l'entremise de Google Maps et de toutes les autres applications grâce à nos téléphones. Je crois que j'ai lu quelque part qu'une personne qui marche en ville avec son téléphone dans la main ou dans la poche consomme habituellement, chaque année, 72 millions différents points de données. La différence réside peut-être dans le fait que Google a des modalités que nous sommes censés accepter, et que ce n'est pas le cas pour Huawei, mais les deux entreprises font la même chose, au bout du compte. Je tenais seulement à faire cette réflexion.

En ce qui concerne le cadre législatif, encore une fois, comme je l'ai mentionné plus tôt, j'ai tenté de rédiger des mesures législatives et de faire un suivi de certains de ces enjeux, et je suis arrivé à la loi sur les publicités honnêtes. L'un des enjeux et l'un des défis auxquels nous faisons face consiste à atteindre un équilibre entre la liberté d'expression et, je présume, la protection des électeurs et de la démocratie. Je déteste toujours criminaliser certains comportements, mais je me demande à quel moment il est nécessaire de le faire.

Je suppose qu'au départ, lorsque j'ai rédigé cette mesure, j'ai tenu compte du fait que selon moi, on peut publier ce que l'on souhaite, pourvu qu'on fasse preuve de transparence au sujet de l’auteur des paroles publiées, et des entités qui soutiennent, gèrent ou paient la publication, surtout s'il s'agit d'une publication commerciale payante. En ce qui concerne les robots Web et les faux comptes, et ce que j'appellerais les faux comptes à l'échelle industrielle, où de nombreux robots Web ou plusieurs centaines ou milliers d'utilisateurs sont manipulés par un seul utilisateur ou une seule entité pour ses propres fins, je crois qu'il s'agit probablement d'activités criminelles.

C'est donc une question pour Mme Weintraub.

Je suppose qu’une question connexe concerne un problème avec lequel nous sommes aux prises en Irlande et avec lequel sont aux prises de nombreux autres pays, je présume. Qui est responsable de maintenir l'ordre dans ce domaine? Est-ce la responsabilité d'une commission électorale? Si oui, cette commission électorale dispose-t-elle des pouvoirs nécessaires pour appliquer la loi et mener des enquêtes? Avez-vous des ressources en matière d'application de la loi à votre disposition? S’agit-il simplement des services de police de l’État? Ajoute-t-on à cela un commissaire à la protection des données? Nous avons différents types d'organismes de réglementation, mais cela peut devenir une véritable soupe à l'alphabet, et il peut être difficile de déterminer avec précision les personnes responsables. De plus, même si nous avons une personne responsable, cela peut être difficile, car cette personne n’a pas toujours les ressources nécessaires pour prendre les mesures qui s'imposent.

Ma première question est donc la suivante: la criminalisation est-elle un pas de trop? Où établit-on les limites? Deuxièmement, s'il y a criminalisation et qu'une enquête est exigée, quels types de ressources avez-vous à votre disposition ou quels types de ressources sont nécessaires, à votre avis?

(1705)

Mme Ellen Weintraub:

Je répète que je me spécialise dans le système américain; je peux donc me prononcer en ce sens. Nous sommes un organisme d'application de la loi. Nos champs de compétences sont l'argent et la politique, et nous avons des pouvoirs d'exécution civile. Nous avons le pouvoir d'envoyer une assignation à témoigner. Nous pouvons mener des enquêtes. J'estime que certains de nos outils d'application de la loi pourraient être renforcés, mais nous avons aussi la capacité de saisir d'un dossier le département américain de la Justice si nous pensons qu'il y a des infractions criminelles, qui sont en gros des violations de la loi commises de manière délibérée et en connaissance de cause.

Pour revenir à quelque chose que vous avez dit plus tôt, en ce qui concerne notre système de réglementation, je ne crois pas que les droits garantis par le premier amendement s'appliquent aux robots. Ce ne sont pas des personnes. Je n'ai donc aucun problème avec... Je ne comprends pas pourquoi ces entreprises axées sur les technologies intelligentes ne sont pas en mesure de détecter les robots et de les retirer de leurs plateformes. Je ne crois pas que cela soulèverait d'inquiétudes par rapport au premier amendement, parce que ce ne sont pas des personnes.

M. James Lawless:

En fait, c'est un bon point. Je vais le retenir pour l'utiliser plus tard.

Je crois que j'ai le temps de poser ma prochaine question. Il y a une autre facette de la question que nous voyons en Irlande et partout dans le monde, je présume. Nous l'avons aussi entendu aujourd'hui. En raison du raz-de-marée de fausses nouvelles et de désinformation, nous avons encore plus la responsabilité de soutenir — j'ose dire — les plateformes traditionnelles et les médias d'information, soit ceux que nous pourrions qualifier de médias d'information indépendants et de qualité.

Il y a un problème concernant la manière d'établir ceux qui décident ce qu'est un média indépendant et ce qu'est la qualité, mais je crois avoir entendu parler au Parlement canadien lorsque nous avons regardé la période des questions il y a quelques heures de l'une des approches que nous examinons. J'ai entendu des échanges similaires. L'une des solutions que nous envisageons, c'est que l'État subventionne ou parraine les médias indépendants. Cela ne viserait pas un média d'information en particulier, mais cela pourrait servir à un comité de diffuseurs ou à la création d'un fonds pour soutenir la couverture des affaires qui touchent les Autochtones ou une couverture médiatique indépendante.

Il peut s'agir de médias en ligne, de médias radiotélévisés ou de la presse écrite. C'est une manière d'assurer la présence et la promotion du quatrième pouvoir traditionnel et des freins et des contrepoids traditionnels de la démocratie, mais j'estime que cela permettra de le faire de manière intègre et soutenue, de nous demander à tous des comptes et de faire contrepoids aux fausses nouvelles qui nous inondent. Toutefois, c'est difficile à mettre en place, parce qu'il faut établir ceux qui déterminent si un média mérite d'être parrainé et subventionné ou s'il ne le mérite pas. Si vous pouvez démontrer que vous avez une véritable plateforme locale et légitime, je présume que vous y serez admissible. C'est une approche que nous examinons; cette option a fonctionné ailleurs, et elle semble fonctionner dans d'autres endroits dans le monde.

(1710)

Le président:

Merci, monsieur Lawless.

La parole est maintenant à M. Graham.

Vous avez cinq minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci.

Madame Weintraub, pour donner suite à votre commentaire, si les droits garantis par le premier amendement ne s'appliquent pas aux robots, pourquoi est-ce le cas pour l'argent?

Mme Ellen Weintraub:

Eh bien, l'argent n'a pas de droits garantis par le premier amendement. Ce sont les gens qui dépensent cet argent qui ont des droits garantis par le premier amendement.

J'aimerais qu'une chose soit bien claire. Je n'aime pas vraiment la jurisprudence de la Cour suprême des États-Unis. J'adopterais volontiers la jurisprudence canadienne à cet égard, si je le pouvais, mais ce n'est pas du tout de mon ressort.

M. David de Burgh Graham:

D'accord. Bref, dois-je comprendre que vous n'êtes pas nécessairement d'avis que l'arrêt Citizens United était une bonne décision?

Mme Ellen Weintraub:

Je crois qu'il serait juste de dire que je ne suis pas folle de l'arrêt Citizens United.

M. David de Burgh Graham:

D'accord.

Comme vous l'avez mentionné, le travail d'une commission électorale est de surveiller le financement des élections. Si une entreprise permet délibérément l'utilisation de son algorithme ou de sa plateforme pour influer sur les résultats des élections, considérerez-vous cela comme une contribution non monétaire réglementée?

Mme Ellen Weintraub:

Je crois qu'il pourrait s'agir d'une contribution en nature.

M. David de Burgh Graham:

C'est intéressant. Ma prochaine question est liée à cela.

Le PDG de Facebook détient la majorité des actions avec droit de vote de la société. Il détient donc les pouvoirs absolus au sein de cette entreprise. Sur le plan juridique ou réglementaire, qu'est-ce qui empêche cette entreprise de décider d'accorder son soutien ou d'intervenir comme elle l'entend lors d'élections?

Mme Ellen Weintraub:

Une société ne peut pas directement faire de contributions à un candidat, et cela inclut les contributions en nature.

Je m'excuse, mais je ne me rappelle plus la personne qui a lancé cette hypothèse. Une question a été soulevée plus tôt concernant la possibilité que Mark Zuckerberg brigue la présidence américaine et qu'il utilise tous les renseignements qu'a accumulés Facebook pour l'aider dans sa campagne. Ce serait une terrible infraction aux lois encadrant le financement électoral, parce que ces renseignements ne lui appartiennent pas. C'est à la société Facebook qu'appartiennent ces renseignements.

Le problème à cet égard est qu'en raison d'un jugement de la Cour suprême des États-Unis les sociétés peuvent faire des contributions à des supercomités d'action politique, ou les Super PAC, qui sont censés agir de manière indépendante des campagnes électorales. Si un Super PAC servait les intérêts d'un certain candidat, une société, comme Facebook, pourrait faire des contributions illimitées à ce supercomité pour l'aider dans son travail.

M. David de Burgh Graham:

Je vois.

Je n'ai pas beaucoup de temps. J'aimerais poser une petite question à M. Therrien.

Par rapport au point soulevé plus tôt par M. Lucas, dans le monde des médias sociaux, sommes-nous des clients ou sommes-nous le produit?

M. Daniel Therrien:

Nous entendons souvent dire que, si c'est gratuit, vous êtes le produit, et cet adage a certainement un bon fond de vérité.

M. David de Burgh Graham:

Lorsqu'une entreprise de surveillance ajoute des balises à un site qui ne lui appartient pas, avec le consentement du propriétaire du site — par exemple, Google Analytics est omniprésent sur Internet et a le consentement du propriétaire du site, mais pas celui des utilisateurs finaux —, considérez-vous que l'entreprise a le consentement implicite de recueillir ces données?

M. Daniel Therrien:

Je m'excuse; je n'ai pas compris la fin.

M. David de Burgh Graham:

Si j'ai un site Web et que j'utilise Google Analytics, je consens à ce que Google utilise mon site Web pour recueillir des données, mais les utilisateurs de mon site Web ne savent pas que Google recueille des données sur mon site Web. Y a-t-il un consentement implicite ou est-ce illégal de ce point de vue?

M. Daniel Therrien:

C'est probablement l'une des lacunes du consentement; les conditions d'utilisation font en sorte que l'utilisateur y consente. Voilà pourquoi je dis que la protection de la vie privée ne se limite pas aux règles encadrant le consentement; cela vise aussi l'utilisation des renseignements et le respect des droits. Nous ne devrions pas considérer le consentement comme la panacée de la protection de la vie privée et des données.

Le président:

Nous avons M. Picard, qui partagera le reste du temps avec...

M. Michel Picard (Montarville, Lib.):

Madame Weintraub, vous avez dit quelque chose de très intéressant, et je ne sais pas si nous avons déjà établi cette notion auparavant.

Dans l'hypothèse où M. Zuckerberg briguerait la présidence américaine, Facebook ne pourrait pas lui donner accès aux renseignements, parce que ce serait une immense contribution en nature. Avons-nous établi qui est le propriétaire de ces renseignements? Personne n'a consenti à la diffusion de ces renseignements, et je me demande donc si ces renseignements appartiennent à Facebook.

(1715)

Mme Ellen Weintraub:

C'est une question très intéressante, mais je ne suis pas certaine que ce soit lié au financement des campagnes. Cela dépasse peut-être mon expertise.

M. Michel Picard:

Qu'en serait-il si cela se passait au Canada, monsieur Therrien?

M. Daniel Therrien:

Les règles concernant la propriété des renseignements ne sont pas très claires.

Du point de vue de la protection de la vie privée et des données, je crois que cela vise le contrôle et le consentement, mais la question de la propriété de ces renseignements n'est pas très claire au Canada.

Le président:

Merci.

Les trois derniers intervenants sont Mme Stevens, M. Gourde et M. Angus, puis nous pourrons conclure la réunion.

Mme Jo Stevens (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

Madame Weintraub, comme vous avez évidemment une expertise et un intérêt professionnels dans ce domaine, croyez-vous que les habitants du Royaume-Uni auraient davantage confiance en l'intégrité de nos élections et de nos référendums si nous avions une enquête, comme celle réalisée par M. Mueller, concernant le référendum de 2016 sur l'Union européenne?

Mme Ellen Weintraub:

Vous connaissez vos compatriotes mieux que moi. Je crois que vous êtes bien placée pour juger de ce qui contribuerait à renforcer leur confiance.

Ce sont des événements particuliers qui ont mené au déclenchement de l'enquête Mueller.

Mme Jo Stevens:

Voyez-vous des chevauchements entre ces événements ou des tendances qui se dégagent concernant ce qui s'est passé aux États-Unis et ce que vous savez du référendum sur l'Union européenne?

Mme Ellen Weintraub:

Je n'ai pas examiné suffisamment soigneusement la question pour donner mon opinion.

Mme Jo Stevens:

D'accord. Merci.

Nous aurons peut-être dans un avenir proche un deuxième référendum ici. Nous aurons peut-être un autre vote. Nous aurons peut-être même très bientôt des élections générales.

Quelles seraient vos recommandations concernant l'ingérence étrangère au Royaume-Uni et au gouvernement par le biais de contributions financières? À l'heure actuelle, je crois que nous reconnaissons de manière générale que nos lois électorales ne sont pas adaptées au monde numérique.

Mme Ellen Weintraub:

Comme je l'ai mentionné, je crois que cela concerne en grande partie la transparence. Avez-vous la capacité de savoir ceux qui se cachent derrière l'information que vous voyez en ligne et dans les autres médias?

Mme Jo Stevens:

Y a-t-il des endroits dans le monde où vous estimez que les lois électorales sont actuellement vraiment bonnes et adaptées aux fins voulues, compte tenu de tout ce dont nous avons parlé aujourd'hui par rapport à l'ingérence numérique? Y a-t-il un pays dans le monde qui serait un vrai bon modèle?

Mme Ellen Weintraub:

Je continue de chercher. J'assiste à des conférences à l'étranger, et j'espère y trouver quelqu'un qui aura la solution parfaite. Toutefois, je dois dire que je ne l'ai pas encore trouvée.

Si vous la trouvez, faites-le-moi savoir, parce que je serais aux anges de trouver enfin un pays qui a trouvé une solution.

Mme Jo Stevens:

J'aimerais poser la même question à M. Cannataci.

Connaissez-vous un endroit dans le monde que nous pourrions examiner pour en tirer des pratiques exemplaires en matière de lois électorales adaptées au monde numérique?

M. Joseph A. Cannataci:

La réponse courte est non.

Je suis dans le même bateau que Mme Weintraub. Je cherche toujours la solution parfaite, mais je trouve seulement, au mieux, des demi-mesures.

Madame Stevens, nous resterons en contact à ce sujet, et je serai très heureux de vous communiquer l'information dès que nous trouverons quelque chose.

Mme Jo Stevens:

Merci.

Le président:

Vous avez deux minutes, madame Stevens.

Mme Jo Stevens: Ce sera tout.

Le président: D'accord.

La parole est maintenant à M. Gourde.

Vous avez cinq minutes. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Ma question va porter sur un mot qui m'a semblé important tout à l'heure, soit le mot « responsabilité ».

Ce matin, nous avons reçu des représentants de plateformes numériques. Ils semblaient balayer du revers de la main une grande part de leur responsabilité.

Cela m'a choqué. Je pense qu'ils ont une responsabilité quant à leurs plateformes et aux services qu'ils offrent. Ils n'ont pas été capables de prouver, malgré des questions très précises, qu'ils ont le contrôle de leurs plateformes, dans le cas de diffusion par les utilisateurs de fausses nouvelles ou propagande haineuse qui peuvent vraiment changer le cours des choses et influencer énormément de personnes.

Les utilisateurs, ceux qui achètent une publicité, ont aussi une responsabilité. Quand on achète de la publicité, il faut que celle-ci soit juste et correcte, surtout en campagne électorale, mais également en tout temps.

Si, un jour, il y a une réglementation internationale, comment devrait-on déterminer la responsabilité des deux parties, soit celle des plateformes numériques et celle des utilisateurs, pour bien les encadrer?

Je pose la question à quiconque veut répondre.

(1720)

M. Daniel Therrien:

Pour ce qui est de la protection des données ou de la vie privée, vous mettez le doigt sur un concept qui, à mon avis, est fondamental, soit celui de la responsabilité ou de la responsabilisation. Nous vivons dans un monde où la collecte de renseignements est massive et où les renseignements sont utilisés par les compagnies dans plusieurs buts autres que le but premier pour lequel ils ont été obtenus.

Les compagnies nous disent souvent, en partie avec raison, que le modèle de consentement ne protège pas efficacement la vie privée des citoyens ou des consommateurs. Leur suggestion consiste à remplacer le consentement, lorsqu'il est inefficace, par une responsabilisation accrue des entreprises. Je pense que cette proposition doit être accompagnée d'une véritable démonstration du fait que les entreprises sont responsables et qu'elles ne font pas simplement prétendre l'être. C'est pourquoi il est important que les organismes de réglementation s'assurent que les compagnies sont véritablement responsables. [Traduction]

Mme Ellen Weintraub:

J'ai l'impression que ces plateformes occupent un secteur hybride. Ces entreprises affirment ne pas être des diffuseurs. Elles affirment qu'elles offrent seulement la plateforme et qu'elles ne sont pas responsables du contenu. Or, elles semblent croire qu'elles ont une certaine responsabilité, parce qu'elles prennent des mesures. Certains peuvent se dire que ces mesures sont inadéquates, mais ces entreprises prennent des mesures pour assurer une meilleure transparence.

Pourquoi le font-elles? Je crois que c'est parce qu'elles savent qu'elles ne peuvent pas s'en tirer en faisant tout simplement fi de ce problème. Ces entreprises ont une certaine part de responsabilité dans un sens plus général, voire dans un sens juridique, indépendamment du pays. Nous pouvons nous demander si ces entreprises auraient une plus grande part de responsabilité si des endroits dans le monde, individuellement ou globalement, décidaient que ces entreprises sont véritablement des diffuseurs et qu'elles doivent maintenant se comporter comme des diffuseurs. C'est une question pour les législateurs et non les organismes de réglementation. [Français]

M. Jacques Gourde:

Existe-t-il dans ce monde...

Monsieur Cannataci, vouliez-vous ajouter un commentaire?

M. Joseph A. Cannataci:

Oui, merci.

Je partage tout à fait l'avis de M. Therrien, mais j'aimerais ajouter quelque chose.[Traduction]

Si je devais dire une chose par rapport à cet aspect, je dirais que, indépendamment du groupe qui décidera si quelque chose doit être retiré ou pas ou si c'est vrai ou faux, cela demandera de l'énergie et des ressources. Par ailleurs, ces ressources ne sont pas gratuites, et je regarde qui reçoit l'argent. Ce sont en grande partie les entreprises.

Il y aura bien entendu des cas où nous pourrons facilement dire que c'était le parti ou le commanditaire ou un autre qui a acheté cette publicité. Autrement, au bout du compte, je crois qu'un nombre croissant d'endroits dans le monde s'entendront pour dire qu'ils estiment que ce sont les entreprises qui reçoivent l'argent et qu'elles ont donc les moyens d'assurer un certain contrôle. Nous l'avons vu lorsque, par exemple, Facebook a eu besoin de personnes parlant la langue du Myanmar pour assurer un contrôle sur les propos haineux dans ce pays. Je crois que nous verrons de plus en plus d'endroits dans le monde et peut-être d'ententes internationales qui attribueront la responsabilité et l'obligation financière par rapport à ce qui se passe sur les plateformes aux individus qui reçoivent l'argent, soit normalement les plateformes elles-mêmes dans une large mesure.

Merci, monsieur le président.

Le président:

Merci.

La parole est à vous, monsieur Angus. Vous avez cinq minutes, et nous entendrons ensuite M. Collins, et je prendrai aussi la parole.

M. Charlie Angus:

Merci, monsieur le président.

Nous avons entendu une déclaration extraordinaire de Google aujourd'hui. Nous avons appris que la société a décidé de manière volontaire en 2017 de cesser d'espionner nos boîtes courriel. Elle a fait tout un geste magnanime, mais elle n'était pas prête à s'engager à ne plus nous espionner dans l'avenir, parce qu'elle peut s'en servir pour faire toute sorte de choses.

Je ne me souviens même plus de 2016; c'est très loin, mais l'année 2018 a changé nos vies à jamais. Je me rappelle que le Comité étudiait le consentement et que nous nous demandions si le consentement devrait être clair ou s'il devrait être renforcé et inclure moins de charabia.

Je ne me rappelle pas avoir donné mon consentement à Google pour espionner ma boîte courriel ou celle de mes jeunes filles. Je ne me rappelle pas avoir reçu une quelconque notification sur mon téléphone pour m'expliquer que, si j'activais la localisation sur mon appareil pour trouver une adresse, Google pourrait me suivre en permanence partout où j'irais et que l'entreprise serait au courant de tout ce que j'ai fait. Je ne me souviens pas d'avoir consenti à ce que Google ou tout autre moteur de recherche surveille tout ce que je fais. Or, à mon avis, à titre de législateurs, nous nous sommes fait embobiner par Zuckerberg pendant que nous débattions du consentement et des choses auxquelles les consommateurs peuvent consentir et que nous faisions valoir qu'il suffit de ne pas utiliser un service si vous ne l'aimez pas.

Monsieur Therrien, vous avez dit quelque chose de très profond la dernière fois que vous avez témoigné devant le Comité au sujet du droit des citoyens de mener leur vie sans être surveillés. C'est de cet aspect dont nous devons discuter. Je crois que les échanges sur le consentement ne sont plus à propos depuis 2016, je crois que nous devons affirmer que nous ne consentons pas à le donner aux entreprises. S'il n’y a aucune raison pour ce faire, elles ne peuvent pas l'avoir. Il faut que ce soit le modèle d'affaires de l'avenir: la protection de la vie privée et de nos droits.

Pour ce qui est de la question d'inclusion ou d'exclusion, je ne fais aucunement confiance à ces entreprises à cet égard.

Nous avons entendu M. Balsillie, Mme Zuboff et d'autres spécialistes aujourd'hui et hier. Est-ce possible au Canada, avec notre petit pays de 30 millions d'habitants, d'adopter une loi claire qui prévoit qu'une entreprise ne peut pas recueillir de renseignements personnels à moins d'avoir une raison claire et expresse de le faire? J'ai l'impression que c'est en partie ce que prévoit déjà la LPRPDE, soit notre loi sur la protection des renseignements personnels, mais je me demande si nous pouvons adopter de très graves conséquences financières pour les entreprises qui dérogent à cette règle. Pouvons-nous prendre des décisions au nom de nos citoyens et des droits privés?

(1725)

M. Daniel Therrien:

Bien sûr, la réponse à cette question est oui. Je pense que le consentement a sa place dans certaines circonstances où la relation est bilatérale entre un fournisseur de services et un consommateur, où le consommateur comprend l'information nécessaire pour que le service soit offert. Dans le contexte de l'économie numérique actuelle, nous sommes allés bien plus loin. L'information est alors utilisée à bien des fins, souvent avec le consentement réputé du consommateur.

Bien que le consentement ait sa place, il a ses limites, et c'est pourquoi je dis qu'il est important que la loi sur la protection des renseignements personnels définisse la protection des renseignements personnels pour ce qu'elle est. Elle n'est pas du tout limitée à la question de forme du consentement. C'est un droit fondamental lié à d'autres droits fondamentaux. Quand, malgré le consentement réputé, la pratique d'une entreprise a pour effet de traquer le consommateur en vue de connaître la localisation de ses données ou le contenu des messages qu'il envoie, je pense que la loi devrait stipuler qu'il est sans importance qu'il y ait ou non consentement. Ce qui est en jeu est le non-respect de la vie privée des gens, soit la surveillance de la personne en question, et c'est une violation en tant que telle qui devrait entraîner des sanctions importantes. C'est possible de le faire.

M. Charlie Angus:

Merci.

Ma dernière question porte sur la technologie de reconnaissance faciale. Un article publié dans le Toronto Star aujourd'hui rapporte que les services de police utilisent cette technologie. San Francisco a essayé de l'interdire, et d'autres administrations essaient au moins de la mettre en veilleuse.

La technologie de reconnaissance faciale vient enfreindre le droit d'un citoyen de pouvoir se rendre dans un lieu public sans être surveillé et sans devoir apporter une carte d'identité avec photo. Elle a, évidemment, des utilisations légitimes. Par exemple, si quelqu'un dont l'image est captée par une caméra de surveillance a commis un crime et qu'il y a une base de données, les tribunaux détermineraient peut-être qu'il s'agit d'une utilisation équitable; cependant, qu'arrive-t-il quand on se retrouve simplement au milieu d'une foule avec un certain nombre de personnes? Je suis sûr que Facebook et Google seraient plus qu'utiles, car ils ont des bases de données de reconnaissance faciale tellement importantes sur nous.

Vous qui travaillez au sein d'un organisme de réglementation canadien, croyez-vous que nous devions mettre en veilleuse la technologie de reconnaissance faciale? Comment faire pour appliquer les règles afin de protéger les droits des citoyens avec des garanties claires en matière d'utilisations policière et commerciale avant que des violations ne soient commises?

(1730)

M. Daniel Therrien:

Je pense qu'en ce qui concerne les moratoires ou les strictes interdictions, je ferais la distinction entre l'utilisation d'une technologie — la technologie de reconnaissance faciale — et les utilisations qu'on en fait. Je pense qu'il est plus probable qu'une interdiction ou un moratoire soit judicieux pour des utilisations précises de la technologie plutôt que pour la technologie en tant que telle, car la reconnaissance faciale pourrait être utile à des fins publiques, y compris au chapitre de l'application de loi dans lequel, malgré les restrictions relatives à la protection des renseignements personnels concernant la reconnaissance faciale, on estime généralement que l'utilisation de cette technologie est pour le bien du public. J'envisagerais la question, encore une fois, en fait d'utilisations précises de la technologie. À cet égard, oui, il y aurait lieu d'interdire certaines utilisations.

Le président:

Merci, monsieur Angus.

Notre dernier intervenant est M. Collins. Allez-y, je vous prie.

M. Damian Collins:

Merci beaucoup.

Ellen Weintraub, compte tenu de ce dont nous avons parlé cet après-midi, de l'argent douteux en politique et de la difficulté d'assurer un quelconque type de surveillance adéquate de ce qui se passe sur des plateformes comme Facebook, est-ce que la nouvelle selon laquelle Facebook va lancer sa propre cryptomonnaie vous effraie?

Mme Ellen Weintraub:

Oui.

M. Damian Collins:

Vous avez peur. Cette perspective vous effraie.

Je pense que vous avez raison d'être effrayée par cette perspective. Compte tenu de tous les autres problèmes dont nous avons discuté, cela semble une sorte de charte du blanchiment d'argent politique.

Ne pensez-vous pas que les gens repenseront un jour à cette période et diront que nous avions des démocraties et des sociétés avancées qui avaient élaboré, pendant des décennies, des règles et des règlements sur le financement électoral, la loi électorale, les droits individuels concernant les données et les renseignements personnels, la surveillance des médias et des médias d'information et d'autres sources d'informations, et que nous étions préparés à laisser une société comme Facebook contourner toutes ces décennies d'expérience, simplement parce que c'est ainsi que fonctionne son modèle d'affaires, et que notre position actuelle n'est pas viable?

Mme Ellen Weintraub:

La question de savoir si notre position est viable ou si elle doit être réglementée davantage est, selon moi, la raison précise pour laquelle vous êtes assis autour de cette table aujourd'hui.

M. Damian Collins:

Mais, de certaines façons, si on en juge par la discussion qu'on a tenue au cours de cette dernière séance, nous cherchons par tous les moyens à résoudre un problème causé par une société. En fait, il se pourrait que, au lieu de devoir abandonner bien des choses auxquelles nous attachons de l'importance parce qu'elles ont été mises en place pour protéger les citoyens et leurs droits, la solution soit de vraiment dire à ces sociétés ce que nous attendons d'elles et que nous allons le leur imposer si nous n'arrivons pas à être convaincus qu'il y a une autre façon de procéder. Et d'affirmer que nous ne sommes pas prêts à tolérer que les gens soient exposés à des chapeaux noirs, à l'ingérence d'acteurs malveillants dans les élections, à la désinformation, à la propagation non contrôlée du discours haineux, et qu'en fait, ce ne sont pas les normes auxquelles nous nous attendons dans une société décente. Nous le disons en reconnaissant que des plateformes comme Facebook sont devenues les principaux médias par lesquels les gens — soit entre le tiers et la moitié des Européens et des Américains — obtiennent des nouvelles et des informations.

Mme Ellen Weintraub:

Je crois qu'il est réellement risqué de prendre une série de règles qui ont évolué au cours du XXe siècle et de présumer qu'elles conviendront autant aux technologies du XXIe siècle.

M. Damian Collins:

Mon dernier commentaire est que je pense que c'est juste. Ces règles se sont révélées être dépassées en raison des nouvelles technologies et de la façon dont les gens dans le monde utilisent le contenu de l'information. Il devrait sûrement nous rester les valeurs qui ont justifié l'adoption de ces règles au départ. C'est une chose de dire qu'il faut modifier les règles pour les adapter aux changements technologiques. Nous ne devrions cependant pas dire que nous devrions abandonner ces valeurs simplement parce qu'elles sont devenues plus difficiles à appliquer.

Mme Ellen Weintraub:

Je suis tout à fait d'accord avec cela.

Le président:

Monsieur Therrien, je vous prie.

M. Daniel Therrien:

Je suis entièrement d'accord.

Le président:

J'aimerais terminer en soulevant un point. Nous parlons de la citation à comparaître de Mark Zuckerberg et Sheryl Sandberg depuis un certain temps et, à titre de président de ce comité, j'affirme que nous avons fait tout ce qui était en notre pouvoir pour nous assurer qu'ils soient présents aujourd'hui. Nous sommes limités par ce qui se trouve dans ce livre et les lois de notre pays, alors que les plateformes semblent exister dans leur propre bulle sans restriction dans nos administrations, et c'est frustrant pour nous, les législateurs.

Encore une fois, merci d'être venus témoigner aujourd'hui et merci de nous avoir aidés, surtout le commissaire Therrien. Merci d'avoir aidé le Comité, monsieur le commissaire. Nous nous réjouissons à la perspective de poursuivre ces discussions.

J'ai des questions administratives concernant l'horaire de ce soir. Le repas sera à 19 heures, en bas, dans la pièce 035. Nous sommes dans la pièce 225, alors le souper aura lieu deux étages plus bas, à 19 heures.

Pour être bien clair, chaque délégation doit donner un bref exposé sur ce que son pays a fait et compte faire pour régler ce problème. Je vais m'entretenir avec mes vice-présidents sur la façon dont nous allons présenter les mesures que nous prenons au Canada, mais je vous mets au défi de les préparer à l'avance. Encore une fois, l'exposé sera bref et peut être informel. Nul besoin d'un grand exposé écrit. Je vois des expressions très sérieuses, des gens qui semblent se dire « Dans quoi nous sommes-nous embarqués? »

Plus important encore, je vois beaucoup de visages fatigués. Je pense que nous sommes tous prêts à retourner à l'hôtel pour nous reposer pendant environ une heure avant de nous réunir à nouveau à 19 heures. Je pense que c'est tout ce que j'ai à dire pour l'instant, mais encore une fois, nous nous reverrons à 19 heures.

(1735)

M. Charlie Angus:

J'invoque le Règlement, monsieur le président, avant que vous tentiez de tous nous faire taire.

Je tiens à féliciter le personnel pour son excellent travail, nos analystes qui ont tout organisé, et M. Collins pour les travaux qui ont été réalisés en Angleterre. Vous vous êtes surpassés. Je pense que nous avons vraiment établi une norme. J'espère que dans le cadre de la prochaine législature, et peut-être dans d'autres administrations, nous pourrons poursuivre cette discussion. Vous avez accompli un travail extraordinaire dans ce dossier. Nous vous en félicitons sincèrement.

[Applaudissements]

Le président:

Merci beaucoup. Je précise que nous demanderons aux autres plateformes de rendre des comptes demain matin à 8 h 30.

À ce soir, 19 heures.

Hansard Hansard

committee ethi hansard 37857 words - permanent link - comments: 0. Posted at 17:44 on May 28, 2019

2019-05-28 ETHI 153

Standing Committee on Access to Information, Privacy and Ethics

(1040)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

We'll bring to order meeting 153 of the Standing Committee on Access to Information, Privacy and Ethics and by extension the international grand committee on big data, privacy and democracy. We will have countries' representatives speak as well. We'll start off with my co-chair, Mr. Damian Collins from the U.K.

The way it will work structurally is that we'll go through the delegations, one representative per country initially and then the second representative. You each should have your own five-minute time slot exclusive to yourself.

Before we begin, Mr. Angus has a comment.

Mr. Charlie Angus (Timmins—James Bay, NDP):

Mr. Chair, just as a point of order for our committee, we are very surprised, I think, that Mr. Zuckerberg decided—and Ms. Sandberg—to ignore the summons of a parliamentary committee, particularly as we have international representatives here. As far as I know, we were not even informed that he wasn't showing up. I have never seen a situation where a corporate head ignores a legal summons.

In light of that, I would like to bring notice of a motion to vote on: That the Standing Committee on Access to Information, Privacy and Ethics, on account of the refusal of Mr. Mark Zuckerberg and Ms. Sheryl Sandberg to appear before it on May 28th, direct the Chair to serve either or both with a formal summons should they arrive in Canada for any purpose to appear before the Committee at the date of the next meeting from the date of their summons, and should they be served with a summons when the House is not sitting, that the Chair reconvene the Committee for a special meeting as soon as practicable for the purpose of obtaining evidence from them.

Mr. Chair, I don't know if we've ever used an open summons in Parliament—we've checked and we haven't found one—but I believe you'll find that this is in order. If Mr. Zuckerberg or Ms. Sandberg decide to come here for a tech conference or to go fishing, Parliament will be able serve that summons and have them brought here.

The Chair:

Thank you, Mr. Angus.

For the ex officio members of the committee, we have a motion before our committee that we will have to vote on, so there will be some discussion.

Is there any discussion from any other members about the motion?

Mr. Kent.

Hon. Peter Kent (Thornhill, CPC):

Thank you, Chair.

Yes, the official opposition, the Conservative Party, is fully willing to support Mr. Angus's motion. As we heard in some of the previous testimony, Facebook, among others of the large platforms, has shown extreme disrespect and disregard for sovereign governments and for committees representing sovereign governments, with regard to their concerns and the search for explanations as to why meaningful action has not been taken to date and for a clear and explicit explanation of their response to the concerns from around the world and certainly within democracies and the members of this international grand committee.

We will support this motion. Thank you.

The Chair:

There was a discussion previously about no substantive motions being brought before the committee. That said, with all agreement at the table here, I think we can agree to have that heard—and we are hearing it today—and voted on.

Do we have...? I see all in favour of having that motion moved before us.

Are there any other comments about the motion?

Mr. Lucas.

Mr. Ian Lucas (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

This is a case of recidivism by Mr. Zuckerberg. This has happened previously, and it is a matter of deep concern. It's particularly of great concern to me, because unfortunately governments are continuing to meet with Mr. Zuckerberg, and I think it important that we should communicate, as parliamentarians, our concern about the disrespect that Mr. Zuckerberg is showing to parliamentarians from across the world. They should consider the access they give Mr. Zuckerberg, access to governments and to ministers, operated in private, without respect to us as parliamentarians and without respect to our constituents, who are excluded from the confidential discussions that are happening on these crucial matters.

The Chair:

Thank you, Mr. Lucas.

Mr. Erskine-Smith.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

I would just note that it's funny that less than two months ago, on March 30, Mark Zuckerberg wrote an op-ed in the Wall Street Journal. He wrote that he believes Facebook has a responsibility to address harmful content, protecting elections, privacy and data protection and data portability—the very issues we're discussing today—and that he was looking forward to discussing them with lawmakers around the world. Those were his words less than two months ago. If he were an honest individual in writing those words, he'd be sitting in that chair today.

The Chair:

Thank you, Mr. Erskine-Smith.

Are there any further comments on the motion?

Frankly, to answer your question, being the chair of this committee on both levels, the international and our ethics committee, it's abhorrent that he's not here today and that Ms. Sandberg is not here today. It was very clearly communicated to them that they were to appear today before us. A summons was issued, which is already an unusual act for a committee. I think it's only fitting that there be an ongoing summons. As soon as either Mr. Zuckerberg or Ms. Sandberg step foot into our country, they will be served and expected to appear before our committee. If they choose not to, then the next step will be to hold them in contempt.

I think the words are strong, Mr. Angus, and I applaud you for your motion.

If there is not any further discussion on the motion, we'll go to the vote.

(Motion agreed to)

The Chair: Thank you, Mr. Angus.

Next, we'll go to the platforms. We'll start with Facebook, go to Google, and then....

I'll mention the names. With Facebook Inc., we have Kevin Chan, Global Policy Director for Canada, and Neil Potts, Global Policy Director. With Google LLC, we have Derek Slater, Global Director of Information Policy; and with Google Canada, Colin McKay, Head, Government Affairs and Public Policy. From Twitter Inc., we have Carlos Monje, Director of Public Policy, and Michele Austin, Head, Government and Public Policy, Twitter Canada.

I would like to say that it wasn't just the CEOs of Facebook who were invited today. The CEOs of Google were invited. The CEO of Twitter was invited. We are more than disappointed that they as well chose not to show up.

We'll start off with Mr. Chan, for seven minutes.

Thank you.

(1045)

Mr. Kevin Chan (Global Policy Director, Facebook Inc.):

Thank you very much, Mr. Chair.

My name is Kevin Chan, and I am here today with my colleague Neil Potts. We are both global policy directors at Facebook.

The Internet has transformed how billions of people live, work and connect with each other. Companies such as Facebook have immense responsibilities to keep people safe on their services. Every day we are tasked with the challenge of making decisions about what speech is harmful, what constitutes political advertising and how to prevent sophisticated cyber-attacks. This is vital work to keeping our community safe, and we recognize this work is not something that companies like ours should do alone.[Translation]

New rules for the Internet should preserve what is best about the Internet and the digital economy—fostering innovation, supporting growth for small businesses, and enabling freedom of expression—while simultaneously protecting society from broader harms. These are incredibly complex issues to get right, and we want to work with governments, academics and civil society around the world to ensure new regulations are effective.[English]

We are pleased to share with you today some of our emerging thinking in four areas of possible regulatory action: harmful content, privacy, data portability and election integrity.

With that, I will turn it over to my colleague Neil, who would love to engage with you about harmful content.

Mr. Neil Potts (Global Policy Director, Facebook Inc.):

Chair, members of the committee, thank you for the opportunity to be here today.

I'm Neil Potts. I'm a Director with oversight of the development and implementation of Facebook's community standards. Those are our guidelines for what types of content are allowed on our platform.

Before I continue, though, I'd just like to point out that Kevin and I are global directors, subject matter area experts, ready to engage with you on these issues. Mark and Sheryl, our CEO and COO, are committed to working with government in a responsible manner. They feel that we have their mandate to be here today before you to engage on these topics, and we are happy to do so.

As you know, Facebook's mission is to give people the power to build community and to bring the world closer together. More than two billion people come to our platform every month to connect with family and friends, to find out what's going on in the world, to build their businesses and to help those in need.

As we give people a voice, we want to make sure that they're not using that voice to hurt others. Facebook embraces the responsibility of making sure that the tools we build are used for good and that we keep people safe. We take those responsibilities very seriously.

Early this month, Facebook signed the Christchurch Call to Eliminate Terrorist and Violent Extremist Content Online, and we have taken immediate action on live streaming. Specifically, people who have broken certain rules on Facebook, which include our “dangerous organizations and individuals” policy, will be restricted from using Facebook Live.

We are also investing $7.5 million in new research partnerships with leading academics to address the adversarial media manipulation that we saw after Christchurch—for example, when some people modified the video to avoid detection in order to repost it after it had already been taken down.

As the number of users on Facebook has grown, and as the challenge of balancing freedom of expression and safety has increased, we have come to realize that Facebook should not be making so many of these difficult decisions alone. That's why we will create an external oversight board to help govern speech on Facebook by the end of 2019. The oversight board will be independent from Facebook, and it will be a final level of appeal for what stays up and what comes down on our platform.

Even with the oversight board in place, we know that people will use many different online platforms and services to communicate, and we'd all be better off if there were clear baseline standards for all platforms. This is why we would like to work with governments to establish clear frameworks related to harmful online content.

We have been working with President Macron of France on exactly this kind of project, and we welcome the opportunity to engage with more countries going forward.

Kevin.

(1050)

Mr. Kevin Chan:

In terms of privacy we very clearly understand our important responsibility as custodians of people's data and the need for us to do better. That is why, since 2014, we have taken significant measures to drastically reduce the amount of data that third party applications can access on Facebook and why we're putting together a much bigger and muscular privacy function within the company. We've also made significant advancements to give people more transparency and control over their data.

We recognize that, while we're doing much more on privacy, we're all better off when there are overarching frameworks to govern the collection and use of data. Such frameworks should protect your right to choose how your information is used, while enabling innovation. They should hold companies such as Facebook accountable by imposing penalties when we make mistakes and should clarify new areas of inquiry, including when data can be used for the public good and how this should be applied to artificial intelligence.

There are already some good models to emulate, including the European Union's General Data Protection Regulation and Canada's Personal Information Protection and Electronic Documents Act. Achieving some degree of harmonization around the world would be desirable and would facilitate economic growth.

We also believe that the principle of data portability is hugely important for consumer choice and for ensuring a dynamic and competitive marketplace for digital services. People should be able to take the data they have put on one service and move it to another service. The question becomes how data portability can be done in a way that is secure and privacy-protective. Data portability can only be meaningful if there are common standards in place, which is why we support a standard data transfer format and the open source data transfer project.

Finally, Facebook is doing its utmost to protect elections on our platform around the world by investing significantly in people, technology and partnerships. We have tripled the number of people working on security matters worldwide from 10,000 to 30,000 people. We have developed cutting-edge AI technology that allows us to detect and remove fake accounts en masse.

Of course, we cannot achieve success working only on our own, so we've partnered with a wide range of organizations. In Canada we are proud to be working with Agence France-Presse on third party fact checking, MediaSmarts on digital literacy and Equal Voice to keep candidates, in particular women candidates, safe online.

Facebook is a strong supporter of regulations promoting the transparency of online political advertising. We think it is important that citizens should be able to see all the political ads that are running online, especially those that are not targeted at them. That is why we support and will comply with Bill C-76, Canada's Elections Modernization Act, which this Parliament passed, and will be engaging in the weeks ahead with Canadian political advertisers, including the federal political parties represented here today, on important changes for political advertising that will come to the platform by the end of June.

Finally, Mr. Chair, if I may, as you will know, Facebook is part of the Canada declaration on electoral integrity online, which sets out 12 commitments that the Government of Canada and certain online platforms agree to undertake together in the lead up to the October federal election. This is a strong expression of the degree to which we are taking our responsibilities seriously in Canada, and we look forward to working in lockstep with officials to guard against foreign interference.

Thank you for the opportunity.[Translation]

We look forward to taking your questions. [English]

The Chair:

Thank you, Mr. Chan.

Next up, we'll go to Mr. Slater, with Google.

Mr. Derek Slater (Global Director, Information Policy, Google LLC):

Thank you for the opportunity to appear before you today.

My name is Derek Slater, and at Google I help shape the company's approach to information policy and content regulation. I'm joined here by my colleague Colin McKay, who's the head of public policy for Google in Canada.

We appreciate your leadership and welcome the opportunity to discuss Google's approach to addressing our many shared issues.

For nearly two decades, we have built tools that help users access, create and share information like never before, giving them more choice, opportunity and exposure to a diversity of resources and opinions. We know, though, that the very platforms that have enabled these societal benefits may also be abused, and this abuse ranges from spam to violent extremism and beyond. The scrutiny of lawmakers and our users informs and improves our products as well as the policies that govern them.

We have not waited for government regulation to address today's challenges. Addressing illegal and problematic content online is a shared responsibility that requires collaboration across government, civil society and industry, and we are doing and will continue to do our part.

I will highlight a few of the things we're doing today. On YouTube, we use a combination of automated and human review to identify and remove violative content. Over time we have improved, removing more of this content faster and before it's even viewed. Between January and March 2019, YouTube removed nearly 8.3 million videos for violating its community guidelines, and 76% of these were first flagged by machines rather than people. Of those detected by machines, over 75% had never received a single view.

When it comes to combatting disinformation, we have invested in our ranking systems to make quality count in developing policies, threat monitoring and enforcement mechanisms to tackle malicious behaviours and in features that provide users with more context, such as fact check or information panels on Google Search and YouTube.

Relatedly, in the context of election integrity, we've been building products for over a decade that provide timely and authoritative information about elections around the world. In addition, we have devoted significant resources to help campaigns, candidates and election officials improve their cybersecurity posture in light of existing and emerging threats. Our Protect Your Election website offers free resources like advanced protection, which provides Google's strongest account security, and Project Shield, a free service designed to mitigate the risk of distributed denial of service attacks that inundate sites with traffic in an effort to shut them down.

While industry needs to do its part, policy-makers, of course, have a fundamental role to play in ensuring everyone reaps the personal and economic benefits of modern technologies while addressing social costs and respecting fundamental rights. The governments and legislatures of the nearly 200 countries and territories in which we operate have come to different conclusions about how to deal with issues such as data protection, defamation and hate speech. Today's legal and regulatory frameworks are the product of deliberative processes, and as technology and society's expectations evolve, we need to stay attuned to how best to improve those rules.

In some cases, laws do need updates, for instance, in the case of data protection and law enforcement access to data. In other cases, new collaboration among industry, government and civil society may lead to complementary institutions and tools. The recent Christchurch call to action on violent extremism is just one example of this sort of pragmatic, effective collaboration.

Similarly, we have worked with the European Union on its hate speech code of conduct, which includes an audit process to monitor how platforms are meeting their commitments, and on the recent EU Code of Practice on Disinformation. We agreed to help researchers study this topic and to provide a regular audit of our next steps in this fight.

New approaches like these need to recognize relevant differences between services of different purpose and function. Oversight of content policies should naturally focus on content sharing platforms. Social media, video sharing sites and other services that have the principle purpose of helping people to create content and share it with a broad audience should be distinguished from other types of services like search, enterprise services, file storage and email, which require different sets of rules.

With that in mind, we want to highlight today four key elements to consider as part of evolving oversight and discussion around content sharing platforms.

First is to set clear definitions.

While platforms have a responsibility to set clear rules of the road for what is or is not permissible, so too, do governments have a responsibility to set out the rules around what they consider to be unlawful speech. Restrictions should be necessary and proportionate, based on clear definitions and evidence-based risks and developed in consultation with relevant stakeholders. These clear definitions, combined with clear notices about specific pieces of content, are essential for platforms to take action.

(1055)



Second, develop standards for transparency and best practice.

Transparency is the basis for an informed discussion and helps build effective practices across the industry. Governments should take a flexible approach that fosters research and supports responsible innovation. Overly restrictive requirements like one-size-fits-all removal times, mandated use of specific technologies or disproportionate penalties will ultimately reduce the public's access to legitimate information.

Third, focus on systemic recurring failures rather than one-offs.

Identifying and responding to problematic content is similar, in a way, to having information security. There will always be bad actors and bugs and mistakes. Improvement depends on collaboration across many players using data-driven approaches to understand whether particular cases are outliers or representative of a more significant recurring systemic problem.

Fourth and finally, foster international co-operation.

As today's meeting demonstrates, these concerns and issues are global. Countries should share best practices with one another and avoid conflicting approaches that impose undue compliance burdens and create confusion for customers. That said, individual countries will make different choices about permissible speech based on their legal traditions, history and values consistent with international human rights obligations. Content that is unlawful in one country may be lawful in another.

These principles are meant to contribute to a conversation today about how legislators and governments address the issues we are likely to discuss, including hate speech, disinformation and election integrity.

In closing, I will say that the Internet poses challenges to the traditional institutions that help society organize, curate and share information. For our part, we are committed to minimizing that content that detracts from the meaningful things our platforms have to offer. We look forward to working with the members of this committee and governments around the world to address these challenges as we continue to provide services that promote and deliver trusted and useful information.

Thank you.

(1100)

The Chair:

Thank you.

Next up we'll go to Twitter. I believe Mr. Monje is going to be speaking.

Go ahead.

Mr. Carlos Monje (Director, Public Policy, Twitter Inc.):

Thank you very much.

Chairman Zimmer, Chairman Collins and members of the committee, my name is Carlos Monje. I'm Director of Public Policy for Twitter. I'm joined by Michele Austin, who's our Head of Public Policy for Canada.

On behalf of Twitter, I would like to acknowledge the hard work of all the committee members on the issues before you. We appreciate your dedication and willingness to work with us.

Twitter's purpose is to serve the public conversation. Any attempts to undermine the integrity of our service erodes the core tenets of freedom of expression online. This is the value upon which our company is based.

The issues before this committee are ones that we care about deeply as individuals. We want people to feel safe on Twitter and to understand our approach to health and safety of the service. There will always be more to do, but we've made meaningful progress.

I would like to briefly touch upon our approach to privacy and disinformation and I look forward to your questions.

Twitter strives to protect the privacy of the people who use our service. We believe that privacy is a fundamental human right. Twitter is public by default. This differentiates our service from other Internet sites. When an individual creates a Twitter account and begins tweeting, their tweets are immediately viewable and searchable by anyone around the world. People understand the default public nature of Twitter and they come to Twitter expecting to see and join in a public conversation. They alone control the content that they share on Twitter, including how personal or private that content might be.

We believe that when people trust us with their data, we should be transparent about how we provide meaningful control over what data is being collected, how it is used and when it is shared. These settings are easily accessible and built with user friendliness front of mind. Our most significant personalization in data settings are located on a single page.

Twitter also makes available the “your Twitter data” toolset. Your Twitter data provides individuals with insight on the types of data stored by us, such as username, email address, phone numbers associated with the account, account creation details and information about the inferences we may have drawn. From this toolset, people can do things like edit their inferred interests, download their information and understand what we have.

Twitter is also working proactively to address spam, malicious automation, disinformation and platform manipulation by improving policies and expanding enforcement measures, providing more context for users, strengthening partnerships with governments and experts, and providing greater transparency. All of this is designed to foster the health of the service and protect the people who use Twitter.

We continue to promote the health of the public conversation by countering all forms of platform manipulation. We define platform manipulation as using Twitter to disrupt the conversation by engaging in bulk aggressive or deceptive activity. We've made significant progress. In fact, in 2018, we identified and challenged more than 425 million accounts suspected of engaging in platform manipulation. Of these, approximately 75% were ultimately suspended. We are increasingly using automated and proactive detection methods to find abuse and manipulation on our service before they impact anyone's experience. More than half the accounts we suspend are removed within one week of registration—many within hours.

We will continue to improve our ability to fight manipulative content before it affects the experience of people who use Twitter. Twitter cares greatly about disinformation in all contexts, but improving the health of the conversation around elections is of utmost importance. A key piece of our election strategy is expanding partnerships with civil society to increase our ability to understand, identify and stop disinformation efforts.

Here in Canada, we're working with Elections Canada, the commissioner of Canada Elections, the Canadian centre for cybersecurity, the Privy Council Office, democratic institutions and civil society partners such as the Samara Centre for Democracy and The Democracy Project.

In addition to our efforts to safeguard the service, we believe that transparency is a proven and powerful tool in the fight against misinformation. We have taken a number of actions to disrupt foreign operations and limit voter suppression and have significantly increased transparency around these actions. We released to the public and to researchers the world's largest archive of information operations. We've pervaded data and information on more than 9,600 accounts including accounts originating in Russia, Iran and Venezuela, totalling more than 25 million tweets.

It is our fundamental belief that these accounts and their content should be available and searchable, so that members of the public, governments and researchers can investigate, learn and build media literacy capabilities for the future. They also help us be better.

(1105)



I want to highlight one specific example of our efforts to combat disinformation here in Canada.

Earlier this spring we launched a new tool to direct individuals to credible public health resources when they searched Twitter for key words associated with vaccines. Here we partnered with the Public Health Agency of Canada. This new investment builds on our existing work to guard against the artificial amplification of non-credible content about the safety and effectiveness of vaccines. Moreover, we already ensure that advertising content does not contain misleading claims about the cure, treatment, diagnosis or prevention of any disease, including vaccines.

In closing, Twitter will continue to work on developing new ways to maintain our commitment to privacy, to fight disinformation on our service and to remain accountable and transparent to people across the globe. We have made strong and consistent progress, but our work will never be done.

Once again, thank you for the opportunity to be here. We look forward to your questions.

The Chair:

Thank you.

First of all, we will go to my co-chair, Damian Collins, and then the sequence will follow.

You each have five minutes. Try to keep it as crisp as you possibly can.

Mr. Collins.

Mr. Damian Collins (Chair, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Mr. Chairman.

I'm going to direct my first question to the Facebook representatives. I'm sure you're aware that one of the principal concerns of members of this committee has been that deceptive information, deliberately and maliciously spread through the tools created by social media companies, are a harm to democracy, and this disinformation is used to undermine senior politicians and public figures, public institutions and the political process.

With that in mind, could Facebook explain why it has decided not to remove the video of Nancy Pelosi that presents a distorted impression of her to undermine her public reputation? The reason I think this is so important is that we're all aware that new technology is going to make the creation of these sorts of fake or manipulated films much easier. Perhaps you could explain why Facebook is not going to take this film down.

Mr. Neil Potts:

Thank you, Mr. Collins.

I'm happy to explain our approach to misinformation a bit more clearly for this committee.

First, I want to be clear that we are taking action against that video—

Mr. Damian Collins:

I'm sorry, Mr. Potts, we haven't got much time. I'd like you to answer the question you've been asked, not give a statement about Facebook's policies on misinformation or what else you might have done. I want you to answer the question as to why you, unlike YouTube, are not taking this film down?

Mr. Neil Potts:

We are aggressively down ranking that—

Mr. Damian Collins:

I know you're down ranking it. Why aren't you taking the film down?

Mr. Neil Potts:

It is our policy to inform people when we have information on the platform that may be false, so they can make their own decisions about that content.

Mr. Damian Collins:

But this is content that I think is widely accepted as being fake. YouTube has taken it down. The fact-checkers that work with Facebook are saying it's fake, yet the video is allowed to remain and that video being there is far more powerful than any legal disclaimer that may be written under or over it.

Why won't you say that films that are clearly fake and are independently verified as being fake, that are there to deceive people about some of the most senior politicians in your country, will be taken down?

Mr. Neil Potts:

We are conducting research on our inform treatments. That is the treatment that shows that something is fake. For example, if someone wanted to share this video with their friends or if they have already shared it or when they see it in a newsfeed, they receive a message that says it's false.

Mr. Damian Collins:

Facebook accepts that this film is a distortion, doesn't it?

Mr. Kevin Chan:

Neil, you're closer to this, but my understanding is that the video in question has been slowed down. Is that what this is?

Mr. Neil Potts:

That's correct. I think this is manipulated—

Mr. Damian Collins:

It's manipulated film to create the distorted impression that Nancy Pelosi was somehow impaired when she was speaking. That's what has happened and that's why YouTube has taken the film down and that's why there has been a general recognition, including by independent fact-checkers who work for Facebook, that this film is distorted and creates a distorted impression of the third most senior politician in America.

(1110)

Mr. Neil Potts:

As you mentioned the fact-checkers, we work with over 50 fact-checkers internationally that are—

Mr. Damian Collins:

This is not in question. The fact-checkers recognize it's fake. You're saying it can stay there. Do you not see that what Facebook is doing is giving a green light to anyone in the world who wants to make a distorted or fake film about a senior politician, or maybe in the future use deepfake technologies to do it, and know that whatever happens Facebook won't remove the film?

Mr. Neil Potts:

I think you're asking a philosophical question, sir. Should we remove or should we inform people that it is fake? We have taken the approach to inform people that it's fake, so they can understand why that video is on the platform and what other independent parties have considered this to be. They have considered it to be false and now they see this on our platform if they go to share it. All these questions, I think are very thorough questions, but it allows people to make their own decision and it allows them to tell others it is false.

You mentioned that the video is slowed down, which by all accounts and the fact-checkers have said it is, but I think there are many different cases where videos are slowed down and that would perhaps not be a warrant for this committee.

Mr. Damian Collins:

The issue here is to say that if someone is making a film, or slowing down a film or manipulating a film, to try to create the false impression that a senior public figure is not fit for office, then that is an attempt to undermine them and the office they hold.

This is not a question of opinion. This is not a question of free speech. This is a question of people manipulating content in order to undermine public figures, and my concern is that to leave that sort of content up there, when it is indisputably fake, indisputably false and distorted, and to allow permission for this content to be shared with and promoted by other users is irresponsible.

YouTube has removed this content. I don't understand why Facebook doesn't do the same.

Mr. Neil Potts:

Sir, I understand your concerns, but I think your questions are the right ones and that they show the complexity of this issue and also show perhaps that the approach we are taking is working. You don't hear people—

Mr. Damian Collins:

Sorry, but with all respect, what it shows is the simplicity of these issues, the simplicity that another company has taken, recognizing the same issues, the simple action to say that this is clearly fake, it's clearly distorted, it's there to undermine senior public figures and it actually shouldn't have a place on the platform. It shouldn't be part of your community.

Mr. Neil Potts:

Your opinion is right, and I obviously respect the opinion of YouTube as an independent company, but we're not hearing people talk about this video as if it were real. We're hearing people discuss the fact that it is fake and that it is on the platform, so on the question of whether we have informed people that this is a fake video, yes, we have. I think that is the predominant speech right now. Whether it's the conversation we're having right now, whether it's on the news or others, people understand that this video is fake and they can make further decisions from there.

Mr. Damian Collins:

My concern about this is that it sets a very dangerous precedent. Your colleague Monika Bickert said last week to CNN that basically Facebook's policy is that any political content, any disinformation content in relation to politics will not be taken down, that there would be notes put up for users so they could see that the facts are disputed, but it will never be removed.

If you're going to allow your platform to be abused in this way by people producing disinformation films targeted at users to try to interfere with democracy and the best you're going to do is just put a flag on it to say some people dispute this film, I think that is a very dangerous precedent.

The Chair:

Thank you, Mr. Collins.

We'll go next to Mr. Erskine-Smith.

Go ahead, for five minutes.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

You speak to Mr. Zuckerberg often enough, because you're here on his behalf. Remind me why he isn't here today.

Mr. Neil Potts:

I'm sorry, sir. I can't see your name.

Mr. Nathaniel Erskine-Smith:

It is Mr. Erskine-Smith.

Mr. Neil Potts:

Mr. Erskine-Smith, Mr. Zuckerberg and Ms. Sandberg have entrusted us to represent the company here today. We are subject matter experts in these areas, and we're more than happy for the opportunity to be here, but I do want to make—

Mr. Nathaniel Erskine-Smith:

He said, “I'm looking forward to discussing these issues with lawmakers around the world” less than two months ago. He just didn't mean these lawmakers. He meant other lawmakers, I'm sure.

I'm going to talk about privacy. In his most recent report, our Privacy Commissioner has said that Facebook's privacy protection framework was “empty”. Then on May 7 before this committee, our Privacy Commissioner said that finding still applies, that it is empty. If Facebook takes privacy seriously, and I heard Mr. Chan say that it does—these aren't my words; these are the Privacy Commissioner's words—why had it “outright rejected, or refused to implement” the Privacy Commissioner's recommendations?

Mr. Kevin Chan:

Given that the commissioner has indicated that he will be taking this to Federal Court, we're somewhat limited in what we can say, but what I can share with you is that—

Mr. Nathaniel Erskine-Smith:

You're not limited in what you can say at all, Mr. Chan.

Mr. Kevin Chan:

I'm going to continue with what I can share with you, which is that we actually have been working quite hard in the last few months to arrive at a resolution and a path forward with the Privacy Commissioner of Canada—

Mr. Nathaniel Erskine-Smith:

So you didn't outright reject or refuse to implement the recommendations.

Mr. Kevin Chan:

I think we were in a conversation about how we could get to the objectives that we all seek.

(1115)

Mr. Nathaniel Erskine-Smith:

When the Privacy Commissioner wrote those specific words in his specific report, he was incorrect, in your view.

Mr. Kevin Chan:

I don't.... If I may, I just want to share a bit more, because I am limited in what I can say—

The Chair:

Actually, Mr. Chan....

Mr. Chan, the priority goes to members of the committee, so if you wish to keep speaking, you need to hear.

Mr. Nathaniel Erskine-Smith:

Mark Zuckerberg has also said the future is private. Interestingly, of course though, it used to be Facebook privacy policy in 2004 that it did not and would not use cookies to collect private information from any user. That changed in 2007. Initially Facebook gave users the ability to prohibit the collection of their personal information from third parties, and that was again changed.

When Mr. Zuckerberg says the future is private, does he mean the future is going back to our past, when we cared about privacy before profits?

Mr. Kevin Chan:

I think we are undertaking a significant effort to reimagine what communications services will look like online. I think there have been a lot of interesting things written, not just by folks at the company but around the world. We do see a trend line such that people are increasingly focused on one-to-one communications. Those are, by definition, private, but what it does raise, sir, in terms of public policy questions is a very interesting balance between privacy and lawful access to information and questions of encryption. These are tight tensions. I think they've been raised previously, including in previous parliaments of Canada, and we look forward to engaging on those questions.

Mr. Nathaniel Erskine-Smith:

With regard to engaging on those questions, GDPR has been adopted by the EU. We've recommended, at this committee, that Canada go further initially.

Facebook made $22 billion last year. Alphabet made $30 billion last year. Previously, you've used millions of those dollars to lobby against GDPR. Now you agree that's a standard that ought to be in place or that similar standards ought to be in place.

I'd like a simple yes-or-no answer, Mr. Chan and Mr. Slater.

Mr. Kevin Chan:

Yes, we fully support GDPR.

Mr. Nathaniel Erskine-Smith:

Mr. Slater.

Mr. Colin McKay (Head, Government Affairs and Public Policy, Google Canada):

If you don't mind, Mr. Erskine-Smith, I'll respond as the privacy expert.

Mr. Nathaniel Erskine-Smith:

Sure.

Mr. Colin McKay:

Yes.

Mr. Nathaniel Erskine-Smith:

Mr. McNamee was here and he suggested that perhaps consent shouldn't be the only rule in play and that in certain instances we should simply ban certain practices. He used web tracking.

When was the last time that Google read my emails to target me with ads? How many years ago was it?

Mr. Colin McKay:

We stopped using your Gmail content for advertising in 2017. That was specific to you. That information was never shared externally.

Mr. Nathaniel Erskine-Smith:

Is that something that we could consider banning so that individuals could never consent to having their emails read to be targeted for advertising? Would you be comfortable with that?

Mr. Kevin Chan:

It's certainly the practice that we have now. I hesitate at the word “ban” because there's a broad range of services that might be used in that specific context that make sense.

Mr. Nathaniel Erskine-Smith:

The German competition authority, in February of this year, said: In view of Facebook’s superior market power, an obligatory tick on the box to agree to the company’s terms of use is not an adequate basis for such intensive data processing. The only choice the user has is...to accept the comprehensive combination of data or to refrain from using the social network. In such a difficult situation the user’s choice cannot be referred to as voluntary consent.

Mr. Chan and Mr. Slater, do you think that privacy is a key consideration in competition and merger decisions, and should competition authorities around the world take privacy issues into account?

Mr. Kevin Chan:

I'm sorry. Could you repeat the question just to make sure I understand?

Mr. Nathaniel Erskine-Smith:

Do you agree that competition authorities around the world should be looking at privacy—just as they currently look at price—and data collection of our personal information as a key consideration in competition law and when looking at mergers and acquisitions?

Mr. Kevin Chan:

That's a very interesting question of public policy. I think, presumably, certain—

Mr. Nathaniel Erskine-Smith:

It could just be a yes or no.

Mr. Kevin Chan:

These are complex issues, sir, as you can appreciate, and if you would allow me, I would just like to say a few more words with regard to this because it is complicated.

I think it's clear that competition policies and privacy policies are quite different. I suspect that data protection authorities around the world would have very different views about whether or not it is appropriate to pour concepts from other realms into data protection law.

Mr. Nathaniel Erskine-Smith:

I'm not suggesting that. I'm suggesting that since we currently protect consumers on price, shouldn't we protect consumers on privacy? We have a German competition authority suggesting that we should do so.

Mr. Kevin Chan:

I see. I'm sorry. I understand more clearly what you're saying.

(1120)

Mr. Nathaniel Erskine-Smith:

I did read a quote directly from the German competition authority.

Mr. Kevin Chan:

You're absolutely right that data protection...that we should treat privacy as a foundational cornerstone of the digital economy.

Mr. Nathaniel Erskine-Smith:

Of competition law....

Mr. Kevin Chan:

I believe that these are two very distinct and separate things. It wouldn't just be me. I think that if you talk to competition authorities and data protection authorities, they might very much arrive at similar views.

Mr. Nathaniel Erskine-Smith:

That's not the one that I read to you.

Mr. Kevin Chan:

We are aware of this. I have spoken to some of my colleagues in Germany with respect to this. Our understanding is that the GDPR needs to, obviously, be enforced and interpreted by data protection authorities in Europe.

The Chair:

Thanks.

We need to move on.

We will go next to Monsieur Gourde for five minutes. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

Over the years, the digital platforms you represent have developed very powerful, even overly powerful, tools. You are in the midst of a frantic race for performance. However, it isn't necessarily for the well-being of humanity, but rather for the personal interests of your companies.

Let me make an analogy. You have designed cars that can travel up to 250 kilometres an hour, but you rent them to drivers who travel at that speed in school zones. You have developed tools that have become dangerous, that have become weapons.

As a legislator, I do not accept that you rejected out of hand your responsibility in this regard. These tools belong to you, you have equipped them with functions, but you don't necessarily choose the users. So you rent your tools commercially to people who misuse them.

In the election we'll have in Canada in a few months, will you have the technical ability to immediately stop any fake news, any form of hate advertising or any form of advertising that would undermine our democracy? Will you be able to act very quickly? At the very least, can you stop all advertising during elections in Canada and other countries, if you cannot guarantee us absolute control over the ads that can be placed on your platforms?

We'll start with the representatives from Facebook, then I'd like to hear from Google and Twitter.

Mr. Kevin Chan:

Thank you very much, Mr. Gourde.

I'll start by saying that we'll do everything we can to protect the election in October 2019.

As you know, we are working closely with the Conservative Party, the New Democratic Party and the Liberal Party. The other parties should be mentioned, including the Green Party, the People's Party, the Bloc Québécois—

Mr. Jacques Gourde:

Excuse me, Mr. Chan, but it isn't about parties. It's about people who will have to make a choice based on the information we will provide to them, not on fake information.

Do you have the ability to quickly stop the spread of fake information or even to stop altogether any advertising that can be placed on your platforms, if you don't have control over it?

Mr. Kevin Chan:

Thank you for the question.

Here, in Canada, we have a team that works on each election. We have done this in Ontario, British Columbia, Prince Edward Island, New Brunswick—

Mr. Jacques Gourde:

Please don't list all the provinces.

I want to know if you have the ability to stop the spread of any hate advertising or any fake information at any time during the next election.

Mr. Kevin Chan:

For the time being, in all the other elections, there have been no problems that we haven't been able to resolve quickly.

Mr. Jacques Gourde:

Thank you.

I have the same question for the representatives from Google. [English]

Mr. Derek Slater:

Getting this right is absolutely essential. We do invest heavily in efforts to both anticipate and prevent efforts that would interfere with election integrity. That's by making useful information available in search or dealing with actors who might deceive or misrepresent themselves in ads.

Mr. Carlos Monje:

Twitter has spent a significant amount of time improving our internal ability to spot this type of disinformation. We've learned from elections around the globe. We've actively engaged with civil society here, most recently in the Alberta elections, and we believe we are very prepared. However, we cannot take our eye off the prize. It's going to be the people who want to manipulate the conversation who will continue to innovate and we will continue to innovate to stay ahead of them.

(1125)

[Translation]

Mr. Jacques Gourde:

Based on your answers, I remain doubtful and concerned.

You cars can drive 250 kilometres and hour, but the speed limit on the highway is 100 kilometres an hour. Are you able to reduce the capacity of your tools so that it is fair and equitable for everyone?

What is the point of having such powerful tools if it is to do evil, when a lesser performance could serve the good of humanity?

Mr. Kevin Chan:

If I may, I will speak in English to be clearer, since it's my mother tongue.[English]

I just want to say, Mr. Gourde, that's exactly what we're going to do. Next month, as your party and other parties in Canada are aware, we're introducing a very friction-intensive process for anybody who wants to run political ads. We are going to require them to authorize, to demonstrate that they're Canadian. We will need to independently validate the fact that they're Canadian, and then we're going to have to give them a code—or a key, if you will—where they're going to authenticate before they can run an ad.

This is not going to be a thing that happens in an hour. It's not going to be a thing that happens in a day. It's going to be a multi-day process. You have my assurance that we'll be reaching out and working in strict collaboration with all political parties in Canada to take them through this process. Precisely to your point about speed bumps or brakes, I would say this is going to be significant friction in the system, but we think this is the right thing to do in order to get ad transparency right, it's the right thing to do to get regulated political advertising right and it's an important thing to do to guard against foreign interference.

The Chair:

Thank you, Monsieur Gourde.

Next up is Mr. Angus.

Mr. Charlie Angus:

Thank you, Mr. Chair.

Thank you so much for these presentations. They're very helpful.

Mr. Chan, we know that Mr. Zuckerberg and Ms. Sandberg are very important people. Are they busy today?

Mr. Kevin Chan:

I am not aware of their schedules today, but I think that's right. They unfortunately had to send their regrets.

Mr. Charlie Angus:

Okay.

I'm trying to get a sense of corporate governance with Facebook. You come from Canadian politics. You worked for the Liberal Party. We're kind of meek and mild here in Canada. I don't ever remember a summons being issued against the head of a corporation. I don't know of anybody who has ever decided to ignore a summons.

Surely to God they have something really pressing to keep them busy. When Mr. Zuckerberg recently spoke, as my colleague pointed out, about his willingness, his desire to talk with legislators. Was that a joke?

This is for Mr. Chan. I'm interested in Mr. Chan because he represents us in Canada.

Mr. Kevin Chan:

Well, sir, I have to say that we do desire very much to collaborate with the Parliament of Canada and the Government of Canada. The election that's before us is going to be an important one, and an important one for us to get right at Facebook. We want to ensure a free and fair election. That's why we have done all the things that we have done.

We're complying with Bill C-76. To my knowledge, we may be the only company represented on this panel that is moving forward with an architectured system to do this. We have moved quickly on hate figures and hate organizations in Canada, and we have signed on to the Canada declaration on electoral integrity. I would—

Mr. Charlie Angus:

Yes, thank you for that. Sorry, I only have a few minutes.

I appreciate that work. I'm a big fan of Facebook.

Mr. Kevin Chan: Thank you, sir.

Mr. Charlie Angus: I've spoken greatly about the powerful tools it has in the indigenous communities I represent.

My concern is this idea of opt-in, opt-out that Facebook has when it comes to national law. First of all, you ignored a summons by Parliament because Mr. Zuckerberg may be busy. It may be his day off. I don't know.

You were recently found guilty by our regulator in the Cambridge Analytica breach. Our regulator, Mr. Therrien, said: Canadians using Facebook are at high risk that their personal information will be used in ways they may not be aware of, for purposes that they did not agree to and which may be contrary to their interests and expectations. This could result in real harms, including political...surveillance.

What was striking was that Facebook didn't concede that we have jurisdiction over our own citizens. If you're saying you're willing to work with parliamentarians, I don't get this opt-in when it works for Facebook and opt-out when....

Can you give me an example of any company saying that they just don't recognize whether or not we have jurisdiction over our citizens?

(1130)

Mr. Kevin Chan:

Sir, my eyebrows were also raised when I saw those reports, so I did read it carefully and I did talk to legal counsel about it.

My understanding is that this was in reference to the fact that, to our knowledge, based on the available evidence around the world and based on documented evidence, not only in terms of contracts and things like that, but also witnesses who have first-hand accounts, there was no Canadian, or indeed, no non-U.S. user data that was ever transferred to Cambridge Analytica. I believe, if I may—

Mr. Charlie Angus:

Okay, but on that point—I only have a short period of time—622,000 Canadians had their data taken. Facebook became aware of it in 2015, and Facebook said nothing until it was exposed internationally because of the Cambridge Analytica breach. That is a breach of Canadian law under PIPEDA.

You know that law, yet to tell Canadian legislators that we had to prove individual harm before Facebook would concede jurisdiction, that to me would be like an international auto company saying, “Yes, there were mass deaths in Brazil; yes, there were mass deaths in the United States; yes, there were mass deaths all over Europe; but since nobody died in a car accident in Canada, we are not going to comply with Canadian law.”

How do you get to decide what laws you respect and what laws you figure don't apply to you? Why do you think that?

Mr. Kevin Chan:

Mr. Angus, with all due respect, we actually go over and above the law—

Mr. Charlie Angus:

No you don't. You don't recognize that we have jurisdiction.

Mr. Kevin Chan:

—as the Parliament of Canada knows.

Mr. Charlie Angus:

How can you say that to us with a straight face, Mr. Chan? How can you?

Mr. Kevin Chan:

Because it is the truth, sir.

Mr. Charlie Angus:

So we have to take you to court to get you to recognize that we have jurisdiction to protect our citizens, after you sat on a breach that you knew about for three years and did nothing to tell us about because you didn't want to up-end your business model.

Mr. Kevin Chan:

With respect to election integrity, we are going over and above the law—

Mr. Charlie Angus:

I'm talking about the privacy rights of Canadians and the breach of our law that you were found guilty of. That's the question.

Mr. Kevin Chan:

We can talk about that as well, sir, in the time remaining, if you will permit me.

As I said, we wanted to get to a resolution with the commissioner. He has decided to take us to court, which is of course the framework that's prescribed for him—

Mr. Charlie Angus:

He had to take you to court, because you wouldn't concede that we as legislators even have jurisdiction over our own citizens. That's not coming to a resolution. That's like, “Hey, Facebook, is it okay if we come and see, and if it's okay, we'll all work things out?” That is not how law works. Maybe that's how it works for Mr. Zuckerberg, but that's not how it works internationally, which is why we are here. It's because we have international legislators who are frustrated—

Mr. Kevin Chan:

We have nothing but the utmost respect for—

Mr. Charlie Angus:

—by the lack of respect for international law.

Mr. Kevin Chan:

We have the utmost respect for the law in Canada and for legal authority around the world.

The Chair:

Thank you.

We'll go on next to Mr. Tong from Singapore.

Mr. Edwin Tong (Senior Minister of State, Ministry of Law and Ministry of Health, Parliament of Singapore):

I have limited time, so I would appreciate it if you just focus on my questions and give the answers directly.

We've heard a lot about what you wish to do, who you are engaged with, who you wish to see and how you're going to work on your policies, but let's just see what actually appears and continues to appear on your platforms.

To do that and to save some time, I have put together a little handout that summarizes several cases, which I have no doubt you're familiar with. Just thumb through them quickly. These are all cases that were sensational. They all went viral quickly. They were probably amplified by trolls and bots—fake accounts. They incite fear, they cause disaffection and tensions, and they prey on divisive social fault lines: race, religion, immigration.

One key fact is that they're all false information as well, and all resulted in real world harm: physical injuries, deaths, riots, accentuating divisions and fault lines between religions and races, causing fear.

Just go to the very last page of the handout and look at Sri Lanka, April 2019. The leader of the Easter terrorist bombings in Sri Lanka had posted videos that were on your platforms—Facebook and YouTube—for at least six months prior to the bombing itself. In the videos, he says, “Non-Muslims and people who don't accept Muslims can be killed, along with women and children.” Separately, he says, “We can kill women and children with bombs. It is right.”

This is clear hate speech, is it not?

Mr. Neil Potts:

It is hate speech.

Mr. Edwin Tong:

And it's a breach of your own policies, isn't that correct?

Mr. Neil Potts:

That would be a breach of our policies. That is correct, sir.

Mr. Edwin Tong:

These passages, posted months prior to the Easter bombings, portend what was to come, and it happened, horrifically, in April, in the same fashion as this alleged priest, Mr. Zahran Hashim, said it would—by bombs, killing women and children—on your platforms.

Why? Why was it not removed?

Mr. Neil Potts:

Thank you, Mr. Tong.

Just to quickly—

(1135)

Mr. Edwin Tong:

No. Please answer my question. Why was it not removed? You say it's a breach of your own policies. Why was it not removed in September 2018?

Mr. Neil Potts:

When we're made aware of that content, we do remove it. If it is not reported or if we have not proactively identified it, then we would not remove it, because honestly we would not know that it exists.

I want to say that our hearts go out to those people in Sri Lanka and everywhere that you've mentioned here in your handout. Intercommunal ethnic violence is a horrific thing. We don't want our platform to be co-opted and used for these activities. In fact, we have taken aggressive action to combat this. We now have more than 30,000 people working in safety and security—

Mr. Edwin Tong:

Mr. Potts, I don't need a speech on what you will be doing.

Mr. Neil Potts:

I apologize.

Mr. Edwin Tong:

How difficult is it to work out that the phrase, “We can kill women and children with bombs. It is right”, is hate speech? How difficult is it?

Mr. Neil Potts:

That question is not hard, Mr. Tong. The question would be one of identifying the content. If we are not made aware that the content exists, either through a user report or our own proactive measures, then we would not know that this content is on the platform.

Mr. Edwin Tong:

So none of the AI, or the technology, or the fact-checkers or the army of people you have scrutinizing your platforms picked this up eight months prior to the event, and you are asking us to trust the processes that you intend to put in place, trust that the AI that you now have will do so in the future.

Mr. Neil Potts:

Artificial intelligence is a great lever to help us identify this. It is not perfect. It is not salient where it will get 100% of the activity right, just as humans we will not get 100% of the activity right. I would have to check on this video specifically, but if we were made aware of this video, we would remove it. This is a very straightforward call.

Mr. Edwin Tong:

Mr. Potts, if you do some homework and check, local Muslim leaders flagged it to Facebook, and Facebook did not take it down despite being aware of it, despite it being, as you say, a clear breach of your own policies. I'd like to know why.

Mr. Neil Potts:

Sir, I would have to see how the content was shared. The way that you have—

Mr. Edwin Tong:

You said, Mr. Potts and Mr. Chan, that both of you are content specialists. You are domain specialists. You're here in place of Mr. Zuckerberg and Ms. Sandberg, and you should know. This happened a few months ago, so why was it not taken down despite Facebook being aware of it? Can you explain?

Mr. Neil Potts:

I'm trying to explain that I don't know that premise. I'd have to check to make sure that we were actually aware. I do not believe that we were aware of that video at the time.

Mr. Edwin Tong:

Let me suggest to you that you didn't remove it because such content is sensational. It incites fear, violence, hatred and conspiracy theories. As Mr. McNamee explained to us earlier, that is what drives eyeballs to your platforms. It's what drives users to your platforms and that is the engine room of your profit mechanism.

Mr. Neil Potts:

Mr. Tong, I reject the premise. I reject that wholeheartedly. If we know that something is hate speech, if we know that it is causing violence, we actually move more swiftly.

We had a discussion earlier about misinformation. If we know that misinformation is actually leading to physical harm and violence, we work with trusted partners on the ground, civil society and others, to flag that for us—law enforcement even—and then we will actually remove that content.

Mr. Edwin Tong:

Mr. Potts, Facebook was told about this. You can check. Facebook was also told about the problems in Sri Lanka on March 2018 by the Sri Lankan government. It refused to take it down on the basis that it didn't infringe on your own policies. Mr. McNamee says that as a result, governments in Sri Lanka, in Indonesia and in India have had to take proactive action to shut down social media such as Facebook and WhatsApp. Is that how you want this play out?

Can we trust the policies you have in place? Can we trust that what you do and put in place, checks to seek out and remove such content, will actually work?

The Chair:

Thank you, Mr. Tong. We'll have to go on to the next question.

We'd like to welcome our delegation from Ireland. They just landed this morning.

Welcome to our committee.

We'll start off our first five minutes with Hildegarde Naughton.

Ms. Hildegarde Naughton (Chair, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Thank you, Mr. Chairman. We're delighted to be here this afternoon.

I'll start by listing out my questions for you, and the social media companies can answer afterwards. I have about three questions here. The first is in relation to data protection.

It's very clear that you're all scrambling to figure out how to make privacy rules clear and how to protect users' data. The inception of GDPR has been a sea change in European data protection. The Irish data protection commissioner now has the job of effectively regulating Europe, given the number of social media companies who have their headquarters based in Ireland.

In the 11 months since GDPR came into force, the commissioner has received almost 6,000 complaints. She has said that her concentration on Facebook is because she didn't think that there would be so many significant data breaches by one company, and at one point, there were breaches notified to her under GDPR every fortnight, so she opened a consolidated investigation to look at that. I want to ask Facebook if you can comment on her remarks and why you're having such difficulty protecting users' data.

Also, for this next question, I might ask Google and Facebook to comment. I and my colleague James Lawless and deputy Eamon Ryan met earlier this year with Mark Zuckerberg in Ireland, and he said that he would like to see GDPR rolled out globally. Some of Facebook's biggest markets are in the developing world, such as in Asia and Africa, and out of the top 10 countries, there are only two in the developed world, the United States and the United Kingdom. Some experts are saying that a one-size-fits-all approach won't work with GDPR, because some regions have different interpretations of the importance of data privacy.

I would like to get Google's viewpoint on that—What is your view is in relation to the rollout of GDPR globally? How would that work? Should it be in place globally?—and in relation to the concerns around the different interpretations of data privacy.

Finally, due to the work of our communications committee in the Oireachtas—the Irish parliament—the Irish government is now going to introduce a digital safety commissioner who will have legal takedown powers in relation to harmful communication online. Given that Ireland is the international and European headquarters for many social media companies, do you think that this legislation will effectively see Ireland regulating content for Europe and possibly beyond?

Whoever would like to come in first, please comment on that if you could.

(1140)

Mr. Kevin Chan:

Thank you, ma'am. I want to indicate that Neil and I spent some time with our Irish counterparts, and they have nothing but complimentary things to say about you, so it's nice to meet you.

With respect to the question of breaches that you mention, obviously we are not aware of the specifics that would have been sent to the Irish data protection authority, so I wouldn't be able to comment specifically on that, but I would say our general posture is to be as transparent as we can.

You—and various members at this committee—will probably know that we are quite forward-leaning in terms of publicly revealing where there have been bugs, where there has been some information we have found where we need to pursue investigations, where we're made aware of certain things. That's our commitment to you but also to users around the world, and I think you will continue to hear about these things as we discover them. That is an important posture for us to take, because we do want to do what is right, which is to inform our users but also to inform the public and legislators as much as possible whenever we are made aware of some of these instances.

We want to be very transparent, which is why you will hear more from us. Again, unfortunately, I cannot speak to the specifics that the DPA was referring to.

Ms. Hildegarde Naughton:

Google, can I have your comments, please?

Mr. Colin McKay:

As we outlined in our opening remarks, we look for international standards that are applicable across a variety of social, cultural and economic frameworks. We look for principle-driven frameworks, particularly in data protection. That has been the history with GDPR as well as the previous OECD principles.

The extension of GDPR beyond its current boundaries is something that is preferable. The question is, how does it adapt to the particular jurisdictions within which it has to operate, considering that the European environment and the history of data protection in Europe is very different from elsewhere in the world, especially the portions of the world, whether Africa or Asia, that you identified?

We're in agreement there. We have been applying the protections that are given to Europeans on a global basis. The question is, what does that look like within a domestic jurisdiction?

On your second question around a digital safety commissioner, I'll turn it over to my colleague Derek.

The Chair:

Thank you, Ms. Naughton. We are actually at time, so we have to move on to the next delegate. My apologies. Time is short.

For the next question, we go to the Republic of Germany.

Mr. Jens Zimmermann (Social Democratic Party, Parliament of the Federal Republic of Germany):

Thank you very much.

I will also focus first on Facebook. It's great to get to know the Canadian public policy team. I know the German public policy team.

First, I would like to comment on what my colleague from Singapore asked. From my experience in Germany, I have a relatively simple answer. It is simply that many companies, also present today, do not have enough staff to work on all these issues and all these complaints. As has already been mentioned, AI is not always sufficient to work on this. What we've learned in Germany, after the introduction of the NetzDG, is that a massive increase in staff, which is needed to handle complaints, also increases the number of complaints that are handled. I don't know the situation in other countries, but this is definitely an important aspect.

I want to ask about the antitrust ruling in Germany on the question of whether the data from Facebook, WhatsApp and Instagram should be combined without the consent of the users. You are working against that ruling in Germany, so obviously you don't agree, but maybe you can be a bit clearer on your position.

(1145)

Mr. Kevin Chan:

Thank you very much, sir. I understand from one of my colleagues in Canada that she spent some time with you yesterday at a round table. Thank you very much for the invitation.

With respect to the various platforms, our terms of service and our user data policy does underline the fact that we will share data infrastructure between various services, as you know. A big part of it, to be quite frank, is to ensure that we are able to provide some degree of security measures across platforms.

Facebook is a platform where you have your authentic identity. We want to make sure people are who they say they are, but there are lots of good reasons why you will want to have similar kinds of measures on the Instagram platform, for example. There are many instances where—and you would have heard of these in terms of even some of our coordinated inauthentic behaviour takedowns—to be able to do adequate investigations across the system, we actually have to have some ability to understand the provenance of certain content and certain accounts. Having a common infrastructure allows us to very effectively deal with those sorts of challenges.

Mr. Jens Zimmermann:

Yes, and it allows you to very effectively aggregate the data, increase the knowledge of the user and also increase the profit. Isn't that the reason behind it?

It would be possible to, again, give all the users the ability to decide on that. That would be very easy, but I think it would also be very costly for you.

Mr. Kevin Chan:

I think, sir, what you're touching on in terms of the broader arc of where we're going is correct. We do want to give people more control. We want people to be able to—

Mr. Jens Zimmermann:

Okay, but why then are you working against that ruling in Germany?

Mr. Kevin Chan:

I think the nub of this is again the question that Mr. Erskine-Smith raised: Where do the limits of competition policy start and end versus the limits of privacy?

Mr. Jens Zimmermann:

Okay. Thank you.

I also want to go to Google. You mentioned that you need clear definitions of unlawful speech. I looked into Germany's transparency report and it turns out that of 167,000 complaints in Germany, it was only in 145 cases that your colleagues needed to turn to specialists to determine whether or not this was unlawful speech. Why, then, do you think this is really a problem? Is it really a problem of definition or is it really a problem of handling the number of complaints and the massive amount of hate speech online?

Mr. Derek Slater:

That's a very important question. The NetzDG is a complex law, but one of the pieces that is relevant here is that it calls out, I believe, 22 specific statutes that it governs.

Mr. Jens Zimmermann:

Actually, the NetzDG basically says that in Germany, you need to comply with German law—full stop.

Mr. Derek Slater:

I understand that, and it says, with respect to these 22 statutes, “Here is your turnaround time and your transparency reporting requirements, leading to the data you had.” I think part of what is important there is that it refers specifically to clear statutory definitions. These definitions allow us to then act on clear notices in an expeditious manner as set within the framework of the law.

(1150)

The Chair:

Next we will go to the Republic of Estonia.

Go ahead, for five minutes.

Ms. Keit Pentus-Rosimannus (Vice-Chairwoman, Reform Party, Parliament of the Republic of Estonia (Riigikogu)):

Thank you.

I come from Europe, from Estonia. It is true that, two days after the European election, one can say that you actually have made progress in removing the fake accounts, but it is also true that those fake accounts should not have been there in the first place.

My first question is the following: What kinds of changes are you planning to use to identify your users in the beginning?

Mr. Kevin Chan:

Thank you for that. I think we are cautiously pleased with the results in terms of the way the platform has performed in Europe. However, with respect to fake accounts, I would say—and I think my colleague Neil has mentioned—that this is a bit of an arms race with our adversaries, with bad actors trying to put inauthentic accounts and content onto the platform.

I think we want to constantly get better and to constantly evolve—

Ms. Keit Pentus-Rosimannus:

How do you improve the identification process in the first place?

Mr. Kevin Chan:

One of the things I can share with you, again in terms of the political advertising piece that we are trying to do, is that we are trying to get a very good certainty as to the identity of the individuals when they run an ad.

In Canada, as I mentioned earlier, we will do this and it will be not without pain. For political advertisers in Canada, it's very much that we will need to get some kind of ID from you. We will need to independently verify that ID, and then we're going to send you some kind of key—a digital key if you will—that you're going to have to use to authenticate yourself before you can even run a political ad.

This is a very costly and significant investment. It is also not without friction. I personally worry that there will be instances where people want to run an ad, don't know about this requirement and then find it's going to take many days to do.

I also worry that there may be false positives, but I think this is the right thing to do to protect elections around the world and here in Canada in October. We're prepared to put in the time, the investment and potentially some of the friction to get it right.

Ms. Keit Pentus-Rosimannus:

All right. Thank you.

My second question will be about fake news or fake videos. What is your policy towards fake news, for example, deepfake? Will they be removed or will they just be marked as deepfake videos?

Mr. Derek Slater:

The issue of deepfakes.... Thanks for that question. It's a really important emerging issue. We have clear guidelines today about what content should be removed. If a deepfake were to fall under those guidelines, we would certainly remove it.

We also understand this needs further research. We've been working actively with civil society and academics on that.

Ms. Keit Pentus-Rosimannus:

What about Facebook?

Mr. Neil Potts:

Thank you.

We are also investigating and doing research on this policy, to make sure we are in the right place. Currently, we would identify it as being fake and then inform our users, but we constantly—

Ms. Keit Pentus-Rosimannus:

The deepfake will stay on.

Mr. Neil Potts:

We constantly iterate our policies, and we may update those policies in the future, as they evolve. We are working with research agencies and people on the ground to understand how these videos could manifest. As I mentioned before, if these videos, or any type of misinformation, led to real world harm—or off-line harm, I should say—we would remove that content.

Ms. Keit Pentus-Rosimannus:

What about Twitter?

Mr. Carlos Monje:

We also share concerns about deepfakes. If we see the use of deepfakes to spread misinformation in a way that violates our rules, we'll take down that content.

Ms. Keit Pentus-Rosimannus:

My last question will come back to what Mr. Collins asked in the beginning, about the fake video of Nancy Pelosi. Let's say a similar video were to appear, only the person there was Mr. Zuckerberg. Would that video be taken down, or just marked as a fake one?

Voices: Oh, oh!

Mr. Neil Potts:

I'm sorry, the laughter.... I didn't hear the name?

Ms. Keit Pentus-Rosimannus:

Sorry for the loud laughter. If a video similar to what has been airing, picturing Nancy Pelosi, appeared with Mark Zuckerberg, would you remove that fake video, or would you just mark it as fake news?

Mr. Neil Potts:

If it was the same video, inserting Mr. Zuckerberg for Speaker Pelosi, it would get the same treatment.

The Chair:

Thank you.

I want to give a brief explanation of what's going on behind me. Your chairs have elected to have a working lunch. Feel free to come up and grab something to eat, and we'll continue with testimony all the way through our lunch.

Next up, we have Mexico. Go ahead for five minutes.

(1155)

Hon. Antares Guadalupe Vázquez Alatorre (Senator):

[Delegate spoke in Spanish, interpreted as follows:]

Thank you. I'm going to speak in Spanish.

I have several questions. In the case of Google, what do you do to protect people's privacy? I know many cases of sexting videos that are still there in the world, and when the victims of those videos go specifically to your office in Mexico—and I have known about several cases—the Google office tells them to go to the United States to complain. These are videos that are violently attacking somebody and cannot be downloaded. What do you do in those cases?

Mr. Derek Slater:

I'm not familiar with the particular cases you're talking about, but we do have strict guidelines about things like incitement to violence, or invasion of privacy and the like. If notified, and if we become aware of it, we would take action, if it's in violation of those guidelines. I'm not familiar with the specific cases, but would be happy to inquire further.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

I have information about very specific cases, but we don't know who to turn to in Mexico because they reject people. We hope you will take over this case, because the people have to wait for years to withdraw those things.

I'd like to ask Twitter about the creation of trends with robots. It's very common in Mexico. Every day, we have trends created with robots—the so-called bot farms. I don't know what the policy is at Twitter, because you seem to allow the artificial trends, or hashtags, when they are harming somebody. Why don't you allow trends to happen organically? I agree with having trends, things becoming viral and respecting freedom of expression, but why are robots allowed? If anybody can detect them, why is it Twitter cannot?

Mr. Carlos Monje:

Trends measure the conversation in real time and try to distinguish conversations that are always having a high level of engagement, English Premier League or the Mexican election writ large. What trends are trying to identify is acceleration above the normal. When that happens organically, like you mentioned, it has a different pattern from when it happens augmented by bots.

Since 2014, which for us is a lifetime, we've had the ability to protect trends from that kind of inorganic automated activity. Kevin mentioned an arms race. I think that's a good term for the battle against malicious automation. Right now we're challenging 450 million accounts a year for being inauthentic, and our tools are very subtle, very creative. They look at signals like instant retweets or activity that's so fast that it's impossible to be human.

Despite that, 75% is what ultimately gets kicked off the service, so 25% of the people who we thought were acting in an inauthentic way were able to pass the challenge. We are over-indexing to try to stop this inauthentic activity. This is a place where there is no delta between the societal values of trusting online activity and our imperatives as a company, which is that we want people when they come to Twitter to believe in what they see, to know that they are not getting messed about with Russian bots or whatever, so we work very hard to get this right and we're continuing to make improvements on a weekly basis.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:] But this happens normally every day, not during elections. It's happening every time that a trend is inflated with bots. There's been no adequate response to this. There are things that are aggressive.

This is for Twitter and for Facebook. When a user reports something that has been published, very commonly they report that they are not breaching their policy but they are aggressive against the person. They tell us that it's not breaching the policy, but it's somebody who is lying, who is attacking, and the person feels vulnerable. Many a time nothing happens because it's not breaching your policies.

Also, with this thing about the authentication, when the accounts are authenticated with blue arrows, even the other accounts can be blocked. Some people say identify yourself and they block all the accounts. Meanwhile, there are thousands of fake accounts and nothing happens, even if they are reported. There are users who are constantly reporting these fake accounts. Why do you have a different policy?

(1200)

The Chair:

Give a short answer, please.

Mr. Carlos Monje:

We are working to adjust our policies. We have things that are against our rules and we have things that aren't against our rules but that people don't like. We call it, internally, the gap. What we've been doing and what our teams have been doing is trying to break those issues down, portion by portion, and understand where the expectations of our users don't match the experience they're getting.

Our approach is, again, very consistent. We want people to feel comfortable, to feel safe to come online. We also don't want to squelch public expression, and these are issues that we care about deeply and take very personally.

The Chair:

Thank you.

Next up, we'll go to the Kingdom of Morocco for five minutes. [Translation]

Mr. Mohammed Ouzzine (Deputy Speaker, Committee of Education and Culture and Communication, House of Representatives of the Kingdom of Morocco):

Thank you, Mr. Chair.

I would also like to thank the kind team doing us the honour of being here today: Kevin Chan, Derek Slater, Neil Potts, Carlos Moje and Michele Austin. We would have liked Mark Zuckerberg to be with us, but he let us down. We hope he will return some other time.

I have been very attentive to two proposals from Mr. Chan. I would like to make a linguistic clarification for interpreters: when I use the word “proposition”, in English, it refers to the term “proposition”, and not “proposal”.

In presenting the issues raised by his company, Mr. Chan said that it was not just Facebook's responsibility to resolve them. We fully agree on this point.

And then, again on these issues, he added that society must be protected from the consequences. Of course, these platforms have social advantages. However, today we are talking about the social unrest they cause; this is what challenges us more than ever.

Facebook, Twitter and YouTube were initially intended to be a digital evolution, but it has turned into a digital revolution. Indeed, it has led to a revolution in systems, a revolution against systems, a revolution in behaviour, and even a revolution in our perception of the world.

It is true that today, artificial intelligence depends on the massive accumulation of personal data. However, this accumulation puts other fundamental rights at risk, as it is based on data that can be distorted.

Beyond the commercial and profit aspect, wouldn't it be opportune for you today to try a moral leap, or even a moral revolution? After allowing this dazzling success, why not now focus much more on people than on the algorithm, provided that you impose strict restrictions beforehand, in order to promote accountability and transparency?

We sometimes wonders if you are as interested when misinformation or hate speech occurs in countries other than China or in places other than Europe or North America, among others.

It isn't always easy to explain why young people, or even children, can upload staged videos that contain obscene scenes, insulting comments or swear words. We find this unacceptable. Sometimes, this is found to deviate from the purpose of these tools, the common rule and the accepted social norm.

We aren't here to judge you or to conduct your trial, but much more to implore you to take our remarks into consideration.

Thank you.

(1205)

Mr. Kevin Chan:

Thank you very much, Mr. Ouzzine.

Again, please allow me to answer in English. It isn't because I can't answer your question in French, but I think I'll be clearer in English.[English]

I'm happy to take the first question with respect to what you were talking about—humans versus machines or humans versus algorithms. I think the honest truth on that is that we need both, because we have a huge amount of scale, obviously. There are over two billion people on the platform, so in order to get at some of the concerns that members here have raised, we do need to have automated systems that can proactively find some of these things.

I think to go back to Mr. Collins's first question, it is also equally important that we have humans that are part of this, because context is ultimately going to help inform whether or not this is malicious, so context is super important.

If I may say so, sir, on the human questions, I do think you are hitting on something very important, and I had mentioned it a bit earlier. There is this need, I think, for companies such as Facebook not to make all of these kinds of decisions. We understand that. I think people want more transparency and they want to have a degree of understanding as to why decisions were arrived at in the way they were in terms of what stays up and what goes down.

I can tell you that in the last few months, including in Canada, we have embarked on global consultation with experts around the world to get input on how to create an external appeals board at Facebook, which would be independent of Facebook and would make decisions on these very difficult content questions. We think there is—at least as our current thinking in terms of what we put out there—this question of whether they should be publicly binding on Facebook. That is sort of the way we have imagined it and we are receiving input and we will continue to consult with experts. Our commitment is to get this done by 2019.

Certainly, on our platform, we understand that this is challenging. We want a combination of humans and algorithms, if you will, but we also understand that people will have better confidence in the decisions if there is a final board of appeal, and we're going to build that by 2019.

Of course, we're all here today to discuss the broader question of regulatory frameworks that should apply to all services online. There, once again obviously, the human piece of it will be incredibly important. So thank you, sir, for raising that, because that's the nub, I think, of what we're trying to get at—the right balance and the right framework per platform but also across all services online.

The Chair:

Thank you, Mr. Chan.

Next up, we will go to Ecuador for five minutes.

Ms. Elizabeth Cabezas (President, National Assembly of the Republic of Ecuador):

[Delegate spoke in Spanish, interpreted as follows:]

Thank you very much.

I want to talk about some of the concerns that have already been mentioned at this meeting, and also express great concern regarding tweets and Twitter, on which there is a proliferation in the creation of false accounts that are not detected. They definitely remain active for a very long time on social networks and generate, in most cases, messages and trends that are negative and against different groups, both political and those that are linked to businesses or unions in many different areas.

I don't know what mechanisms you have decided to choose to verify the creation of these, because these are accounts that have to do with troll centres or troll farms, which in the case of Ecuador have really cropped up very frequently and which continue to. They have been spreading messages on a massive scale, malicious messages that counteract real information and true information and really twist the points of view.

More than continuing to mention the issues that have already been mentioned, I would urge you to think about fact-checking mechanisms that can detect these accounts in a timely manner, because definitely you do not do it quickly enough or as quickly as is necessary. This allows damaging messages to proliferate and generate different thoughts, and they distort the truth about a lot of subjects.

I don't know what the options are, in practice, or what you're going to be doing in practice to avoid this or prevent this, and to prevent the existence of these troll centres and the creation of accounts that are false, of which there are many.

(1210)

Mr. Carlos Monje:

Thank you. That is exactly the right question to ask, and one that we work on every day.

I'll just note that our ability to identify, disrupt and stop malicious automation improves every day. We are now catching—I misspoke earlier—425 million accounts, which we challenged in 2018.

Number one is stopping the coordinated bad activity that we see on the platform. Number two is working to raise credible voices—journalists, politicians, experts and civil society. Across Latin America we work with civil society, especially in the context of elections, to understand when major events are happening, to be able to focus our enforcement efforts on those events, and to be able to give people more context about people they don't understand.

I'll give you one example because I know time is short. If you go onto Twitter now, you can see the source of the tweet, meaning, whether it is coming from an iPhone, an Android device, or from TweetDeck or Hootsuite, or the other ways that people coordinate their Twitter activities.

The last piece of information or the way to think about this is transparency. We believe our approach is to quietly do our work to keep the health of the platform strong. When we find particularly state-sponsored information operations, we capture that information and put it out into the public domain. We have an extremely transparent public API that anybody can reach. We learn and get better because of the work that researchers have undertaken and that governments have undertaken to delve into that dataset.

It is an incredibly challenging issue, I think. One of the things you mentioned is that it's easy for us to identify instantaneous retweets and things that are automated like that. It is harder to understand when people are paid to tweet, or what we saw in the Venezuelan context with troll prompts, those kinds of things.

We will continue to invest in research and invest in our trolling to get better.

The Chair:

We'll move on to the last on our list and then we'll start the sequence all over again.

To Saint Lucia, please go ahead for five minutes.

Mr. Andy Daniel (Speaker, House of Assembly of Saint Lucia):

Thank you, Mr. Co-chair.

My questions are to Neil Potts, Global Policy Director. I have two questions.

The first one is that I would like to understand and to know from him and from Facebook, generally, whether or not they understand the principle of “equal arms of government”. It would appear, based on what he said earlier in his opening remarks, that he is prepared and he is willing to speak to us here, and Mr. Zuckerberg will speak to the governments. It shows a.... I do not understand...not realizing the very significant role that we play as parliamentarians in this situation.

My next question is with reference to Speaker Nancy Pelosi's video, as well as to statements made by him with reference to Sri Lanka. He said that the videos would only be taken down if there were physical violence.

Let me just make a statement here. The Prime Minister of Saint Lucia's Facebook accounts have been, whether you want to say “hacked” or “replicated”, and he is now struggling out there to try to inform persons that this is a fake video or a fake account. Why should this be? If it is highlighted as fake, it is fake and it should not be....

Let me read something out of the fake...and here is what it is saying, referring to a grant. I quote: It's a United Nation grant money for those who need assistance with paying for bills, starting a new project, building homes, school sponsorship, starting a new business and completing an existing ones. the United nation democratic funds and human service are helping the youth, old, retired and also the disable in the society....

When you put a statement out there like this, this is violence against a certain vulnerable section of our society. It must be taken down. You can't wait until there is physical violence. It's not only physical violence that's violence. If that is the case, then there is no need for abuse when it is gender relations, or otherwise. Violence is violence, whether it is mental or physical.

That is my question to you, sir. Shouldn't these videos, these pages, be taken down right away once it is flagged as fake?

(1215)

Mr. Neil Potts:

If it is the case that someone is misrepresenting a member of government, we would remove that if it is flagged. I will follow up with you after this hearing and make sure that we have that information and get it back to the team so that we can act swiftly.

Maybe perhaps to address a few of the other conversations here, there's been this kind of running theme that Mr. Zuckerberg and Ms. Sandberg are not here because they are eschewing their duty in some way. They have mandated and authorized Mr. Chan and me to appear before this committee to work with you all. We want to do that in a very co-operative way. They understand their responsibility. They understand the idea of coequal branches of government, whether that's the legislative branch, the executive branch or the judicial branch. They understand those concepts and they are willing to work. We happen to be here now to work on—

The Chair:

With respect, Mr. Potts, I'm going to step in here.

With respect, it is not your decision to select whether you're going to come or not. The committee has asked Mr. Zuckerberg and Ms. Sandberg to come, plain and simple, to appear before our international grand committee. We represent 400 million people, so when we ask those two individuals to come, that's exactly what we expect. It shows a little bit of distain from Mark Zuckerberg and Ms. Sandberg to simply choose not to come. It just shows there's a lack of an understanding about what we do, as legislators, as the member from Saint Lucia mentioned. The term “blowing us off”, I think, can be brought up again, but it needs to be stated that they were invited to appear and they were expected to appear and they're choosing not to. To use you two individuals in their stead is simply not acceptable.

I'll go back to Mr. Daniel from Saint Lucia.

Mr. Neil Potts:

Thank you, Mr. Zimmer. I want to be clear. I'm not familiar with the procedures of Canadian Parliament and what requires appearance. I respect that, but I do want to get on record that they are committed to working with government, as well as being responsible toward these issues.

Additionally—

The Chair:

I would argue, Mr. Potts, if that were the case, they would be seated in those two chairs right there.

Continue on.

Mr. Neil Potts:

Additionally, just to address another question that I think is permeating, about how we go about removing content and identifying it, we do remove content for a number of various abuse types. It's not just violence. In that specific case, where we're talking about misinformation, the appearance of some of these tropes that appeared in Sri Lanka and other countries, we removed that on the cause that it would lead to violence. But we have policies that cover things like hate speech, where violence may not be imminent. We have things like personal identifiable information, bullying, which we take very seriously, that may not lead directly to violence but we do enforce those policies directly and we try to enforce them as swiftly as possible.

We now have 30,000 people globally working on these issues. There was a comment earlier about having people with the right amount of context to really weigh in. For all the countries that are represented here, I just want to say that, within that 30,000 people, we have 15,000 content moderators who speak more than 50 languages. They work 24 hours a day, seven days a week. Some of them are located in countries that are here before us today. We take that very seriously.

Additionally, we do have a commitment to working with our partners—government, civil society and academics—so that we are arriving at the answers that we think are correct on these issues. I think we all recognize that these are very complex issues to get right. Everyone here, I think, shares the idea of ensuring the safety of our community, all of whom are your constituents. I think we share those same goals. It's just making sure that we are transparent in our discussion and that we come to a place where we can agree on the best steps forward. Thank you.

The Chair:

Thank you.

It was just brought to my attention, too, the inconsistency in your testimony, Mr. Potts.

On one hand, Mr. Collins had asked you about the Pelosi video, which you're not going to pull down. Then within 30 minutes or within an hour you just answered the member from Saint Lucia that it would come down immediately. I just would like you to be completely aware that it's expected that you completely tell the truth to this committee at this time and not to be inconsistent in your testimony.

(1220)

Mr. Neil Potts:

Mr. Zimmer, if I was inconsistent, I apologize, but I don't believe that I answered the question differently. If I had a transcript, obviously I would flag where my discrepancy was and correct it immediately.

Again, on misinformation that is not leading to immediate harm, we take an approach to reduce that information, inform users that it is perhaps false, as well as remove inauthentic accounts. If someone is being inauthentic, representing that they are someone else, we would remove that. Authenticity is core to our principles, authentic individuals on our platform. That's why we require real names.

The question that I believe Mr. Collins was asking was about the video, the video itself. It's not that the user was inauthentic in his sharing of the video. The user is a real person or there's a real person behind the page. It's not a troll account or a bot or something like that. We would remove that.

If I misspoke, I apologize, but I want to be clear that I don't think my—

The Chair:

I don't think it's any clearer to any of us in the room, but I'll move on to the next person.

We'll go to Mr. Baylis, for five minutes.

Mr. Frank Baylis (Pierrefonds—Dollard, Lib.):

Thank you. I'll start off with Mr. Slater.

A couple of weeks ago, we had another one of your gentlemen in, telling us that Google would not comply with Bill C-76, our new election campaign law. I asked, “Why not?” He said, “Well, we can't get the programming done in six months' time.”

I pointed out that Facebook can, and he said, “Well, our systems are more difficult and it's more complicated.”

He said, “We can't do it in six months”, so I asked him, “Okay, how much time do you need? When can you get it done?” He said he didn't know.

Can you explain that?

Mr. Derek Slater:

They've given you extensive information on this front, but just to add a bit, yes, we are a different service, and while we knew regrettably that we would not be in a position to offer election advertising in this time, we would look to it in the future.

Mr. Frank Baylis:

If you can say you can't do it in six months' time but you don't know how long it will take, how do you know you can't do it in six months, when Facebook can do it in six months?

Mr. Derek Slater:

We are very different services with different features of various types.

Mr. Frank Baylis:

How do you not know how long it will take?

Mr. Derek Slater:

In part, it's because things continue to change over time. It's a rapidly evolving space, both legally and in terms of our services. Therefore, in terms of exactly when it will be ready, we wouldn't want to put—

Mr. Frank Baylis:

You know you can't do it in six months.

Mr. Derek Slater:

Yes.

Mr. Frank Baylis:

However, you don't know how long it would take.

Mr. Derek Slater:

Correct.

Mr. Frank Baylis:

I was worried about that, so I asked, “What happens, then, if someone puts up an ad that they're not allowed to?” He said not to worry about that, and do you know why? He said they'll find it instantaneously; they can pick it off.

I asked, “How do you do that?” and he said they have this artificial intelligence and they have a team of people.

Now it says you can find the ad instantaneously, but our law says once you have the ad, you have to put it up. You have 24 hours to put it in a database. That, you can't do.

Can you explain that to me? How is it possible that you have all this technology, you can identify any ad from any platform instantaneously, but you can't have your programmers put it up in 24 hours on a database, and it will take more than six months to do so?

Mr. Derek Slater:

If I understand the question correctly, it is simpler to take a more conservative approach, an approach that is more broadly restrictive than one that says, yes, we're going to validate that this is an election ad operating under the law, and so on and so forth.

Mr. Frank Baylis:

You're already making a decision. You're validating it because you're blocking it. He told me that. You're doing that.

Mr. Derek Slater:

Yes, we may be blocking it for a variety of reasons if it violates our policies.

Mr. Frank Baylis:

No, not your policies; he said “political ads”. My question was very specific.

You can stop it, but you can't put it on a database. I want to understand the difference.

Mr. Derek Slater:

There is a big difference between saying we're going to take, in general, a conservative approach here and saying, on the other hand, “I'm going to say clearly this is a legitimate election ad”, taking that further step.

Mr. Frank Baylis:

Once you see that it's an ad, you're not letting it go up. You're blocking it. You can instantaneously decide it's an ad, but once you've decided it's an ad, it's too much work to program it to put it in a database. That's what our law asks: Just put it in a database.

You're saying, “That, we can't do.”

Mr. Derek Slater:

The needs of implementing the law in the specific way it was written were prohibitive for us in this period of time to get it right, and if we're going to have election ads in the country, we absolutely need to and want to get it right.

That was the decision we had to make here, regrettably, but we look forward to working on it in the future.

Mr. Frank Baylis:

You could decide that you couldn't do it in six months' time, even though someone else could do it, and you decided you can instantaneously capture any ad from anywhere at any time, but you don't have the technological capability at Google to put it in a database within 24 hours. You just don't have that capability to program that in six months.

Mr. Derek Slater:

We do not have the capability at this time to comply in fullness with that law.

(1225)

Mr. Frank Baylis:

You don't have the capability. Are you serious when you say that?

Are you serious when you say that you can identify any ad from any platform anywhere, but you can't get your programmers to put it in a database? It will take too long for you to program moving it from being identified to just putting it in a database.

Mr. Derek Slater:

I can't speak to everybody's services everywhere. To be clear, we use machines and people to monitor ads that are submitted through our systems to make sure they are in compliance with our rules.

In terms of the additional obligations, no, we were not able to meet them in this case.

Mr. Frank Baylis:

Okay. I have another question for Google and Facebook, a simple question.

I don't like your terms of use. What can I do about it?

Mr. Kevin Chan:

Sir, if you could explain to me, perhaps give me a bit more colour about what you don't like about it....

Mr. Frank Baylis:

I don't like being spied on.

Mr. Kevin Chan:

Oh, well, we don't do that, sir.

Mr. Frank Baylis:

You collect data on me that I don't want you to collect.

Mr. Kevin Chan:

As you know, I do spend a lot of time on digital literacy space. What is appropriate is for people to not put as much as they do not wish to put on the service.

Sir, if I may, to get to a different point on this, we are, as you know I think, going to be releasing a very different type of product experience in the next little while, where you're going to be able to remove not only information we have that you've put onto the service, but you're going to be able to remove also information that would have been on the service because of integrations with other services across the Internet. We are going to give you that functionality, so again, to the extent that is not desirable for you, we do want to give you that control.

The Chair:

Thank you, Mr. Baylis. Unfortunately, we have to move on.

Next up for five minutes is Mr. Kent.

Hon. Peter Kent:

Thank you, Chair.

This is a question for Mr. Chan.

If a Canadian employer came to Facebook and wanted to place an employment ad microtargeting by age and sex and excluding other demographic groups, would Facebook accept that ad?

Mr. Kevin Chan:

Sir, thank you for the question. Again, I want to also thank you for extending an invitation to us to be part of your recent round table in Oshawa. It was greatly appreciated.

That would be a violation of our policies, so it would not be accepted.

We have a couple of things and I think I understand what you're getting at—

Hon. Peter Kent:

If I can, because time is short.... Would it shock you to learn that we in the official opposition of Parliament have received an answer to an Order Paper question today that says that several Government of Canada departments have placed ads with exactly those microtargeted conditions and that your company is named a number of times.

Mr. Kevin Chan:

Sir, that is, as you know, through the incredibly thorough reporting of Elizabeth Thompson from the CBC, also out in the public domain, because I read it there first.

You should know that this is a violation of our policy, sir. We have actually moved quite aggressively in the last little while to remove a whole bunch of different targeting abilities for these types of ads. We have also—for housing, employment and credit ads, to be clear—required all advertisers on a go-forward basis to certify that they are not running housing and credit and employment ads.

Hon. Peter Kent:

Have you informed the Government of Canada that this sort of microtargeting practice by the Liberal Government of Canada will no longer be accepted? Just give a yes or no.

Mr. Kevin Chan:

We have sent out emails to all admins telling them that they cannot do this.

Hon. Peter Kent:

Coming back to Mr. Collins' original question about the manipulated, sexist, politically hostile video that has been allowed to stay on your Facebook platform, I understand that after The Washington Post contacted Facebook, a statement was issued saying, “We don't have a policy...that the info you post on Facebook must be true”.

From your earlier answers, it would seem that Facebook is refusing to remove this politically hostile video, claiming a sort of perverted defence claim of free speech, and that in the 24 hours after The Washington Post made that notification to you, they report that there was a viewership, on a single Facebook page, of more than 2.5 million views and that it was multiplied many times on other Facebook pages.

If that were to happen in the Canadian election—a similar video of a Canadian politician, perhaps the leader of one or another of the parties were to be posted and manipulated in the same way to give the impression of mental incapacity or intoxication—would Facebook remove that video, or would you do what you maintained in your answers to Mr. Collins, simply say that it's not true, despite those who would continue to exploit the falseness of the video?

(1230)

Mr. Kevin Chan:

Sir, just leaving aside the specific video in question that is originating from the United States, we have been at this and I have been at this personally for the last two-plus years, trying to find ways to better secure the platform for the upcoming election.

I can tell you that when we receive requests from various sectors and people and parties, 99% of the time when we find something that has been reported to us, we actually go beyond what the content is. We're not looking for the content. We're looking for the behaviour.

Hon. Peter Kent:

But would you take it down?

Mr. Kevin Chan:

If it originates from a fake account or if it's deemed to be spam, or if it is a violation otherwise of a community's standards, absolutely we would.

I can assure you that in almost every instance that I—

Hon. Peter Kent:

But it is false. It's not the truth. Does Facebook still defend the concept that it doesn't have to be truthful to be on your platform?

Mr. Kevin Chan:

Sir, I understand what you're getting at. I think that, if you'll permit me, the way I would like to maybe talk about it a bit is—

Hon. Peter Kent:

Yes or no would work.

Mr. Kevin Chan:

That's why we're here. We would welcome basic—

Hon. Peter Kent:

So is this a learning experience for you?

Voices: Oh, oh!

Mr. Kevin Chan:

Mr. Kent....

Hon. Peter Kent:

I ask that with respect and civility.

Mr. Kevin Chan:

We would welcome basic standards that lawmakers can impose on the platform about what should go up and what should come down. If lawmakers, in their wisdom, want to draw the line somewhere north or south of censorship, we would, obviously, oblige the local law.

Hon. Peter Kent:

Perhaps I will close by commenting.

Chris Hughes, a disillusioned co-founder of Facebook who has become something of a whistle-blower again for some, says that “Facebook isn’t afraid of a few more rules. [Facebook is] afraid of an antitrust case”.

Are you aware that, in democracies around the world, you are coming closer and closer to facing antitrust action?

Mr. Kevin Chan:

I am aware of multiple questions with respect to regulation around the world, yes, sir.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Mr. Kent.

Just so that you're aware, I want to remind you all about the sequence of questioning. We're going one question per delegation first, through the countries. You can see how the pattern has been established. Then there are going to be different rounds until all the members have had a chance to ask a question. For example, the next member in the delegation would ask the next question, etc.

Right now we have the second member of the delegation for the U.K., Mr. Lucas. He will be asking the next five-minute question, or maybe Jo Stevens.

Prepare yourself for that. I might look to different countries. If you have a second delegate, he or she will be given the opportunity to ask a question as well.

Go ahead, Ms. Stevens, for five minutes.

Ms. Jo Stevens (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Mr. Chair.

Mr. Potts and Mr. Chan, I want to say thank you for coming today, but my colleagues and I from the U.K. Parliament wanted to ask Mark Zuckerberg our questions. He wouldn't come to answer our questions in London at our Parliament, so we have come across the Atlantic to make it easier for him. We can only conclude that he's frightened of scrutiny. For the avoidance of doubt, I am sick to death of sitting through hours of platitudes from Facebook and avoidance tactics with regard to answering questions. I want the boss here to take responsibility, so please take that message back to Mr. Zuckerberg.

I'd like to ask the Google representatives a question.

In any other sector, your company's monopolistic position would have been dismantled by now. What are you doing at the moment to prepare yourselves for that eventuality?

Mr. Colin McKay:

I think we're working very hard to demonstrate to our users and to regulators that we bring value to the marketplace and to our users. They have a clear understanding—whether they're using our maps in signed-in or incognito mode, whether they're using Gmail, or whether they're using our infrastructure services—that there is a value for them and that we're playing a positive role in the marketplace not only by providing value for them in terms of computing services, but also by providing products and services that help businesses grow around the world.

We think regulators have a right and, certainly, a duty to scrutinize our business and to examine it within the framework that they have that's been set up through their local jurisdictions. We will participate in that process and try to explain how we think we're providing that value when we're meeting the obligations of the regulations as they have interpreted them.

(1235)

Ms. Jo Stevens:

However, you're not taking any steps at the moment to prepare yourself for cases.

Mr. Colin McKay:

At the moment, we're focusing on providing services that both fulfill and anticipate the needs of our users.

Mr. Ian Lucas:

Perhaps I could ask about a specific hearing that Facebook gave evidence at in February 2018. When we asked Facebook about Cambridge Analytica in Washington, we were not informed of the data incident involving Cambridge Analytica and Aleksandr Kogan.

Mr. Potts, with regard to transparency, which you raised, why were we not informed about the Cambridge Analytica incident, which we specifically raised on that day?

Mr. Neil Potts:

Thank you, Mr. Lucas.

I'm sorry, but I'm not quite clear on what happened during that hearing. I can try to find out exactly what was presented and what evidence was given, but I, unfortunately, don't recall what was given.

Mr. Ian Lucas:

It's a matter of public record. The reason we want Mark Zuckerberg here is that we want clear evidence from Facebook executives about specific questions that we've asked.

Mr. Chan, can you answer the question for me?

Mr. Kevin Chan:

Sir, I'm afraid that I don't want to speak out of turn, but we're not familiar with the transcript of what happened in, I think you said, February 2018. Certainly we would undertake to find out.

Mr. Ian Lucas:

I can tell you exactly what happened. I could read the position. We raised the issue of Cambridge Analytica, the data incident and the issue related to Cambridge Analytica. We were not told that there had been a data incident involving Aleksandr Kogan, which came out subsequently in the newspapers within two months. You're aware of that incident, I assume.

Mr. Neil Potts:

We are aware of Cambridge Analytica. Again, we don't know, I guess, what attestations were made.

Mr. Ian Lucas:

Did you regard that incident as a serious matter, the Cambridge Analytica incident?

Mr. Neil Potts:

Yes, Mr. Lucas.

Mr. Ian Lucas:

Do you know what steps were taken within Facebook when the Cambridge Analytica incident involving Aleksandr Kogan...? What steps were taken? Do you know?

Mr. Kevin Chan:

If I understand your question, since 2014 we have significantly reduced—

Mr. Ian Lucas:

I asked you a specific question. What steps were taken within Facebook when you became aware of the Cambridge Analytica incident? I'm choosing my words very carefully, more sympathetically than most would. Some people would call this a data breach, but on the incident involving Aleksandr Kogan, what steps were taken by Facebook?

Mr. Kevin Chan:

Specifically with Aleksandr Kogan's app, that app is banned from the platform, sir.

Mr. Ian Lucas:

Who made that decision?

Mr. Kevin Chan:

The company.... I couldn't tell you. If you were looking for a specific individual, I really couldn't tell you, but the company—

Mr. Ian Lucas:

The specific individual I'd like to be asking this question of is Mark Zuckerberg because I want to know if he knew about this incident then. Did he know?

I've asked Mike Schroepfer this question and he told me he'd get back to me. That was last summer. Did Mark Zuckerberg know about that breach in 2015?

Mr. Kevin Chan:

Sir, we are very happy to get you an answer to that. To the extent that you haven't had it, which seems to be what you are saying, we apologize. We obviously want to always co-operate with questioning—

Mr. Ian Lucas:

Can I just stop you there?

You said, Mr. Potts, that the incident was serious. Can you give me an example of a business or an individual who has been taken off the Facebook platform for the type of incident or breach that happened involving Aleksandr Kogan, the sharing of information?

Mr. Neil Potts:

I think that you just named one. Mr. Lucas, I don't work on those issues directly, the privacy issues. Those go through a separate team.

I do want to say that we are committed, as Mr. Chan said, to getting back to you. I've had the pleasure of giving testimony in evidence before a committee recently and—

(1240)

Mr. Ian Lucas:

I'm sorry, Mr. Potts. We want basic honesty, which is a universal value, and you have people from around the world at this table. We all understand honesty. We've got different legal systems—

Mr. Neil Potts:

I fully—

Mr. Ian Lucas:

—and I want straight answers. I've heard from you four times in evidence.

Mr. Neil Potts:

Mr. Lucas, I fully agree with you about honesty and—

The Chair:

I'm sorry Mr. Potts—

Mr. Neil Potts:

—and to impugn somebody's integrity, it is a strong action.

The Chair:

Mr. Potts, the priority is given to members of the committee, and Mr. Lucas has the floor.

Go ahead, Mr. Lucas.

Mr. Ian Lucas:

I have not had a straight answer from your company. You've been sent here by Mr. Zuckerberg to speak on behalf of Facebook. He's had plenty of notice of these questions.

Mr. Kevin Chan:

I'm sorry, sir, let me just.... If I understand correctly, your question was: Are there other apps that have been banned from the platform for inappropriate use or abuse of the platform? The answer is yes.

Mr. Ian Lucas:

For transferring data....

The Chair:

We're at time, so I have to move on to the next questioner, who is Mr. Lawless from Ireland.

Mr. James Lawless (Member, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Mr. Chair, thanks for including us here today. I'm glad to be here.

We've had engagement, obviously, at our Irish committee with the companies and we met Mr. Zuckerberg in Dublin recently.

I have to say that I welcome the engagement of the representatives from the tech companies that are here, but I do find extraordinary some of the statements that have been made, such as the statement made by Mr. Potts a few minutes ago that he wasn't familiar with the parliamentary procedure, and that was maybe to explain some gap in the evidence.

I also find it extraordinary that some of the witnesses are unfamiliar with previous hearings and previous discourse on these matters in all of our parliaments. I would have thought that was a basic prerequisite before you entered the room, if you were qualified to do the job. I caveat my questions with that. It is disappointing. I want to put that on record.

Moving on to the specifics, we've heard a lot of words, some positive words, some words that are quite encouraging if we were to believe them, both today and previously, from the executive down. However, I suppose actions speak louder than words—that's my philosophy. We heard a lot today already about the Cambridge Analytica-Kogan scandal. It's worth, again, putting on record that the Irish data protection commissioner actually identified that in 2014 and put Facebook on notice. However, I understand that it wasn't actually followed up. I think it was some two or three years, certainly, before anything was actually done. All that unfolded since could have been avoided, potentially, had that actually been taken and followed up on at the time.

I'm following that again to just, I suppose, test the mettle of actions rather than words. These first few questions are targeted to Facebook.

We heard Mr. Zuckerberg say in public, and we heard again from witnesses here today, that the GDPR is a potential gold standard, that the GDPR would be a good model data management framework and could potentially be rolled out worldwide. I think that makes a lot of sense. I agree. I was on the committee that implemented that in Irish law, and I can see the benefits.

If that is so, why is it that Facebook repatriated 1.5 billion datasets out of the Irish data servers the night before the GDPR went live? Effectively, we have a situation where a huge tranche of Facebook's data worldwide was housed within the Irish jurisdiction because that's the EU jurisdiction, and on the eve of the enactment of GDPR—when, of course, GDPR would have become applicable—1.5 billion datasets were taken out of that loop and repatriated back to the States. It doesn't seem to be a gesture of good faith.

Perhaps we'll start with that question, and then we'll move on if we have time.

Mr. Kevin Chan:

Thank you very much, sir.

I very much agree with you that actions speak louder than words. I think that, to the degree that we need to demonstrate that, we will be working in the coming months and in the coming years through our actions to demonstrate that we intend to keep our service secure and the privacy of individuals safe, and that we intend to do the right thing.

In terms of what you mentioned with respect to the transfer.... Again—full declaration—I am not a lawyer, but I understand that's consistent with our terms of service.

Mr. James Lawless:

It's consistent, but it's also incredibly convenient that it was on the night before the GDPR became effective.

I'll ask another question in the same vein. My understanding is that Facebook is continuing to appeal a number of decisions. The U.K. information commissioner had a negative finding against Facebook recently, which Facebook is appealing. My colleague, Hildegarde Naughton, has talked about the Irish data protection commissioner's findings.

If you're putting your hands up and saying, “We got some things wrong”, and demonstrating good faith, which I would welcome if that were the case, why are you continuing to appeal many of these decisions?

(1245)

Mr. Kevin Chan:

There are instances.... Because they are subject to court processes, there are limits to what I think we can say today. As you are probably aware, we are trying very hard to arrive at resolutions on other open matters. I think that I would urge you to observe our actions as we can make them public through these processes and make a determination at that time.

Mr. James Lawless:

I just have a very quick question for Google.

I understand that Google's approach has been to not run political advertising at all, certainly in the Canadian context. We saw a similar decision in Ireland during the abortion referendum a year ago. I have concerns about that decision because I think that it allows malevolent actors to take the stage in terms of misinformation that's not targeted. I think that perhaps it's actually more bona fide to have political actors be transparent and run ads in a legitimate, verified context.

I'm just concerned about that, and I hope that's not going to be long term. Maybe that's an interim move.

Mr. Colin McKay:

With the few seconds we have left, I have an observation. Both in Ireland and in Canada, we found ourselves in a position where we were seeing uncertainty in what we could guarantee to the electorate. We wanted to make sure we had a strict framework around how we were serving advertising and recognizing our responsibilities. As my colleague mentioned earlier, a goal of ours moving forward is that we have the tools in place so that, whether it's a question of ambiguity or malevolent actors, there is transparency for users and it's done in a clear and consistent way across all our products.

The Chair:

Thank you, Mr. Lawless.

We'll go into our next round now.

Go ahead, Singapore.

Ms. Sun Xueling (Senior Parliamentary Secretary, Ministry of Home Affairs and Ministry of National Development, Parliament of Singapore):

I would like to come back to the example of Sri Lanka, with Mr. Neil Potts.

Mr. Potts said earlier that he was not aware that the incendiary videos had been sent up to Facebook. I would like to highlight that in an article in The Wall Street Journal, Mr. Hilmy Ahamed, Vice-President of the Muslim Council of Sri Lanka, said that Muslim leaders had flagged Hashim's inflammatory videos to Facebook and YouTube using the services that were built into your reporting system.

Can I just confirm with Mr. Potts that if you were aware of these videos, Facebook would have removed them?

Mr. Neil Potts:

Yes, ma'am. That's correct. If we are aware, we would remove the videos. With this specific case, I don't have the data in front of me to ensure we were put on notice, but if we were aware, these videos would have been removed.

Ms. Sun Xueling:

Thank you.

Similarly, can I then confirm in the same spirit that if Facebook were aware of a video being falsified—and we discussed the case of Nancy Pelosi earlier—Facebook would then carry a clarification that they are aware the video is falsified?

Mr. Neil Potts:

When one of our third party, fact-checking partners.... We have over 50 now who are international, global and that adhere to the Poynter principles. They would rate that as being false. We would then put up the disclaimer. We would also aggressively reduce that type of information and also signal to users who are not only engaging with it but trying to share, or have shared, that it has been rated false.

Ms. Sun Xueling:

Your disclaimer would actually say that you understand that the information contained is false.

Mr. Neil Potts:

It would have a link or a header to the article from one of the fact-checkers that disputes and claims it is false.

Ms. Sun Xueling:

This would be circulated to all who would have seen the original video.

Mr. Neil Potts:

If you are engaging with it currently, you would see it, whether at the bottom in your newsfeed or perhaps on the side if you are on desktop. If you have shared it, you would be informed that there has been an action disputing the validity of the content.

Ms. Sun Xueling:

Mr. Chan, previously you had talked about Facebook putting friction into the system. Can I then confirm with you that Facebook is committed to cutting out foreign interference in political activities and elections, and that you would actively put friction into the system to ensure that such foreign interference is weeded out?

Mr. Kevin Chan:

I suspect you're asking about potential legislation in Singapore. You would be well served to look at the Elections Modernization Act that Canada put in place—

Ms. Sun Xueling:

My question was quite specific. I wanted you to confirm what you said earlier, that you are putting “friction” into the system. You specifically used that term.

Mr. Kevin Chan:

Parliament has given us great guidance and we have decided to put friction into the system. We would recommend that the Canadian model be something that you consider as you develop legislation elsewhere.

(1250)

Ms. Sun Xueling:

Thank you.

The Chair:

We've gone through just about all the delegates. We're going to go back to the U.K. for another kick. You didn't have to share your time, so we're going to give you some more time.

We're going to go to Mr. Erskine-Smith, and I think Mr. Angus has another question. Ms. Stevens...again, and then I think we've completed everybody.

As chair, I'm going to try to give everybody a five-minute turn. Once we have gone through everybody, we have David to follow the sequence. Then we'll look at second questions in second five-minute times, so if you wish to ask another question, please let the chair know, and I'll try to put them in priority.

Next up, we have Mr. Erskine-Smith.

Mr. Nathaniel Erskine-Smith:

Thank you very much.

I just want to pick up where I left off with Google. Would you support a competition framework that includes privacy in the competition commissioner's purview?

Mr. Colin McKay:

We have two regulatory mechanisms in Canada, one for competition and one for data protection. This was highlighted in the government's recent digital charter. They've both been identified for review over the next year and that's a process where I think we can discuss that balance.

Mr. Nathaniel Erskine-Smith:

So Google doesn't have a view right now. Okay.

To Twitter...and I ask this partly because our competition commissioner, unbeknownst to Facebook in particular, on Thursday is engaged in this very conversation. It's not just the German regulator. They're holding a data forum at the National Arts Centre.

Does Twitter have a view of competition policy and privacy?

Mr. Carlos Monje:

Thank you for the question, and thank you also for distinguishing the platforms that are on here. Twitter has a single-digit share of the advertising market. We have 130-odd million daily users. We treasure them all. We work to keep their trust and to keep them engaged, and are closely watching these antitrust and competition—

Mr. Nathaniel Erskine-Smith:

Do you agree that privacy should play a central role in competition law?

Mr. Carlos Monje:

I'd have to examine that a little bit more closely.

Ms. Michele Austin (Head, Government and Public Policy, Twitter Canada, Twitter Inc.):

We would echo the same comments said by Google. We would look forward—

Mr. Nathaniel Erskine-Smith:

So you have no view right now.

Ms. Michele Austin:

—to working on the marketplace framework, which is the basis of competition law.

Mr. Nathaniel Erskine-Smith:

Right. Okay, so none of you have a view on a really important issue of our day.

In terms of algorithmic accountability, the Government of Canada now has algorithmic impact assessments. Have any of your companies conducted algorithmic impact assessments? Facebook for News Feed, Google for the recommendation function on YouTube, and Twitter, have you conducted internal algorithmic impact assessments, yes or no?

Mr. Kevin Chan:

I think broadly, yes. I don't know exactly what you mean, but if you're asking if we have a work stream to understand the implications of algorithms—

Mr. Nathaniel Erskine-Smith:

To understand a risk assessment of positive and negative outcomes of the algorithms that you're currently employing on millions of people....

Mr. Kevin Chan:

Sir, not only do we have a team on it internally. We also have an international working group of experts on algorithmic bias that we convene on a regular basis to discuss these matters.

Mr. Nathaniel Erskine-Smith:

Your company has never had analysts look at the News Feed, and the algorithms that are employed on that News Feed, and said here are the positive and negative outcomes that we should be considering.

Mr. Kevin Chan:

I thought I just answered in the positive.

Mr. Nathaniel Erskine-Smith:

So you have. Okay.

Google, with respect to the YouTube recommendation function...?

Mr. Derek Slater:

Similarly, we're constantly assessing and looking to improve.

Mr. Nathaniel Erskine-Smith:

You have internal documentation that says these are the positive outcomes, these are the negative outcomes, and this is the risk assessment with respect to the algorithms we employ. Is it fair to say you have that?

Mr. Derek Slater:

We constantly do that sort of assessment, yes.

Mr. Nathaniel Erskine-Smith:

Great.

And Twitter, is it the same?

Mr. Carlos Monje:

We are assessing it. I'd also note that Twitter's use of algorithms is substantially different. People can turn it off at any point.

Mr. Nathaniel Erskine-Smith:

Would you provide the internal risk assessments to this committee?

Mr. Derek Slater:

Speaking for ourselves and the YouTube recommendation algorithm, we continue to try to improve the transparency that we have.

Mr. Nathaniel Erskine-Smith:

Would you provide those internal risk assessments? They ought to be public, frankly, as far as I'm concerned, in the same way the Government of Canada has an algorithmic impact assessment and any departmental agency that wants to employ an algorithm has to be transparent about it. None of you billion-dollar companies have to be, and I think you should be.

Would you provide to this committee the algorithmic impact assessments, which you've said you have done, and engage in some transparency?

Mr. Kevin Chan:

I thank you for that. I think we're going to go further than that. We are in the process, as I've mentioned, of providing more transparency on a number of things that you will see on the platform. We have actually introduced in some markets already, as a test, something called WAIST, which is “Why Am I Seeing This?” That gives you a very good sense of how things are being ranked and sorted by News Feed.

Mr. Nathaniel Erskine-Smith:

Because you're going to go further, I assume that it's, yes, you will provide that internal documentation to this committee.

Mr. Kevin Chan:

I think we're going to do better. We're going to speak by our actions, as we talked about earlier, sir.

Mr. Nathaniel Erskine-Smith:

I can't tell if it's a yes or a no.

Google...?

Mr. Derek Slater:

We will continue to communicate on how we're doing.

Mr. Nathaniel Erskine-Smith:

I take that as a no.

Twitter...?

Mr. Carlos Monje:

We believe transparency is key. I think there are a couple of points to consider. One is that each of these algorithms is proprietary. It's important to think about those things.

Mr. Nathaniel Erskine-Smith: I understand, yes.

Mr. Carlos Monje: The other is understandable. We often talk very different languages. Bad actors, and their understanding of how we do our things...and also to judge us on the outcomes and not necessarily the inputs.

(1255)

Mr. Nathaniel Erskine-Smith:

Okay.

I'm running out of time, so I want to talk about liability and the responsibility for content on your platforms. I understand that for very harmful content...and we can talk about the nature of the content itself. If it's very harmful, if it's child porn or terrorism, you will take it down. If it's clearly criminal hate speech, you take it down, because these are harmful just by the nature of the content. There would be liability in Germany, certainly, and we've recommended at this committee that there be liability. If it's obviously hateful content, if it's obviously illegal content, there should be liability on social media platforms if they don't take it down in a timely way. That makes sense to me.

The second question, though, is not about the nature of the content. It's about your active participation in increasing the audience for that content. Where an algorithm is employed by your companies and used to increase views or impressions of that content, do you acknowledge responsibility for the content? I'm looking for a simple yes or no.

Let's go around, starting with Google.

Mr. Derek Slater:

We have a responsibility for what we recommend, yes.

A voice: For sure.

A voice: Yes.

Mr. Carlos Monje:

Yes, we take that responsibility extremely seriously.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

The Chair:

We'll go back to the U.K. delegation for another five-minute slot.

Just so it's clear, Estonia has asked for a second question. Germany, Mexico and members of our committee have as well. There's Singapore, whose hand I've seen just now, Charlie Angus, Damian Collins and then I'll finish.

Mr. Lucas or Ms. Stevens, go ahead.

Mr. Ian Lucas:

To all the platforms, do you have a satisfactory age verification process in place for your platform?

Mr. Monje.

Mr. Carlos Monje:

We do. We implement the GDPR age gating procedures and are trying to figure out ways to do that in a way that protects the privacy of our users. Often you have to collect more information from minors in order to verify they are who they say they are.

Mr. Ian Lucas:

Facebook, do you have a satisfactory age verification process in place?

Mr. Kevin Chan:

I thought Carlos's answer was quite good. That's exactly the tension we're looking at.

Having said that, I understand the spirit of your question. We can always get better. I have to tell you—and I think you've heard it from colleagues of mine who recently appeared in the U.K.—

Mr. Ian Lucas:

You do read transcripts of evidence, then.

Mr. Kevin Chan:

Actually, I didn't. I spent time with a colleague, Karina Newton, whom members may know. She's a lovely lady and she spent some of her time briefing me on how she thought it went. She thought it went really well. There were really deep and piercing questions, sir, with respect to age verification.

Unfortunately, though, the technology is not quite there yet.

Mr. Ian Lucas:

Google...?

Mr. Derek Slater:

Yes, we have requirements in place and broadly agree with what was said.

Mr. Ian Lucas:

You may have requirements in place, but I've actually been able to join Instagram as a 10-year-old, I think, during the course of a committee meeting. It seems to me, from the evidence I've heard and from what I hear from my constituents in the U.K., people are extremely concerned and don't believe there are satisfactory age verification processes in place. Indeed, the evidence I received was that the platforms themselves in the U.K. seemed to be suggesting there weren't satisfactory age verification procedures in place.

Do you disagree with that? Do you think the position is okay? That is basically what most of us have been asking.

Mr. Kevin Chan:

Sir, what I said earlier was that we can always do better. The technology is not where we'd like it to be.

Mr. Ian Lucas:

Okay.

For Facebook, I'm a little confused about the relationship you have with WhatsApp and Instagram, and the transfer of data. If I give information to Facebook, is it freely transferable to Instagram and to WhatsApp?

Mr. Kevin Chan:

As you know—I believe, because Karina mentioned that you had an exchange on this in the U.K.—Facebook and Instagram are governed by one set of terms of service, and WhatsApp is governed by another.

(1300)

Mr. Ian Lucas:

That means information is shared between Instagram and Facebook.

Mr. Kevin Chan:

Correct. As we discussed earlier, it is important for us to be able to leverage infrastructure in order to do a lot of the things we do to try to keep people safe. Karina kind of mentioned this, although she said she didn't know if it was completely clear. Having real world identities on Facebook actually allows us to do some of the things we wouldn't be able to do with Instagram on its own to ensure we're able to get greater certainty on these questions of age, real world identity and so on. Facebook enables us to leverage some of the security systems and apply them to Instagram, because Instagram, as you obviously know, functions quite differently and has a very different set of practices in terms of how people use the service.

Mr. Ian Lucas:

Finally, to all the platforms, if you were legally responsible for the content of your platforms, would you be able to function as businesses?

Mr. Derek Slater:

There are existing legal frameworks with respect to our responsibility for illegal content, which we abide by.

Mr. Ian Lucas:

If it were possible to conduct legal actions against the separate platforms because of information that you circulated, which we knew could cause harm in the future, do you think you would be able to continue to trade or do you think that would put you out of business?

Mr. Carlos Monje:

I'm most familiar with the American context where we do have a degree of immunity. It was under the Communications Decency Act, and it was designed to give us the flexibility to implement our terms of service so that we wouldn't get sued. America is a very litigious society, as you know, and that protection has enabled us to create and maintain a much safer platform than it otherwise would be.

What you've seen across this table and across the world are many different regimes trying different mechanisms to do that. There has been independent research about the implications of that, including places where accusations were that the platforms overcorrect and squelch good speech. In the U.S. we don't often get criticisms from government to take things down because it is a violation of our hate speech or hateful conduct policy, but rather because it is a violation of copyright law, because the copyright rules in the United States are very strict, and we have to take it down within a certain period of time.

Rather than taking somebody who is critical of the government and asking them to take it down because of other terms of service, they go to the strictest regime, and that has a very negative impact on free expression.

The Chair:

Thank you.

We have to move on. I want to highlight what's going to happen in the next 30 minutes. We have two members of the Canadian committee who haven't spoken yet. We're going to give them five minutes each. That gives us, with the people who have asked for second questions, about 20 minutes, approximately three minutes per individual.

Again, we'll go to Mr. Graham first and Mr. Saini, and then we'll go by country.

Go ahead, Mr. Graham.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you very much.

I want to get straight into this. I'm going to focus on Google and Facebook for a minute.

Do you accept the term “surveillance capitalism”, Google?

Mr. Colin McKay:

I think it's an exaggeration of the situation, but it reflects social pressures and a recognition that there is an increasing worry about the data that's collected about individuals.

Mr. David de Burgh Graham:

Facebook...?

Mr. Kevin Chan:

I cringed, I think, when I read it the first time.

Mr. David de Burgh Graham:

You track individuals on the Internet in any way, shape or form without their knowledge or explicit consent at any time for any reason, and you do so for profit.

Mr. Colin McKay:

We have a pretty clear relationship with our users about what information we collect and what we use it for. We secure consent for the information that we use.

Mr. David de Burgh Graham:

But you don't only track information on users. You track information on anybody on the Internet. If you look at Google Analytics and any of these other services that track anybody passing through another website that has nothing to do with Google, you're collecting vastly more data than what is provided voluntarily by users. My question is, again, are you collecting data on people for profit and, if so, is that not surveillance capitalism?

Mr. Colin McKay:

I think in the broad circumstance you just described around people using the Internet, we're not collecting information about people. We're measuring behaviour and we're measuring.... Sorry, that's the wrong term. I can hear the chuckle.

We're measuring how people act on the Internet and providing data around that, but it's not around an individual. It's around an actor.

(1305)

Mr. David de Burgh Graham:

Or it's around a type of individual, an IP address or this type of information. You are collecting data that can be annexed to people. My point, and I want to take it further than that, is that governments have a tremendous surveillance capacity, as we all know. At least in this country and a lot of other countries around this table, we now have a committee of parliamentarians to oversee our security apparatus, and they go in a classified setting. They dive deeply into the intelligence agencies, what they do, how they do it and why, and they report it back.

If these committees were either created to just focus on social media companies or this committee was applied to it, what surprises would they find?

Mr. Kevin Chan:

Sir, as I've indicated, we want to do more than that by our actions. We're going to make all of that available and then people can...including things that are off platform. If there's a site that uses, let's say, a plug-in or something like that from Facebook, you have available all that information and you can do whatever it is you want with it. You can remove things. You can delete things. You can transfer it. You can download it. That is our commitment and we will be moving fast to get it done.

Mr. David de Burgh Graham:

I appreciate that, but if you go into Facebook and ask it to download your data, the data that it gives you is not a comprehensive collection of what Facebook has on you as a user.

Mr. Kevin Chan:

Right. I think you're referring to when you download your information you get things like the photos and the videos.

Mr. David de Burgh Graham:

You get a handful of your pictures, a handful of your updates and have a nice day.

Mr. Kevin Chan:

That's right. What we want to do is build...and it takes a bit of time. If you can bear with me, it takes a little bit more time to build something that's much more ambitious, which is to then give you actual control over not just the things that you put on Facebook but all the activity that you may have done with social plugs-ins elsewhere, where we can give you the ability to control and remove stuff if you so choose.

Mr. David de Burgh Graham:

If Mark Zuckerberg were to run for president of the United States, for example, what limits his ability to use Facebook's data, machines, algorithms and collection to feed his campaign?

Mr. Kevin Chan:

Sir, if I may, that is a very good question, and that's precisely why we have the policies that we have in place and why we hold so steadfastly to them. It's not...and I think the question kind of came about in a different way. It was, “What if there was a photo of Mark Zuckerberg or a video of Mark Zuckerberg?” The treatment would be the same. That's because these policies have to hold regardless of the direction the wind blows.

As I said before, we understand that people may not be comfortable with the degree of transparency and the degree to which Facebook is able to make these decisions about what happens on our service, which is why we're building this external oversight board, so that these decisions, so that many of these hard precedential decisions, will not be made by Facebook alone. There will be an ability to appeal to an independent body that can make these decisions that would govern the speech on a platform.

Mr. David de Burgh Graham:

I only have seconds, and I want to come back to the independent body in a second.

My point is, if Neil Potts runs for president of the United States and Mark Zuckerberg runs for president of the United States, I suspect that the support from Facebook and the data usage from Facebook would not be the same. On that basis, it would be very hard to say that having Mark Zuckerberg and Neil Potts here is equivalent.

Mr. Kevin Chan:

Again, our policies are for everyone. We would not make any exceptions for anybody, which is in fact why we have these kinds of robust conversations.

Mr. David de Burgh Graham:

Does Mr. Zuckerberg have a—

The Chair:

We're actually out of time. Sorry, Mr. Graham.

We'll go to Mr. Saini for five minutes.

Mr. Raj Saini (Kitchener Centre, Lib.):

Good afternoon.

One of the things we've heard from many experts is that a lot of the issues that have happened with data were when the machine learning really came into force. There was an inflection point. Many experts agree that self-regulation is not viable anymore. Rules have to be in place. The business model just can't regulate itself, and it doesn't align with the public interest.

I have two points. My concern is that right now, we're a mature democracy. A lot of the countries represented around this table are mature democracies. My worry is for nascent democracies that are trying to elevate themselves but don't have the proper structure, regulation, education and efficiency in place, or a free or advanced press. There has been some suggestion that maybe this self-regulation should be internationalized, as with other products. Even though some countries may not have the ability to effectively regulate certain industries, the mature democracies could set a standard worldwide.

Would that be something that would be accepted, either through a WTO mechanism or some other international institution that's maybe set apart? Part of the conversation has been around the GDPR, but the GDPR is only for Europe. There are the American rules, the Canadian rules, the South Asian rules.... If there were one institution that governed everybody, there would be no confusion, wherever the platforms were doing business, because they would accede to one standard worldwide.

(1310)

Mr. Kevin Chan:

You are correct. Where we can have harmonization of standards across the world, that's helpful. We've called for that in multiple realms, including in the privacy realm.

I would say that's actually one of the key challenges. It's a vigorous debate that we have when we talk about the oversight board. In the consultations we've had around the world, including in Canada, the big question that's come up is, “How can you have a global board make decisions that have local impact?” It's come up, and I can say we've had some interesting conversations with the Assembly of First Nations. Obviously they have some unique questions about what the right governing framework is for content online and how we marry the international with the local.

I absolutely agree with you, sir. That's a very good and astute question, and one that we wrestle with.

Mr. Raj Saini:

Google...?

Mr. Colin McKay:

This is a challenge we've recognized since the early days of implementing machine learning in our products, and it's one of the reasons we came out over a year ago with a very clear set of principles around how we will use artificial intelligence in our products.

We certainly underline that there needs to be an active conversation between industry and governments around the world. In the past, this sort of principles-based development of regulation that was led by the OECD around data protection has served us well for developments according to region and in levels of sophistication.

I agree with you that this sort of principles-based global collaboration, especially in concert with the companies that will have to execute on it, will result in a fairer regulatory system that's as broadly applicable as possible, whether in this room or globally.

Mr. Raj Saini:

Thank you for that. Obviously you're going to take in the local effect of any country you work in, but there are some basic principles that I think can be agreed upon worldwide.

My final question is a bit philosophical but also a bit practical. In certain countries in which you operate, you know there are no standards and no regulation. The rule of law is lacking, a free press is lacking and the government structure is not that advanced. The content could be exploited in a much more heinous or worse way in those countries than in other parts of the world.

Is there no moral incumbency on the platforms to make sure that when they go into those jurisdictions they are helping to elevate the governance structure, so that when they're doing business in those countries, it's done in a more equitable manner?

Mr. Colin McKay:

I have a twofold response to that.

First, as my colleague, Mr. Slater, mentioned, we work very hard to make sure the policies and guidelines around all of our products apply to circumstances in those countries as well as what we might describe as more developed or more stable countries.

However, that's also why people like me work at the company. We work on teams that focus on AI and on privacy and data protection. We have those engagements, whether in the country itself or at international organization meetings, so that we can have an ongoing conversation and share information about how we're seeing these policies and technologies develop internationally. We can provide a comparison with how they're seeing that develop within their own jurisdiction.

It's an honest and forthright exchange, recognizing that we're on the forefront of a technology that is having a significant impact on our products and a significant benefit for our users.

Mr. Raj Saini:

Thank you very much.

The Chair:

Thank you, Mr. Saini.

Now, we'll go into the countries again. We're at about two minutes each. If it can be quick that would be great. We have Estonia, Germany, Mexico, Singapore, Ireland and then we have some closing statements from us.

Go ahead, Estonia.

Ms. Keit Pentus-Rosimannus:

Thank you.

It has been pointed out that the disinformation phenomenon is becoming more complex and cross-channel or cross-platforms, meaning that the different phases or different stages of the disinformation campaigns happen often on different channels.

How do you co-operate? How do you see what could be the model for co-operation between the different platforms in order to fight the disinformation problem?

Mr. Derek Slater:

We do our own threat assessments to prevent and anticipate new trends, and then we work collaboratively among the industry, and where appropriate with law enforcement and others, to make sure information and indicators are shared. We actively want to be a participant in that sort of process.

Mr. Carlos Monje:

I'll just say that the companies do work together on these issues and work closely with governments. In Mr. Saini's comments, I was thinking about the role of government and how forward-leaning Estonia has been, under the thumb of Russian disinformation for a long time, in working to improve media literacy and working with the platforms in a way that it makes our jobs easier.

Everyone has a role and the companies do work together to try to address common threats.

(1315)

Mr. Neil Potts:

A good place to perhaps look is the work that we do as the Global Internet Forum to Counter Terrorism. All of our companies are members of that forum, where we have shared responsibilities of information sharing, technological co-operation and then support for research.

The Chair:

Next up is Germany.

Go ahead.

Mr. Jens Zimmermann:

Thank you, Mr. Chairman.

I would like to ask a few questions of Twitter.

During the recent European elections you introduced several measures, especially concerning fake news about the electoral process as such. That sounded like a good idea in the first place, but we ended up having elected officials in Germany being blocked for tweets that obviously didn't have any failed information in them.

Obviously, the complaint mechanism from Twitter was used by right-wing activists to flag completely legal posts by members of Parliament, for example. It was really the problem that you did it that way, and it took quite some time until everything was solved.

Have you monitored these developments? What are your lessons learned, and how will that evolve during upcoming elections?

Mr. Carlos Monje:

Thank you for that question.

I followed that as well from the U.S., the disinformation reporting flow that we launched in the EU and in India. I think this is one of the challenges and blessings of being a global platform—every time you turn around there's another election. We have Argentina coming up. We have the U.S. 2020 elections to follow, and Canada, of course, in October.

What we learned is that, as always, when you create a rule and create a system to implement that rule, people try to game the system. What we saw in Germany was a question of how and whether you sign a ballot. That was one of the issues that arose. We are going to learn from that and try to get better at it.

What we found—and Neil mentioned the GIFCT—was that our contribution to the effort, or what Twitter does, is to look at behavioural items first, which is not looking at the content but how are different accounts reacting to one another. That way we don't have to read the variety of contexts that make those decisions more complicated.

The Chair:

Thank you.

We'll go to Singapore for two minutes.

Mr. Edwin Tong:

Mr. Potts, earlier you had said in answer to my colleague's question that you were not aware of being told prior to or after the bombings in Sri Lanka that it, in fact, had been flagged to Facebook prior to that. Do you recall that?

Mr. Neil Potts:

Yes, sir.

Mr. Edwin Tong:

This was a serious and horrific massacre where videos were carried on Facebook for some time and, as you said, it's hate speech in clear breach of your policies. The alleged bomber himself, in fact, had a Facebook account, which I'm sure you know. I'm surprised that you didn't check, because that's something that I would have thought Facebook would want to know.

They would have wanted to know how it is that, with videos having been spread on Facebook, this was something that Facebook had missed, if at all you had missed it. I'm surprised you are not aware today as to whether or not this was something flagged to Facebook. Can you confirm that?

Mr. Neil Potts:

For the specific video, sir, I'm happy to follow up after this hearing, and to come back to show you exactly that timeline. When we were made aware of the attack of the individual, we quickly removed—

Mr. Edwin Tong:

I know. That's not my focus. Why it is that today, about two months after the event, you still don't know if, prior to the attack, Facebook had been made aware of the existence of the videos? I would have thought that, if you were to have us believe that the policies you now have in place—AIs and other mechanisms for the future.... If I were Facebook, I would have wanted to know how this was missed. I'm surprised that you don't know, even today.

Mr. Neil Potts:

That is correct. We do a formal after-action process where we review these incidents to make sure that our policies—

(1320)

Mr. Edwin Tong:

It didn't come up.

Mr. Neil Potts:

I would just have to get the information back for you. I don't want to speak out of turn.

Mr. Edwin Tong:

You, yourself, Mr. Potts, just last month, gave evidence to the U.K. Parliament, where this issue came up in that session. Was that not correct?

Mr. Neil Potts:

I believe the attack happened on Easter Sunday. We gave evidence, I believe, on that Tuesday. It was very much in the nascent stages when we gave evidence.

Mr. Edwin Tong:

Fair enough, but I would like to say that I'm surprised Facebook didn't see fit to check whether something had been missed.

Mr. Kevin Chan:

If I may say, sir, there is one thing I want to assure—

Mr. Edwin Tong:

If it's an answer to my question, then, yes, please explain, but otherwise—

Mr. Kevin Chan:

It's about our security posture, sir.

The Chair:

I'm sorry. If it's not an answer directly to Mr. Tong, we don't have the time.

I'm sorry, Mr. Tong. We're out of time.

We have to move on to Ireland for two minutes, and then we will make some closing remarks.

I apologize. I wish we had more time. We just don't.

Go ahead.

Ms. Hildegarde Naughton:

Thank you, Mr. Chair.

I didn't have a chance to get the answer to my first question in relation to Google's viewpoint on the GDPR. Many of the social media companies are based in Ireland. Effectively, our data protection commissioner is regulating for Europe, and Facebook's Mark Zuckerberg has called on a GDPR-type approach to be rolled out globally.

What is your view on that? Will it work?

Mr. Colin McKay:

We think the GDPR provides a strong framework for a conversation around the world on what extended privacy protections would look like. The question is how it adapts to local jurisdictions, and also reflects the political and social background of each of those jurisdictions.

Ms. Hildegarde Naughton:

You can't be definitive about whether it would work.

Are you in agreement with Mr. Zuckerberg in relation to the rollout of GDPR globally?

Mr. Colin McKay:

We've already made a broad and detailed statement about the need for increased work on privacy regulation. It was last fall. It builds on a lot of the work around the development of GDPR.

I'm just being careful, because I recognize that, around the table, there are many different types of data protection regulations in place right now.

Ms. Hildegarde Naughton:

In different countries....

In relation to Ireland yet again, because it's the base of a lot of the social media companies.... You're all based, your European international headquarters are based in Ireland. We're working on digital safety commissioner legislation, which will effectively mean that Ireland will be legislating in relation to takedown online content moderation for Europe, and potentially beyond that.

Is that how you would see it? What is your viewpoint on that, very briefly?

Mr. Derek Slater:

Consistent with what we said at the outset, clear definitions by government of what's illegal, combined with clear notices, are critical to platforms acting expeditiously. We welcome that sort of collaboration in the context of illegal content.

Ms. Hildegarde Naughton:

Can you see that being rolled out, maybe beyond Europe, because of the legislation in Ireland.

Mr. Derek Slater:

Whether or not it's that specific law, I think the basics of notice and take down of illegal content, speaking broadly, is something there is increasing consensus around.

Ms. Hildegarde Naughton:

Facebook, do you want to come in on this?

Mr. Kevin Chan:

I think what Mr. Slater said is absolutely right. We do want to work with you. I understand our team is, in fact, working with the Irish public authorities on this.

We are also working with President Macron and the Government of France on what he's calling smart regulation. We would welcome, I think, the opportunity to discuss with you and others in Ireland how that is evolving. I think it's worth having additional conversations on it.

Mr. Carlos Monje:

In addition to the importance of having precise terminology, I think accountability is important, beyond the regulatory agency to the Parliament and the people who can be held accountable by their constituents.

I would also note that it's important, especially on these issues of content moderation, which we take extremely seriously, to recognize how those tools can be used in the hands of autocratic regimes. I was listening to the testimony yesterday about pre-Nazi Germany. The tools used there to protect democracy in one case were then used to squelch it on the back end. I think they are difficult questions and I'm glad that this committee is taking it so seriously.

The Chair:

Thank you, Ms. Naughton.

We appreciate all the testimony today.

We have some closing statements, starting with Mr. Angus....

My apologies to Mexico, you did put up your hand, so we'll give you a quick two minutes. Go ahead.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

I just briefly would like to ask you, what is the path that a victim must follow when the controls fail that are going against [Technical difficulty—Editor] and Google in particular.

Mr. Derek Slater:

If I understand correctly, before you were asking about content that violates our community guidelines on YouTube. We have flagging systems where a user can click and say, “This violates your guidelines in this particular way.” That notice is then sent and put into a queue for review. They can do that right under the video there.

(1325)

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

What happens when they are told that there is no breach in the policies, and there is a video with a person who is naked and everybody can see that?

Mr. Derek Slater:

From the context, if it violates our guidelines, we would remove it. If we don't, there are appeal mechanisms, and so on and so forth.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

I know of cases, many cases, that have followed all the routes online and always the answer has been, “This is not against our policies,” on the three platforms. What does the victim do? How do they appeal to anybody?

As I told you, in a particular case, when they went to the Google office in Mexico, they were told to go to Google in the United States. Therefore, what does a victim do when the images against that person still appear? They are up there.

Mr. Derek Slater:

I'm not familiar with the particular cases you're talking about, but we'd be happy to follow up.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

In any case, what's next?

Mr. Derek Slater:

In general, if something were to violate someone's privacy or be defamatory or incite violence, and so on and so forth, against our guidelines, we would take it down. The case you're describing is something I'm not familiar with, but we'd be happy to receive more information and take it back to our teams.

The Chair:

We'd better move on.

We'll go to Mr. Angus for just a couple of minutes, and then Mr. Collins and me.

Go ahead, Mr. Angus.

Mr. Charlie Angus:

Thank you, Mr. Chair.

I want to make a confession. I'm a recovering digital utopian. I came here as a young democratic socialist and I fought hard against regulation. Imagine that, because we saw all the start-ups and we saw a great digital future. That was 2006. Now in 2019, I have conservative chairs here who are pushing for government regulation. That's the world we're in with you folks.

It's because we're talking about democratic rights of citizens, re-establishing the rights of citizens within the realm that you control. We're talking about the power of these platforms to up-end our democratic systems around the world, which is unprecedented. We're talking about the power of these platforms to self-radicalize people in every one of our constituencies, which has led to mass murder around the world. These are serious issues. We are just beginning to confront the issues of AI and facial recognition technologies and what that will mean for our citizens.

It's what our Privacy Commissioner has called the right of citizens to live free of surveillance, which goes to the heart of the business model, particularly of Facebook and Google, and it came up yesterday and today from some of the best experts in the world that the front line of this fight over the public spaces and the private lives of citizens will be fought in the city of Toronto with the Google project.

Mr. McKay, we asked you questions on Sidewalk Labs before, but you said you didn't speak for Sidewalk Labs, that it was somehow a different company.

Mr. Slater, we had experts say this is a threat to the rights of our citizens. Mr. McNamee said he wouldn't let Google within 100 miles of Toronto.

How is it that the citizens of our country should trust this business model to decide the development of some of the best urban lands in our biggest city?

Mr. Derek Slater:

I, too, do not work for Sidewalk Labs. You're right. We want your trust, but we have to earn your trust, through transparency, through development of best practices with you and accountability. I think then different sites will make different choices. That is in general the case, but I can't speak to that specific company because I'm not a part of it.

The Chair:

Thank you, Mr. Angus.

Mr. Collins.

Mr. Damian Collins:

Thank you.

I would just like to pick up on a couple of things that were touched on in this session.

Mr. Potts, you mentioned briefly the changes to the Facebook Live policy as a result of the Christchurch attack. I understand that as a restriction on people who have broadcast the most serious footage through Facebook Live, and who would then have their accounts automatically suspended. Is that correct?

Mr. Neil Potts:

That part is correct, but also, I think, more broadly, if you have a community standards violation for specific types of actions, you would lose your access for a period of time—30 days, 60 days, 90 days—to enable yourself to go on the live product.

(1330)

Mr. Damian Collins:

You wouldn't be able to use the live product.

Mr. Neil Potts:

Correct.

Mr. Damian Collins:

Would that be at a maximum of 90 days suspension?

Mr. Neil Potts:

I think for egregious violations of our community standards, we also reserve the right to disable your account.

Mr. Damian Collins:

Okay.

What about people who have shared serious content that has been broadcast through Facebook Live? They're not the broadcaster themselves, but they've shared that footage with others on the platform. Is there any action taken against them?

Mr. Neil Potts:

We try to look at the intent of the sharer. I think that in the Christchurch example, we had many people just sharing for awareness purposes. We had some, definitely, who were sharing for malicious purposes, to subvert our policies, to subvert our AI. Those would be actioned against. If we knew that you were sharing—even media companies shared the video—we would try to read in some context and try to understand the intent of why you were sharing.

Mr. Damian Collins:

Did people who you believe maliciously shared the footage have their accounts cancelled?

Mr. Neil Potts:

In some cases there have been individuals who had their accounts disabled. In other cases they received penalties.

Mr. Damian Collins:

Would you be able to write to us to tell us how many accounts have been disabled as a consequence of this?

Mr. Neil Potts:

I'd be happy to follow up after the hearing.

Mr. Damian Collins:

These changes obviously take retrospective action against people who have done it. Is there anything Facebook has done to stop something like Christchurch from happening again, in terms of the way it is broadcast and shared through your systems?

Mr. Neil Potts:

We are continuing to invest in the AI.

In the Christchurch case, the use of the first-person video from the GoPro is very difficult for AI to recognize. We're continuing to invest to try to get better, to try to give training data to the machine learning so that we can identify and prevent. We have introduced new protocols for routing those types of videos to human reviewers in the moment, but it's important to note that the actual video was never reported while it was live.

Mr. Damian Collins:

Okay. I'm not sure I'm clear on that, but there are a couple of more things.

You've said quite a lot about the deletion of inauthentic accounts. Facebook, I believe, said that there were 3.3 billion inauthentic accounts deleted over the previous six months. That is considerably greater than the active user base of the company. Based on that, how confident can you be that there are only about 5% of accounts at any one time that are inauthentic?

Mr. Neil Potts:

We have data science teams that study this closely, so I defer to their expertise and analysis on that.

Mr. Damian Collins:

Monika Bickert said that the inauthentic accounts are far more likely to be sharing disinformation, so of those 3.3 billion accounts, how many of those were actively sharing disinformation?

Mr. Neil Potts:

I do not have that figure. I believe she said that they are more likely to...a combination of abusive behaviour, so not only disinformation but hate speech. Your point is taken and I can follow up.

Mr. Damian Collins:

Would Facebook be able to write to the committee with the answer to that question?

Mr. Kevin Chan:

Well, sir, I should clarify. I think it is the case, if you look at the transparency report—

Mr. Damian Collins:

So sorry, sir, we're running out of time.

I just want to say, if you don't have the answer to that question now—

Mr. Kevin Chan:

We do have the answer, sir.

Mr. Damian Collins:

—the company can write to us with it.

Mr. Kevin Chan:

The vast majority of accounts are actually disabled before a human can even interact with them.

Mr. Damian Collins:

Okay.

Could Facebook commit to the write to the committee to say—

Mr. Neil Potts:

We will write.

Mr. Damian Collins:

—how many of those accounts that were deleted, those 3.3 billion, were sharing disinformation? The company is saying that they're more likely to be sharing disinformation than other sorts of accounts.

Mr. Neil Potts:

If we have [Inaudible—Editor].

Mr. Damian Collins:

Finally, in the wake of the Cambridge Analytica scandal last year, Facebook announced that there would be a new feature for users to be able to clear their browser history. I understand that Facebook announced that this will launch later this year. This does seem to be a long period of time. If this were a product launch that Facebook would be making money out of, one sort of feels it would have come on quicker. This doesn't seem to be a case of moving fast and breaking things, but of moving slowly.

Is Facebook able to commit to a date when the “clear browser history” function will be live?

Mr. Kevin Chan:

Sir, I think I've mentioned it a few times, including, I think, with various members about this new feature. It would probably be inadvisable for me to commit to a date, obviously, at this time. I don't want to get out ahead of my skis, but I could just say that even with the transparency measures we're putting in place in Canada, we are working down to the wire to get this right. We're going to try to roll this other product out globally. That will take—

Mr. Damian Collins:

I would just say, these sorts of functions are pretty widespread across the web. I think the fact that it's now been over a year since this was announced and that you can't even give a date this year when it will come into force is really poor.

Mr. Kevin Chan:

I appreciate that.

The Chair:

I want to thank everybody for your testimony today.

I applaud Mr. Chan on some of the changes that you say are coming. We've heard this story many times, so I guess we will wait to see what we get at the end of the day.

It goes to what we were asking for in the first place. In good faith we asked your CEO and your COO to come before us today to work together for a solution to what these problems are that a whole bunch of countries and a whole bunch of people around the globe see as common issues. To me, it's shameful that they are not here today to answer those specific questions that you could not fully answer.

That's what's troubling. We're trying to work with you, and you're saying you are trying to work with us. We just had a message today that was forwarded to me by my vice-chair. It says, “Facebook will be testifying at the International Grand Committee this morning. Neil Potts and Kevin Chan will be testifying. Neither of whom are listed in this leadership chart of the policy team's 35 most senior officials”.

Then we're told you're not even in the top 100. No offence to you individuals, you're taking it for the team for Facebook, so I appreciate your appearance here today, but my last words to say before the committee is shame on Mark Zuckerberg and shame on Sheryl Sandberg for not showing up today.

That said, we have media availability immediately following this meeting to answer questions. We're going to be signing the Ottawa declaration just over here so we're going to have a member from each delegation sitting here as representatives.

After that, all the members of Parliament visiting from around the world are invited to attend our question period today. I'm going to point out my chief of staff, Cindy Bourbonnais. She will help you get the passes you need to sit in the House if you wish to come to QP today.

Thank you again for coming as witnesses. We will move right into the Ottawa declaration.

The meeting is adjourned.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1040)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

Je déclare ouverte la 153e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, et, par conséquent, le Grand Comité international sur les mégadonnées, la protection des renseignements personnels et la démocratie. Des représentants des pays prendront aussi la parole. Nous allons commencer par mon coprésident, M. Damian Collins, du Royaume-Uni.

Voici le fonctionnement structurel: nous ferons passer les délégations, à commencer par un représentant par pays, suivi du deuxième représentant. Vous devriez tous avoir votre propre période de cinq minutes.

Avant de commencer, M. Angus veut dire quelque chose.

M. Charlie Angus (Timmins—Baie James, NPD):

Monsieur le président, permettez-moi d'invoquer le Règlement à l'intention de notre comité; nous sommes très surpris, je crois, que M. Zuckerberg ait décidé — ainsi que Mme Sandberg — de faire fi de l'assignation d'un comité parlementaire, particulièrement à la lumière du fait que nous avons ici des représentants internationaux. À ma connaissance, nous n'avons même pas été informés de son absence. Je n'ai jamais vu de situation où un dirigeant d'entreprise fait fi d'une assignation légale.

À la lumière de ce fait, j'aimerais donner un avis de motion à mettre aux voix: Que le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, en raison du refus de M. Mark Zuckerberg et de Mme Sheryl Sandberg d'y comparaître le 28 mai, dirige le président à livrer une assignation s'ils arrivent au Canada pour quelconque raison pour comparaître devant le Comité à la prochaine réunion après la date de l'assignation, et s'ils sont convoqués pendant que la Chambre ne siège pas, que le Comité dirige le président de convenir une réunion extraordinaire aussi tôt que possible en raison d'obtenir leur témoignage.

Monsieur le président, j'ignore si nous avons déjà utilisé une assignation ouverte au Parlement — nous avons vérifié et n'en avons pas trouvé —, mais je crois que vous jugerez que c'est en règle. Si M. Zuckerberg ou Mme Sandberg décidaient de venir ici pour une conférence sur les technologies ou pour aller pêcher, le Parlement pourrait signifier cette assignation et les faire venir ici.

Le président:

Merci, monsieur Angus.

Pour les membres d'office du Comité, nous sommes saisis d'une motion sur laquelle nous devrons voter, et il y aura donc un certain débat.

D'autres membres souhaitent-ils débattre de la motion?

Monsieur Kent, allez-y.

L'hon. Peter Kent (Thornhill, PCC):

Merci, monsieur le président.

Oui, l'opposition officielle, le Parti conservateur, est tout à fait disposée à appuyer la motion de M. Angus. Comme nous l'avons entendu dans certains des témoignages précédents, Facebook, parmi d'autres grandes plateformes, a manifesté un manque de respect et un mépris extrêmes devant les gouvernements étrangers et les comités qui les représentent, à l'égard de leurs préoccupations et de leur recherche d'explications quant à la raison pour laquelle des mesures utiles n'ont pas été prises à ce jour et n'a pas fourni d'explication claire et explicite concernant sa réponse aux préoccupations du monde entier, et certainement des démocraties et des membres du grand comité international.

Nous appuierons cette motion. Merci.

Le président:

Nous avons déjà discuté du fait qu'aucune motion de fond n'avait été présentée au Comité. Cela dit, avec l'assentiment de tout le monde ici, je crois que nous pourrions convenir de l'entendre — et nous l'entendons aujourd'hui — et de voter sur celle-ci.

Avons-nous...? Je vois que tout le monde est en faveur du dépôt de la motion dont nous sommes saisis.

Y a-t-il d'autres commentaires au sujet de la motion?

Monsieur Lucas, allez-y.

M. Ian Lucas (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

C'est un cas de récidive de la part de M. Zuckerberg. C'est une situation qui s'est déjà produite et qui nous préoccupe vivement. C'est une préoccupation particulièrement grande pour moi, car malheureusement, les gouvernements continuent de rencontrer M. Zuckerberg, et je crois qu'il est important que nous témoignions, en tant que parlementaires, de notre préoccupation au sujet du manque de respect dont fait preuve M. Zuckerberg à l'égard des parlementaires du monde entier. Ils devraient examiner l'accès qu'ils donnent à M. Zuckerberg, l'accès aux gouvernements et aux ministres, en privé, sans nous respecter nous, en tant que parlementaires, et sans respecter nos électeurs, qui sont exclus des discussions confidentielles qui ont lieu sur ces affaires cruciales.

Le président:

Merci, monsieur Lucas.

Monsieur Erskine-Smith, vous avez la parole.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

J'aimerais juste dire que je trouve comique que le 30 mars, soit il y a moins de deux mois, Mark Zuckerberg ait écrit un article dans le Wall Street Journal. Il a écrit qu'il croit que Facebook a une responsabilité pour réagir au contenu préjudiciable, protéger les élections, protéger les renseignements personnels et les données ainsi que la portabilité des données — les questions mêmes dont nous discutons aujourd'hui — et qu'il était impatient d'en parler avec les législateurs du monde entier. C'était ses mots il y a moins de deux mois. S'il avait été honnête en les écrivant, il serait assis dans ce fauteuil aujourd'hui.

Le président:

Merci, monsieur Erskine-Smith.

Y a-t-il d'autres commentaires sur la motion?

Bien franchement, pour répondre à votre question, en tant que président des deux comités, le comité international et notre comité de l'éthique, je trouve odieux qu'il ne soit pas ici aujourd'hui et que Mme Sandberg ne soit pas là non plus. On leur a fait savoir très clairement qu'ils devaient comparaître devant nous aujourd'hui. Une assignation a été délivrée, ce qui est déjà un geste inhabituel pour un comité. Je crois qu'il est donc tout naturel que l'on prépare un mandat de comparution. Dès que M. Zuckerberg ou Mme Sandberg mettront les pieds dans notre pays, ils se verront signifier une assignation et devront comparaître devant notre comité. S'ils décident de ne pas le faire, la prochaine étape consistera à les reconnaître coupables d'outrage.

Je crois que les mots sont forts, monsieur Angus, et je vous félicite de votre motion.

S'il n'y a pas d'autres interventions relativement à la motion, nous passerons au vote.

(La motion est adoptée.)

Le président: Merci, monsieur Angus.

Nous passons maintenant aux plateformes, en commençant par Facebook, puis Google, puis...

Je vais mentionner les noms. Nous recevons Kevin Chan, directeur des politiques mondiales pour le Canada, et Neil Potts, directeur des politiques mondiales, de Facebook Inc. Nous accueillons Derek Slater, directeur mondial, Politique de l'information, de Google LLC; et Colin McKay, chef, Relations gouvernementales et politiques publiques, de Google Canada. Nous recevons Carlos Monje, directeur, Politique publique, et Michele Austin, chef, gouvernement, Politique publique, Twitter Canada, de Twitter Inc.

Je tiens à dire que ce ne sont pas juste les PDG de Facebook qui ont été invités aujourd'hui. Les PDG de Google ont été invités, tout comme le PDG de Twitter. Nous sommes plus que déçus qu'ils aient décidé eux aussi de ne pas se présenter.

Nous allons commencer par M. Chan, pour sept minutes.

Merci.

(1045)

M. Kevin Chan (directeur des politiques mondiales, Facebook Inc.):

Merci beaucoup, monsieur le président.

Je m'appelle Kevin Chan, et je suis accompagné aujourd'hui de mon collègue Neil Potts. Nous sommes tous les deux directeurs des politiques mondiales chez Facebook.

Internet a transformé la façon dont des milliards de personnes vivent, travaillent et communiquent ensemble. Des entreprises comme Facebook ont d'immenses responsabilités pour assurer la sécurité des personnes sur leurs services. Chaque jour, nous avons comme défi de prendre des décisions pour savoir quels discours sont préjudiciables, ce qui constitue des publicités politiques et comment prévenir des cyberattaques élaborées. Il s'agit d'un travail essentiel pour assurer la sécurité de nos collectivités, et nous reconnaissons que ce travail n'est pas quelque chose que des entreprises comme la nôtre devraient faire seules. [Français]

De nouvelles règles pour Internet devraient permettre de préserver ce qu'il y a de mieux en matière d'économie numérique et d'Internet, encourager l'innovation, soutenir la croissance des petites entreprises et permettre la liberté d'expression, tout en protégeant la société contre des dommages plus graves. Ce sont des enjeux très complexes à résoudre, et nous souhaitons travailler avec les gouvernements, les universitaires et la société civile pour garantir l'efficacité de la nouvelle réglementation.[Traduction]

Nous sommes ravis de vous faire part aujourd'hui de certaines de nos nouvelles réflexions dans quatre domaines d'action réglementaire possibles: le contenu préjudiciable, la protection de la vie privée, la portabilité des données et l'intégrité électorale.

Cela dit, je vais céder la parole à mon collègue Neil, qui aimerait échanger avec vous au sujet du contenu préjudiciable.

M. Neil Potts (directeur des politiques mondiales, Facebook Inc.):

Monsieur le président, mesdames et messieurs, merci de me fournir l'occasion d'être ici aujourd'hui.

Je m'appelle Neil Potts, et je suis le directeur chargé de la surveillance de l'élaboration et de la mise en œuvre des normes communautaires de Facebook. Voici nos lignes directrices concernant les types de contenus qui sont autorisés sur notre plateforme.

Toutefois, avant de continuer, j'aimerais juste signaler que M. Chan et moi sommes des directeurs des politiques mondiales, des experts en la matière, qui sommes prêts à échanger avec vous sur ces questions. M. Zuckerberg et Mme Sandberg, notre PDG et notre directrice des opérations, sont déterminés à travailler avec le gouvernement de façon responsable. Ils estiment qu'ils nous ont mandatés pour comparaître devant vous aujourd'hui afin de discuter de ces sujets, et nous sommes heureux de le faire.

Comme vous le savez, la mission de Facebook est de donner aux gens le pouvoir de bâtir une communauté et de rapprocher le monde. Plus de deux milliards de personnes utilisent notre plateforme chaque mois pour communiquer avec des membres de la famille et des amis, découvrir ce qui se passe dans le monde, créer leur entreprise et aider ceux dans le besoin.

Quand nous donnons une voix aux gens, nous voulons nous assurer qu'ils ne l'utilisent pas pour blesser d'autres personnes. Facebook assume pleinement la responsabilité de s'assurer que les outils que nous créons sont utilisés pour faire le bien et que nous assurons la sécurité des gens. Nous prenons ces responsabilités très au sérieux.

Plus tôt ce mois-ci, Facebook a signé l'Appel à l'action de Christchurch visant à éliminer les contenus terroristes et extrémistes violents en ligne, et nous avons pris des mesures immédiates touchant la diffusion en direct. Concrètement, les gens qui ont enfreint certaines règles sur Facebook, ce qui comprend notre politique « Individus et organismes dangereux », se verront interdire l'utilisation de Facebook Live.

Nous investissons aussi 7,5 millions de dollars dans de nouveaux partenariats de recherche avec d'éminents universitaires pour composer avec la manipulation médiatique contradictoire que nous avons vue après l'événement de Christchurch — par exemple, quand certaines personnes ont modifié la vidéo pour éviter d'être repérées afin de pouvoir la republier après son retrait.

Puisque le nombre d'utilisateurs de Facebook a augmenté et que la difficulté liée au fait de trouver le juste milieu entre la liberté d'expression et la sécurité s'est accrue, nous sommes parvenus à la conclusion que Facebook ne devrait pas prendre seule un si grand nombre de ces décisions difficiles. C'est pourquoi nous allons créer un comité de surveillance externe pour aider à régir les discours sur Facebook d'ici la fin de 2019. Le comité de surveillance sera indépendant de Facebook, et il s'agira d'un dernier niveau d'appel pour le contenu qui reste sur notre plateforme et celui qui est retiré.

Malgré la mis en place du comité de surveillance, nous savons que des gens utiliseront une panoplie de plateformes et de services en ligne différents pour communiquer, et nous nous en porterions tous mieux s'il existait des normes de base claires pour toutes les plateformes. C'est pourquoi nous aimerions travailler avec les gouvernements à établir des cadres clairs liés au contenu préjudiciable en ligne.

Nous avons collaboré avec le président Macron de la France sur exactement ce type de projet et nous sommes ouverts à la possibilité de dialoguer avec un plus grand nombre de pays dans l'avenir.

Monsieur Chan, voulez-vous prendre le relais?

(1050)

M. Kevin Chan:

Pour ce qui est de la protection de la vie privée, nous comprenons très clairement notre responsabilité importante en tant que gardiens des données des gens et de la nécessité pour nous de faire mieux. C'est pourquoi, depuis 2014, nous avons pris des mesures importantes pour réduire de façon radicale la quantité de données auxquelles des applications tierces peuvent accéder sur Facebook et ce pourquoi nous mettons sur pied une fonction en matière de protection de la vie privée beaucoup plus importante et vigoureuse au sein de l'entreprise. Nous avons aussi réalisé des progrès considérables afin de donner aux gens plus de transparence et de contrôle sur leurs données.

Nous reconnaissons que, même si nous menons beaucoup plus d'activités sur la protection de la vie privée, nous nous portons tous mieux lorsque des cadres généraux régissent la collecte et l'utilisation des données. De tels cadres devraient protéger votre droit de choisir la façon dont votre information est utilisée, tout en permettant l'innovation. On devrait tenir des entreprises comme Facebook responsables en imposant des sanctions lorsque nous commettons des erreurs et l'on devrait clarifier les nouveaux sujets d'étude, y compris le moment où les données peuvent être utilisées pour le bien public et la façon dont cela devrait s'appliquer à l'intelligence artificielle.

Il existe déjà certains bons modèles que l'on peut reproduire, y compris le Règlement général sur la protection des données de l'Union européenne et la Loi sur la protection des renseignements personnels et les documents électroniques du Canada. L'atteinte d'un certain degré d'harmonisation autour du monde serait souhaitable et faciliterait la croissance économique.

Nous croyons aussi que le principe de la portabilité des données est suprêmement important pour le choix des consommateurs et pour assurer un marché dynamique et compétitif en matière de services numériques. Les gens devraient être en mesure de prendre les données qu'ils ont mises sur un service et de les déplacer vers un autre service. On doit ensuite se demander comment la portabilité des données peut se faire d'une façon sécuritaire qui protège la vie privée. La portabilité des données n'est utile que s'il y a en place des normes communes, et c'est pourquoi nous soutenons un format standard pour le transfert des données et le projet de transfert des données ouvertes.

Enfin, Facebook fait tout son possible pour protéger les élections sur sa plateforme dans le monde entier en investissant considérablement dans les gens, la technologie et les partenariats. Nous avons triplé le nombre de personnes qui travaillent sur des questions de sécurité dans le monde, le faisant passer de 10 000 à 30 000 personnes. Nous avons mis au point une technologie d'intelligence artificielle de pointe qui nous permet de déceler et de retirer de faux comptes en masse.

Bien sûr, nous ne pouvons pas réussir si nous faisons cavalier seul, et nous nous sommes donc associés à un vaste éventail d'organisations. Au Canada, nous sommes fiers de travailler avec l'Agence France-Presse sur la vérification de faits par des tiers, HabiloMédias sur la littéracie numérique et l'organisme À voix égales pour assurer la sécurité des candidats, plus particulièrement des candidates, en ligne.

Facebook est une ardente défenseure des règlements qui font la promotion de la transparence des publicités politiques en ligne. Nous croyons qu'il est important que les citoyens puissent voir toutes les publicités politiques qui sont offertes en ligne, particulièrement celles qui ne leur sont pas destinées. C'est pourquoi nous appuyons et respecterons le projet de loi C-76, la Loi sur la modernisation des élections du Canada, que le Parlement a adoptée, et nous dialoguerons au cours des prochaines semaines avec des publicitaires politiques canadiens, y compris les partis politiques fédéraux représentés ici aujourd'hui, sur des changements importants au chapitre des publicités politiques qui seront apportés sur la plateforme d'ici la fin juin.

Enfin, monsieur le président, comme vous le savez, Facebook est partie à la Déclaration du Canada sur l'intégrité électorale en ligne, qui énonce 12 engagements que le gouvernement du Canada et certaines plateformes en ligne acceptent d'entreprendre ensemble en prévision des élections fédérales d'octobre. Il s'agit d'une expression forte de la mesure dans laquelle nous prenons au sérieux nos responsabilités au Canada, et nous sommes impatients de travailler de pair avec des représentants pour nous prémunir contre l'ingérence étrangère.

Merci de m'avoir donné l'occasion d'être ici. [Français]

Nous avons hâte de répondre à vos questions. [Traduction]

Le président:

Merci, monsieur Chan.

Nous passons maintenant à M. Slater, de Google.

M. Derek Slater (directeur mondial, Politique de l'information, Google LLC):

Merci de me donner l'occasion de comparaître devant vous aujourd'hui.

Je m'appelle Derek Slater, et mon rôle chez Google est d'aider à façonner l'approche de l'entreprise à l'égard des politiques d'information et de la réglementation du contenu. Je suis accompagné de mon collègue Colin McKay, chef des politiques publiques pour Google au Canada.

Nous reconnaissons votre leadership et sommes heureux d'avoir l'occasion de discuter de l'approche de Google afin d'examiner nos nombreux enjeux en commun.

Pendant près de 20 ans, nous avons conçu des outils pour aider les utilisateurs à accéder à de l'information, à en créer et à en partager comme jamais auparavant, en leur donnant plus de choix, de possibilités et d'exposition à une diversité de ressources et d'opinions. Toutefois, nous savons que les plateformes mêmes qui ont procuré ces avantages sociétaux peuvent aussi faire l'objet d'abus, et cela va du hameçonnage à l'extrémisme violent et plus encore. L'examen attentif des législateurs et de nos utilisateurs guide et améliore nos produits ainsi que les politiques qui les régissent.

Nous n'avons pas attendu la réglementation du gouvernement pour nous attaquer aux défis d'aujourd'hui. Le fait de réagir au contenu illégal et problématique en ligne est une responsabilité partagée qui nécessite la collaboration entre les gouvernements, la société civile et l'industrie, et nous faisons notre part et continuerons de la faire.

Je vais faire ressortir certaines de nos activités en ce moment. Sur YouTube, nous combinons des examens automatisés et humains pour repérer et retirer le contenu qui contrevient aux règlements. Nous nous sommes améliorés au fil du temps et avons éliminé plus rapidement une partie de ce contenu, et ce, même avant qu'il soit consulté. Entre janvier et mars 2019, YouTube a retiré près de 8,3 millions de vidéos qui violaient ses lignes directrices communautaires, et 76 % de celles-ci ont été signalées par des machines plutôt que par des gens. Parmi les vidéos repérées par des machines, plus de 75 % n'avaient jamais été visionnées une seule fois.

Lorsqu'il s'agit de lutter contre la désinformation, nous avons investi dans nos systèmes de classement pour nous assurer que la qualité compte dans l'élaboration de politiques, la surveillance de menaces et les mécanismes d'application de la loi afin de nous attaquer à des comportements malveillants, de même que dans des outils qui fournissent aux utilisateurs plus de contexte, comme la vérification des faits ou les panneaux d'information sur la recherche Google et YouTube.

De plus, dans le contexte de l'intégrité électorale, nous concevons depuis plus de 10 ans des produits qui fournissent des renseignements en temps opportun et faisant autorité au sujet des élections du monde entier. En outre, nous avons consacré des ressources importantes pour aider les campagnes, les candidats et les représentants électoraux à améliorer leur posture en matière de cybersécurité à la lumière des menaces existantes et émergentes. Notre site Web Protection Élections offre des ressources gratuites comme la protection avancée, qui offre le compte de sécurité optimal de Google, et Project Shield, un service gratuit conçu pour atténuer le risque d'attaques de déni de service distribué qui inondent les sites de trafic dans le but de les fermer.

Même si l'industrie doit faire sa part, les décideurs, bien sûr, ont un rôle fondamental à jouer pour faire en sorte que tout le monde récolte les avantages personnels et économiques des technologies modernes tout en tenant compte des coûts sociaux et en respectant les droits fondamentaux. Les gouvernements et les assemblées législatives de près de 200 pays et territoires dans lesquels nous exerçons des activités sont parvenus à des conclusions différentes quant à la façon de régler des problèmes comme la protection des données, la diffamation et les discours haineux. Les cadres juridiques et réglementaires d'aujourd'hui sont le produit de processus délibératifs, et à mesure que la technologie et les attentes de la société évoluent, nous devons rester attentifs à la façon de mieux améliorer ces règles.

Dans certains cas, les lois doivent être modernisées, par exemple, dans le cas de la protection des données et de l'accès des organismes d'application de la loi aux données. Dans d'autres cas, une nouvelle collaboration entre l'industrie, le gouvernement et la société civile peut se traduire par des institutions et des outils complémentaires. Le récent Appel à l'action de Christchurch sur l'extrémisme violent n'est qu'un exemple de ce type de collaboration pragmatique et efficace.

De même, nous avons travaillé avec l'Union européenne sur le récent code de conduite contre les discours haineux, ce qui renferme un processus de vérification pour surveiller la façon dont les plateformes respectent leurs engagements, et sur le récent code de bonnes pratiques de l'Union européenne contre la désinformation. Nous avons convenu d'aider des chercheurs à étudier ce sujet et d'assurer la vérification régulière de nos prochaines étapes associées à cette lutte.

De nouvelles approches comme celles-là doivent reconnaître les différences pertinentes entre des services aux fonctions et aux fins différentes. La surveillance des politiques sur le contenu devrait naturellement se focaliser sur les plateformes de partage de contenu. Les médias sociaux, les sites d'échange de vidéos et d'autres services dont le but principal est d'aider des gens à créer du contenu et à le communiquer à un vaste public devraient être différenciés d'autres types de services comme des services de recherche, des services d'entreprise, et des services de stockage de dossiers et de courriels, qui nécessitent des ensembles de règles différents.

Cela dit, nous voulons faire ressortir aujourd'hui quatre éléments clés à prendre en considération dans le cadre de l'évolution de la surveillance et de la discussion concernant les plateformes de partage de contenu.

Premièrement, il fait établir des définitions claires.

Les plateformes sont responsables d'établir des règles du jeu claires pour ce qui est ou non permissible, et les gouvernements ont aussi la responsabilité d'établir les règles par rapport à ce qu'ils estiment être des discours illégaux. Les restrictions devraient être nécessaires et proportionnelles, établies à partir de définitions claires et de risques fondés sur les données probantes et élaborées en consultation avec les parties prenantes pertinentes. Ces définitions claires, combinées à des avis clairs au sujet d'éléments de contenu particuliers, sont essentielles pour que les plateformes puissent agir.

(1055)



Deuxièmement, on doit élaborer des normes concernant la transparence et les pratiques exemplaires.

La transparence est le fondement d'une discussion éclairée et elle aide à établir les pratiques efficaces dans l'ensemble de l'industrie. Les gouvernements devraient adopter une approche souple qui renforce la recherche et soutient l'innovation responsable. Des exigences trop restrictives comme des délais de retrait universels, l'utilisation obligatoire de technologies particulières ou des sanctions disproportionnées réduiront au bout du compte l'accès du public à de l'information légitime.

Troisièmement, on doit miser sur des défaillances systémiques récurrentes plutôt que sur des cas isolés.

La détermination du contenu problématique et la réaction par rapport à celui-ci est semblable, d'une certaine façon, à la sécurité de l'information. Il y aura toujours de mauvais acteurs, des bogues et des erreurs. L'amélioration dépend de la collaboration entre de nombreux joueurs qui utilisent des approches axées sur les données pour comprendre si des cas particuliers sont exceptionnels ou représentatifs de problèmes systémiques récurrents plus importants.

Quatrièmement et finalement, on doit renforcer la coopération internationale.

Comme le démontre la réunion d'aujourd'hui, ces préoccupations et ces enjeux sont mondiaux. Les pays devraient s'échanger leurs pratiques exemplaires et éviter des approches conflictuelles qui imposent des fardeaux de conformité indus et créent de la confusion pour les clients. Cela dit, des pays individuels feront des choix différents au sujet des discours permissibles en fonction de leurs traditions juridiques, de leur histoire et de leurs valeurs, conformément aux obligations internationales en matière de droits de la personne. Un contenu illégal dans un pays pourrait être légal dans un autre.

Ces principes ont pour but de contribuer à une conversation aujourd'hui sur la façon dont les législateurs et les gouvernements devraient s'attaquer aux enjeux que nous sommes susceptibles d'aborder, y compris les discours haineux, la désinformation et l'intégrité électorale.

Pour terminer, je dirai qu'Internet présente des défis pour les institutions traditionnelles qui aident la société à organiser, à conserver et à communiquer de l'information. Quant à nous, nous sommes déterminés à réduire au minimum le contenu qui s'éloigne des éléments utiles que nos plateformes ont à offrir. Nous espérons travailler avec les membres du Comité et des gouvernements du monde entier pour surmonter ces difficultés à mesure que nous continuons d'offrir des services qui préconisent et diffusent des renseignements fiables et utiles.

Merci.

(1100)

Le président:

Merci.

Nous allons maintenant passer à Twitter. Je crois que M. Monje prendra la parole.

Allez-y.

M. Carlos Monje (directeur, Politique publique, Twitter inc.):

Merci beaucoup.

Monsieur le président Zimmer, monsieur le président Collins et chers membres du Comité, je m'appelle Carlos Monje, et je suis directeur des politiques publiques pour Twitter. Je suis accompagné de Michele Austin, qui est notre chef des politiques publiques pour le Canada.

Au nom de Twitter, j'aimerais reconnaître le travail acharné de tous les membres du Comité par rapport aux questions qui vous sont présentées. Nous vous remercions de votre dévouement et de votre volonté de travailler avec nous.

Twitter a pour objectif de servir la conversation publique. Toute tentative pour miner l'intégrité de notre service érode les principes mêmes de la liberté d'expression en ligne. C'est la valeur sur laquelle repose notre entreprise.

Les questions soulevées au Comité nous préoccupent profondément en tant que personnes. Nous voulons que les gens se sentent en sécurité sur Twitter et qu'ils comprennent notre approche à l'égard de la santé et de la sécurité du service. Il y aura toujours plus de choses à faire, mais nous avons réalisé des progrès considérables.

J'aimerais aborder brièvement notre approche à l'égard de la protection de la vie privée des gens, et j'ai hâte d'entendre vos questions.

Twitter s'efforce de protéger la vie privée des gens qui utilisent notre service. Nous croyons que la protection de la vie privée est un droit de la personne fondamental. Twitter est publique par défaut. Cela distingue notre service d'autres sites Internet. Quand un particulier crée un compte Twitter et commence à envoyer des gazouillis, ceux-ci sont immédiatement visibles et consultables par n'importe qui dans le monde. Les gens comprennent la nature publique par défaut de Twitter et ils vont sur le site en s'attendant à voir une conversation publique et à s'y joindre. Eux seuls contrôlent le contenu qu'ils partagent sur Twitter, y compris la mesure dans laquelle ce contenu peut être personnel ou privé.

Nous croyons que lorsque des gens nous confient leurs données, nous devrions nous montrer transparents dans notre façon de fournir un contrôle utile quant aux données qui sont recueillies, à la façon dont elles sont utilisées et au moment où elles sont communiquées. Ces paramètres sont facilement accessibles et conçus dans un esprit de convivialité. Nos paramètres de données qui permettent la plus grande personnalisation sont situés sur une seule page.

Twitter rend aussi accessible la trousse à outils « Vos données Twitter », qui offre aux personnes un instantané des types de données stockées par nous, comme le nom d'utilisateur, l'adresse de courriel, le numéro de téléphone associés au compte, des détails sur la création du compte et de l'information au sujet des inférences que nous pourrions avoir tirées. À partir de cet ensemble d'outils, les gens peuvent faire des choses comme modifier les intérêts présumés, télécharger leurs renseignements et comprendre ce que nous offrons.

Twitter cherche aussi de manière proactive à contrer les pourriels, l'automatisation malveillante, la désinformation et la manipulation des plateformes en améliorant les politiques et en élargissant les mesures d'application de la loi, en fournissant un plus grand contexte aux utilisateurs, en renforçant les partenariats avec les gouvernements et les experts et en assurant une plus grande transparence. Tout cela vise à renforcer la santé du service et à protéger les gens qui utilisent Twitter.

Nous continuons de promouvoir la santé de la conversation publique en contrant toutes les formes de manipulation des plateformes. Nous définissons la manipulation des plateformes comme l'utilisation de Twitter pour perturber la conversation en participant à une activité agressive ou trompeuse en bloc. Nous avons réalisé des progrès considérables. De fait, en 2018, nous avons repéré et remis en question plus de 425 millions de comptes que l'on a soupçonné avoir participé à la manipulation des plateformes. De ceux-là, environ 75 % ont fini par être suspendus. De plus en plus, nous utilisons des méthodes de détection automatisées et proactives pour trouver les abus et les manipulations sur notre service avant qu'ils n'aient une incidence sur l'expérience de qui que ce soit. Plus de la moitié des comptes que nous suspendons sont retirés dans la semaine suivant leur enregistrement — et bon nombre, au bout de quelques heures à peine.

Nous continuerons d'améliorer notre capacité de lutter contre le contenu manipulatif avant qu'il n'influence l'expérience des gens qui utilisent Twitter. Twitter se préoccupe beaucoup de la désinformation dans tous les contextes, mais l'amélioration de la santé de la conversation au sujet des élections revêt la plus grande importance. Un aspect clé de notre stratégie électorale est l'élargissement des partenariats avec la société civile pour accroître notre capacité de comprendre, de repérer et de faire cesser les tentatives de désinformation.

Ici, au Canada, nous travaillons avec Élections Canada, le commissaire aux élections fédérales, le Centre canadien pour la cybersécurité, le Bureau du Conseil privé, des institutions démocratiques et des partenaires de la société civile, comme le Centre Samara pour la démocratie et le Projet Démocratie.

En plus de déployer des efforts pour protéger le service, nous estimons que la transparence est un outil éprouvé et puissant dans la lutte contre la désinformation. Nous avons pris un certain nombre de mesures pour perturber les activités étrangères et limiter la suppression d'électeurs et avons augmenté de manière considérable la transparence au sujet de ces mesures. Nous avons mis à la disposition du public et des chercheurs les plus grandes archives sur les activités d'information au monde. Nous avons parcouru des données et des renseignements sur plus de 9 600 comptes, y compris des comptes en provenance de la Russie, de l'Iran et du Venezuela, pour un total de plus de 25 millions de gazouillis.

Nous croyons fondamentalement que ces comptes et leur contenu devraient être accessibles et consultables, de sorte que les membres du public, les gouvernements et les chercheurs puissent mener des enquêtes, tirer des apprentissages et acquérir des capacités en matière de littératie médiatique pour l'avenir. Ils nous aident aussi à nous améliorer.

(1105)



J'aimerais souligner un exemple particulier dans le cadre de nos efforts pour lutter contre la désinformation ici, au Canada.

Plus tôt ce printemps, nous avons lancé un nouvel outil pour diriger les personnes vers des ressources de santé publique crédibles lorsqu'elles cherchaient des mots clés associés aux vaccins sur Twitter. Dans ce cas-ci, nous nous sommes associés à l'Agence de la santé publique du Canada. Ce nouvel investissement s'appuie sur notre travail existant pour nous protéger contre l'amplification artificielle de contenu non crédible au sujet de la sécurité et de l'efficacité des vaccins. De plus, nous nous assurons déjà que le contenu publicitaire ne contient pas d'affirmations trompeuses au sujet du remède, du traitement, du diagnostic ou de la prévention de toute maladie, y compris des vaccins.

Pour terminer, Twitter continuera d'imaginer de nouveaux moyens de maintenir son engagement à l'égard de la protection de la vie privée, de lutter contre la désinformation sur son service et de demeurer responsable et transparente à l'égard des gens du monde entier. Nous avons réalisé des progrès notables et constants, mais notre travail ne sera jamais terminé.

Encore une fois, merci de nous avoir donné l'occasion d'être ici. Nous sommes impatients de répondre à vos questions.

Le président:

Merci.

Tout d'abord, nous allons nous tourner vers mon coprésident, Damian Collins, puis nous observerons la séquence.

Vous aurez chacun cinq minutes. Essayez d'être aussi succincts que vous le pouvez.

Monsieur Collins, c'est à vous.

M. Damian Collins (président, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

Je vais adresser ma première question aux représentants de Facebook. Je suis sûr que vous savez que l'une des principales préoccupations des membres du Comité a été que des renseignements trompeurs, communiqués de manière délibérée et malveillante par l'intermédiaire des outils créés par les entreprises de médias sociaux, portent préjudice à la démocratie, et cette désinformation est utilisée pour nuire à des politiciens chevronnés et à des personnalités publiques, à des institutions publiques et au processus politique.

Cela dit, Facebook pourrait-elle expliquer pourquoi elle a choisi de ne pas retirer la vidéo de Nancy Pelosi qui donne une fausse impression d'elle pour miner sa réputation publique? La raison pour laquelle je crois que c'est très important, c'est que nous savons tous très bien que la nouvelle technologie va faciliter la création de ces sortes de documents faux ou manipulés. Vous pourriez peut-être expliquer pourquoi Facebook ne va pas retirer ce film.

M. Neil Potts:

Merci, monsieur Collins.

Je suis heureux d'expliquer de façon un peu plus claire notre approche à l'égard de la désinformation pour le Comité.

D'abord, je tiens à exprimer clairement que nous prenons des mesures contre cette vidéo...

M. Damian Collins:

Je suis désolé, monsieur Potts, mais nous n'avons pas beaucoup de temps. J'aimerais que vous répondiez à la question qui vous a été posée, plutôt que de faire une déclaration au sujet des politiques de Facebook sur la désinformation ou ce que vous auriez pu faire d'autre. J'aimerais que vous répondiez à la question: pourquoi vous, contrairement à YouTube, ne retirez pas ce film?

M. Neil Potts:

Nous prenons des mesures dynamiques pour déclasser ce...

M. Damian Collins:

Je sais que vous êtes en train de le déclasser. Pourquoi ne retirez-vous pas le film?

M. Neil Potts:

Nous avons pour politique d'informer les gens lorsque nous détenons des renseignements sur la plateforme qui pourraient être faux, pour qu'ils puissent prendre leurs propres décisions au sujet de ce contenu.

M. Damian Collins:

Mais il s'agit de contenu qui est largement considéré, à mon avis, comme étant faux. YouTube l'a retiré. Les vérificateurs des faits qui travaillent auprès de Facebook disent que c'est un faux; pourtant, on permet que la vidéo reste en ligne, et sa présence est beaucoup plus puissante que toute clause de non-responsabilité qui pourrait être écrite en dessous ou au-dessus.

Pourquoi ne dites-vous pas que les films qui sont clairement faux et sont désignés de façon indépendante comme étant faux, qui sont là pour tromper les gens par rapport à certains des politiciens les plus chevronnés de notre pays, seront retirés?

M. Neil Potts:

Nous effectuons des recherches sur nos traitements de l'information. C'est le traitement qui révèle que quelque chose est faux. Par exemple, si quelqu'un souhaitait partager cette vidéo avec ses amis ou qu'il l'avait déjà partagée ou la voyait dans un fil de nouvelles, il recevrait un message disant que c'est faux.

M. Damian Collins:

Facebook accepte que ce film soit une déformation des faits, n'est-ce pas?

M. Kevin Chan:

Monsieur Potts, vous êtes plus près de cela, mais je crois comprendre que la vidéo en question a été ralentie. Est-ce bien le cas?

M. Neil Potts:

C'est exact. Je crois que c'est manipulé...

M. Damian Collins:

C'est un film qui a été manipulé pour créer l'impression déformée que Nancy Pelosi était en quelque sorte en état d'ébriété lorsqu'elle parlait. C'est ce qui s'est produit et c'est pourquoi YouTube a retiré le film et pourquoi il y a eu une reconnaissance générale, y compris par les vérificateurs des faits indépendants qui travaillent pour Facebook, que ce film est déformé et qu'il crée une impression déformée de la personne qui vient au troisième rang des politiciens les plus expérimentés aux États-Unis.

(1110)

M. Neil Potts:

Puisque vous avez mentionné les vérificateurs des faits, nous travaillons avec plus de 50 vérificateurs des faits à l'échelle internationale qui sont...

M. Damian Collins:

Ce n'est pas remis en question. Les vérificateurs des faits reconnaissent que c'est faux. Vous dites que la vidéo peut rester là. Ne voyez-vous pas que ce que Facebook fait donne le feu vert à quiconque dans le monde veut faire un film déformé ou un faux documentaire au sujet d'un politicien d'expérience, ou peut-être utiliser dans l'avenir la technologie des hypertrucages pour le faire, en sachant que, peu importe ce qui se passe, Facebook ne va pas retirer le film?

M. Neil Potts:

Je crois que vous posez une question philosophique, monsieur. Devrions-nous retirer le film ou aviser les gens qu'il est faux? Nous avons choisi d'aviser les gens que c'est faux, de manière à ce qu'ils comprennent pourquoi la vidéo se trouve sur la plateforme et quelles autres parties indépendantes ont jugé qu'elles l'étaient. Elles ont considéré qu'elle était fausse et elles voient maintenant cela sur notre plateforme si elles y vont pour la partager. À mon avis, toutes ces questions sont très complexes, mais cela permet aux gens de prendre leurs propres décisions et de dire aux autres qu'elle est fausse.

Vous avez mentionné que la vidéo est ralentie, ce que tout le monde et les vérificateurs des faits ont dit, mais je crois qu'il existe de nombreux cas différents où les vidéos sont ralenties et ne seraient peut-être pas une justification pour le Comité...

M. Damian Collins:

La question ici, c'est de dire que si quelqu'un fait un film, ralentit un film ou le manipule, il essaie de créer la fausse impression qu'une personnalité publique d'expérience n'est pas apte à assumer ses fonctions, c'est donc une tentative de lui nuire, ainsi que nuire à sa charge publique.

Ce n'est pas une question d'opinion ni de liberté de parole. C'est une question de gens qui manipulent du contenu pour nuire à des personnalités publiques, et ma préoccupation, c'est que le fait de laisser ce type de contenu en ligne, que l'on sait faux et déformé de manière indiscutable, et de permettre le partage de ce contenu et la promotion par d'autres utilisateurs est irresponsable.

YouTube a retiré ce contenu. Je ne comprends pas pourquoi Facebook ne fait pas la même chose.

M. Neil Potts:

Monsieur, je comprends vos préoccupations, mais je crois que vos questions sont les bonnes et qu'elles révèlent la complexité de cet enjeu et aussi peut-être le fait que l'approche que nous adoptons fonctionne. Vous n'entendez pas les gens...

M. Damian Collins:

Désolé, mais avec tout le respect que je vous dois, ce que cela montre, c'est la simplicité de ces enjeux, la solution de simplicité qu'a choisie une autre entreprise, reconnaissant les mêmes enjeux. Il s'agit simplement de dire que c'est clairement faux et déformé, que c'est fait pour nuire à des personnalités publiques d'expérience et que cela ne devrait en fait pas avoir sa place sur la plateforme ni faire partie de votre communauté.

M. Neil Potts:

Vous avez raison, et je respecte évidemment l'opinion de YouTube comme entreprise indépendante, mais nous n'entendons pas des gens parler de cette vidéo comme si elle était réelle. Nous les entendons plutôt discuter du fait qu'elle est fausse et qu'elle se trouve sur la plateforme; donc, par rapport à la question de savoir si nous avons informé les gens du fait que la vidéo était fausse, oui, nous l'avons fait. Je crois que c'est le discours prédominant en ce moment. Que ce soit dans la conversation que nous tenons en ce moment, que ce soit dans les nouvelles ou ailleurs, les gens comprennent que cette vidéo est fausse, et ils peuvent prendre d'autres décisions à partir de là.

M. Damian Collins:

Mon inquiétude à ce sujet, c'est que cela établit un précédent très dangereux. Votre collègue Monika Bickert a dit la semaine dernière à CNN que, essentiellement, Facebook a pour politique de ne pas retirer tout contenu politique, tout contenu de désinformation lié aux politiques: on mettrait des notes pour les utilisateurs afin qu'ils voient que les faits sont contestés, mais le contenu ne sera jamais retiré.

Si vous acceptez que des gens qui produisent des films de désinformation ciblant des utilisateurs dans le but de miner la démocratie abusent ainsi de votre plateforme, et que la meilleure solution, que vous ayez trouvée, c'est simplement de les signaler pour dire que certaines personnes contestent ce film, je crois que vous créez un précédent très dangereux.

Le président:

Merci, monsieur Collins.

Nous allons maintenant passer à M. Erskine-Smith.

Allez-y, pour cinq minutes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Vous parlez assez souvent à M. Zuckerberg, parce que vous êtes ici en son nom. Rappelez-moi pourquoi il n'est pas ici aujourd'hui.

M. Neil Potts:

Je suis désolé, monsieur. Je n'arrive pas à voir votre nom.

M. Nathaniel Erskine-Smith:

C'est M. Erskine-Smith.

M. Neil Potts:

Monsieur Erskine-Smith, M. Zuckerberg et Mme Sandberg nous ont chargés de représenter l'entreprise ici aujourd'hui. Nous sommes des experts en la matière dans ces domaines et sommes plus qu'heureux d'avoir l'occasion d'être ici, mais je veux...

M. Nathaniel Erskine-Smith:

Il a dit: « J'ai hâte de discuter de ces problèmes avec les législateurs du monde entier » il y a moins de deux mois. Il ne voulait pas juste dire ces législateurs-là, mais aussi d'autres législateurs, j'en suis sûr.

Je vais parler de la protection de la vie privée. Dans son plus récent rapport, notre commissaire à la protection de la vie privée a dit que le cadre de protection de la vie privée de Facebook était « une coquille vide ». Puis, le 7 mai, devant le Comité, notre commissaire à la protection de la vie privée a dit que les conclusions s'appliquent toujours, soit que c'est une coquille vide. Si Facebook prend au sérieux la protection de la vie privée, et j'entends M. Chan dire qu'il le fait — ce ne sont pas mes mots; ce sont ceux du commissaire à la protection de la vie privée — pourquoi avait-il « rejeté d'emblée ou refusé de mettre en œuvre » les recommandations du commissaire à la protection de la vie privée?

M. Kevin Chan:

Vu que le commissaire a annoncé qu'il allait porter l'affaire devant la Cour fédérale, nous sommes en quelque sorte limités dans ce que nous pouvons dire, mais ce que je peux vous raconter, c'est que...

M. Nathaniel Erskine-Smith:

Vous n'êtes pas du tout limité dans ce que vous pouvez dire, monsieur Chan.

M. Kevin Chan:

Je vais continuer avec ce que je peux vous raconter, c'est-à-dire que nous avons en fait travaillé très dur au cours des derniers mois pour parvenir à une résolution et à une marche à suivre avec le commissaire à la protection de la vie privée du Canada...

M. Nathaniel Erskine-Smith:

Donc vous n'avez pas rejeté d'emblée ou refusé de mettre en œuvre les recommandations.

M. Kevin Chan:

Je crois que nous avons entamé une conversation sur la façon dont nous pourrions atteindre les objectifs que nous recherchons tous.

(1115)

M. Nathaniel Erskine-Smith:

Lorsque le commissaire à la protection de la vie privée a écrit ces mots précis dans son rapport particulier, il avait tort, à votre avis.

M. Kevin Chan:

Je ne... Si je peux me permettre, j'aimerais juste expliquer un peu plus, parce que je suis limité dans ce que je peux dire...

Le président:

En fait, monsieur Chan...

Monsieur Chan, la priorité est donnée aux membres du Comité, donc si vous voulez continuer de parler, vous devez entendre.

M. Nathaniel Erskine-Smith:

Mark Zuckerberg a aussi dit que l'avenir est privé. Fait intéressant, cependant, selon la politique sur la protection de la vie privée de Facebook en 2004, l'entreprise n'avait pas et n'utiliserait pas de témoins pour recueillir des renseignements privés auprès de tout utilisateur. Cela a changé en 2007. Au départ, Facebook a donné aux utilisateurs la capacité d'empêcher la collecte de leurs renseignements personnels par des tiers, et cela a aussi été changé.

Quand M. Zuckerberg a dit que l'avenir est privé, veut-il dire que l'avenir retourne à notre passé, lorsqu'on se souciait davantage de la protection de la vie privée que des profits?

M. Kevin Chan:

Je crois que nous faisons des pieds et des mains pour repenser ce à quoi les services de communications en ligne vont ressembler. Je pense que beaucoup de choses intéressantes ont été écrites, pas juste par des gens de l'entreprise, mais dans le monde entier. Nous voyons une ligne de tendance où les gens se concentrent de plus en plus sur les communications individuelles. Elles sont privées, par définition, mais ce que cela soulève, monsieur, en matière de questions de politiques publiques, c'est un équilibre très intéressant entre la protection de la vie privée et l'accès légitime à de l'information ainsi que des questions d'encryptage. Ce sont de fortes tensions. Je crois qu'elles ont été soulevées plus tôt, y compris dans des législatures précédentes au Canada, mais nous espérons dialoguer sur ces questions.

M. Nathaniel Erskine-Smith:

Pour ce qui est de dialoguer sur ces questions, le RGPD a été adopté par l'Union européenne. Nous avons déjà recommandé, au Comité, que le Canada aille plus loin.

L'an dernier, Facebook a fait 22 milliards de dollars, et Alphabet, 30 milliards de dollars. Dans le passé, vous avez utilisé des millions de ces dollars pour des activités de lobbyisme contre le RGPD. Maintenant, vous convenez que c'est une norme qui devrait être en place ou que des normes semblables devraient être en place.

J'aimerais une réponse simple par oui ou non, monsieur Chan et monsieur Slater.

M. Kevin Chan:

Oui, nous appuyons pleinement le RGPD.

M. Nathaniel Erskine-Smith:

Et vous, monsieur Slater?

M. Colin McKay (chef, Relations gouvernementales et politiques publiques, Google Canada):

Si vous n'y voyez pas d'inconvénient, monsieur Erskine-Smith, je vais répondre en tant qu'expert en matière de protection de la vie privée.

M. Nathaniel Erskine-Smith:

Bien sûr.

M. Colin McKay:

Oui.

M. Nathaniel Erskine-Smith:

M. McNamee était ici et il a dit que le consentement ne devrait peut-être pas être la seule règle en jeu et que, dans certains cas, nous devrions simplement interdire certaines pratiques. Il a utilisé le suivi sur le Web.

À quand remonte la dernière fois que Google a lu mes courriels pour me cibler au moyen de publicités? C'était il y a combien d'années?

M. Colin McKay:

Nous avons cessé d'utiliser votre contenu Gmail pour faire de la publicité en 2017. Ce contenu était propre à vous. Cette information n'a jamais été communiquée à l'externe.

M. Nathaniel Erskine-Smith:

Est-ce quelque chose que nous devrions songer à interdire, de sorte que les personnes ne pourraient jamais consentir à ce que leurs courriels soient lus afin qu'on puisse les cibler au moyen de publicités? Seriez-vous à l'aise avec cette idée?

M. Kevin Chan:

C'est certainement la pratique en ce moment. J'hésite à utiliser le mot « interdiction », parce qu'un vaste éventail de services qui pourraient être utilisés dans ce contexte particulier sont raisonnables.

M. Nathaniel Erskine-Smith:

L'autorité de la concurrence allemande a dit ceci en février dernier: En raison de la position de l’entreprise sur le marché, une acceptation obligatoire des conditions générales d’utilisation n’est pas une base suffisante pour un traitement des données aussi intensif. Le seul choix qui s'offre à l'utilisateur est d'accepter la combinaison complète des données ou de s'abstenir d'utiliser le réseau social. Dans une situation aussi difficile, le choix de l'utilisateur ne peut être considéré comme un consentement volontaire.

Messieurs Chan et Slater, croyez-vous que la protection de la vie privée est une considération clé dans les décisions relatives à la concurrence et aux fusions, et les autorités de la concurrence du monde entier devraient-elles tenir compte des questions sur la protection de la vie privée?

M. Kevin Chan:

Je suis désolé. Pourriez-vous répéter la question, juste pour que je m'assure que je la comprends?

M. Nathaniel Erskine-Smith:

Êtes-vous d'accord pour dire que les autorités de la concurrence du monde entier devraient examiner la protection de la vie privée — tout comme elles examinent actuellement les prix — et la collecte de données de nos renseignements personnels comme considération clé dans le droit de la concurrence et au moment d'examiner des fusions et des acquisitions?

M. Kevin Chan:

C'est une question de politiques publiques très intéressante. On peut supposer que certains...

M. Nathaniel Erskine-Smith:

Vous pouvez juste répondre par oui ou non.

M. Kevin Chan:

Ce sont des questions complexes, monsieur, comme vous pouvez le comprendre, et si vous me le permettez, j'aimerais juste dire quelques mots de plus par rapport à cette question, car je crois que c'est compliqué.

Je crois qu'il est clair que les politiques en matière de concurrence et celles sur la protection de la vie privée sont assez différentes. Je soupçonne que les autorités responsables de la protection des données dans le monde entier auraient des points de vue très différents par rapport au fait de savoir si c'est ou non approprié de déverser des concepts propres à d'autres domaines dans la loi sur la protection des données.

M. Nathaniel Erskine-Smith:

Ce n'est pas ce que je dis. Je demande si, puisque nous protégeons actuellement les consommateurs par rapport au prix, nous ne devrions pas les protéger par rapport à la vie privée? Nous avons une autorité de la concurrence allemande qui laisse entendre que nous devrions le faire.

M. Kevin Chan:

Je vois, je suis désolé. Je comprends mieux ce que vous dites.

(1120)

M. Nathaniel Erskine-Smith:

J'ai lu directement une citation de l'autorité de la concurrence allemande.

M. Kevin Chan:

Vous avez tout à fait raison de dire que la protection des données... que nous devrions traiter la protection de la vie privée comme le pilier fondamental de l'économie numérique.

M. Nathaniel Erskine-Smith:

Du droit de la concurrence.

M. Kevin Chan:

Je crois que ce sont deux choses très distinctes. Je ne suis pas le seul à le croire. Je pense que si vous parlez aux autorités de la concurrence et aux autorités de la protection des données, elles pourraient très bien arriver à des points de vue semblables.

M. Nathaniel Erskine-Smith:

Ce n'est pas l'extrait que je vous ai lu.

M. Kevin Chan:

Nous sommes bien au courant de cela. J'ai parlé de cette question avec certains de mes collègues en Allemagne. Selon notre compréhension, le RGPD doit évidemment être appliqué et interprété par les autorités responsables de la protection des données en Europe.

Le président:

Merci.

Nous allons continuer.

Nous passons maintenant à M. Gourde, pour cinq minutes. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Les plateformes numériques que vous représentez ont mis au point, au fil des années, des outils très performants, même excessivement performants. Vous êtes en train de mener une course effrénée à la performance. Or, ce n'est pas nécessairement pour le bien-être de l'humanité, mais plutôt pour les intérêts personnels de vos compagnies.

Je vais faire une analogie. Vous avez conçu des automobiles qui peuvent rouler jusqu'à 250 kilomètres à l'heure, mais vous les louez à des utilisateurs qui roulent à cette vitesse dans des zones scolaires. Vous avez mis au point des outils qui sont devenus dangereux, qui sont devenus des armes.

En tant que législateur, je n'accepte pas que vous rejetiez du revers de la main la responsabilité que vous avez à cet égard. Ces outils vous appartiennent, vous les avez dotés de fonctions, mais vous ne choisissez pas nécessairement les utilisateurs. Vous louez donc vos outils de façon commerciale à des gens qui les utilisent à mauvais escient.

Au cours de l'élection que nous allons vivre dans quelques mois au Canada, aurez-vous la capacité technique d'arrêter immédiatement toute fausse nouvelle, toute forme de publicité haineuse ou toute forme de publicité qui porterait atteinte à notre démocratie? Pourrez-vous agir de façon très rapide? À la rigueur, pourrez-vous enrayer toute publicité pendant les élections au Canada et dans les autres pays, si vous ne pouvez pas nous garantir le contrôle absolu des publicités qui peuvent être placées sur vos plateformes?

Nous allons commencer par les représentants de Facebook, puis j'aimerais entendre ceux de Google et de Twitter.

M. Kevin Chan:

Merci beaucoup, monsieur Gourde.

Je vais commencer par dire que c'est sûr que nous voulons faire tout ce que nous pouvons pour protéger l'élection d'octobre 2019.

Comme vous le savez, nous travaillons en étroite collaboration avec le Parti conservateur, le Nouveau Parti démocratique et le Parti libéral. Il faut mentionner aussi les autres partis, comme le Parti vert, le Parti populaire, le Bloc québécois...

M. Jacques Gourde:

Excusez-moi, monsieur Chan, mais ce n'est pas une question de partis. Il est question de la population qui devra faire un choix en s'appuyant sur des informations que nous allons lui communiquer, et non pas sur de fausses informations.

Avez-vous la capacité d'arrêter rapidement la diffusion de fausses informations ou même d'enrayer carrément toute publicité qui peut être mise sur vos plateformes, si vous n'en avez pas le contrôle?

M. Kevin Chan:

Merci de la question.

Ici, au Canada, nous avons une équipe qui travaille sur chaque élection. Nous avons fait cela en Ontario, au Québec, en Colombie-Britannique, à l'Île-du-Prince-Édouard, au Nouveau-Brunswick...

M. Jacques Gourde:

Ne me nommez pas toutes les provinces.

Je veux savoir si vous avez la capacité d'enrayer en tout temps toute publicité haineuse ou toute fausse information durant la prochaine élection.

M. Kevin Chan:

Pour le moment, au cours de toutes les autres élections, il n'y a pas eu de problèmes que nous n'ayons pu résoudre rapidement.

M. Jacques Gourde:

Merci.

Je pose la même question aux représentants de Google. [Traduction]

M. Derek Slater:

Il est absolument essentiel de bien faire les choses. Nous investissons fortement dans des activités visant à prévoir et à prévenir les tentatives de miner l'intégrité électorale. Pour ce faire, nous rendons des renseignements utiles accessibles dans des recherches ou nous traitons avec les acteurs qui pourraient faire des déclarations trompeuses ou donner d'eux-mêmes une image inexacte dans des publicités.

M. Carlos Monje:

Twitter a consacré beaucoup de temps à l'amélioration de notre capacité interne de repérer ce type de désinformation. Nous avons tiré des apprentissages des élections dans le monde entier. Nous avons activement dialogué avec la société civile ici, et récemment durant les élections en Alberta, et nous estimons être très bien préparés. Toutefois, nous ne pouvons pas perdre de vue le prix. Ce sont les gens qui veulent manipuler la conversation qui continueront d'innover, et nous continuerons d'innover afin d'avoir une longueur d'avance sur eux.

(1125)

[Français]

M. Jacques Gourde:

À la suite de vos réponses, je reste dans le doute et dans l'inquiétude.

Vos véhicules peuvent rouler à 250 kilomètres à l'heure, mais la limite sur l'autoroute est de 100 kilomètres à l'heure. Êtes-vous capables de réduire la capacité de vos outils, pour que ce soit juste et équitable envers tout le monde?

Qu'est-ce que cela donne d'avoir des outils si performants, si c'est pour faire le mal, alors qu'une moins grande performance pourrait servir le bien de l'humanité?

M. Kevin Chan:

Si vous me le permettez, je vais m'exprimer en anglais pour être plus clair, puisque c'est ma langue maternelle.[Traduction]

J'aimerais juste dire, monsieur Gourde, que c'est exactement ce que nous allons faire. Le mois prochain, comme votre parti et d'autres partis au Canada le savent, nous présenterons un processus très intensif pour quiconque veut publier des publicités politiques. Nous obligerons ces gens à obtenir une autorisation ou à démontrer qu'ils sont Canadiens. Nous devrons valider indépendamment le fait qu'ils sont Canadiens, puis nous leur donnerons un code — ou une clé, si vous le voulez — avec quoi ils devront s'authentifier avant de pouvoir diffuser une publicité.

Ce processus ne se fera pas dans une heure ou une journée, mais sur plusieurs jours. Je vous garantis que nous dialoguerons et travaillerons en étroite collaboration avec tous les partis politiques du Canada pour les guider dans le cadre de ce processus. Concernant les ralentisseurs ou les freins, je dirais que ce sera un mécanisme de ralentissement important dans le système, mais je crois que c'est ce qu'il faut faire pour assurer la transparence des publicités, pour réglementer le droit de faire des publicités politiques et pour se prémunir contre l'ingérence étrangère.

Le président:

Merci, monsieur Gourde.

Le prochain est M. Angus.

M. Charlie Angus:

Merci, monsieur le président.

Merci beaucoup de ces exposés. Ils sont très utiles.

Monsieur Chan, nous savons que M. Zuckerberg et Mme Sandberg sont des personnes très importantes. Sont-elles occupées aujourd'hui?

M. Kevin Chan:

Je ne suis pas au courant de leur horaire aujourd'hui, mais je crois que c'est exact. Elles ont malheureusement dû transmettre leurs excuses.

M. Charlie Angus:

D'accord.

Je vais essayer de comprendre la gouvernance d'entreprise de Facebook. Vous venez du milieu politique canadien. Vous avez travaillé pour le Parti libéral. Nous sommes en quelque sorte doux et dociles ici, au Canada. Je n'ai même pas souvenir qu'on ait délivré une assignation au chef d'une société. Je ne connais personne qui ait déjà décidé de faire fi d'une assignation.

J'ose croire qu'ils ont quelque chose de vraiment pressant qui les garde occupés. Quand M. Zuckerberg a parlé récemment, comme mon collègue l'a souligné, au sujet de sa volonté, de son désir de parler avec les législateurs, est-ce que c'était une blague?

Ma question s'adresse à M. Chan. J'aimerais savoir ce qu'il en pense, parce qu'il nous représente au Canada.

M. Kevin Chan:

Eh bien, monsieur, je dois dire que nous souhaitons beaucoup collaborer avec le Parlement et le gouvernement du Canada. L'élection qui s'en vient sera importante, et elle sera importante pour nous afin que nous fassions bien les choses à Facebook. Nous voulons assurer une élection libre et juste. C'est pourquoi nous avons fait tout ce que nous avons fait.

Nous nous conformons au projet de loi C-76. À ma connaissance, nous pourrions être la seule entreprise représentée ici qui va de l'avant avec un système d'architecture pour le faire. Nous avons réagi rapidement aux promoteurs de haine au Canada, autant les organisations que les particuliers, et nous avons signé la Déclaration du Canada sur l'intégrité électorale. J'aimerais...

M. Charlie Angus:

Oui, et je vous en remercie. Désolé, je n'ai que quelques minutes.

Je reconnais ce travail. Je suis un grand admirateur de Facebook.

M. Kevin Chan: Merci, monsieur.

M. Charlie Angus: J'ai beaucoup parlé des outils puissants qu'il offre dans les collectivités autochtones que je représente.

Mon inquiétude a trait à cette idée d'adhésion et de retrait de Facebook quand il s'agit de la législation nationale. Tout d'abord, vous avez fait fi d'une assignation du Parlement, parce que M. Zuckerberg pourrait être occupé. C'est peut-être son jour de congé. Je ne sais pas.

Vous avez récemment été reconnu coupable par notre organisme de réglementation de la violation par Cambridge Analytica. M. Therrien a dit ceci: Le risque est élevé pour les Canadiens qui utilisent Facebook de voir leurs renseignements personnels utilisés à des fins qui leur sont inconnues pour lesquelles ils n'ont pas consenti et qui peuvent être contraires à leurs intérêts ou à leurs attentes. Les préjudices peuvent être très réels, notamment le [...] politique et la surveillance.

Ce qui était frappant, c'est que Facebook n'a pas reconnu que nous avons compétence sur nos propres citoyens. Si vous dites que vous êtes prêts à travailler avec les parlementaires, je ne comprends pas cette adhésion quand cela fonctionne pour Facebook et ce retrait quand...

Pourriez-vous me donner un exemple d'une entreprise qui dit qu'elle ne reconnaît juste pas si oui ou non nous avons compétence sur nos citoyens?

(1130)

M. Kevin Chan:

Monsieur, j'ai aussi été surpris quand j'ai vu ces rapports, et j'ai donc lu l'affaire avec attention et j'en ai parlé à un conseiller juridique.

Ce que je comprends, c'est que cela faisait allusion au fait que, à notre connaissance, selon les données probantes disponibles dans le monde et les preuves documentées, pas seulement en ce qui concerne des contrats et des choses du genre, mais aussi selon des témoins qui ont des récits de première main, aucune donnée de Canadiens ou, en fait, d'utilisateurs non américains n'a jamais été transférée à Cambridge Analytica. Je crois, si je peux...

M. Charlie Angus:

D'accord, mais sur ce point — je n'ai que peu de temps — 622 000 Canadiens se sont vu prendre leurs données. Facebook en a eu connaissance en 2015, et l'entreprise n'a rien dit jusqu'à ce qu'elle ait été exposée à l'échelle internationale, en raison de la violation dont s'est rendue coupable Cambridge Analytica. Il s'agissait d'une violation du droit canadien en contravention de la LPRPDE.

Vous connaissez cette loi; pourtant, le fait de dire aux législateurs canadiens que nous devions prouver les préjudices individuels avant que Facebook puisse reconnaître la compétence, pour moi, ce serait la même chose qu'une entreprise automobile internationale qui dit: « Oui, il y a eu de nombreux décès au Brésil; oui, il y a eu des morts en masse aux États-Unis; oui, il y a eu des morts en masse dans toute l'Europe; mais puisque personne n'est mort dans un accident automobile au Canada, nous n'allons pas nous conformer à la loi canadienne ».

Comment décidez-vous quelles lois vous respectez et quelles lois ne s'appliquent pas à vous? Pourquoi pensez-vous cela?

M. Kevin Chan:

Monsieur Angus, avec tout le respect que je vous dois, nous respectons entièrement la loi...

M. Charlie Angus:

Non, vous ne le faites pas. Vous ne reconnaissez pas notre compétence.

M. Kevin Chan:

... comme le sait le Parlement du Canada.

M. Charlie Angus:

Comment pouvez-vous nous dire cela sans broncher, monsieur Chan? Comment est-ce possible?

M. Kevin Chan:

Parce que c'est la vérité, monsieur.

M. Charlie Angus:

Donc nous devons vous traduire devant les tribunaux pour que vous reconnaissiez que nous avons la compétence de protéger nos citoyens, après que vous avez caché une violation dont vous étiez au courant depuis trois ans et n'avez rien fait pour nous le dire, car vous ne vouliez pas mettre fin à votre modèle opérationnel.

M. Kevin Chan:

Pour ce qui est de l'intégrité des élections, nous respectons la loi...

M. Charlie Angus:

Je parle du droit à la vie privée des Canadiens et de la violation de notre loi dont vous avez été reconnu coupable. C'est la question.

M. Kevin Chan:

Nous pouvons aussi en parler, monsieur, dans le temps qu'il nous reste, si vous me le permettez.

Comme je l'ai dit, nous voulions parvenir à une résolution avec le commissaire. Il a décidé de nous amener devant les tribunaux, ce qui est bien sûr le cadre qui est prescrit pour lui...

M. Charlie Angus:

Il devait vous traduire en justice, parce que vous ne vouliez pas reconnaître que nous, en tant que législateurs, avions même compétence sur nos propres citoyens. Il ne s'agit pas de parvenir à une résolution. C'est comme dire: « Hé, Facebook, est-ce que cela vous va si nous venons jeter un coup d'œil et que nous arrangeons les choses? » Ce n'est pas ainsi que la loi fonctionne. Peut-être que c'est ainsi que cela fonctionne pour M. Zuckerberg, mais sur la scène internationale, ce n'est pas comme ça, et c'est pourquoi nous sommes ici. C'est parce que nous avons des législateurs internationaux qui sont frustrés...

M. Kevin Chan:

Nous avons le plus grand respect pour...

M. Charlie Angus:

... par le manque de respect du droit international.

M. Kevin Chan:

Nous avons le plus grand respect pour le droit au Canada et pour l'autorité juridique dans le monde.

Le président:

Merci.

Nous allons maintenant passer à M. Tong, de Singapour.

M. Edwin Tong (ministre d'État principal, Ministère de la justice et Ministère de la santé, Parlement de Singapour):

Mon temps est limité, donc je vous serais reconnaissant si vous vous en teniez à mes questions et donniez directement les réponses.

Nous avons beaucoup entendu parler de ce que vous souhaitez faire, des gens avec qui vous avez noué un dialogue, des gens que vous souhaitez voir et de la façon dont vous allez travailler sur vos politiques, mais voyons juste ce qui se passe dans la réalité et ce qui continue d'apparaître sur vos plateformes.

Pour ce faire et pour gagner du temps, j'ai préparé un petit document qui résume plusieurs cas, et je suis certain que vous les connaissez. Veuillez juste les parcourir rapidement. Ce sont tous des cas qui ont été sensationnels. Ils sont tous devenus viraux rapidement. Ils ont probablement été amplifiés par des trolls et des bots — de faux comptes. Ils incitent à la peur, ils causent une désaffection et des tensions et ils s'attaquent à des lignes de faille sociales qui divisent: la race, la religion et l'immigration.

Un fait essentiel, c'est que ce sont tous de faux renseignements également, et tout cela a entraîné des préjudices dans le monde réel: des blessures physiques, des décès, des soulèvements, l'accentuation des divisions et des lignes de faille entre les religions et les races, qui ont causé de la peur.

Si vous pouvez juste aller à la dernière page du document et regarder le Sri Lanka, en avril 2019. Le chef des terroristes ayant fait exploser des bombes à Pâques au Sri Lanka avait publié des vidéos qui se trouvaient sur vos plateformes — Facebook et YouTube — pendant au moins six mois avant les attentats à la bombe proprement dits. Dans les vidéos, il dit: « les non-musulmans et les gens qui n'acceptent pas les musulmans peuvent être tués, en plus des femmes et des enfants ». Ailleurs, il dit: « Nous pouvons tuer des femmes et des enfants avec des bombes. C'est juste. »

Il s'agit clairement d'un discours haineux, n'est-ce pas?

M. Neil Potts:

C'est un discours haineux.

M. Edwin Tong:

Et c'est une violation de vos propres politiques, est-ce exact?

M. Neil Potts:

Ce serait une violation de nos politiques. C'est exact, monsieur.

M. Edwin Tong:

Ces passages, publiés des mois avant les attentats de Pâques, prédisent ce qu'il va se passer, et c'est arrivé, horriblement, en avril, de la même manière que ce prêtre allégué, M. Zahran Hashim, a dit que cela arriverait — des bombes ont tué des femmes et des enfants — sur vos plateformes.

Pourquoi? Pourquoi est-ce que cela n'a pas été retiré?

M. Neil Potts:

Merci, monsieur Tong.

Rapidement, juste pour...

(1135)

M. Edwin Tong:

Non, veuillez répondre à ma question. Pourquoi cela n'a-t-il pas été retiré? Vous dites que c'est une violation de vos propres politiques. Pourquoi la vidéo n'a-t-elle pas été retirée en septembre 2018?

M. Neil Potts:

Quand nous prenons connaissance de ce contenu, nous le retirons. Si ce n'est pas signalé ou si nous ne l'avons pas repéré de manière proactive, alors nous ne le retirons pas, car honnêtement, nous ne savons pas que ça existe.

J'aimerais dire que nos pensées vont aux gens du Sri Lanka et d'ailleurs que vous avez mentionnés ici, dans votre document. La violence ethnique intercommunautaire est une chose horrible. Nous ne voulons pas que nos plateformes soient entraînées dans ces activités et utilisées à ces fins. En fait, nous avons pris des mesures vigoureuses pour nous y attaquer. Nous avons maintenant plus de 30 000 personnes qui travaillent à la sécurité...

M. Edwin Tong:

Monsieur Potts, je n'ai pas besoin de discours sur ce que vous allez faire.

M. Neil Potts:

Je m'excuse.

M. Edwin Tong:

Quelle est la difficulté de comprendre que les phrases: « Nous pouvons tuer des femmes et des enfants avec des bombes. C'est juste » est un discours haineux? Quelle est la difficulté là-dedans?

M. Neil Potts:

La question n'est pas difficile, monsieur Tong. Il s'agit plutôt de repérer le contenu. Si nous ne sommes pas mis au courant de l'existence du contenu, que ce soit au moyen d'un rapport d'utilisateur ou de nos propres mesures proactives, alors nous ne savons pas que ce contenu se trouve sur la plateforme.

M. Edwin Tong:

Donc rien, ni l'intelligence artificielle ou la technologie, ni les vérificateurs des faits ou l'armée de gens qui ont scruté vos plateformes n'a repéré cela huit mois avant l'événement, et vous nous demandez de faire confiance aux processus que vous avez l'intention de mettre en place, d'avoir confiance, car l'intelligence artificielle que vous détenez maintenant le fera dans l'avenir.

M. Neil Potts:

L'intelligence artificielle est un excellent levier pour nous aider à repérer cela. Ce n'est pas parfait. Il n'est pas évident qu'elle permettra de découvrir 100 % des activités, tout comme les humains ne découvriront pas 100 % des activités. Il me faudrait vérifier précisément cette vidéo, mais si nous en avions eu connaissance, nous l'aurions retirée. C'est une décision très directe.

M. Edwin Tong:

Monsieur Potts, si vous faites vos devoirs et vos vérifications, les dirigeants musulmans locaux l'ont signalée sur Facebook, et Facebook ne l'a pas retirée même si l'entreprise était au courant, même s'il s'agissait, comme vous le dites, d'une violation claire de vos propres politiques. J'aimerais savoir pourquoi.

M. Neil Potts:

Monsieur, il me faudrait voir comment le contenu a été partagé. La façon dont vous avez...

M. Edwin Tong:

Vous avez dit, messieurs Potts et Chan, que vous êtes tous deux des spécialistes du contenu. Vous êtes des spécialistes du domaine. Vous êtes ici pour remplacer M. Zuckerberg et Mme Sandberg, et vous devriez le savoir. Cela s'est produit il y a quelques mois, donc pourquoi la vidéo n'a-t-elle pas été retirée, même si Facebook était au courant? Pourriez-vous expliquer pourquoi?

M. Neil Potts:

J'essaie d'expliquer que je ne connais pas la situation. Il faudrait que je vérifie pour m'assurer que nous le savions. Je ne crois pas que nous étions au fait de cette vidéo à ce moment-là.

M. Edwin Tong:

Je dirais que vous n'avez pas retiré la vidéo parce que son contenu était sensationnel, à même de susciter la peur, la violence, la haine et les théories du complot. Comme M. McNamee nous l'a expliqué précédemment, c'est ce qui attire les gens sur vos plateformes. C'est ce qui attire les utilisateurs vers vos plateformes et c'est ainsi que vous générez des profits.

M. Neil Potts:

Monsieur Tong, je rejette cette affirmation. Je la rejette sans réserve. Si nous sommes au fait d'un cas de discours haineux, si nous savons que cela suscite la violence, nous agissons plus rapidement.

Nous avons eu une discussion précédemment sur la mésinformation. Si nous savons qu'un cas de mésinformation peut mener à des préjudices physiques et à de la violence, nous travaillons avec des partenaires dignes de confiance sur le terrain, la société civile et d'autres intervenants, pour qu'ils nous le disent — et même les représentants de l'application de la loi —, puis, en fait, nous retirons le contenu en question.

M. Edwin Tong:

Monsieur Potts, Facebook a été informée de tout cela. Vous pouvez vérifier. Facebook a aussi été informée des problèmes au Sri Lanka en 2018 par le gouvernement sri lankais. L'entreprise a refusé de retirer le contenu parce qu'il ne violait pas ses propres politiques. M. McNamee affirme que, en conséquence, les gouvernements au Sri Lanka, en Indonésie et en Inde ont pris des mesures proactives pour interdire l'accès aux médias sociaux comme Facebook et WhatsApp. Est-ce ainsi que vous voulez que les choses se passent?

Pouvons-nous faire confiance aux politiques que vous mettez en place? Pouvons-nous être sûrs que ce que vous faites et ce que vous mettez en place — les vérifications pour trouver et retirer de tels éléments de contenu — fonctionneront?

Le président:

Merci, monsieur Tong. Il faut passer au prochain intervenant.

Nous tenons à souhaiter la bienvenue à la délégation d'Irlande. Les représentants viennent d'arriver ce matin par avion.

Bienvenue.

Nous allons donner les cinq premières minutes à Hildegarde Naughton.

Mme Hildegarde Naughton (présidente, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Merci, monsieur le président. Nous sommes heureux d'être ici cet après-midi.

Je vais commencer par formuler mes questions, puis les entreprises des médias sociaux pourront répondre. J'ai environ trois questions. La première est liée à la protection des données.

Il est évident que vous vous efforcez tous de trouver une façon de rendre les règles claires en matière de protection de la vie privée et de protéger les données des utilisateurs. La mise en place du RGPD a changé complètement la donne en ce qui a trait à la protection des données en Europe. En fait, la commissaire irlandaise à la protection des données a maintenant la tâche de réglementer l'Europe, vu le nombre d'entreprises des médias sociaux dont les sièges sociaux sont situés en Irlande.

Dans les 11 mois qui ont suivi l'entrée en vigueur du RGPD, la commissaire a reçu près de 6 000 plaintes. Elle a dit s'être concentrée sur Facebook parce qu'elle ne pensait pas qu'il pouvait y avoir autant de violations importantes touchant les données associées à une seule entreprise. En outre, à un moment donné, elle était informée de manquements en vertu du RGPD aux deux semaines, alors elle a mis en place une enquête conjointe pour se pencher sur la situation. J'aimerais demander à Facebook de formuler des commentaires sur ses remarques et d'expliquer pourquoi l'entreprise a tellement de difficultés à protéger les données des utilisateurs.

Pour ce qui est de la prochaine question, je vais peut-être demander à Google et Facebook de répondre. Mon collègue James Lawless, le sous-ministre Eamon Ryan et moi avons rencontré plus tôt cette année Mark Zuckerberg, en Irlande, et il a dit qu'il aimerait que le RGPD soit adopté à l'échelle internationale. Certains des plus gros marchés de Facebook se trouvent dans des pays en développement, comme l'Asie et l'Afrique et, parmi les 10 principaux pays, il y en a seulement deux du monde industrialisé, soit les États-Unis et le Royaume-Uni. Certains experts affirment qu'une approche universelle ne fonctionnera pas en ce qui a trait au RGPD, parce que certaines régions ont des interprétations différentes de l'importance de la protection des renseignements personnels.

J'aimerais obtenir le point de vue de Google là-dessus: que pensez-vous de la mise en place d'un RGPD à l'échelle internationale? De quelle façon cela fonctionnerait-il? Devrait-on mettre un tel règlement en place à l'échelle internationale? Et j'aimerais aussi connaître vos préoccupations quant aux différentes interprétations faites de la protection des renseignements personnels.

Et pour terminer, en raison du travail de notre comité responsable des communications dans l'Oireachtas — le Parlement irlandais — le gouvernement irlandais est sur le point de créer un commissaire à la sécurité numérique qui aura le pouvoir juridique de demander le retrait de communications néfastes en ligne. Vu que l'Irlande accueille les sièges sociaux internationaux et européens de nombreuses entreprises des médias sociaux, croyez-vous qu'une telle loi permettra réellement à l'Irlande de réglementer le contenu en Europe et, possiblement, au-delà des frontières européennes?

Quiconque le désire peut répondre en premier.

(1140)

M. Kevin Chan:

Merci, madame. Je tiens à souligner que Neil et moi avons passé du temps avec nos homologues irlandais et qu'ils n'ont que de bonnes choses à dire à votre sujet, alors je suis heureux de vous rencontrer.

En ce qui concerne la question des violations que vous avez mentionnées, évidemment, nous ne sommes pas au courant des renseignements précis qui auraient été envoyés à l'autorité irlandaise responsable de la protection des données, alors je ne peux pas vous parler précisément de cela, mais je peux dire que notre position générale, c'est d'être le plus transparents possible.

Vous — et divers membres du Comité — savez probablement que nous sommes assez francs en ce qui a trait à la communication publique de nos failles, des situations où nous avons trouvé des renseignements justifiant des enquêtes, des situations où nous avons été mis au fait de certaines choses. C'est notre engagement à votre égard, mais aussi à l'égard des utilisateurs partout dans le monde, et je crois que vous continuerez d'entendre parler de ces choses à mesure que nous les découvrons. C'est une position importante pour nous, parce que nous voulons faire la bonne chose, soit informer nos utilisateurs, mais aussi informer le public et les législateurs le plus possible lorsque nous découvrons de telles situations.

Nous voulons être très transparents, et c'est la raison pour laquelle vous entendrez de plus en plus parler de nous. Encore une fois, malheureusement, je ne peux pas vous parler précisément de ce à quoi faisait référence l'autorité responsable de la protection des données.

Mme Hildegarde Naughton:

Google, puis-je, s'il vous plaît, connaître vos points de vue à ce sujet?

M. Colin McKay:

Comme nous l'avons décrit dans notre déclaration préliminaire, nous cherchons des normes internationales applicables à une diversité de cadres sociaux, culturels et économiques. Nous misons sur des cadres fondés sur les principes, particulièrement lorsqu'il est question de protection des données. C'est ce qu'on a pu voir relativement au RGPD et aussi au sujet des principes antérieurs de l'OCDE.

Le fait d'élargir la portée du RGPD au-delà des frontières actuelles est quelque chose que nous jugeons souhaitable. La question est la suivante: de quelle façon peut-on l'adapter dans des administrations précises où il faudra l'appliquer, vu que l'environnement européen et l'histoire européenne en matière de protection des données sont très différents de ce qu'on retrouve ailleurs dans le monde, surtout dans certaines régions du globe, qu'on parle de l'Afrique, ou de l'Asie, que vous avez mentionnées?

Nous sommes d'accord là-dessus. Nous avons même appliqué les mesures de protection accordées aux Européens à l'échelle internationale, mais il faut se demander à quoi cela peut ressembler au sein d'un pays.

Pour ce qui est de votre deuxième question sur le commissaire responsable de la sécurité numérique, je vais céder la parole à M. Slater.

Le président:

Merci, madame Naughton. En fait, le temps est écoulé, alors nous devons passer au prochain délégué. Toutes mes excuses. Nous avons peu de temps.

Pour la prochaine question, nous nous tournons vers la République d'Allemagne.

M. Jens Zimmermann (Parti social-démocrate, Parlement de la République fédérale d'Allemagne):

Merci beaucoup.

Je vais aussi commencer par Facebook. Je suis heureux de rencontrer l'équipe canadienne responsable des politiques publiques. Je connais l'équipe allemande.

Pour commencer, j'aimerais revenir sur ce que mon collègue de Singapour a demandé. À la lumière de l'expérience en Allemagne, j'ai une réponse relativement simple. C'est tout simplement que de nombreuses entreprises — aussi présentes aujourd'hui — n'ont pas assez d'employés pour s'occuper de tous ces problèmes et traiter toutes ces plaintes. Comme cela a déjà été mentionné, l'intelligence artificielle n'est pas toujours suffisante pour faire ce travail. Après l'adoption de la NetzDG en Allemagne, nous avons constaté qu'une augmentation massive du nombre d'employés était nécessaire pour gérer toutes les plaintes et qu'elle permettait aussi d'accroître le nombre de plaintes traitées. Je ne connais pas la situation dans d'autres pays, mais c'est assurément un aspect important.

Je veux poser une question sur une décision antitrust en Allemagne concernant le fait de savoir si les données de Facebook, WhatsApp et Instagram devraient être combinées sans le consentement des utilisateurs. Vous allez à l'encontre de la décision allemande, alors, évidemment, vous n'êtes pas d'accord, mais vous pourriez peut-être décrire un peu plus clairement votre position.

(1145)

M. Kevin Chan:

Merci beaucoup, monsieur. Une de mes collègues au Canada m'a dit avoir passé du temps avec vous, hier, dans le cadre d'une table ronde. Merci beaucoup de l'invitation.

En ce qui a trait aux diverses plateformes, comme vous le savez, nos conditions de service et notre politique sur les données des utilisateurs soulignent le fait que nous allons communiquer l'infrastructure de données entre les divers services. C'est en grande partie, franchement, pour nous assurer de pouvoir offrir un certain niveau de sécurité d'une plateforme à l'autre.

Facebook est une plateforme qui exige la vraie identité des utilisateurs. Nous voulons nous assurer que les gens sont bien qui ils disent être, mais il y a beaucoup de bonnes raisons pour lesquelles on voudra mettre ce même genre de mesures en place sur la plateforme Instagram, par exemple. Il y a de nombreuses situations où — et vous avez entendu parler de tout ce qui concernait même notre lutte coordonnée contre les comportements inauthentiques — pour pouvoir réaliser des enquêtes adéquates à l'échelle du système, nous devons avoir une certaine capacité de comprendre la provenance de certains éléments de contenu et de certains comptes. Le fait d'avoir une infrastructure commune nous permet de relever ce genre de défi de façon très efficace.

M. Jens Zimmermann:

Oui, et cela vous permet aussi de regrouper très efficacement des données et d'accroître votre connaissance des utilisateurs et vos profits. N'est-ce pas là la raison sous-jacente?

Il serait possible, encore une fois, de donner à tous les utilisateurs la capacité de prendre ces décisions. Ce serait très facile, mais je crois que ce serait aussi très coûteux pour vous.

M. Kevin Chan:

Monsieur, je crois que, lorsque vous parlez de notre objectif plus général et de la situation vers laquelle nous nous dirigeons, c'est exact. Nous voulons donner aux gens plus de contrôle. Nous voulons que les gens puissent...

M. Jens Zimmermann:

D'accord, mais alors pourquoi allez-vous à l'encontre de la décision rendue en Allemagne?

M. Kevin Chan:

Je crois que le nœud du problème, encore une fois, tient à la question posée par M. Erskine-Smith: où commence et où se termine la politique sur la concurrence relativement aux limites du droit à la vie privée?

M. Jens Zimmermann:

D'accord. Merci.

Je veux aussi m'adresser à Google. Vous avez mentionné avoir besoin de définitions claires de la notion de « discours illicites ». Je me suis penché sur le rapport allemand sur la transparence, et il s'avère que, des 167 000 plaintes en Allemagne, seulement 145 cas ont exigé que vos collègues se tournent vers des spécialistes pour déterminer si, oui ou non, il était question de discours illicites. Pourquoi, alors, croyez-vous que c'est vraiment problématique? Est-ce vraiment un problème de définition ou est-ce plutôt un problème lié à la gestion du nombre de plaintes et à l'immense quantité de discours haineux en ligne?

M. Derek Slater:

C'est une question très importante. La NetzDG est une loi complexe, mais l'une des composantes pertinentes, ici, c'est qu'elle cerne, si je ne m'abuse, 22 lois précises qu'elle régit.

M. Jens Zimmermann:

En fait, la NetzDG dit essentiellement que, en Allemagne, il faut respecter les lois allemandes, un point c'est tout.

M. Derek Slater:

Je comprends, et ce qui a été dit au sujet de ces 22 lois, c'est: « Voici les exigences en matière de délai de traitement et de rapport sur la transparence ayant mené aux données que vous aviez. » Selon moi, une des choses importantes dans ce cas-ci, c'est qu'on parle précisément de définitions législatives claires. Ces définitions nous permettent ensuite d'agir en fonction d'avis clairs de façon rapide et conformément au cadre législatif.

(1150)

Le président:

Nous allons maintenant passer à la République d'Estonie.

Allez-y, vous avez cinq minutes.

Mme Keit Pentus-Rosimannus (vice-présidente, Parti réformateur, Parlement de la République d'Estonie (Riigikogu)):

Merci.

Je viens d'Europe, de l'Estonie. C'est vrai que, deux jours après les élections européennes, on pourrait dire que vous avez fait des progrès en ce qui a trait au retrait de faux comptes, mais c'est aussi vrai que ces faux comptes n'auraient jamais dû exister d'entrée de jeu.

Ma première question est la suivante: quel genre de changements prévoyez-vous mettre en place pour identifier vos utilisateurs dès le départ?

M. Kevin Chan:

Merci de la question. Je crois que nous sommes prudents, mais heureux des résultats en ce qui a trait au rendement de la plateforme en Europe. Cependant, pour ce qui est des faux comptes, je dirais — et je crois que mon collègue M. Potts l'a mentionné — qu'il y a un genre de course à l'armement entre nous et nos adversaires, les délinquants qui essaient de créer des comptes et du contenu inauthentiques sur la plateforme.

Je crois que nous devons constamment nous améliorer et évoluer...

Mme Keit Pentus-Rosimannus:

De quelle façon pouvez-vous améliorer le processus d'identification initial?

M. Kevin Chan:

L'une des choses que je peux vous dire — et encore là il est question de la publicité politique que nous tentons de gérer —, c'est que nous voulons être assez sûrs de l'identité des personnes qui font de la publicité.

Au Canada, comme je l'ai mentionné précédemment, nous le ferons, et ce ne sera pas facile. Les annonceurs politiques au Canada devront obtenir une preuve d'identité quelconque. Il faudra vérifier de façon indépendante cette preuve d'identité, puis nous enverrons à la personne une clé quelconque — une clé numérique, si vous voulez — qu'elle utilisera pour s'authentifier avant de pouvoir faire de la publicité politique.

C'est très coûteux, et il s'agit d'un investissement important. Ce n'est pas non plus quelque chose qui se fera sans créer certaines frictions. Personnellement, je crains qu'il y ait des situations où les gens voudront publier une publicité sans connaître l'exigence, pour ensuite constater qu'il leur faudra plusieurs jours avant de pouvoir le faire.

Je crains aussi qu'il y ait de faux positifs, mais je crois que c'est la bonne chose à faire pour protéger les élections partout dans le monde et ici même, au Canada, en octobre. Nous sommes prêts à y consacrer le temps et l'argent et, possiblement, à composer avec certaines des frictions pour bien faire les choses.

Mme Keit Pentus-Rosimannus:

D'accord. Merci.

Ma deuxième question concerne les fausses nouvelles et les fausses vidéos. Quelle est votre politique en matière de fausses nouvelles, par exemple, les vidéos truquées? Seront-elles retirées ou indiquera-t-on tout simplement qu'il s'agit de vidéos truquées?

M. Derek Slater:

La question des vidéos truquées... Merci de la question. C'est un nouvel enjeu très important. Nous avons des lignes directrices claires aujourd'hui au sujet du contenu qu'il faut retirer. Si une vidéo truquée est visée par nos lignes directrices, nous la retirerons.

Nous comprenons aussi qu'il faut faire plus de recherches. Nous avons travaillé activement avec la société civile et le milieu universitaire à cet égard.

Mme Keit Pentus-Rosimannus:

Et qu'en est-il de Facebook?

M. Neil Potts:

Merci.

Nous menons aussi des enquêtes et réalisons des recherches sur cette politique pour nous assurer de faire la bonne chose. Actuellement, nous indiquerions que c'est un faux, nous informerions les utilisateurs, mais nous tentons constamment...

Mme Keit Pentus-Rosimannus:

Les vidéos truquées ne seront pas retirées.

M. Neil Potts:

Nous mettons constamment à jour nos politiques, et nous pourrons les mettre à jour à l'avenir, à mesure que les choses évoluent. Nous travaillons avec des organismes de recherche et des gens sur le terrain pour comprendre de quelle façon ces vidéos pourraient se manifester. Comme je l'ai déjà mentionné, si ces vidéos — ou tout type de mésinformation — peuvent mener à des préjudices dans le vrai monde — à des préjudices hors ligne, en fait — nous retirerons le contenu.

Mme Keit Pentus-Rosimannus:

Et du côté de Twitter?

M. Carlos Monje:

Nous partageons la même préoccupation au sujet des vidéos truquées. Si nous constatons que des vidéos truquées sont utilisées pour transmettre de faux renseignements en contravention de nos règles, nous retirerons le contenu.

Mme Keit Pentus-Rosimannus:

Ma dernière question sera à nouveau adressée à M. Collins. C'est la question qui a été posée au début, au sujet de la fausse vidéo de Nancy Pelosi. Disons qu'une vidéo similaire devait être produite, mais qu'elle mettait en scène M. Zuckerberg, serait-elle retirée ou indiqueriez-vous seulement que c'est une fausse vidéo?

Des voix: Ha, ha!

M. Neil Potts:

Je suis désolé, à cause des rires... Je n'ai pas entendu le nom.

Mme Keit Pentus-Rosimannus:

Désolée pour les éclats de rire. Si une vidéo similaire à ce qui a été présenté — la vidéo de Nancy Pelosi — était affichée, mais qu'elle mettait en vedette Mark Zuckerberg, la retireriez-vous ou indiqueriez-vous simplement qu'il s'agit d'une fausse nouvelle?

M. Neil Potts:

Si c'était la même vidéo, mais qu'il s'agissait de M. Zuckerberg plutôt que de la présidente Pelosi, le traitement serait le même.

Le président:

Merci.

Je veux expliquer rapidement ce qui se passe derrière moi. Vos présidents ont décidé de continuer de travailler durant le dîner, alors n'hésitez pas à aller chercher quelque chose. Nous continuerons les témoignages durant le dîner.

Nous passons maintenant au Mexique. Allez-y. Vous avez cinq minutes.

(1155)

L’hon. Antares Guadalupe Vázquez Alatorre (sénatrice):

[Le témoin s'exprime en espagnol et l'interprétation en anglais de ses propos est traduite ainsi:]

Merci. Je vais parler dans ma langue.

J'ai plusieurs questions. Dans le cas de Google, que faites-vous pour protéger les renseignements personnels des gens? Je sais qu'il y a beaucoup de cas de vidéos liés à du sextage qui sont encore accessibles, et quand les victimes de ces vidéos se tournent vers vos bureaux à Mexico — et je suis au fait de plusieurs cas — Google leur dit de présenter la plainte aux États-Unis. On parle de vidéos qui constituent une attaque violente contre une personne et ne peuvent pas être téléchargées. Que faites-vous dans de tels cas?

M. Derek Slater:

Je ne connais pas les cas précis dont vous parlez, mais nous avons des lignes directrices strictes lorsqu'on parle de choses qui peuvent inciter à la violence ou qui constituent des violations de la vie privée, par exemple. Si nous sommes informés et que nous sommes mis au fait de quelque chose du genre, nous passons à l'action, s'il s'agit d'une violation des lignes directrices en question. Je ne suis pas au fait des cas précis, mais je serais heureux de faire un suivi.

L’hon. Antares Guadalupe Vázquez Alatorre:

[Le témoin s'exprime en espagnol et l'interprétation en anglais de ses propos est traduite ainsi:]

J'ai des renseignements sur des cas très précis, mais nous ne savons pas vers qui nous tourner au Mexique, parce que les représentants ne font rien. Nous espérons que vous vous occuperez de ce dossier, parce que les gens doivent attendre des années avant que ces choses soient retirées.

J'aimerais poser une question à Twitter sur la création de tendances au moyen de robots. C'est très courant au Mexique. Chaque jour, il y a des tendances créées par des robots, ce qu'on appelle les fermes de robots. Je ne sais pas quelle est la politique de Twitter, parce que vous semblez permettre les tendances artificielles — ou les mots-clics — lorsqu'ils sont préjudiciables pour quelqu'un. Pourquoi ne laissez-vous pas les tendances se produire de façon organique? Je suis d'accord avec les tendances, des choses deviennent virales et il faut respecter la liberté d'expression, mais pourquoi permettre l'utilisation de robots? Si tout le monde peut détecter ces choses, pourquoi Twitter n'y arrive-t-elle pas?

M. Carlos Monje:

Les tendances mesurent la conversation en temps réel et essaient de distinguer les conversations qui suscitent toujours un haut niveau d'engagement, le Championnat d'Angleterre de football, par exemple, ou les élections mexicaines. Ce que les tendances tentent de cerner, c'est une accélération au-dessus de la moyenne. Lorsque cela se produit de façon organique, comme vous l'avez mentionné, la tendance est différente de ce que l'on constate lorsque le processus est accéléré par des robots.

Depuis 2014, ce qui est il y a très longtemps pour nous, nous avons la capacité de protéger les tendances de ce genre d'activités automatisées non organiques. M. Chan a mentionné une course à l'armement. Je crois que c'est une bonne expression pour exprimer la lutte contre l'automatisation à des fins malicieuses. Actuellement, nous vérifions 450 millions de comptes par année que nous croyons être inauthentiques, et nos outils sont très subtils, très créatifs. On regarde des choses comme les gazouillis partagés ou les activités qui se passent si vite que c'est impossible que ce soit le fait d'un humain.

Et malgré cela, on en a éliminé 75 %, et il y a donc 25 % des comptes que nous estimions être inauthentiques qui ont subi le test avec succès. Nous ratissons plus large que nécessaire pour essayer de mettre fin à ces activités inauthentiques. C'est un contexte où il n'y a pas d'écart entre les valeurs sociétales de confiance à l'égard des activités en ligne et nos impératifs en tant qu'entreprise, soit le fait que nous voulons que les gens se tournent vers Twitter pour croire ce qu'ils voient, en sachant que les robots russes ou peu importe ne leur jouent pas des tours, alors nous travaillons très dur pour bien faire les choses et nous continuons d'apporter des améliorations chaque semaine.

L’hon. Antares Guadalupe Vázquez Alatorre:

[Le témoin s'exprime en espagnol et l'interprétation en anglais de ses propos est traduite ainsi:] Mais c'est quelque chose qui se passe normalement chaque jour, pas seulement durant les élections. C'est quelque chose qui se passe chaque fois qu'une tendance est gonflée par des robots. La réaction à tout cela a été inadéquate. Il y a des choses qui sont agressives.

J'ai une question pour Twitter et Facebook. Lorsqu'un utilisateur signale une publication, très souvent, on précise que la chose reprochée n'enfreint pas la politique, mais c'est tout de même quelque chose d'agressif aux yeux de l'utilisateur. On nous dit que la publication n'enfreint pas la politique, mais c'est tout de même quelqu'un qui ment, qui attaque, et la personne visée se sent vulnérable. Très souvent, il ne se passe rien parce que vos politiques ne sont pas enfreintes.

De plus, pour ce qui est de toute la question de l'authentification, lorsque les comptes sont authentifiés grâce à des crochets bleus, même les autres comptes peuvent être bloqués. Certaines personnes disent « identifiez-vous » et bloquent tous les comptes. Parallèlement, il y a des milliers de faux comptes, et rien ne se fait, même si on les signale. Il y a des utilisateurs qui signalent constamment ces faux comptes. Pourquoi avez-vous une politique différente?

(1200)

Le président:

Donnez une réponse brève, s'il vous plaît.

M. Carlos Monje:

Nous nous efforçons de rajuster nos politiques. Il y a des choses qui vont à l'encontre de nos règles, et d'autres qui ne constituent pas des infractions, même si les gens ne les aiment pas. C'est ce que nous appelons, à l'interne, l'écart. Ce que nous avons fait et ce que nos équipes font, c'est essayer d'éliminer ces problèmes, morceau par morceau, et de comprendre quelles sont les attentes de nos utilisateurs qui ne correspondent pas à leur expérience.

Notre approche est, encore une fois, très cohérente. Nous voulons que les gens se sentent à l'aise et en sécurité en ligne. Nous ne voulons pas miner l'expression publique, et ce sont des enjeux que nous avons beaucoup à cœur et relativement auxquels nous nous sentons visés personnellement.

Le président:

Merci.

Nous allons maintenant passer au Royaume du Maroc pour cinq minutes. [Français]

M. Mohammed Ouzzine (vice-président, Commission de l'enseignement, de la culture et de la communication, Chambre des représentants du Royaume du Maroc):

Merci, monsieur le président.

Je remercie également l'équipe sympathique qui nous fait l'honneur d'être ici aujourd'hui: Kevin Chan, Derek Slater, Neil Potts, Carlos Monje et Michele Austin. Nous aurions souhaité que M. Mark Zuckerberg soit des nôtres, mais il nous a fait faux bond. Nous espérons le revoir à une autre occasion.

J'ai été très attentif à deux propositions de M. Chan. Je tiens ici à faire une précision de nature linguistique, à l'intention des interprètes: quand j'utilise le terme « proposition », en anglais, cela renvoie au terme « proposition », et non « proposal ».

En présentant les enjeux que soulève sa compagnie, M. Chan disait qu'il n'appartenait pas qu'à Facebook de les résoudre. Nous sommes tout à fait d'accord sur ce point.

Ensuite, toujours au sujet de ces enjeux, il a ajouté qu'il fallait protéger la société des conséquences. Bien sûr, ces plateformes présentent des avantages sur le plan social. Cependant, nous parlons aujourd'hui des troubles sociaux qu'elles engendrent; c'est ce qui nous interpelle plus que jamais.

Facebook, Twitter et YouTube se voulaient, dans un premier temps, une évolution numérique, mais cela s'est transformé en révolution numérique. En effet, cela a mené à une révolution des systèmes, à une révolution contre les systèmes, à une révolution du comportement, et même à une révolution de notre perception du monde.

Il est vrai qu'aujourd'hui, l'intelligence artificielle dépend de l'accumulation massive de données personnelles. Cela étant, cette accumulation met à risque d'autres droits fondamentaux, car cela repose sur des données qui peuvent être faussées.

Au-delà de l'aspect commercial et du profit, ne serait-il pas opportun pour vous aujourd'hui de tenter un sursaut moral, voire une révolution morale? Après avoir permis ce succès fulgurant, pourquoi ne pas désormais mettre l'accent beaucoup plus sur l'homme que sur l'algorithme, moyennant que vous imposiez au préalable des restrictions strictes, dans un souci de promouvoir la responsabilité et la transparence?

On se demande parfois si vous manifestez autant d'intérêt quand la désinformation ou les discours haineux surviennent dans des pays autres que la Chine ou situés ailleurs qu'en Europe ou en Amérique du Nord, entre autres.

On ne s'explique pas toujours que des jeunes, voire des enfants, puissent mettre en ligne des vidéos montées de toutes pièces qui contiennent des scènes obscènes, des commentaires insultants ou des gros mots. On trouve cela inacceptable. Parfois, on trouve que cela s'écarte de la finalité de ces outils, de la règle commune et de la norme sociale admise.

Nous ne sommes pas là pour vous juger ni pour faire votre procès, mais beaucoup plus pour vous implorer de prendre nos remarques en considération.

Merci.

(1205)

M. Kevin Chan:

Merci beaucoup, monsieur Ouzzine.

Encore une fois, permettez-moi de vous répondre en anglais. Ce n'est pas parce que je ne veux pas vous répondre en français, mais je pense que je serai plus clair en anglais.[Traduction]

Je serai heureux de répondre à la première question liée à ce dont vous parlez, les humains contre les machines ou les humains contre les algorithmes. Honnêtement, je crois qu'on a besoin des deux, parce que, évidemment, on parle de quantités astronomiques. Il y a plus de 2 milliards de personnes sur la plateforme. Par conséquent, pour dissiper certaines des préoccupations soulevées ici par les membres, nous avons besoin de systèmes automatisés qui peuvent cerner de façon proactive certains des problèmes.

Pour revenir à la première question de M. Collins, je crois qu'il est tout aussi important d'inclure des humains dans tout ça, parce que, au bout du compte, le contexte aidera à déterminer si, oui ou non, quelque chose est malveillant. Le contexte est donc extrêmement important.

Si vous me le permettez, monsieur, en ce qui concerne les enjeux humains, je crois que vous mettez le doigt sur quelque chose de très important. C'est quelque chose que j'avais déjà mentionné. Selon moi, il ne faut pas que les entreprises comme Facebook prennent toutes les décisions de ce genre. Nous le comprenons. Je crois que les gens veulent plus de transparence et qu'ils veulent mieux comprendre de quelle façon nous prenons nos décisions en ce qui concerne les choses qui restent, et celles qu'on retire.

Je peux vous dire que, au cours des derniers mois, y compris au Canada, nous avons entrepris un processus de consultation international auprès d'experts de partout dans le monde pour obtenir des commentaires sur la façon de créer un comité d'appel externe de Facebook, une entité qui serait indépendante de Facebook et qui prendrait des décisions sur les questions très difficiles liées au contenu. Selon nous, il y a une question qui se pose — du moins là où nous en sommes dans notre réflexion quant à ce que nous proposerons —, et c'est celle de savoir si les décisions d'un tel comité seraient publiques et contraignantes pour Facebook. C'est un peu ainsi que nous avons imaginé tout ça. En outre, nous recevons des commentaires et nous continuerons de consulter les experts. Notre engagement, c'est que ça soit prêt d'ici la fin de 2019.

Assurément, nous comprenons que c'est difficile sur notre plateforme. Nous voulons miser à la fois sur des humains et sur des algorithmes, si vous voulez, mais nous comprenons aussi que les gens feront plus confiance aux décisions s'il y a un comité d'appel, au bout du compte, et c'est ce que nous mettrons en place d'ici la fin de 2019.

Bien sûr, nous sommes ici aujourd'hui pour discuter de la question plus générale des cadres réglementaires qui devraient s'appliquer à tous les services en ligne. De ce côté-là, encore une fois, évidemment, l'aspect humain sera incroyablement important. Je vous remercie donc, monsieur, d'avoir soulevé cet enjeu, parce que c'est exactement ce que, selon moi, nous tentons de faire, soit de trouver le juste équilibre et de mettre en place le bon cadre pour la plateforme, mais aussi à l'échelle de tous les services en ligne.

Le président:

Merci, monsieur Chan.

Nous allons maintenant passer à l'Équateur pour cinq minutes.

Mme Elizabeth Cabezas (présidente, Assemblée nationale de la République de l'Équateur):

[La déléguée s'exprime en espagnol. Traduction de l'interprétation.]

Merci beaucoup.

Je veux revenir sur certaines des préoccupations qui ont déjà été soulevées durant la réunion et aussi exprimer une grande préoccupation au sujet des gazouillis et de Twitter et de la prolifération de faux comptes non détectés. Ces comptes restent de toute évidence actifs très longtemps sur les médias sociaux et génèrent, dans la plupart des cas, des messages et des tendances de nature négative contre différents groupes, tant des groupes politiques que des entreprises et des syndicats de différents secteurs.

Je ne sais pas quels mécanismes vous avez décidé d'adopter pour authentifier ces comptes, parce que ce sont des comptes qui sont liés à des centres de trolls ou des usines à trolls, qui, en Équateur, apparaissent vraiment souvent, et la tendance se maintient. Ces centres disséminent des messages à grande échelle, des messages malveillants qui vont à l'encontre de l'information réelle et véridique et qui déforment vraiment les points de vue.

Plutôt que de continuer à souligner les problèmes qui ont déjà été mentionnés, je vous prie de réfléchir à des mécanismes de vérification des faits pouvant détecter ces comptes rapidement, parce qu'il est évident que vous ne le faites pas aussi rapidement qu'il le faut, ce qui permet à des messages nuisibles de proliférer et de générer différentes pensées en plus de déformer la vérité sur beaucoup de sujets.

Je ne sais pas quelles sont les options, en pratique, ni ce que vous faites concrètement pour éviter ou prévenir ce genre de choses et pour prévenir l'existence de ces centres de trolls et la création de faux comptes, qui sont extrêmement nombreux.

(1210)

M. Carlos Monje:

Merci. C'est exactement la bonne question à poser, et c'est un sujet sur lequel nous travaillons chaque jour.

Je tiens à souligner que notre capacité de cerner, de perturber et d'éliminer les activités d'automatisation malveillantes s'améliore chaque jour. Nous cernons — je me suis trompé précédemment — 425 millions de comptes, c'est le nombre de comptes que nous avons contestés en 2018.

Premièrement, il faut mettre fin aux mauvaises activités coordonnées constatées sur la plateforme. Deuxièmement, nous devons travailler pour soutenir des personnes dont les messages sont crédibles, comme les journalistes, les politiciens, les experts et la société civile. Partout en Amérique latine, nous travaillons avec la société civile — surtout dans le contexte des élections —, pour comprendre quand les principaux événements se produisent, afin de pouvoir cibler nos efforts d'application de la loi en conséquence et de donner plus de renseignements contextuels aux gens sur les personnes qu'ils ne comprennent pas.

Je vais vous donner un exemple, parce qu'on a peu de temps. Si vous allez sur Twitter actuellement, vous pouvez voir la source du gazouillis, ce qui signifie que vous pouvez savoir si le message vient d'un iPhone, d'un appareil Android, de TweetDeck ou de Hootsuite ou d'une des autres façons utilisées par les gens pour coordonner leurs activités sur Twitter.

Le dernier élément d'information — ou la façon de penser à tout ça — concerne la transparence. Selon nous, notre approche doit consister à faire silencieusement notre travail pour nous assurer que la plateforme reste saine et solide. Lorsque nous cernons des activités d'information précises parrainées par un État, nous communiquons