header image
The world according to David Graham

Topics

acva bili chpc columns committee conferences elections environment essays ethi faae foreign foss guelph hansard highways history indu internet leadership legal military money musings newsletter oggo pacp parlchmbr parlcmte politics presentations proc qp radio reform regs rnnr satire secu smem statements tran transit tributes tv unity

Recent entries

  1. PMO Staff Run Government; Ministers Represent It
  2. On A Mostly Harmless Birthday
  3. The Trouble With Political Communications
  4. Politics: War By Other Means
  5. On the function of Social media
  6. C-18 is an existential threat, not a benefit, to democracy
  7. On Missing A Little More Than A Sub
  8. The Realpolitik Of Open Nomination
  9. What Is An Open Nomination, Really?
  10. Alberta election about identity, not policy
  11. The Trouble With Electoral Reform
  12. Mr. Bains Goes to Rogers
  13. Question Period
  14. Why do lockdowns and pandemic restrictions continue to exist?
  15. Parliamentary privilege: an arcane concept that can prevent coups
  16. It's not over yet
  17. Trump will win in 2020 (and keep an eye on 2024)
  18. A podcast with Michael Geist on technology and politics
  19. Next steps
  20. On what electoral reform reforms
  21. 2019 Fall campaign newsletter / infolettre campagne d'automne 2019
  22. 2019 Summer newsletter / infolettre été 2019
  23. 2019-07-15 SECU 171
  24. 2019-06-20 RNNR 140
  25. 2019-06-17 14:14 House intervention / intervention en chambre
  26. 2019-06-17 SECU 169
  27. 2019-06-13 PROC 162
  28. 2019-06-10 SECU 167
  29. 2019-06-06 PROC 160
  30. 2019-06-06 INDU 167
  31. older entries...

All stories filed under ethi...

  1. 2019-01-29: 2019-01-29 ETHI 132
  2. 2019-01-31: 2019-01-31 ETHI 133
  3. 2019-02-28: 2019-02-28 ETHI 139
  4. 2019-05-09: 2019-05-09 ETHI 148
  5. 2019-05-16: 2019-05-16 ETHI 150
  6. 2019-05-27: 2019-05-27 ETHI 151
  7. 2019-05-28: 2019-05-28 ETHI 153
  8. 2019-05-28: 2019-05-28 ETHI 154
  9. 2019-05-29: 2019-05-29 ETHI 155

Displaying the most recent stories under ethi...

2019-05-29 ETHI 155

Standing Committee on Access to Information, Privacy and Ethics

(0835)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

I call to order this meeting of the Standing Committee on Access to Information, Privacy and Ethics. This is meeting 155.

This is the last of our international grand committee meetings this week, the International Grand Committee on Big Data, Privacy and Democracy.

With us today from Amazon, we have Mark Ryland, director of security engineering, office of the chief information officer of the Amazon web services.

From Microsoft Canada Inc., we have Marlene Floyd, national director of corporate affairs, and John Weigelt, national technology officer.

From the Mozilla Foundation, we have Alan Davidson, vice-president of global policy, trust and security.

From Apple Inc., we have Erik Neuenschwander. He is manager of user privacy.

We're going to get into your testimony. I wanted to say that the CEOs were invited today, and it's unfortunate that they didn't come. Again, as I've said to many of you just prior to the meeting, this is supposed to be a constructive meeting on how to make it better, and some of the proposals that your companies have right from the top are good ones, and that's why we wanted to hear them today and have the CEOs answer our questions, but we do appreciate that you're here.

We'll start off with Mr. Ryland for 10 minutes.

Mr. Mark Ryland (Director, Security Engineering, Office of the Chief Information Security Officer for Amazon Web Services, Amazon.com):

Thank you very much.

Good morning, Chair Zimmer, members of the committee, and international guests.

My name is Mark Ryland. I serve as the director of security engineering in the office of the chief information security officer at Amazon web services, the cloud computing division of Amazon.

Thank you for giving me the opportunity to speak with you today. I'm pleased to join this important discussion. I'd like to focus my remarks today on how Amazon puts security and customer trust at the centre of everything we do.

Amazon's mission is to be the earth's most customer-centric company. Our corporate philosophy is firmly rooted in working backwards from what customers want and continuously innovating to provide customers better service, more selection and lower prices. We apply this approach across all our areas of business, including those that touch on consumer privacy and cybersecurity.

Amazon has been serving Canadian customers since we first launched amazon.ca in 2002. Amazon now has more than 10,000 full-time employees in Canada. In 2018, we announced plans to create an additional 6,300 jobs.

We also have two tech hubs, one in Toronto and another in Vancouver. These are clusters of offices employing more than 1,000 software engineers and a number of supporting technical workers, building some of our most advanced global systems. We also have offices in Victoria for www.abebooks.com, and our AWS Thinkbox subsidiary in Winnipeg.

We operate seven fulfillment centres in Canada, and four more have been announced. They will all open this year, in 2019.

I would now like to talk about our cloud platform.

Just over 13 years ago, Amazon launched Amazon web services, which is our cloud computing business. Montreal is home to our AWS Canada region, which is made up of a number of distinct data centres. We launched AWS, because after over a decade of building and running amazon.com, we realized we had developed a core competency in operating massively scaled technology infrastructure and data centres. We embarked on a broader mission of serving developers and businesses with information technology services that they can use to run their own businesses.

The term “cloud computing” refers to the on-demand delivery of IT resources over the Internet or over private networks. The AWS cloud spans a network of data centres across 21 geographic regions around the globe. Instead of owning and maintaining their own data centres, our customers can acquire technology such as compute power, storage, and databases in a matter of seconds on an as-needed basis by simply calling an API or clicking a mouse on a graphical console.

We provide IT infrastructure and services in the same way that you just flip a switch to turn on the lights in your home and the power company sends you electricity.

One of this committee's concerns was democracy. Well, we're really democratizing access to IT services, things that only very large organizations could previously do, in terms of the scale involved. Now the smallest organizations can get access to that same type of very sophisticated advanced technology with simply a click of a button and just paying for their consumption.

Today AWS provides IT services to millions of active customers in over 190 countries. Companies that leverage AWS range from large Canadian enterprises such as Porter Airlines, Shaw, the National Bank of Canada, TMX Group, Corus, Capital One, and Blackberry to innovative start-ups like Vidyard and Sequence Bio.

I want to underline that privacy really starts with security. Privacy regulations and expectations cannot be met unless systems are maintaining the confidentiality of data according to their design. At AWS, we say that security is “job zero”, by which we mean it's even more important than a number one priority. We know that if we don't get security right, we don't really have a business.

AWS and Amazon are vigilant about the security and privacy of our costumers and have implemented sophisticated technical and physical measures to prevent unauthorized access to data.

Security is everyone's responsibility. While we have a world-class team of security experts monitoring our systems 24-7 to protect customer data, every AWS employee, regardless of role, is responsible for ensuring that security is an integral component of every facet of our business.

Security and privacy are a shared responsibility between AWS and the customer. What that means is that AWS is responsible for the security and privacy of the cloud itself, and customers are responsible for their security and the privacy of their systems and their applications that run in the cloud. For example, customers should consider the sensitivity of their data and decide if and how to encrypt their data. We provide a wide variety of encryption tools and guidance to help customers meet their cybersecurity objectives.

We sometimes say, “Dance like no one's watching. Encrypt like everyone is.” Encryption is also helpful when it comes to data privacy. In many cases, data can be effectively and permanently erased simply by deleting encryption keys, for example.

(0840)



More and more, organizations are realizing the link between IT modernization offered by the cloud and a better security posture. Security depends on the ability to stay a step ahead of a rapidly and continuously evolving threat landscape, requiring both operational agility and the latest technologies.

The cloud offers many advanced security features that ensure that data is securely stored and handled. In a traditional on-premises environment, organizations spend a lot of time and money managing their own data centres, and worry about defending themselves against a complete range of nimble, continuously evolving threats that are difficult to anticipate. AWS implements baseline protections, such as DDoS protection, or distributed denial of service protection; authentication; access control; and encryption. From there, most organizations supplement these protections with added security measures of their own to bolster cloud data protections and tighten access to sensitive information in the cloud. They also have many tools at their disposal for meeting their data privacy goals.

As the concept of “cloud” is often new to people, I want to emphasize that AWS customers own their own data. Customers choose the geographic location in which to store their data in our highly secure data centres. Their data does not move unless the customer decides to move it. We do not access or use our customers' data without their consent.

Technology is an important part of modern life, and has the potential to offer extraordinary benefits that we are just beginning to realize. Data-driven solutions possess potentially limitless opportunities to improve the lives of people, from making far faster medical diagnoses to making farming far more efficient and sustainable. In addressing emerging technology issues, new regulatory approaches may be required, but they should avoid harming incentives to innovate and avoid constraining important efficiencies like economies of scale and scope.

We believe policy-makers and companies like Amazon have very similar goals—protecting consumer trust and privacy and promoting new technologies. We share the goal of finding common solutions, especially during times of fast-moving innovation. As technology evolves, so too will the opportunities for all of us in this room to work together.

Thank you. I look forward to taking your questions.

The Chair:

Thank you, Mr. Ryland.

Next up is Microsoft. Will it be Ms. Floyd or Mr. Weigelt?

Ms. Marlene Floyd (National Director, Corporate Affairs, Microsoft Canada Inc.):

We will share.

The Chair:

Okay. Go ahead. [Translation]

Mr. John Weigelt (National Technology Officer, Microsoft Canada Inc.):

Thank you, Mr. Chair.

We're pleased to be here today.[English]

My name is John Weigelt. I'm the national technology officer for Microsoft here in Canada. My colleague Marlene Floyd, national director of corporate affairs for Microsoft Canada, joins me. We appreciate the opportunity to appear before this committee today. The work you've undertaken is important given our increasingly digital world and the impact of technology on jobs, privacy, safety, inclusiveness and fairness.

Since the establishment of Microsoft Canada in 1985, our presence here has grown to include 10 regional offices around the country, employing more than 2,300 people. At our Microsoft Vancouver development centre, over 700 employees are developing products that are being used around the world. Cutting-edge research on artificial intelligence is also being conducted by Ph.D.s and engineers at the Microsoft research lab in Montreal. That's in partnership with the universities there.

Powerful technologies like cloud computing and artificial intelligence are transforming how we live and work, and are presenting solutions to some of the world's most pressing problems. At Microsoft we are optimistic about the benefits of these technologies but also clear-eyed about the challenges that require thinking beyond technology itself to ensure the inclusion of strong ethical principles and appropriate laws. Determining the role that technology should play in society requires those in government, academia, business and civil society to come together to help shape the future.

Over 17 years ago, when Bill Gates asserted that “trustworthy computing” would be the highest priority at Microsoft, he dramatically changed how our company delivers solutions to the marketplace. This commitment was re-emphasized by our CEO, Satya Nadella, in 2016. We believe privacy is a fundamental human right. Our approach to privacy and data protection is grounded in our belief that customers own their own data. Consequently, we protect our customers' privacy and provide them with control over their data.

We have advocated for new privacy laws in a number of jurisdictions, and we were early supporters of the GDPR in Europe. We recognize that for governments, having computer capacity close to their constituents is very important. Microsoft has data centres in more regions than any other cloud provider, with over 100 data centres located in over 50 regions around the world. We're quite proud that two of these data centres are located here in Canada, in Ontario and Quebec.

Protecting our customers and the wider community from cyber-threats is a responsibility we take very seriously. Microsoft continues to invest over $1 billion each year in security research and development, with thousands of global security professionals working with our threat intelligence centre, our digital crimes unit, and our cyber-defence operations centre. We work closely with the Government of Canada's recently announced Canadian Centre for Cyber Security. We have partnered with governments around the world under the government security program, working towards technical information exchanges, threat intelligence sharing and even co-operative botnet takedowns. Further, Microsoft led the Cybersecurity Tech Accord, signed by over 100 global organizations that came together to defend all customers everywhere from malicious cyber-attacks and to do more to keep the Internet safe.

(0845)

Ms. Marlene Floyd:

Microsoft was also proud to be a signatory to the Paris call for trust and security in cyberspace announced in November by French President Emmanuel Macron at the Paris peace summit. With over 500 signatories, it is the largest ever multi-stakeholder commitment to principles for the protection of cyberspace.

Another focus of your committee has been the increasing interference by bad actors in the democratic processes of numerous countries around the world. We fully agree that the tech sector needs to do more to help protect the democratic process. Earlier this week, we were pleased to endorse the Canada declaration on electoral integrity announced by Minister Gould.

Microsoft has taken action to help protect the integrity of our democratic processes and institutions. We have created the Defending Democracy program, which works with stakeholders in democratic countries to promote election integrity, campaign security and disinformation defence.

As part of this program, Microsoft offers a security service called AccountGuard at no cost to Office 365 customers in the political ecosystem. It is currently offered in 26 countries, including Canada, the U.S., the U.K., India, Ireland and most other EU countries. It's currently protecting over 36,000 email accounts. Microsoft AccountGuard identifies and warns individuals and organizations of cyber-threats, including attacks from nation-state actors. Since the launch of the program, it has made hundreds of threat notifications to participants.

We have also been using technology to ensure the resiliency of the voting process. Earlier this month, we announced ElectionGuard, a free, open-source software development kit aimed at making voting more secure by providing end-to-end verification of elections, opening results to third party organizations for secure validation, and allowing individual voters to confirm that their votes were counted correctly.

At Microsoft, we're working hard to ensure that we develop our technologies in ways that are human-centred and that allow for broad and fair access by everyone. The rapid advancement of compute power and the growth of AI solutions will help us be more productive in nearly every field of human endeavour and will lead to greater prosperity, but the challenges need to be addressed with a sense of shared responsibility. In some cases this means moving more slowly in the deployment of a full range of AI solutions while working thoughtfully and deliberately with government officials, academia and civil society.

We know that there is more that we need to do to continue earning trust, and we understand that we will be judged by our actions, not just our words. Microsoft is committed to continuing to work in deliberate and thoughtful partnership with government as we move forward in this digital world.

Thank you, and we're happy to receive your questions.

The Chair:

Thank you, Ms. Floyd.

We'll go next to Mr. Davidson from Mozilla.

Mr. Alan Davidson (Vice-President, Global Policy, Trust and Security, Mozilla Corporation):

Members of the grand committee and the standing committee, thank you.

I'm here today because all is not well with the Internet. For sure the open Internet is the most powerful communications medium we've ever seen. At its best, it creates new chances to learn to solve big problems to build a shared sense of humanity, and yet we've also seen the power of the Internet used to undermine trust, magnify divisiveness and violate privacy. We can do better, and I'm here to share a few ideas about how.

My name is Alan Davidson. I'm the vice-president for policy, trust and security at the Mozilla Corporation. Mozilla is a fairly unusual entity on the Internet. We're entirely owned by a non-profit, the Mozilla Foundation. We're a mission-driven open-source software company. We make the Firefox web browser, Pocket and other services.

At Mozilla we're dedicated to making the Internet healthier. For years we've been champions of openness and privacy online, not just as a slogan but as a central reason for being. We try to show by example how to create products to protect privacy. We build those products not just with our employees but with thousands of community contributors around the world.

At Mozilla we believe the Internet can be better. In my time today, I would like to cover three things: first, how privacy starts with good product design; second, the role of privacy regulation; and third, some of the content issues that you folks have been talking about for the last few days.

First off, we believe our industry can do a much better job of protecting privacy in our products. At Mozilla we're trying to do just that. Let me give you one example from our work on web tracking.

When people visit a news website, they expect to see ads from the publisher of that site, from the owner of that website. When visitors to the top news sites, at least in the U.S., visit, they encounter dozens of third party trackers, trackers from sites other than the one that they're visiting, sometimes as many as 30 or 40. Some of those trackers come from household names and some of them are totally obscure companies that most consumers have never heard of.

Regardless, the data collected by these trackers is creating real harm. It can enable divisive political ads. It can shape health insurance decisions and is being used to drive discrimination in housing and jobs. The next time you see a piece of misinformation online, ask yourself where the data came from that suggested that you would be such an inviting target for that misinformation.

At Mozilla we've set out to try to do something about tracking. We created something we call the Facebook container, which greatly limits what Facebook can collect from you when you're browsing on Firefox. It's now, by the way, one of the most popular extensions that we've ever built. Now we're building something called enhanced tracking protection. It's a major new feature in the Firefox browser that blocks almost all third party trackers. This is going to greatly limit the ability of companies that you don't know to secretly track you as you browse around the web.

We're rolling it out to more people, and our ultimate goal is to turn it on by default for everybody. I emphasize that because what we've learned is that creating products with privacy by default is a very powerful thing for users, along with efforts like our lean data practices, which we use to limit the data that we collect in our own product. It's an approach that we hope others adopt, because we've learned that it's really unrealistic to expect that users are going to sort through all of the privacy policies and all the different options that we can give them to protect themselves. To make privacy real, the burden needs to shift from consumers to companies. Unfortunately, not everybody in our industry believes that.

Let me turn to my second point, which is that we believe that regulation will be an essential part of protecting privacy online. The European Union has been a leader in this space. Many other companies around the world are now following suit and trying to build their own new data protection laws. That's important because the approach we've had for the last two decades in our industry is clearly not working anymore. We've really embraced in the past this notion of notice and choice: If we just tell people what we're going to collect and let them opt out, surely they'll be fine. What we found is that this approach is really not working for people. We've been proponents of these new data protection rules, and we hope you will be too.

We believe that a good privacy law should have three main components. It needs clear rules for companies about what they can collect and use; it should have strong rights for individuals, including granular and revocable consent about specific uses; and it should be implemented within an effective and empowered enforcement agency, which is not always the case. We think that's an important component.

(0850)



Critically, we believe that you can build those laws and you can include those components while still preserving innovation and the beneficial uses of data. That's why we're supporting a new federal privacy law in the U.S. and we're working with regulators in India, Kenya and in other places to promote those laws.

My third point is that given the conversation you have all had for the last few days, I thought it would be useful to touch on at least some of our views on the big issues of content regulation. Of all the issues being examined by the committee, we believe that this is the most difficult.

We've seen that the incentives for many in the industry encourage the spread of misinformation and abuse, yet we also want to be sure that our reactions to those real harms do not themselves undermine the freedom of expression and innovation that have been such a positive force in people's lives on the Internet.

We've taken a couple of different approaches at Mozilla. We're working right now on something we call “accountability processes”. Rather than focusing on individual pieces of content, we should think about the kinds of processes that companies should have to build to attack those issues. We believe that this can be done with a principles-based approach. It's something that's tailored and proportionate to different companies' roles and sizes, so it won't disproportionately impact smaller companies, but it will give more responsibility to larger companies that play a bigger role in the ecosystem.

We've also been really engaged in the issues around disinformation, particularly in the lead-up to the EU parliamentary elections that just happened. We're signatories to the EU Code of Practice on Disinformation, which I think is a very important and useful self-regulatory initiative with commitments and principles to stop the spread of disinformation. For our part, we've tried to build tools in Firefox to help people resist online manipulation and make better choices about and understand better what they're seeing online.

We've also made some efforts to push our fellow code signatories to do more about transparency and political advertising. We think a lot more can be done there. Candidly, we've met with mixed results from some of our colleagues. I think there is much more room to improve the tools, particularly the tools that Facebook has put out there for ad transparency. There is maybe some work that Google could do, too. If we can't do that, the problem is that we'll need stronger action from government. Transparency should be a good starting point for us.

In conclusion, I'd say that none of these issues being examined by the committee are simple. The bad news is that the march of technology—with artificial intelligence, the rise of the Internet of things and augmented reality—is only going to make it harder.

A concluding thought is that we really need to think about how we build our societal capacity to grapple with these problems. For example, at Mozilla we've been part of something called the responsible computer science challenge, which is designed to help train the next generation of technologists to understand the ethical implications of what they're building. We support an effort in the U.S. to bring back the Office of Technology Assessment to build out government's capacity to better understand these issues and work more agilely. We're working to improve the diversity in our own company and our industry, which is essential if we're going to build capacity to address these issues. We publish something every year called the “Internet Health Report”, which just came out a couple of weeks ago. It's part of what we view as the massive project we all have to help educate the public so that they can address these issues.

These are just some of the examples and ideas we have about how to work across many different levels. It's designing better products, improving our public regulations and investing in our capacity to address these challenges in the future.

We really thank you for the opportunity to speak with you today and we look forward to working with you and your colleagues around the world to build a better Internet.

Thanks.

(0855)

The Chair:

Thank you, Mr. Davidson.

Last up, from Apple Inc., we have Erik Neuenschwander, please. You have 10 minutes.

Mr. Erik Neuenschwander (Manager of User Privacy, Apple Inc.):

Thank you.

Good morning, members of the committee, and thank you for inviting me to speak with you today about Apple's approach to privacy and data security.

My name is Erik Neuenschwander, and I've been a software engineer at Apple for 12 years. I worked as the first data analysis engineer on the first iPhone. I managed the software performance team on the first iPad, and I founded Apple's privacy engineering team. Today I manage that team responsible for the technical aspects of designing Apple's privacy features. I'm proud to work at a company that puts the customer first and builds great products that improve people's lives.

At Apple we believe that privacy is a fundamental human right, and it is essential to everything we do. That's why we engineer privacy and security into every one of our products and services. These architectural considerations go very deep, down to the very physical silicon of our devices. Every device we ship combines software, hardware and services designed to work together for maximum security and a transparent user experience. Today I look forward to discussing these key design elements with you, and I would also refer the committee to Apple's privacy website, which goes into far more detail about these and other design considerations in our products and services.

The iPhone has become an essential part of our lives. We use it to store an incredible amount of personal information: our conversations, our photos, our notes, our contacts, our calendars, financial information, our health data, even information about where we've been and where we are going. Our philosophy is that data belongs to the user. All that information needs to be protected from hackers and criminals who would steal it or use it without our knowledge or permission.

That is why encryption is essential to device security. Encryption tools have been offered in Apple's products for years, and the encryption technology built into today's iPhone is the best data security available to consumers. We intend to stay on that path, because we're firmly against making our customers' data vulnerable to attack.

By setting up a device passcode, a user automatically protects information on their device with encryption. A user's passcode isn't known to Apple, and in fact isn't stored anywhere on the device or on Apple's servers. Every time, it belongs to the user and the user alone. Every time a user types in their passcode, iPhone pairs that input with the unique identifier that iPhone fuses into its silicon during fabrication. iPhone creates a key from that pairing and attempts to decrypt the user's data with it. If the key works, then the passcode must have been correct. If it doesn't work, then the user must try again. We designed iPhone to protect this process using a specially designed secure enclave, a hardware-based key manager that is isolated from the main processor and provides an additional layer of security.

As we design products, we also challenge ourselves to collect as little customer data as possible. While we want your devices to know everything about you, we don't feel that we should.

For example, we've designed our hardware and software to work together to provide great features by efficiently processing data without that data ever leaving the user's device. When we do collect personal information, we are specific and transparent about how it will be used, because user control is essential to the design of our products. For example, we recently added a privacy icon that appears on Apple devices when personal information is collected. The user can tap on it to learn more about Apple's privacy practices in plain language.

We also use local differential privacy, a technique that enables Apple to learn about the user community without learning about individuals within that community. We have pioneered just-in-time notices, so that when third party apps seek to access certain types of data, a user is given meaningful choice and control over what information is collected and used. This means third party apps cannot access users' data like contacts, calendars, photos, the camera or the microphone without asking for and obtaining explicit user permission.

These and other design features are central to Apple. Customers expect Apple and other technology companies to do everything in our power to protect personal information. At Apple we are deeply committed to that because our customers' trust means everything to us. We spend a lot of time at Apple thinking about how we can provide our customers not only with transformative products, but also with trusted, safe and secure products. By building security and privacy into everything we do, we've proved that great experiences don't have to come at the expense of privacy and security. Instead, they can support them.

I'm honoured to participate in this important hearing. I look forward to answering your questions.

Thank you.

(0900)

The Chair:

Thank you, Mr. Neuenschwander.

We'll start with questions from committee members. My colleague Damian Collins will be here shortly. He regrets he had another thing to attend to.

We'll start with Mr. Erskine-Smith for five minutes.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Thanks very much.

Thank you all for your presentations. I know Microsoft supports the GDPR and stronger privacy rules. Obviously, Tim Cook has been public in support of the GDPR. Amazon, do you also support the GDPR?

Mr. Mark Ryland:

We support the privacy principles of user control, consent and so forth. We think the actual legislation is new enough and creates some burdens that we don't think directly impact user privacy in a positive way. While we're fully compliant and fully supportive of the principles, we don't necessarily think it's something that should be applied universally at this point.

Mr. Nathaniel Erskine-Smith:

Support of the principles includes the principle of data minimization.

Mr. Mark Ryland:

Yes, as well as user control. That's really the key principle.

Mr. Nathaniel Erskine-Smith:

Microsoft, would you agree with the principle of data minimization?

Mr. John Weigelt:

Yes, we would.

Mr. Nathaniel Erskine-Smith:

Good.

With respect to consumer privacy protection, one way to better protect consumer privacy is to have additional opt-in consents that are explicit for secondary purposes. For example, with Amazon's Echo, California was proposing smart speaker rules that there would have to be opt-in consents for that information to be stored. Do you agree with those rules?

(0905)

Mr. Mark Ryland:

We believe that the user experience should be very smooth and clear, and that people's expectations should be very reasonably met. For example, with the Echo device, you use a mobile application to set up your device, and it makes it very clear what the privacy rules are.

Mr. Nathaniel Erskine-Smith:

Is there an explicit opt-in consent for recording of those conversations?

Mr. Mark Ryland:

It's not an explicit opt-in consent, but it makes it clear about the recordings and it gives you full control over the recordings. It gives a full list of recordings and the ability to delete any particular one, or all of them. It's a very explicit and clear user interface for that.

Mr. Nathaniel Erskine-Smith:

If the GDPR were in effect, there would be a requirement for explicit opt-in consent.

Mr. Mark Ryland:

Possibly. There may be legal rulings that we.... That's part of the issue. A lot of specifics are unclear until there are more regulatory or judicial findings about what the exact meaning of some of the general principles is.

Mr. Nathaniel Erskine-Smith:

Representative from Apple, does Apple engage in web tracking?

Mr. Erik Neuenschwander:

We don't have the kind of destinations around the Internet that do that kind of web tracking. Of course, with our online store, for example, we have a direct first-party relationship with users who visit our sites.

Mr. Nathaniel Erskine-Smith:

There's probably a reasonable expectation that when I visit the Apple site, I know that Apple's going to want to communicate with me afterwards, but if I'm visiting other non-related sites around the Internet, Apple wouldn't be tracking me.

Mr. Erik Neuenschwander:

We're not, and in fact our intelligent tracking prevention is on by default in our Safari web browser, so even if Apple were to attempt that, intelligent tracking prevention would seek to prevent it.

Mr. Nathaniel Erskine-Smith:

Microsoft and Amazon, are you similar to Apple, or do you engage in web tracking on a wide variety of websites across the Internet?

Mr. Mark Ryland:

We are involved in the web ecosystem, with the ability to understand where people have come from and where they're going from our site.

Again, our primary business model is selling products to customers, so that's not the way we monetize our business.

Mr. Nathaniel Erskine-Smith:

Was that a yes to web tracking, fairly broadly?

Mr. Mark Ryland:

We participate in the advertising ecosystem, so yes.

Mr. Nathaniel Erskine-Smith:

I think that's a yes.

Microsoft, would you comment?

Mr. John Weigelt:

We have our properties, as do the other communities. We have the Microsoft store and the MSN properties, so we are able to determine where our customers are coming from.

Mr. Nathaniel Erskine-Smith:

The reason I ask is that we had an individual yesterday talking about how consent in some cases isn't good enough, and in some cases, I understand that. I'm a reasonably busy person, so I can't be expected to read every agreement about terms and conditions; I can't be expected to read all of them. If secondary consents are in every single app I use and I have to agree to 10 different consents, am I really going to be able to protect my own personal information? I don't think we should expect that of consumers, which is why we have consumer protection law and implied warranties in other contexts.

McNamee yesterday suggested that some things should strictly be off the table. I put it to Google that maybe Google shouldn't be able to read my emails and target me based on ads—that should be off the table. Do you think, Apple, that certain things should just be off the table?

Mr. Erik Neuenschwander:

Yes, when we.... Our iCloud service is a place where users can store their photos or documents with Apple, and we are not mining that content to build profiles about our users. We consider it the user's data. We're storing it on our service, but it remains the user's data.

Mr. Nathaniel Erskine-Smith:

Similarly, Microsoft and Amazon: Do you think certain data collection should simply be off the table completely?

Mr. John Weigelt:

One of the things we feel strongly about is users having visibility into what data they have shared with particular organizations. We've worked very closely—I have personally worked very closely—with information privacy commissioners across Canada to talk about the consent environment and what consent means. As we rolled out tools like Cortana, for example, we worked with the federal Privacy Commissioner's office to understand which of the 12 stages of consent for consumers were particularly important.

Mr. Nathaniel Erskine-Smith:

But I'm suggesting that beyond consent, certain things be off the table. For example, my personal pictures on my phone—should those be able to be scanned, and then I get targeted ads?

Mr. John Weigelt:

To be clear, we don't scan that information—

Mr. Nathaniel Erskine-Smith:

Well, I know you don't—

Mr. John Weigelt:

—however, we do provide—

Mr. Nathaniel Erskine-Smith:

—but should certain things be off the table? That is my point.

Mr. John Weigelt:

—visibility to customers so that they understand where their data is being used and give them full control.

Our privacy dashboard, for example, allows you to see what data is resident within the Microsoft environment and then you're able to control that and be able to manage that in a better fashion. It's all about having that user interaction so that they understand the value proposition of being able to share those things.

Mr. Nathaniel Erskine-Smith:

Amazon, should certain things just be off the table?

Mr. Mark Ryland:

I don't think you can say, a priori, that certain things are always inappropriate, because again, the customer experience is key, and if people want to have a better customer experience based on data that they share.... Consent, obviously, and control are critical.

Mr. Nathaniel Erskine-Smith:

Let's take the case of kids under the age of 18, for example. Maybe we should not be able to collect information about kids under the age of 18, or under 16, or under 13.

Kids, let's say. Should that be off the table?

(0910)

Mr. Mark Ryland:

We're going to comply with all of the laws of the countries where we operate, if that is—

Mr. Nathaniel Erskine-Smith:

Are you saying you don't have a view on an ethical basis with respect to collecting information from kids?

Mr. Mark Ryland:

We certainly have a view that parents should be in charge of children's online experience, and we give parents the full control in our systems for that experience.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

It's so hard to say yes.

The Chair:

We will go to Peter next, for five minutes.

Hon. Peter Kent (Thornhill, CPC):

Thank you, Chair.

Thanks to all of our witnesses for appearing today.

My first question is for Mr. Ryland at Amazon.

In September of last year, your vice-president and associate general counsel for Amazon, Mr. DeVore, testified before a U.S. Senate committee and was very critical, I think it's fair to say, of the California consumer act that was passed.

Among the new consumer rights in that act that he was critical of was the right for users to know all of the business data that is collected about a user and the right to say no to the sale of that business data. It provides, in California, the right to opt out of the sale of that data to third parties. He said the act was enacted too quickly and that the definition of personal information was too broad.

I wonder if you could help us today by giving us Amazon's definition of protectable personal information.

Mr. Mark Ryland:

First of all, let me say that I work in Amazon web services on our security and privacy of our cloud platform. I'm not a deep expert broadly across all of our privacy policies.

However, I will say that certain elements of consumer data are used in the core parts of business. For example, if we sell a product to a customer, we need to track some of that data for tax purposes and for other legal purposes, so it's impossible to say that a consumer has complete control over certain things. There are other legal reasons that data must sometimes be retained, for example.

Hon. Peter Kent:

Have you had any users request or ask about the user data that has been collected about them and whether it has been sold?

Mr. Mark Ryland:

Yes, absolutely.

First of all, we do not sell our customer data. Full stop.

Second, we have a privacy page that shows you all the data we have accumulated about you—your order history, digital orders, book orders, etc. We have a whole privacy page for our Alexa Voice Service. All that gives users control and insight into the data we're utilizing.

Hon. Peter Kent:

Then despite Mr. DeVore's criticism, Amazon is complying with the California act and, I would assume, would comply with any other legislation passed anywhere in the world that was similar.

Mr. Mark Ryland:

We will always comply with the laws that apply to us wherever we do business. Absolutely.

Hon. Peter Kent:

Thank you.

I'd like to ask a question now to Mr. Davidson about Mozilla.

I know that Mozilla, with all of its good practices and its non-profit public benefit mandate, does work with Google and with Bing. I'm just wondering how you establish firewalls for user data accumulation that those two organizations would otherwise collect and monetize.

Mr. Alan Davidson:

It's a great question. It's pretty simple for us. We just don't send data to them beyond what they would normally get from a visitor who visits their website—the IP address, for example, when a visitor comes and visits them.

We make a practice of not collecting any information. If you're using Firefox and you do a search on Bing or on Google, we don't collect anything, we don't retain anything and we don't transmit anything special. That has allowed us to distance ourselves, honestly, and we have no financial incentive to collect that information.

Hon. Peter Kent:

I have a question for Mr. Neuenschwander.

In September of last year, the news broke that the Mac application Adware Doctor, which was supposed to protect Apple users from privacy threats, was in fact recording those users' data and delivering them to a server in China. Apple shut that down, but for how long was that exposure up? Have you determined who exactly was operating that server in China?

Mr. Erik Neuenschwander:

I remember that event and the action the App Store team took on it. Off the top of my head, I don't remember exactly the exposure. I'd be happy to go back and look up that information and get back to you with it.

(0915)

Hon. Peter Kent:

You're unaware of how long the exposure—

Mr. Erik Neuenschwander:

At this time, I don't remember exactly how long that exposure was.

Hon. Peter Kent:

This was, I understand, a very popular Mac application. How thoroughly do you research those applications in the reasonable capitalist rush to monetize new wonders?

Mr. Erik Neuenschwander:

For applications that are free on the store, there's no monetization for Apple in the App Store.

Since we introduced the App Store, we've had both a manual review and, in more recent years, added an automated review of every application that's submitted to the store, and then for every update of the applications on the store. Those applications undergo a review by a dedicated team of experts on the App Store side.

There is a limit that we don't go past, which is that we don't surveil our users' usage of the applications. Once the application is executing on a user's device, for that user's privacy we don't go further and take a look at the network traffic or the data that the user is sending. That would seem creepy to us.

We continue to invest on the App Store side to try to have as strong a review as we can. As applications and their behaviours change, we continue to enhance our review to capture behaviours that don't match our strong privacy policies on the stores.

Hon. Peter Kent:

For Microsoft and Ms. Floyd, in 2013 the European Commission fined Microsoft in the amount of some €561 million for non-compliance with browser choice commitments. There doesn't seem to have been any violation since. Does that sort of substantial fine teach lessons? We're told that even hundreds of millions of dollars or hundreds of millions of euros—even into the billion-dollar mark—don't discourage the large digital companies. I'm wondering about compliance and the encouragement to compliance by substantial financial penalties, which we don't have in Canada at the moment.

Mr. John Weigelt:

As we mentioned, trust is the foundation of our business. Any time there's a negative finding against our organization, we find that the trust is eroded, and it ripples throughout the organization, not only from the consumer side but also on the enterprise side.

That fine was substantive, and we addressed the findings by changing how we deliver our products within the marketplace, providing the choice to have products without that browser in place.

When we look at order-making powers here in Canada or whatnot, we can see that having that negative finding will really impact the business far more broadly than some of those monetary fines.

Hon. Peter Kent:

Would you encourage the Canadian government to stiffen its regulations and penalties for non-compliance with privacy protection?

Mr. John Weigelt:

I would encourage the Canadian government to have the voice you have around how technologies are delivered within the Canadian context. We have people here locally who are there to hear that and change the way we deliver our services.

Hon. Peter Kent:

Thank you.

The Chair:

Go ahead, Mr. Angus, for five minutes.

Mr. Charlie Angus (Timmins—James Bay, NDP):

Thank you, Mr. Chair.

I was talking to my friend at Apple about how I bought my first Mac Plus in 1984 with a little 350k floppy disk, and I saw it as a revolutionary tool that was going to change the world for the better. I still think it has changed the world for the better, but we are seeing some really negative impacts.

Now that I'm aging myself, back in the eighties, imagine if Bell Telephone listened in on my phone. They would be charged. What if they said, “Hey, we're just listening in on your phone because we want to offer you some really nifty ideas, and we'll have a better way to serve you if we know what you're doing”? What if the post office read my mail before I got it, not because they were doing anything illegal but because there might be some really cool things that I might want to know and they would be able to help me? They would be charged.

Yet in the digital realm, we're now dealing with companies that are giving us all these nifty options. This was where my colleague Mr. Erskine-Smith was trying to get some straight answers.

I think that as legislators, we're really moving beyond this talk about consent. Consent has become meaningless if we are being spied on, if we're being watched and if our phone is tracking us. Consent is becoming a bogus term, because it's about claiming space in our lives that we have not given. If we had old school rules, you would not be able to listen in on our phones and not be able to track us without our rights, yet suddenly it's okay in the digital realm.

Mr. Davidson, I'm really interested in the work that Mozilla does.

Is it possible, do you think, for legislators to put some principled ground rules down about the privacy rights of citizens that will not completely destroy Silicon Valley and they will not all be going on welfare and the business model will still be able to succeed. Is it possible for us to put simple rules down?

(0920)

Mr. Alan Davidson:

Yes.

I can say more.

Mr. Charlie Angus:

Say more.

Mr. Alan Davidson:

I think that actually—

Mr. Charlie Angus:

I love it when someone agrees with me.

Mr. Alan Davidson:

We were looking for some yeses.

You've heard examples already. We firmly believe that you can build good and profitable businesses and still respect people's privacy. You've heard some examples today. You've heard some examples from us. You can see good examples of laws that are out there, including the GDPR.

There are things that are probably beyond the pale, for which we need to have either clear prohibitions or really strong safeguards. I would say that I wouldn't totally reject consent. What we need is more granular consent, because I think people don't really understand—

Mr. Charlie Angus:

Explicit consent.

Mr. Alan Davidson:

—explicit consent.

There are lots of different ways to frame it, but there is a more granular kind of explicit consent. That's because there will be times when some people will want to take advantage of health apps or sharing their location with folks and with their family. They should be able to do that, but they should really understand what they're getting themselves into.

We believe that you can still build businesses that do that.

Mr. Charlie Angus:

Thank you.

Some of the concerns we've been looking at are in trying to get our heads around AI. This is the weaponization of digital media. AI could have a very positive role, or it could have a very negative role.

Mr. Ryland, certainly Amazon has really moved heavily in terms of AI. However, Amazon has also been noted as a company with 21st century innovation and 19th century labour practices.

With regard to the allegations that workers were being monitored right down to the level of being fired by AI tracking, is that the policy of Amazon?

Mr. Mark Ryland:

Certainly our policy is to respect the dignity of our workforce and to treat everyone in a proper fashion.

I don't know the specifics of that allegation, but I'd be happy to get back to you with more information.

Mr. Charlie Angus:

It was a pretty famous article about Amazon. It said that right down to the seconds, the workers were being monitored by AI, and those who were too slow were being fired.

I may be old school, but I would think that this would be illegal under the labour laws in our country. That is apparently how AI is being used in the fulfillment centres. That, to me, is a very problematic misuse of AI. Are you not aware of that?

Mr. Mark Ryland:

I'm not aware of that, and I'm almost certain that there would be human review of any decisions. There's no way we would make a decision like that without at least some kind of human review of machine-learning types of algorithms.

Mr. Charlie Angus:

It was a pretty damning article, and it was covered in many international papers.

Would you be able to get back to our committee and get us a response?

Mr. Mark Ryland:

I would be happy to follow up with that.

Mr. Charlie Angus:

I don't want to put you on the spot here, but I'd rather get a response on this. I think we would certainly want to get a sense of Amazon's perspective on how it uses AI in terms of the monitoring of the workers within the fulfillment centres. If you could get that to our committee, it would be very helpful.

Mr. Mark Ryland:

I will do that.

The Chair:

Thank you, Mr. Angus.

We'll go next to our delegation.

We'll start off with Singapore.

Go ahead, for five minutes.

Ms. Sun Xueling (Senior Parliamentary Secretary, Ministry of Home Affairs and Ministry of National Development, Parliament of Singapore):

Thank you, Mr. Chair.

I have some questions for Mr. Alan Davidson.

I was reading the Mozilla Manifesto with interest. I guess I had some time. I think there are 10 principles in your manifesto. Specifically on principle 9, it reads that “Commercial involvement in the development of the internet brings many benefits; a balance between commercial [benefit] and public benefit is critical.”

That's what principle 9 says.

Would you agree, then, that tech companies, even with the desire for growth and profitability, should not abdicate their responsibility to safeguard against abuse of their platforms?

Mr. Alan Davidson:

We absolutely agree with that. I would say that the manifesto, for those who haven't seen it, is really like our guiding principles. It was written almost 15 years ago. We just updated it with a new set of things we've added on to it to respond to modern times.

We think, yes, that balance is really important, and I think companies need to be thinking about the implications of what they're building. I also think government needs to put guardrails around it, because what we've seen is that not all companies will do that. Some companies need guidance.

Ms. Sun Xueling:

Also, I think there was an Internet health report that Mozilla Foundation put out, and I'd like to thank your organization, a non-profit working for the public benefit. I think the Cambridge Analytica scandal was referred to, and your report says that the scandal is a symptom of a much larger systemic issue, that the dominant business model and currency of today's digital world is actually based on gathering and selling data about us.

Would you agree, then, that the Cambridge Analytica scandal somehow demonstrates a mindset whereby the pursuit of profit and the pursuit for company growth had somewhat been prioritized over civic responsibility?

(0925)

Mr. Alan Davidson:

Yes, but our hope is that some of those are isolated instances. I would just say that not every company operates that way. There are, I think, companies that are trying to do the right thing for the user, trying to put their users first, and it's not just for altruistic purposes; I think it's because many of us believe that you build a better business and in the long term should be rewarded in the market if you put your users first.

Ms. Sun Xueling:

We also heard testimony yesterday. I think many of the grand committee members had spoken with businesses who talked about examples around Sri Lanka or Nancy Pelosi. It seemed that it was more about putting information out there, freedom of reach rather than real protection of freedom of speech, because there's no real freedom of speech if it is founded on false information or misleading information.

While we like to think that the Cambridge Analytica scandal is a one-off, I think our concern is that the existing business models of these corporate entities do not seem to give us the confidence that civic responsibility would be seen in the same light as company profits. I think that's where I'm coming from.

Mr. Alan Davidson:

As somebody who has been in this space for a long time, it is really disappointing to see some of those behaviours online. I do think that part of it has been the evolution of these business models, especially the ones that reward engagement as a major overriding metric. Our hope is that companies will do more and do better.

There is a risk in too much government intervention in this space, because we do want to make sure that we respect free expression. When governments are making strong choices about what is true and not true online, there's a lot of risk there. I think there's a serious balance needed there, and I think the starting point is using this bully pulpit to really push companies to do better. That is the right starting point. Hopefully that is effective.

Ms. Sun Xueling:

Yes. Thank you.

The Chair:

We'll go next to our Ireland delegation and Ms. Naughton.

Ms. Hildegarde Naughton (Chair, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Thank you. Thank you all for coming before us this morning.

My first question is to Amazon. Last November, on Black Friday, I understand there were technical issues. Many of the customers' names and emails appeared on your website. Is that correct?

Mr. Mark Ryland:

No, that's not correct.

Ms. Hildegarde Naughton:

No? Okay. I thought there was some reporting in relation to that. Were there some technical issues last November?

Mr. Mark Ryland:

It doesn't sound familiar to me at all, but I'd be happy to double-check. No, I'm not familiar with that.

Ms. Hildegarde Naughton:

In relation to GDPR and data protection, from what my colleagues asked you earlier, you're saying you would be in favour of some form of GDPR being rolled out globally.

Mr. Mark Ryland:

Again, we believe that the principles of consumer trust—putting customers first, giving them control over their data and getting their consent for usage of data—make sense. The specific ways in which that is done and the amount of record-keeping and the bureaucracy involved sometimes seem to outweigh the benefit to consumers, so we really think we need to work together as a community to find a right balance that's not too onerous.

For example, a large company like ours might be able to comply with a very onerous regulation that's very expensive to implement, but a small business might not. We have to find ways in which those principles can be implemented in a way that's efficient and relatively simple and straightforward.

Yes, we definitely support the principles behind GDPR. We think the actual legislation is still a bit of a work in progress, in the sense that we don't know exactly what the meaning of some of the legislation will be once it gets to the regulatory or judicial level—what exactly constitutes reasonable care, for example, on the part of a company.

Ms. Hildegarde Naughton:

Okay, so are you open to that, or maybe to a different version of it across the world?

Mr. Mark Ryland:

Yes.

Ms. Hildegarde Naughton:

As you know, in the GDPR as it's currently working, there are those obstacles for some companies, but that has been worked through across the European Union.

Mr. Mark Ryland:

Yes.

Ms. Hildegarde Naughton:

I suppose you're waiting to see how that works out—

Mr. Mark Ryland:

We think there will be a lot of good learnings from that experience. We can do better in the future, whether it's in Europe or in other places, but again, the principles make sense.

(0930)

Ms. Hildegarde Naughton:

Okay.

This is a question for Microsoft: Earlier this year, I understand a hacker compromised the account of a Microsoft support agent. Is that correct?

Mr. John Weigelt:

That's correct. There was a disclosure of credentials.

Ms. Hildegarde Naughton:

I understand at the time Microsoft was saying there was a possibility the hacker accessed and viewed the content of some Outlook users. Did that actually happen? Did they access the content of Microsoft users?

Mr. John Weigelt:

Having that access from the support side gave them the possibility to be able to do so.

Ms. Hildegarde Naughton:

How was it that a hacker was able to, I suppose, compromise your own security or data security features?

Mr. John Weigelt:

That whole environment is an end-to-end trust-type model, so all you have to find is the weakest chain in the link. In this case, it was unfortunate that the administrative worker had a password that the hacker community was able to guess to get into that system.

Ms. Hildegarde Naughton:

What have you done to ensure this doesn't happen again? It seems like kind of a basic breach of data security for your users.

Mr. John Weigelt:

Absolutely. Any time there's an incident within our environment, we bring the Microsoft security response team together with our engineering teams to see how we can do better. We took a look at the environment to see what happened and to make sure we could put in place tools such as multi-factor controls, which would require two things to log in—something you know, something you have. We've been looking at things like two-person controls and tools like that, so that we can ensure we maintain our customers' trust and confidence.

Ms. Hildegarde Naughton:

You're on record for having put these changes in place. Have you had a report? Did you do a report in relation to how many users' information was accessed, or the content?

Mr. John Weigelt:

We'd have to come back to the committee on the report and its findings. I'm not aware of that report. I had not searched it out myself.

Ms. Hildegarde Naughton:

Okay.

In relation to the measures taken following that.... Again, this is about the trust of users online and what your company has done. Would it be possible to get feedback about that?

Mr. John Weigelt:

Absolutely.

Ms. Hildegarde Naughton:

Thank you.

The Vice-Chair (Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.)):

You have another minute.

Mr. James Lawless (Member, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Thank you, Chair.

To Amazon, first of all, Is Alexa listening? I guess it is. What's it doing with that information?

Mr. Mark Ryland:

Alexa is listening for a keyword, the wake word, which alerts the system that you want to interact with it in some fashion. That information is not locally stored. There's nothing stored locally on the device. Once the keyword is recognized, it follows that. There's a light on the device that tells you that the device is now active, and the subsequent sound in the room is then streamed to the cloud.

The first thing the cloud does is to double-check the wake word. The software on the device often isn't sophisticated, so it occasionally makes mistakes. The cloud will then recognize that it wasn't a wake word, and then it will shut off the stream. However, if the cloud confirms that the wake word was used, that stream is then taken through a natural language processing system, which essentially produces a text output of it. From there, the systems take the next action that the user was asking for.

Mr. James Lawless:

Okay.

Is that information used by Amazon for profiling and/or marketing?

Mr. Mark Ryland:

That information becomes part of your account information, just as it would if you were buying books on our website. Therefore, it could influence what we present to you as other things you might be interested in.

Mr. James Lawless:

Okay.

Mr. Mark Ryland:

It's not passed to any third party. It's not used for advertising purposes and so forth.

Mr. James Lawless:

Okay, but if you've asked about the weather in Bermuda and then you go on the Amazon website, you might be pitched a holiday book guide for Bermuda. Is that possible?

Mr. Mark Ryland:

It's theoretically possible, yes. I don't know if that actual algorithm is there.

Mr. James Lawless:

Is it likely?

Mr. Mark Ryland:

I don't know. I'd have to get back to you on that.

Mr. James Lawless:

Okay, but it is actually using the queries, which Alexa processes, to be of profit to the user. This could be used to make intelligent marketing pitches on the platform, yes?

Mr. Mark Ryland:

This is because the user directly ties the device to their account and they have full visibility into the utterances. You can see a full list of what you've said and you can delete any one of those. Those will immediately get removed from the database and would not be the basis for a recommendation.

Mr. James Lawless:

Do users consent to that when they sign up? Is that part of the terms and conditions?

Mr. Mark Ryland:

I think it's very clear. The consent is part of the experience. To take a colloquial example, I haven't explicitly consented to my voice and video being recorded here today, but I understand from the context that it's probably happening. We believe that simple consumer experiences are best. We think our customers understand that for the service to work the way it's supposed to work, we are accumulating data about them—

The Vice-Chair (Mr. Nathaniel Erskine-Smith):

Thanks.

Mr. Mark Ryland:

—and we make it really, really easy to delete and to control that data.

(0935)

The Vice-Chair (Mr. Nathaniel Erskine-Smith):

Thanks very much, although you may have a better understanding of what's going on today than most users of Alexa.

Mr. Charlie Angus:

I'm sorry, Chair, but can I just make a point of order?

I want us to be really clear. When you're speaking before a committee, that's like speaking before a court. It's not about your consent to be recorded or that you think you may be recorded. This is a legal parliamentary process, so of course you're being recorded. To suggest that it's the same as Alexa selling you a thing in Barbados is ridiculous, and it undermines our Parliament.

I would just remind the witnesses that we are here to document for the international legislative community, and this will be on an official record.

The Vice-Chair (Mr. Nathaniel Erskine-Smith):

Thanks, Charlie.

We'll go to David for five minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you. I'll start with Microsoft.

The Microsoft ecosystem is quite large, as you know. You have the majority of the world's desktops, with Office 365, LinkedIn, Bing, Skype, MSN, Live.com, Hotmail and so on. You obviously have the ability to collect a tremendous amount of data on a tremendous number of people. Can you assure me that there's no data about individuals interchanged between any of the different platforms?

Mr. John Weigelt:

Do you mean data between, let's say, an Xbox user and your Office 365 type of user? Is that the type of question?

Mr. David de Burgh Graham:

Yes, or LinkedIn and Bing. We heard quite a bit in the first couple of days of this committee about the creation of avatars of users of different companies. Does Microsoft create an avatar of their users? Does it create an impression of who is using their services?

Mr. John Weigelt:

What we see is that if you have a common Microsoft account, that allows you to maintain and manage your data across those properties. The Bing product team would not necessarily go directly from the Xbox team and back and forth for the data that's required. You are in control of your data that's in the centre.

Mr. David de Burgh Graham:

My question was whether there is an interchange of the data between the services. You have your common log-in, but once you've gone past the log-in, you can go to different databases. Do the databases interact?

Mr. John Weigelt:

Again, across all the different platforms, I would have to look at each individual scenario that's done there to say largely that there's no data exchange across....

Mr. David de Burgh Graham:

Okay.

You recently bought GitHub, an open-source company, which I thought was pretty interesting. Why?

Mr. John Weigelt:

We recognize that the open-source community is a very vibrant community with a great development model. That open dialogue, that open discussion, has gone beyond simply the software conversation to broader projects. We saw that as an opportunity for us to help engage with that community.

In the past, you've seen that there was almost this animosity between ourselves and the open-source community. We've really embraced the concept of open source and concepts of open data to be able to help bring better innovation to the marketplace.

Mr. David de Burgh Graham:

I come from the open-source community, so I can relate to that comment.

I'd like to speak to Mozilla for a second.

You talked about enhanced tracking protections. Would you describe tracking and anti-tracking as an arms race?

Mr. Alan Davidson:

Unfortunately, yes. I think we are very clear-eyed about the fact that we will build this set of tracking protections. We think they provide real value. I'll give a shout-out to our friends at Apple. They're doing something similar with Safari that's really good.

The trackers will find other ways to get around this, and we'll have to build new tools. I think this is going to be an ongoing thing for some time, which is unfortunate for users, but it is an example of how we can do things to protect users.

Mr. David de Burgh Graham:

Understood.

To go to Apple for a second, there was recently the sensor ID hack that was patched in 12.2 of iOS—I'm not familiar with it—that permitted any website anywhere in the world to track any iPhone and most Android devices based on sensory calibration data. You're probably familiar with this.

Mr. Erik Neuenschwander:

Yes, it's the fingerprinting issue.

Mr. David de Burgh Graham:

Yes, the fingerprinting issue. Can you tell us more about this, how it was used and if it is truly prevented now in iOS 12.2?

Mr. Erik Neuenschwander:

First, I'll step back, I think, to explain a bit of the context. When we're talking about, say, tracking, there can be some technologies that are explicitly for tracking, such as cookies. One of the evolutions we've seen is the development of what we call a synthetic fingerprint. It's just a unique digital number that is synthesized by a third party, probably to attempt to track. It can also be used for anti-fraud and some other reasons, but certainly it is fit for the purposes of tracking.

You're right. Some researchers, by looking at variations in sensor manufacture, identified that there was the ability to try to synthesize one of these unique identifiers. Fingerprinting, much like anti-tracking, is going to be something that will continually evolve and that we're committed to staying in front of. When you ask how it was used, I don't have any data that it was used at all, but I also can't assure you that it was not.

We introduced a number of mitigations in our most recent update, which the researchers have confirmed have blocked their version of the attack, but again, I'd put this in the context of fingerprinting being an evolving area, so I choose my word “mitigations” also carefully. Without actually removing sensors out of the device, there will continue to be a risk there. We're also going to continue to work to mitigate that risk and stay on top of it.

(0940)

Mr. David de Burgh Graham:

I have only about 20 seconds left. I have one more question for Apple.

On iOS, when you switch between applications, one application suspends and the next one opens. When you come back to the original application, if it's been more than a few seconds, it will reload the data. Is that not providing ample tracking opportunity to any website you're on, by saying that this is the usage of the device? I find it strange to have to do that, instead of storing the content that you're actually using.

Mr. Erik Neuenschwander:

I'll split that into two parts, I guess.

One, when the application gains the foreground and is able to execute, they can reload the content, if they see fit to reload the content. At that point, you've transferred control to that application, and it will be able to execute and reload, if you'd like.

It's our goal, actually, to minimize those reloads as part of the user experience. It's also our goal that the application currently in the foreground should get, within a sandbox, within a set of limitations we have, the maximum execution and other resources of the device. This can mean that the operating system will remove some of the resources of background applications.

In terms of the reloading that you're seeing, iOS, our operating system, could contribute to that, but fundamentally, regardless of what resources are preserved for that background application, when you transition back to an app, it has execution control and it can reload if it sees fit.

Mr. David de Burgh Graham:

Thank you.

The Chair:

Thank you, Mr. Graham.

We'll go to my co-chair, Mr. Collins.

Go ahead with your opening comments. It's good to have you back.

Mr. Damian Collins (Chair, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you.

My apologies, since the other U.K. representatives and I were not here for the start of the session, but we're delighted to see all of the witnesses here on the panel.

We had focused yesterday on some of the social media platforms, but I think our interests are much broader, looking at a range of technology companies.

I wonder if I could start with a couple of questions first for Apple.

As I came in, there was a discussion about data collected about voice. Could you tell me a little bit about the sort of data Apple collects in terms of sound captured by its devices? With smart devices, are the devices capturing ambient background sound to gain an understanding of the users—maybe the environment they're in or what they're doing when they're using the device?

Mr. Erik Neuenschwander:

In terms of the information on our devices that support Siri, there is a part of the device that is constantly listening. On some of our devices we've isolated it beyond even iOS, beyond our operating system, into a dedicated coprocessor, basically a specialized piece of hardware, which is not recording or storing that information but is listening only for the wake-up word to trigger our personal assistant, so that information isn't retained on the device.

Further to the point of your question, it isn't being collected into any sort of derived profile to identify something about the users' behaviour or interests. No.

Mr. Damian Collins:

Is it collecting information about the environment they're in at the moment? Let's say, for example, I was commuting to work and I was on the bus. Would it pick up that sort of ambient sound?

Mr. Erik Neuenschwander:

It's not collecting it all. There's what we call a “ring buffer”. There's basically a short period that is transiently recorded to analyze for that wake-up word, and then it's continually overwritten as time progresses. There isn't any collection for more than just the ephemeral milliseconds of being able to listen for that wake-up word.

Mr. Damian Collins:

The only purpose of the listening is for a command to Siri.

Mr. Erik Neuenschwander:

That's correct. Yes.

Mr. Damian Collins:

For product development or training purposes, is any of that information retained by the company?

Mr. Erik Neuenschwander:

Again, it's not even retained by the device. As it's transiently listening, it's being continually overwritten. When the user uses a wake-up word, there is some machine learning that happens on the device as it adapts the audio model to the speaker to reduce the number of false positives or false negatives for that wake-up word. Then if the user is using Siri, at the point Siri is woken up and being communicated with, that is the initiation of transmission of data to Apple.

Mr. Damian Collins:

What would the scope of that data be?

Mr. Erik Neuenschwander:

The scope of the data is the utterance until it reaches a termination point and Siri thinks the user has stopped talking, along with information like the device model to tailor the response back to the device and a random device-generated identifier, which is the key to the data that is held by Siri for purposes of your interactions with Siri. This is an identifier that is separate from your Apple ID and not associated with any other account or services at Apple.

Mr. Damian Collins:

Would Apple keep a record of the sort of things I've asked Siri about, the commands I've given?

Mr. Erik Neuenschwander:

Yes.

(0945)

Mr. Damian Collins:

Is that used by the company, or is that just used to inform the response to my device?

Mr. Erik Neuenschwander:

I guess the second part is a form of use by the company. Yes, we use it for Siri, and for Siri purposes alone.

Mr. Damian Collins:

To get at what the Siri purposes are, are the Siri purposes just actually making Siri more responsive to my voice—

Mr. Erik Neuenschwander:

Yes.

Mr. Damian Collins:

—or is the data kept by the company to understand what sorts of things people ask? Do you have metadata profiles of people based on how they use Siri?

Mr. Erik Neuenschwander:

The only metadata profile that we have is one that is used to tailor your actual interactions with Siri. For example, we are training our voice models to do natural language recognition on the sound profile. This is really just within the Siri business or the Siri experience. If your question is whether it informs some broader profile used by the company to market products and services, the answer is no.

Mr. Damian Collins:

Mark Ryland, does Amazon do that?

I'd be interested to know the difference between how Amazon uses data gathered from voice compared to how Apple does. There was a recent case of a user who actually put in a request for data that Amazon held. That included a series of voice recordings from their home that the company was apparently using for training purposes. I'm interested in how Amazon gathers data from voice and how it uses it.

Mr. Mark Ryland:

Similarly, the device listens for a wake-up word. It doesn't store any of that ambient data. Once it's awakened, it will begin to stream data to the cloud to do analysis of what the user is actually requesting. That data is stored; it's explicit in the user's profile, and they can see all the utterances. They can see what Alexa thought they said; they can actually see the text that it was translated into. It also gives them some understanding of where there may be some communication issues, and so forth.

They have the ability to delete that data, either individually or collectively. We use the data just as we would use data with other interactions with that person's account. It's part of their Amazon account. It's part of how they interact with our overall platform.

Mr. Damian Collins:

The representative from Apple has said that the device is constantly listening, but only for the Siri command. It would appear that if you have an Alexa device in your home, that is different. The device is always listening and it is actually retaining in the cloud the things it has heard.

Mr. Mark Ryland:

No. It's very similar. We're retaining the utterances after the wake word. It is just like Siri in that regard.

Mr. Damian Collins:

I know from my own personal experience that Alexa responds to commands other than the wake word. It might be triggered by something it has heard in the room that's not necessarily the wake command.

Mr. Mark Ryland:

That sounds like a malfunction to me. It's not supposed to respond randomly to ambient sounds.

Mr. Damian Collins:

Roger McNamee, who gave evidence to us yesterday, discussed how he put his Alexa in a box after the first day he got it because Alexa starting interacting with an Amazon TV commercial. I think most people who have these devices know that all sorts of things can set them off. It's not just the Alexa command or the wake word.

Mr. Mark Ryland:

Well, we're certainly constantly working to refine the technology and make sure the wake word is the way by which people interact with the device.

Mr. Damian Collins:

If you were retaining data from the device that is based on things that it's heard and is then retained in the cloud—which seems to be different from what Apple does—are you saying that it's only sound data that is based on commands that Alexa has been given?

Mr. Mark Ryland:

Yes. It's only the data that is in response to the user's attempt to interact with Alexa, which is based on the wake word.

Mr. Damian Collins:

Would Amazon be in a position to respond to a police request for data or information about a crime that may have been committed in a domestic setting based on sound picked up from Alexa?

Mr. Mark Ryland:

We happily obey the laws of all the countries in which we operate. If there is a binding legal order that's reasonable in scope and so forth, then we will respond to that appropriately.

Mr. Damian Collins:

That would suggest you're retaining more data than just simply commands to Alexa.

Mr. Mark Ryland:

No, the only thing we could respond with is the information that I just described, which are the responses that come from the user once they've awakened the device. There's no storage of ambient sound in the environment.

Mr. Damian Collins:

You're saying that when someone gives the wake word to the device, then the command they've given—their dialogue with Alexa, if you like—is retained?

Mr. Mark Ryland:

That is correct.

Mr. Damian Collins:

You're saying that unless the wake word is given, the device isn't triggered and it doesn't collect ambient data.

Mr. Mark Ryland:

That is correct.

Mr. Damian Collins:

Okay.

I'm interested in the data case I referenced earlier. The concern there seemed to be that ambient sound was being kept and recorded and the company was using it for training purposes.

Mr. Mark Ryland:

No. The reference to training is simply that we improve our natural language processing models using the data that the customers give to us through their interaction with the device. It's not at all based on ambient sound.

(0950)

Mr. Damian Collins:

It would seem that all of their commands to Alexa that are triggered by the wake word are being retained by the company in the cloud. Do you think your users are aware of that?

Mr. Mark Ryland:

I think so. In my experience with using a mobile device to set up the device at home, I immediately noticed that there is a history icon, essentially, where I can go and see all my interaction with the system.

Mr. Damian Collins:

I don't remember reading that anywhere. Maybe it's in the huge sort of War and Peace-like terms and conditions that are attached to the device.

I think that although it may be the same as using any other kind of search function, the fact is that he was talking to a computer, and I'm not sure users are aware that this information is stored indefinitely. I did not know that was being done. I had no idea how you'd go about identifying that. I'm slightly intrigued as well that you can, in fact, see a transcript of what you've asked Alexa.

Mr. Mark Ryland:

Yes, absolutely. It's in the mobile app, on the website and on the Alexa privacy page that you can see all of your interactions. You can see what the transcription system believed you said, and so forth.

Mr. Damian Collins:

Presumably all of that is merged into a bucket of data that Amazon holds about me in terms of my purchasing habits and other things as well.

Mr. Mark Ryland:

It's part of your account data.

Mr. Damian Collins:

It's a lot of data.

The Chair:

Mr. Davidson wants to respond.

Mr. Alan Davidson:

I wanted to jump in to just say that I think this also highlights the problem we've been talking about with consent.

I'm a loyal Amazon Echo user. They've done a wonderful thing by putting this up. A couple of weeks ago, I went with my family, and we saw the data that was stored, but I have to say it is....

I'm a total privacy nut. I read all this stuff that you get, and I was shocked, honestly, and my family was shocked to see these recordings about us and our young children from years ago that are stored in the cloud. It's not to say that something was done wrongly or unlawfully. I think it's wonderful to see this kind of level of transparency, but users have no idea it's there. I think that many users have just no idea that this data is out there, and they don't know how it's going to be used in the future either.

I think that as an industry, we need to do a much better job of giving people better granular consent about this, or better information about it.

The Chair:

Yes.

Mr. Alan Davidson:

I don't mean to pick on Amazon; it's a wonderful product.

The Chair:

We'll move on next to Mr. Gourde.

I see a lot of hands going up. There's going to be lots of time for everybody today.

Go ahead, Mr. Gourde, for five minutes. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

My question will focus on a more technical subject.

You, and especially Amazon and other similar organizations, have a lot of information and personal data on your clients.

I'm sure that you're taking every possible measure to secure all the data. However, given the emergence of artificial intelligence, you may have received services to help you predict the market in the future.

It could be useful—especially for Amazon—to be able to predict, let's say for next summer, which item on order could qualify for a discount and be put on sale.

Perhaps some subcontractors or individuals have provided services related to the new algorithm systems. Basically, they sold these services to help you.

Can these subcontractors, if you use them—of course, you don't need to tell us—guarantee that, when they use your company's data to provide this type of service, they won't sell personal information to other people or to larger organizations? These organizations would be very happy to obtain the information, whether they use it to sell advertising or for other purposes.

Do any organizations provide this type of service? [English]

Mr. Mark Ryland:

We do contract with third parties for certain delivery of some services and, under very carefully controlled conditions, we share personal data.

For example, if we're contracting with a delivery service, we share the name and address of the customer where the package has to be delivered, but I think, for all of these core machine-learning cases of the kind you're talking about, that is all internal to our company. We do not contract out access to the core business data that we use for, essentially, running our business. It's only going to be around the peripheral use cases, and in cases where we do share data, we have audit rights and we carefully control, through contract and audit, the usage that our contractors make of any data of our customers that we do share with them for these very limited purposes.

(0955)

[Translation]

Mr. Jacques Gourde:

Do any other organizations use algorithm strategies to promote your products? [English]

Mr. John Weigelt:

We have a very robust data governance model at Microsoft whereby we recognize and are able to attribute and mark data and appropriately protect it. In areas where we need subcontractors, we use a very limited set.

A lot of adjudication occurs before we select our subcontractors, and they must enter into agreements with us to maintain the privacy of the data they are safeguarding. We have strict rules around the use of that data and the return of that data to us. We have a very robust program of policies, procedures and technical safeguards around subcontractor use to ensure that data isn't misused.

Artificial intelligence is an area of key interest to us, and certainly Satya Nadella, in his book Hit Refresh, has put together principles around the responsible use of AI to empower people. It's really the first principle. We've embraced them within our organization, ensuring that we have a robust governance structure around AI. We have a committee that looks at application of AI both inside and outside the organization to make sure we use it responsibly.

Putting these pieces in place internally helps us better manage and understand how those tools are being used and put them in place in an ethical framework. We're quite pleased that we're working with governments around the world, be they the EU with their AI ethics work or the recent OECD guidelines, or even here in Canada with the CIO Strategy Council's work on an AI ethics framework, so that we can help people and other organizations get a better sense of some of those responsible techniques, processes and governance models that need to be put in place.

Mr. Erik Neuenschwander:

I'm not aware of Apple doing the kind of modelling you're talking about. Instead, our machine learning tends to be on device intelligence.

For instance, as the keyboard learns about the user, the device itself collects and uses this information to train itself for that user without the information leaving the device. Where we are collecting data to help inform community models, we're using things like local differential privacy, which applies randomization to the data before it leaves the user's device, so we're not able to go back and tie the individual user inputs and their content to a user. It's very much a device focus for us. [Translation]

Mr. Jacques Gourde:

Mr. Davidson, do you want to add anything? [English]

Mr. Alan Davidson:

We don't deploy any of those kinds of systems. In some of our research we have been looking at experimenting on devices also. I think that's a very solid approach to trying to protect people's privacy.

The Chair:

Thank you, Mr. Gourde.

Next up, from the U.K., we have Mr. Ian Lucas.

Mr. Ian Lucas (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

If I can pick up on what Mr. Collins was asking, I was intrigued about both the phone for Apple and the Alexa device. Have there been any attempts to hack into the systems you have and access the information you retain?

Mr. Erik Neuenschwander:

Apple's systems are under constant attack. I don't know precisely if Siri itself has been a subject of attack or not, but I think a good default position would be to assume it has. However, because the Siri data is not associated with the overall Apple account, while we consider it very sensitive and will strive to protect it, it would also be challenging to gather an individual user's data out of the Siri system, even if it were breached.

Mr. Ian Lucas:

Has there ever been a successful hack into the system with respect to a particular individual?

Mr. Erik Neuenschwander:

I'm not aware of any, no.

Mr. Mark Ryland:

Similarly, we've been protecting customer data very successfully for 20-plus years. This is a new kind of data, obviously a very sensitive kind, but we continue to have a very successful record there, and there's no indication of any kind of compromise of Alexa-related data.

The Chair:

We'll move next to Mr Lawless for five minutes.

Mr. James Lawless:

Thank you.

Going back to security and data privacy and encryption, I think Apple talked about the Key Store on the iPhone and iPad, and Mozilla, I think, also has a Key Store-type feature in the browser.

One of the challenges of security is that our passwords, I think, have become so secure that nobody knows what they are anymore, except for the devices themselves. On the Apple Key Store—I think it's called the Key Store application—you can ask it to generate a password for you, and then you can ask it to remember it for you. You don't know what it is, but the app and the device know what it is, and I guess that's stored in the cloud somewhere. I know you gave an overview at the start.

I suppose Mozilla has a similar feature that allows you to ask the platform to remember the password for you, so you have multiple passwords, and I think probably Microsoft does as well in its browsers. Again, if you log in to Mozilla or Edge or any browser, you find you can autopopulate all your password keys. We end up with this situation like Lord of the Rings, in a “one ring to rule them all” scenario. In our attempts to complicate and derive better security, we've ended up with one link in the chain, and that link is pretty vulnerable.

Maybe I could get some comments on that particular conundrum from all the platforms.

(1000)

Mr. Erik Neuenschwander:

I think the application you're referring to is the Keychain Access application on the Mac and on iOS devices. Within “settings”, “passwords” and “accounts”, you can view the passwords. They are, as you say, auto-generated by the platform. Most users experience that through our Safari web browser, which offers a feature to link into the keychain. It is, as you say, stored in the cloud.

It is stored in the cloud end-to-end encrypted—I want to make that clear—so it's actually encrypted with a key that Apple never possesses. While we put that in the cloud, both to allow you to recover the passwords and to synchronize them among all devices that you've signed in to iCloud, we do that in a way that does not expose the passwords to Apple.

I think that you're right that passwords continue to be an area of challenge in terms of protecting user accounts. You see many companies, certainly Apple among them, moving to what's called two-factor authentication, in which merely the password is not sufficient to gain access to the account. We're very supportive of that. We've taken a number of steps over the years to move our iCloud accounts to that level of security, and we think that it's good industry progress.

The last thing I would say is that absolutely, the password data is extremely sensitive and deserves our highest level of protection. That's why, separate from the Keychain Access application you're talking about on the Mac, on our iOS devices and now on our T2—that's the name of the security chip in some of our latest Macs—we're using the secure enclave hardware technology to protect those passwords and separate them from the actual operating system. We have a smaller attack surface for that, so while it's absolutely a risk that we're highly attentive to, we've taken steps, down in our hardware design, to protect the data around users' passwords.

Mr. Alan Davidson:

It's a great question. I would just add that it seems counterintuitive, right? I think that 10 years ago we would have said, “This is crazy. You're going to put all your passwords in one place?” We offer a similar product—Lockwise—on our browser to help people.

I think that today the security experts will tell you this is a far better solution for most people because the biggest problem that we all have is that we can't remember our passwords, so we end up using the same password everywhere, or we end up using dumb passwords everywhere, and then that's where we get into trouble.

Our own polls of security experts and our own internal experts have said that it is actually far smarter to use a password manager, to use one of these systems. For most of us, the threat of that central vulnerability is actually a lot lower than the threat otherwise. I'd encourage you all to use password managers and think about that.

I've just sent out a note to all of our employees saying that they should do it. We all take that incredibly seriously. Two-factor authentification is an important part of this, and it's an important part of how those managers work. We take the responsibility to guard those things very seriously, but it is actually, as it turns out, a better solution for most consumers today.

Mr. John Weigelt:

Just to chime in, we see that local hardware-based protections based on encryption are important to help support that password protection. Work that together with multifactor authentication, perhaps using something you have, something you own.

I think an interesting counterpoint to this and an interesting add-on is the ability to make very robust decisions about individuals, about their use of a particular system. We use anonymized, pseudonymized data to help organizations recognize that “Hey, John's logging in from here in Ottawa, and there seems to be a log-in coming from Vancouver. He can't travel that fast.” Let's alert somebody to do that on an organizational perspective to intervene and say, “Look, we should perhaps ask John to refresh his password.”

There's another thing that we're able to do, based upon the global scope of our view into the cyber-threat environment. Often malicious users share dictionaries of user names and passwords. We come across those dictionaries, and we are able to inform our toolsets so that if organizations—say, food.com—find out that one of their names is on there, they are able to go back there as well.

For data associated with the use of a particular toolset, anonymization and pseudonymization help to provide greater assurance for privacy and security as well. Let's make sure we recognize that there's a balance we can strike to make sure that we maintain privacy while at the same time helping safeguard those users.

(1005)

Mr. James Lawless:

It's a very interesting area, and it continues to be challenging. There's a usability trade-off versus security.

I remember an IT security manager in a large corporation telling me about a policy he implemented before there were password managers, going back maybe a decade. He implemented a policy of robust passwords so that everybody couldn't use their household pet or their birthplace and so on. Then he found that despite having this enforced policy, everybody was writing their passwords down because there was no way they could otherwise remember them, so it was kind of counterproductive.

I have one final question, and then I'm going to share time with my colleague. I think there's a website called haveyoubeenhacked.com or haveibeenhacked—something like that—which basically records known breaches. If your data and any of your platforms or other third party apps or sites are in the cloud and are compromised, you can do a search for yourself or for your details and pull it back.

Is there any way to remedy that? I ran it recently, and I think there were four different sites that had been compromised that my details were on. If that happens on your platforms, how do you do that? How do you mitigate that? Do you just inform the users? Do you reach out, or do you try to wipe that data set and start again? What happens there?

Mr. John Weigelt:

We have breach notification requirements, obligations, and we notify our users if there's a suspected breach of their environment and recommend that they change their passwords.

For the enterprise set, like that toolset that I mentioned—“Have I been pwned?”, I think it's called—

Mr. James Lawless:

That's the one, yes.

Mr. John Weigelt:

—that site has readily available dictionaries, so we feed those back to enterprise users as well. There's the notification of the individual users, and the we also help enterprises understand what's happening.

Mr. Alan Davidson:

We do the same thing in the sense that we all have data breach obligations and would do those things in such a situation. We've also put together our own version of that “have I been hacked” Firefox monitor. For Firefox account holders who opt into it, we'll actually notify them affirmatively of other attacks that we're notified about, not just any breach on our system but on others as well. I think that's going to be a service that people find valuable.

Mr. James Lawless:

That's good.

Mr. Erik Neuenschwander:

If Apple security teams, in addition to the steps that have been discussed here, become aware that an account has likely been breached, then we can take steps through what's called “automated reset” on the account. We will actually force a password reset and do additional challenges to the user if they have two-factor authentication using their existing trusted devices to re-establish access to that account.

Mr. James Lawless:

Yes, it's very hard to get back in when you're out, because I've had that experience.

Voices: Oh, oh!

Mr. Erik Neuenschwander:

You mentioned balancing usability and security.

Mr. James Lawless:

Yes.

Mr. Erik Neuenschwander:

We try to strike a balance there between whether you are the good guy trying to get back in, so let's not make it hard for you, or let's definitely keep that bad guy out. That's an evolving space.

Ms. Hildegarde Naughton:

Can I just come into that, please?

The Chair:

We're actually way over time. The chair is taking the second round, and I already have you as number one on our second round, Hildegarde. Once we get through everybody, we'll start through that next round. It shouldn't be very long.

We'll go to Ms. Vandenbeld now for five minutes.

Ms. Anita Vandenbeld (Ottawa West—Nepean, Lib.):

Thank you very much.

I'd like to begin with the lack of utility of the idea of consent anymore. When you want to use a certain app or you want to use something, there are good purposes and bad purposes. Let's say that, for instance, I'm on my iPhone and I'm leaving Parliament and it's 9 p.m. My iPhone tells me exactly which route to take to get to my home. It knows where I live because it has seen that I take that route every day, and if I suddenly start taking a different route to a different place, it will know that as well.

Well, that's great when I want to know whether or not I should take the 417, but for my phone to know exactly where I'm sleeping every night is also something that could be very disturbing for a lot of people.

We don't really have a choice. If we want to use certain services, if we want to be able to access Google Maps or anything like that, we have to say yes, but then there's that alternate use of that data.

By the way, on the comment about this being a public hearing, we have a tickertape right on the side of the wall there that says this is in public. I wish there were a tickertape like that when you're searching on the Internet so that you know whether what you're doing is going to be recorded or made public.

My question, particularly to Apple, is on your collection of data about where I've been. It's not just a matter of where I'm going that day. It's not that I want to get from A to B and I want to know what bus route I should take; it's that it knows exactly the patterns of where I am travelling in terms of location.

How much of that is being stored, and what are the other purposes that this could be used for?

(1010)

Mr. Erik Neuenschwander:

I'd like to be really precise, madam, about the “you” and the “it” in your sentences because I think you used them correctly, but there is a subtle distinction there. “It”—your phone—does know that. Your phone is collecting based on sensor data and behavioural patterns and tries to infer where your home is—and that is your iPhone. “You”, being Apple, does not know this information, or at least not via that process. If you leave a billing address with us for purchases or something, that's different, but the information that your iPhone is becoming intelligent about remains on your phone and is not known by Apple.

When you ask about how much of it is collected, well, it's collected by the phone. It's collected under our “frequent locations” feature. Users can go and browse and remove those inside the device, but the collection is just for the device. It's not actually collected by Apple.

As for the purposes to which it can be put, over our versions of the operating system we try to use that information to provide good local experiences on the device, such as the time-to-leave notifications or notifications of traffic incidents on your route home; but that isn't going to extend to purposes to which Apple, the corporate entity, could put that data, because that data is never in our possession.

Ms. Anita Vandenbeld:

I think that goes to what Microsoft started talking about in their opening statement, which is the ability of hackers to access the data. Apple's not using this data, but is it possible, through cyber-threats, that other bad actors might be able to get in and access this data?

I'm actually going to ask Microsoft.

You talked about doing $1 billion a year in security research and development, and there's a term that you threw out, “co-operative botnet takedowns”. I'd like you to explain that a bit, as well as the work that you're doing on cybercrimes.

We know that once the data is out there, it's impossible to put back, and a lot of these Cambridge Analyticas and other data aggregators are using it, so what are you doing to make sure that this data doesn't get out there in the first place?

Mr. John Weigelt:

When we look at the marketplace, we see it's continuously moving, right? What was put in place for security controls 10 years ago is different today, and that's part of the efforts of the community that's out there securing the IT environment.

From our case, we analyze those common techniques. We then try to make sure that those techniques go away. We're not just trying to keep up; we're trying to jump ahead of the malicious user community so that they can't repeat their previous exploits and they will have to figure out new ways to do that.

We look at tools like encryption, tools like hardening up how the operating system works, so that things don't go in the same place every time. Think of it as if you change your route when you go home from Parliament at night, so that if they are waiting for you at the corner of Sparks, then they won't get you because you have changed your route. We do the same thing within the internal system, and it breaks a whole bunch of things that the traditional hacker community does. We also include privacy within that, and accessibility, so our whole work is around trust, security, privacy and accessibility.

At the same time, there is a broader Internet community at large, so it's nothing we can do alone. There are Internet service providers, websites, and even home computers that get taken over by these zombie networks. Hackers have started to create networks of computers that they co-opt to do their bidding. They may have up to a million zombie computers attacking different communities. It really takes the Internet down and bogs it down with traffic and whatnot.

In order to take that down, you need technical sophistication to be able to take it over, but you also need the support of legal entities within regions. One of the things that's unique for us is that our cybercrime centre has worked with government authorities in finding novel legal precedents that allow these networks to be taken down, so in addition to the technology side, we make sure we're on side from the legal side to conduct our operations.

Lastly, what we did for the Zeus and Citadel botnets, which were large zombie networks that had placed themselves into corporate Canada, was work with the Canadian Cyber Incident Response Centre as well as the corporation to clean up those infections from those machines so they would go quietly, and they could start up again.

Ms. Anita Vandenbeld:

Mr. Davidson, would you comment?

Mr. Alan Davidson:

I have two quick points.

First, we work on something that we call “lean data practices”. It's the idea that we should not keep data if we don't need it. The best way to secure data is not to retain it. Sometimes it's needed, but sometimes it's not. The industry could do a better job and consumers could learn more about insisting that data not be kept if it's not needed.

Second, location is a particularly sensitive area. It's probably an area that is ultimately going to need more government attention. Many users probably would feel really comfortable with an Apple or a Microsoft holding this data, because they have great security experts and stuff like that. We worry a lot about some of the smaller companies and third parties that are holding some of this data and maybe not doing it as securely.

(1015)

The Chair:

We will go to Ms. Jo Stevens from the U.K.

Ms. Jo Stevens (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Chair.

I would like to turn to a different subject altogether, competitions and markets. I would like to ask Mark and Erik if they think different competition and antitrust rules should apply to tech giants, considering their unprecedented influence and market power.

Mr. Erik Neuenschwander:

When it comes to antitrust regulations, I'm working with an engineering organization, so I can't say I've given a lot of thought to the regulation side. I would be happy to take any questions and refer them back to our legal or government affairs teams.

Ms. Jo Stevens:

As a consumer, do you think that large global tech giants have too much market influence and power?

Mr. Erik Neuenschwander:

My focus, in terms of our platforms, is to put the user in control of data and to leave as much control as possible in the hands of users.

Mr. Mark Ryland:

We're a relatively large company, but of course, that is largely the result of the fact that we operate globally. We operate in a lot of different markets. In any given market segment, we typically can be often a very small or middle-size player.

Again, I'm not going to opine in any depth about competition laws. It's not my area of expertise, but we feel the existing competition law as it exists today is adequate to deal with technology companies.

Ms. Jo Stevens:

How about you, John?

Mr. John Weigelt:

We've been around for quite some time, since the 1970s, so we've had some focus on the organization and the way we do our business. I think we've made appropriate adjustments, which we made based on the input and the perspective of governments around the world.

One thing that is important to me as a Canadian working for Microsoft here in Canada is the partner ecosystem and the enabling of Canadian innovation and Canadian business. Over 12,000 partners who make a living off of the toolset have the reach from a consistent platform to be able to sell innovation around the world based upon these toolsets and have a multiplying factor for the revenue that they generate here in the nation.

Sometimes with packaged software it's an eight-to-one multiplier. For cloud computing, it's estimated to be as high as a 20-to-one multiplier for the use of these toolsets, so we see that as a great economic enabler. Having that global reach is an important factor for the partners we work with.

Ms. Jo Stevens:

That quite neatly leads me on to my next question. I think there is quite a strong argument that global tech giants are a bit like a public utility and should be treated as such because of the power you wield.

Bearing in mind what you said just now about innovation, do you think that if that was the case and there was a bigger antitrust emphasis, it would negatively impact innovation? Is that your main reason?

Mr. John Weigelt:

I was making a linkage between those themes. My sense was that, look, we democratize technology. We make it silly simple for emerging nations and emerging companies with great ideas to leverage very advanced technology. When you think about artificial intelligence and the work that's happening in Montreal, Toronto, and even globally, the ability to make use of these tools to provide a new market is critically important.

I see this as a catalyst for the innovation community. We're working across the five Canadian superclusters, which is Canada's innovation engine around agriculture, oceans and advanced manufacturing, to build out new toolsets. Our ability to look across those communities and do cross-platform types of approaches and leverage our experience on a platform provides for activities in the community's best interest.

For example, in the ocean supercluster, working with data and having data about our oceans and having that sharing of a common commodity across the community is something we advocate to help that community grow . Having that platform and easy access to it provides that innovation.

(1020)

Ms. Jo Stevens:

Would either of you like to comment on the innovation point from your company's perspective?

Mr. Mark Ryland:

Yes, I would be happy to.

We face robust competition in all the markets we operate in. Cloud computing is a great example. There are not a large number of players in the cloud market, but competition is very strong, prices are dropping, and it enables, as my colleague was saying, new kinds of business models that were really previously impossible.

I worked for some years in our public sector business at Amazon Web Services. What I saw there was that we had very small companies, 10-, 20- or 30-person companies, competing for large government contracts that would have been impossible for them to compete for prior to the existence of cloud computing. It would have required a very large, dedicated government contractor to compete for these large contracts because they required so much infrastructure and so much capital investment in order to go after a large contract.

With the ability to get onto many IT services from cloud, you now have this great democratization, to reuse that word, of international market access, of mom-and-pop shops with international market access, whether through Amazon sellers on our retail site or through using our cloud platform. I think competition is really strengthened because some of these large-scale players enable people to access a broader set of markets.

Ms. Jo Stevens:

But they have to do it through you, don't they? Where else would they go?

Mr. Mark Ryland:

No, you can do it through us or our competitors.

Ms. Jo Stevens:

But there aren't that many competitors, are there?

Mr. Mark Ryland:

There are not a huge number of competitors, but the competition is fierce.

Ms. Jo Stevens:

It sounds a bit odd to me that you have very few competitors, yet it's fierce. That's not what I'd normally assume to be the case.

How about you, Erik?

Mr. Erik Neuenschwander:

From what little I know about legislation, it appears to be very challenging to write. I would presume that a goal of any legislation would be not to limit innovation, not to put a ceiling on what companies can do, but instead to try to put a floor for good behaviours.

Ms. Jo Stevens:

Okay, thank you.

The Chair:

Thank you, Jo.

We'll go next to Raj Saini for five minutes.

Mr. Raj Saini (Kitchener Centre, Lib.):

Good morning, everybody.

I'm sure you're all aware of the term “data-opoly”. Right now, in front of us, we have Apple, which controls a popular mobile operating software system. We have Amazon, which controls the largest online merchant platform software. We also have Microsoft, which has the ability to acquire a lot of data and use it to gain market advantage.

In talking about competition, I want to go beyond what Ms. Stevens said. When we look at the European Union right now, we see that Apple violated European state aid rules when Ireland granted undue tax benefits of 13 billion euros. In some cases, you paid substantially less tax, which was an advantage.

In the case of Amazon, the European Commission targeted Amazon's anti-competitive most favoured nation clause, and Luxembourg gave Amazon illegal tax benefits worth some 250 million euros.

My point is not in any way to embarrass you, but obviously there is a problem with competition. The problem stems from the fact that there are different competitive regimes or competition laws, whether it be in Europe, whether it be the FTC, or whether it be Canada. In European competition law, a special duty is imposed on dominant market players. That is not the same as the United States, because the same infractions were not charged in the United States. Do you think it's something that should be considered because of your dominant market status?

Mr. Mark Ryland:

As I said, I'm not an expert on competition law. We certainly obey the laws of the countries and regions in which we operate, and we will continue to do so.

Mr. Raj Saini:

Well, the European Commission fined Amazon, so you didn't really follow the law.

My question is about the special duty imposed in European competition law on dominant market players. Do you think that should come to the United States and Canada also?

Mr. Mark Ryland:

I really should get back to you on that. I'm not an expert in that area. I'd be happy to follow up with our experts in that area.

Mr. Raj Saini:

Sure.

Apple, would you comment?

Mr. Erik Neuenschwander:

I am aware that the state aid story made a great deal of press, I think, but I'm really aware of it as a consumer of the news. I haven't done a lot of reading on European competition law. Similarly, as I'm focused on privacy by design from the engineering side, for questions on that I'll have to get the company to get back to you.

Mr. Raj Saini:

Okay.

Amazon is probably the most dominant bookseller in the market. Do you agree with that?

Mr. Mark Ryland:

No, I don't agree with it.

Mr. Raj Saini:

You don't? Who's bigger than you?

Mr. Mark Ryland:

There's a huge market in book sales from all kinds of retailers, from Walmart to—

(1025)

Mr. Raj Saini:

Who sells more books than you?

Mr. Mark Ryland:

I don't know the answer to that, but I'd be happy to look it up for you.

Mr. Raj Saini:

Okay.

One of the approaches you use when you allow books to be sold—I read this somewhere, so correct me if I'm wrong—is that you approach small booksellers and you exact a sizable fee from them to list their books. You don't pay authors per copy when they download the book, but you pay per page. If they don't finish the book, then you pocket the difference. You track online what people read. If people are reading popular authors, you don't provide a discount to them, because you know they will buy the book anyway.

Do you think this is fair, or is what I'm saying wrong?

Mr. Mark Ryland:

I don't know the facts surrounding the questions you just raised, so I can't really answer. I would be happy to get back to you on that.

Mr. Raj Saini:

Okay.

This is my final question. Let's suspend animation for a second and look at Amazon as a mall. You own the mall. You grant space to other retailers. You allow them to be on your platform. You control access to customers and you collect data on every site. You're operating the largest mall in the world.

In some cases, whenever small retailers show some success, you tend to use that information to diminish competition. Since you have access to all the third party people who are selling products on your site, do you think that's fair?

Mr. Mark Ryland:

We don't use the data we acquire for supporting our third party seller marketplace. We don't use that data for purposes of our own retail business or for purposes of product lines that we launch.

Mr. Raj Saini:

You're sure about that.

Mr. Mark Ryland:

Yes.

Mr. Raj Saini:

You're saying that if anybody lists a product on your website, you do not track the sales of that product to know which product is popular and which product is not popular.

Mr. Mark Ryland:

We track the data for supporting that business and the customers of that business. We don't use that data in our retail business.

Mr. Raj Saini:

You won't see which product is selling more or selling less and try to compete with that in any way.

Mr. Mark Ryland:

In terms of the part of our business that supports this vast third party marketplace, which has enabled great success for thousands of companies and mom-and-pop shops around the globe, absolutely that part of our business uses the data to maximize the success of the marketplace. It's not used in our retail business.

Mr. Raj Saini:

One of the complaints in the area of innovation is that a number of market players are dominant because of the access to data they have and because of their ability to retain and use that data. In many cases, smaller companies or smaller players don't have access to the data, don't have access to the market. More importantly, in some cases, when emerging companies are on the rise, the larger companies will buy the technology to kill the technology so it does not compete.

Is that something Amazon or Apple or Microsoft is involved in, in any way?

Mr. Mark Ryland:

If you look at our history of acquisitions, they tend to be very small and very targeted, so in general, the answer would be no.

Mr. Erik Neuenschwander:

I believe that's also the answer for Apple.

Mr. Raj Saini:

I mean any emerging technology, any company that's emerging that might be a competitor to any of your platforms. You don't engage in that, or you just...? I don't get what you mean.

Mr. Erik Neuenschwander:

The acquisitions that I'm familiar with have been companies like, say, AuthenTec, which was a firm whose technology we used to build the first version of touch ID into our phones. We look for technological innovations that we can integrate into our products, but I don't really see that as a fingerprint sensor company directly competing with Apple.

Mr. John Weigelt:

We're actively involved with the start-up community around the world. Programs like BizSpark and Microsoft Ventures help our partners and start-ups really get their legs under them so that they can sell their product. We are a commodity software provider—we provide a common platform that helps communities around the world—so there will be areas that are innovated on top of our platform. We saw one such platform here built out of Montreal, Privacy Analytics, which was a start-up here that was doing perfect forward privacy. That was a technology that we didn't have that we thought would help catalyze our business, and as a result we acquired the company with the goal of building that into our products.

We make a decision about whether we build or buy based on the resources that we have, and in some cases there's great innovation out there that we acquire and build into our toolset. That's really how we look at that acquisition strategy.

Mr. Raj Saini:

Thank you.

The Chair:

Thank you, Mr. Saini.

Last up will be Mr. Baylis.

What's going to happen is Mr. Baylis will finish, and then we're going to start the rounds all over again. Delegations will all start from the top again, just to be clear.

Mr. Baylis, go ahead for five minutes.

Mr. Frank Baylis (Pierrefonds—Dollard, Lib.):

Thank you, Chair.

Thank you to the witnesses. You're both very knowledgeable and very open and willing to answer questions, which was not exactly what we had yesterday, so I'm very grateful for that.

Mr. Davidson, in your opening remarks you mentioned that Google and Facebook have an opportunity to improve their transparency. Could you expand a bit on that, please?

(1030)

Mr. Alan Davidson:

Sure.

We do think that ad transparency is a major tool to think about in how we fight disinformation protection, particularly in the election context. We've been working with some of the other big players as part of this EU code of practice, to try to get better transparency tools out there for consumers to see what ads they're seeing and for researchers and for journalists to understand how these big disinformation campaigns happen. We have a fellow at the Mozilla Foundation working on this. The big frustration, honestly, is that it's very hard to get access to these archives of ads, even though some of our colleagues have pledged to make that access available.

We recently did an analysis. There are five different criteria that experts have identified—for example, is it historical? Is it publicly available? Is it hard to get the information? It's those kinds of things.

We put out a blog post, for example, that Facebook had only met two of the five criteria, the minimum criteria that experts had set for reasonable access to an ad archive. Not to pick on them—we've already picked on them publicly—but I'll say we hope we can do more, because I think without that kind of transparency....

Google did better. It got four out of five on the experts' chart, but without more transparency around ads, we're really stuck in trying to understand what kinds of disinformation campaigns are being built out there.

Mr. Frank Baylis:

You mentioned that if they're not willing to self-regulate, you felt that they should be regulated. Did I understand that correctly?

Mr. Alan Davidson:

What I was trying to say is that if we can't get better information....Transparency is the first step here, and it can be a really powerful tool. If we could have transparency and more notice to people about what political advertising they're seeing, that could go a long way toward helping to deal with these disinformation campaigns and this election manipulation. If we don't get that transparency, that's when it will be more reasonable for governments to try to step in and impose more restrictions. We think that's a second-best answer, for sure. That's what I think we were trying to get at.

Mr. Frank Baylis:

My colleague, Charlie, my senior colleague—

Mr. Charlie Angus:

Your older brother.

Mr. Frank Baylis:

My older brother Charlie here has made an argument that some things should require consent—you talked about granular consent—while some things should just be prohibited. Do you agree with this line of thought?

Mr. Alan Davidson:

We have said we believe that. We think it's important to recognize that there is a lot of value that people get out of different kinds of tools, even around things like health or financial or location information, so we want to give people that ability. Probably when you get to kids and certain kinds of health information, the bar needs to be very high, if not prohibited.

Mr. Frank Baylis:

My colleague here, my younger brother Nathaniel, has said that certain age things.... For example, we prohibit driving at a certain age and we prohibit drinking at a certain age. Are there any thoughts from the rest of the panel on this concept of just out-and-out prohibiting some data collecting, whether it's age related or some type of data? Do any of you have anything to add to that?

Mr. Erik Neuenschwander:

In my earlier answers I talked about how we seek to leave the data on the user's device and under their control. I'd separate collection by a corporate entity from collection from a device that's under the user's control. Where possible, we want to leave that control in the hands of the users through explicit consent and through retaining the data on their device.

Mr. Frank Baylis:

If it's collected, but not used or seen by a corporation such as yours.... If the corporation has collected it and just held it, and then I can delete it or not, you see that as differentiated from collecting it for use elsewhere. Is that what you're saying?

Mr. Erik Neuenschwander:

I do see collection from a company compared to being on the user's device as different. I almost wouldn't want to use the word “collection”. Maybe we should say “storage” or something.

Mr. John Weigelt:

I take pause when I try to answer that question, to be thoughtful around potential scenarios. I try to imagine myself as a parent and how these tools would be used. I really think it depends on the context in which that interaction occurs. A medical setting will be dramatically different from an online entertainment setting.

The context of the data is really important in managing the data, in terms of the obligations for safeguarding protections or even for the prohibition of collecting that data.

Mr. Frank Baylis:

Do I have time for another question, Mr. Chair?

The Chair:

You do if you have a very quick, 30-second comment.

Mr. Frank Baylis:

Leading into cloud computing, it sounds like a beautiful cloud, but there's no cloud. There's a physical server somewhere. That's what we're talking about. Let's forget the cloud; it's a physical server. The laws that apply to it depend on where that server actually sits.

We talk about Apple, Microsoft or Amazon—and Amazon, this is a big part of your business. If we Canadian legislators make a bunch of laws that protect Canada, but your server happens to be outside of Canada, our laws have zero impact.

Are you doing anything about aligning with government laws by making sure that these servers sit within the confines of the country that's legislating them?

(1035)

Mr. Mark Ryland:

We do have our data centres in multiple countries around the world, including Canada. There is legal control there, but we have to obey the laws of all the countries where we operate. Those laws may have extraterritorial impact as well.

Mr. John Weigelt:

We have delivered data centres in 54 regions around the world and we've put data centres here in Canada, in Toronto and Quebec City. I happen to be accountable for making sure that they're compliant with Canadian laws and regulations, be it the Office of the Superintendent of Financial Institutions, the federal government's legislation or provincial privacy legislation. It's critically important to us that we make sure we respect the local legal environment. We treat data that's stored in those data centres like a piece of paper. We want the laws to make sure that they treat that electronic information like the piece of paper.

We have been staunch advocates for the CLOUD Act, which helps to clarify the conflict of laws that are a challenge for multinational companies like ours. We abide by laws around the regions, but sometimes they conflict. The CLOUD Act hopes to set a common platform for understanding around mutual legal assistance treaties, or to follow on from that—because we all understand that mutual legal assistance treaties are somewhat slow and based upon paper—this provides new legal instruments to to provide confidence to governments that their residents' information is protected in the same manner that it would be protected in local data centres.

The Chair:

Thank you.

Thank you, Mr. Baylis.

It hasn't come up yet, so that's why I'm going to ask the question.

We're here because of a scandal called Cambridge Analytica and a social media company called Facebook. We wanted to differentiate between who you are. You're not social media; social media was here yesterday. You're big data, etc.

I have a comment specifically for Apple. This is why we wanted Tim Cook here. He has made some really interesting comments. I'll read exactly what he said: First, the right to have personal data minimized. Companies should challenge themselves to strip identifying information from customer data or avoid collecting it in the first place. Second, the right to knowledge—to know what data is being collected and why. Third, the right to access. Companies should make it easy for you to access, correct and delete your personal data. And fourth, the right to data security, without which trust is impossible.

That's a very strong statement. Apple, from your perspective—and I'm also going to ask Mozilla—how do we or how would you fix Facebook?

Mr. Erik Neuenschwander:

I don't know that I would presume to even understand the aspects of Facebook enough to fix it.

What I know we can focus on is primarily two ways. I always put technological solutions first. What we want to do is put the user in control of the data and of access to the data on their device. We've taken it upon ourselves as part of our platform to put the operating system as a barrier between applications and the user's data, and to require that user's consent, as mediated by the operating system, to come in between that app and its data. This is a set of things that we've evolved over time.

You've heard comments today about trying to keep usability front of mind as well, so we're trying to keep things clear and simple for users to use. In doing that, we've built refinements into our technology platform that allow us to expand that set of data that the operating system.... Again, this is separate from Apple, the corporate entity. The operating system can take a step forward and put the user in control of that access.

That's a process that we're going to remain committed to.

The Chair:

To me, changing legislation around this is very difficult, given all the parameters that are around us. It might be simpler for somebody like Tim Cook and an ideology that considers users as paramount. It might be simpler for Apple to do this than for legislators around the world to try to pull this off. However, we're giving it a soldier's try. We're definitely trying.

Mr. Davidson, do you have any comment on how we fix Facebook?

(1040)

Mr. Alan Davidson:

It's very hard from the outside to decide how to fix another company. I think a lot of us are really disappointed in the choices they've made that have created concern among a lot of people and a lot of regulators.

Our hope would be for privacy and more user control. That's a huge starting point.

I guess if I were going to say anything to my colleagues there, it would be to be a little less short term in their thinking about how to address some of these concerns. I think they have a lot of tools at their disposal to give people a lot more control over their information.

There are a lot of tools in the hands of regulators right now to try to make sure we have good guardrails around what companies do and don't do. Unfortunately, it sets a bad standard for other companies in the space when people aren't obeying good privacy practices.

We all can do things on our side too. That's why we built the Facebook container in our tracking tools: to try to give people more control.

The Chair:

Thank you for your answer.

I'm getting signals for questions again. We'll start with my co-chair and we'll go through our normal sequencing. You'll have time. Don't worry.

We'll go to Mr. Collins to start it off.

Mr. Damian Collins:

Thank you.

I will start with Mr. Ryland and Amazon.

Following on from the chair's comments about Facebook, if I connect my Amazon account to Facebook, what data am I sharing between the two platforms?

Mr. Mark Ryland:

I'm not familiar with any way in which you do connect your Facebook account to Amazon. I know that Amazon can be used as a log-in service for some other websites, but Facebook is not one of those. I'm not familiar with any other connection model.

Mr. Damian Collins:

You're saying you can't do it. You can't connect your Facebook and Amazon accounts.

Mr. Mark Ryland:

As far as I know, that's true. I'll follow up to make sure that's true.

Mr. Damian Collins:

There was the Digital, Culture, Media and Sport Committee in London, which I chaired with my colleagues here. We published some documents in December of last year that were relevant to the Six4Three case.

At the same time, there was also an investigation by The New York Times that suggested a series of major companies had entered into special data reciprocity agreements with Facebook so that they had access to their users' Facebook data and to their friends' data as well. Amazon was listed as one of those companies.

Could you say what sort of data protocols you have with Facebook and whether that gives you access not just to your customers' data or Facebook account holders, but also their friends as well?

Mr. Mark Ryland:

I'll have to get back to you on that. I really don't know the answer to that question.

Mr. Damian Collins:

It was a quite major story in The New York Times last year. I'm amazed that you were not briefed on it.

I'll ask the same question of Microsoft as well.

You can log into Skype with your Facebook account. Again, if you're connecting your Skype and your Facebook accounts, what sort of data are you sharing between them?

Mr. John Weigelt:

As far as I understand, it's a simplified log-in from Facebook into your Skype account. When you connect, there should be a pop-up that provides you with an indication of what Facebook is giving to the Skype environment.

It's a simplified log-in type of environment.

Mr. Damian Collins:

What type of data is shared between the different accounts? For users who do that, what type of data about their Skype usage is shared with Facebook?

Mr. John Weigelt:

It's simply a log-on.

Mr. Damian Collins:

Yes, but all these Facebook log-ins have data reciprocity agreements built into them as well. The question is whether—

Mr. John Weigelt:

It's simply a simplified way to share an identity token, so to speak, so that you can log in to Skype.

Mr. Damian Collins:

I know the way the basic log-in works, but these log-in arrangements with Facebook give reciprocal access to data between the two. There's actual connecting, effectively.

Mr. John Weigelt:

It's nothing that would not have been disclosed in that initial connection, so when you connect, when you actually do that linkage, there is a pop-up that says this is the data that will be interacted or interchanged.

Mr. Damian Collins:

Then it's in the terms and conditions.

Mr. John Weigelt:

It's in the actual pop-up that you have to go through. It's a simplified term, and as I understand it, it's a tiered notice. It provides you notice of what the category of data is, and then as you click through it, you have the ability to dig deeper to see what that is.

Mr. Damian Collins:

In layman's terms, would Facebook know who I was engaging with on Skype?

Mr. John Weigelt:

I don't believe so, but I'd have to get back to you on that. I really don't believe so.

Mr. Damian Collins:

Okay.

I'll just go back to Amazon. I want to quickly get this out.

Under “How do I connect my Facebook account to Amazon?”, Amazon.com says: From Settings, tap My Accounts, and then tap Connect your social networks. Tap Connect Your Facebook Account. Enter your log-in information, and then tap Connect.

That is a pretty simple way of connecting your Facebook account with your Amazon account, so I'll just ask again: If you do that, what type of data are you sharing between the two platforms?

(1045)

Mr. Mark Ryland:

I'll need to get back to you on that. I really don't know the answer to that.

Mr. Damian Collins:

Okay. I think this is pretty basic stuff. My concern is that data is being shared between the two platforms.

Again, in a question asked in The New York Times investigation, it said there were preferential data reciprocity agreements between Amazon, between Microsoft and Facebook, so that they not only had access to the data about the Facebook accounts of their users but the users' friends as well, which was a setting that had been turned off for other apps. However, the major partners of Facebook, in terms of the money they spend together or the value of the data, have preferential access.

Again, I'll ask one more time whether either Amazon or Microsoft can say something about that—the nature of the data, what it includes, and whether you still have those arrangements in place.

Mr. John Weigelt:

I can't comment on—

Mr. Damian Collins:

I don't know whether that means you don't know what to say or you don't know. Either way, if you could write to us, we'd be grateful.

Mr. Mark Ryland:

Yes.

Mr. John Weigelt:

Absolutely.

Mr. Mark Ryland:

We'll follow up on that.

The Chair:

We'll go next to Mr. Erskine-Smith for five minutes.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

I first want to talk about ethical AI. This committee started a study on this topic, and the Government of Canada now requires algorithmic impact assessments for government departments when they employ an algorithm for the first time, as a risk assessment in the public interest. Do you think that should be a requirement on large public sector, big-data companies such as yourselves?

I'll start with Amazon and go down the table.

Mr. Mark Ryland:

We strive very hard to work on good algorithmic fairness, and it's one of our fundamental principles. We have test data sets to make sure that we're constantly meeting the bar on that.

Mr. Nathaniel Erskine-Smith:

Do you think there should be transparency to the public so that there's proper public accountability with the algorithms that you employ with such large troves of data and personal information?

Mr. Mark Ryland:

I think the market is doing a good job of making sure that companies set a good bar on that.

Mr. Nathaniel Erskine-Smith:

You see, the frustrating thing is that previously you said you agree with the principles in the GDPR, and algorithmic explainability is a principle in the GDPR.

Apple, what do you think about it?

Mr. Erik Neuenschwander:

In the machine learning that we employ, we do want users to understand that we do it primarily by putting it on the users' devices and training it on their data, as I've said. When we're training generalized models, we're doing that based on public data sets. Primarily, we're not training on personal data.

Where we would be training on personal data, we absolutely want to make sure that it is explainable and understandable by users.

Mr. Nathaniel Erskine-Smith:

Then you believe in that public transparency.

Mr. Erik Neuenschwander:

We believe in transparency across many things.

Mr. Nathaniel Erskine-Smith:

Microsoft, would you comment?

Mr. John Weigelt:

We're participating and we're contributing to the work that's happening here in Canada and one of the challenges around definitions. For large-scale unhuman intervention-type systems, there needs to be ability to tell the user what's happening behind the scenes.

It's a big area of controversy, a big area of research around explainability, generalizability, and how we look at outcomes.

The way that documentation is currently written, it almost looks as though if you have website localization—for example, if I am coming from Quebec and I then present a French website because of that—it would require algorithmic risk assessment and notice to the public.

Mr. Nathaniel Erskine-Smith:

You're concerned with definition, but in principle you agree with the idea.

Mr. John Weigelt:

In principle, we agree with the idea and applaud the Government of Canada for putting that in place right now, and others should examine similar opportunities.

Mr. Nathaniel Erskine-Smith:

Including the private sector and Microsoft.

On competition law, I read a quote yesterday from the German regulator, who noted Facebook's superior market power and said, “The only choice the user has is either to accept comprehensive combination of data or to refrain from using the social network. In such a difficult situation the user's choice cannot be referred to as voluntary consent.”

Does the same principle apply to your companies?

Mr. Mark Ryland:

We face robust competition in the markets we're in. In the cloud business, for example, our main competition is the old way of doing IT business, and there's a vast array of competitors across that.

Mr. Nathaniel Erskine-Smith:

I appreciate that. I'll flip it a bit. Should the impact on consumer privacy be a consideration in competition law?

Mr. Mark Ryland:

Again, it's an area outside of my expertise. I hate to give that answer.

Mr. Nathaniel Erskine-Smith:

It's frustrating, because I did specifically let Amazon know that competition would be a matter we'd be discussing today.

Other companies, do you have a view as to whether the impact on consumer privacy should be a consideration in competition law?

Mr. Erik Neuenschwander:

You imply that there is, at least in some cases, a single, all-or-nothing sort of consent, and we're very cognizant of that. What we do is offer very nuanced and fine-grained consent. It's possible to use an Apple device without signing in to or creating any Apple account, so we try to differentiate and separate those things.

(1050)

Mr. Nathaniel Erskine-Smith:

I appreciate that.

Does Microsoft have a view?

Mr. John Weigelt:

It's all about the data, and in particular safeguarding the data and how the data is used. I think you need to look more broadly at the data use. Perhaps data sheets for data would help in that regard, because I think privacy is about that data's security and accessibility.

Mr. Nathaniel Erskine-Smith:

I'm interested in seeing what the associate general counsel says tomorrow at the competition commissioner's data forum.

I'm moving forward with a secondary question on competition law.

In the 1990s, Explorer was free, and yet Microsoft was prevented from monopolizing the browser space. It wasn't protecting consumers on price; it was actually protecting innovation.

I'm going to pick on Amazon a bit. You said before that what I input into Alexa becomes part of my user profile. I assume that also means that what I watch on Prime, purchase from any number of sellers and search for on Amazon or beyond on the Internet all combine into a single profile, presumably to direct targeted ads.

I also wonder if my user profile, combined with everyone's user profile, drives your decisions to create new products. Is that fair?

Mr. Mark Ryland:

We certainly look at the trends, purchases and behaviour of our customers, in terms of determining future—

Mr. Nathaniel Erskine-Smith:

Far apart from that, and in answer to Mr. Saini's questions, you said you're not tracking the information of third party sellers on your websites. If you look at it from the other perspective, you are tracking all of our individual purchase decisions on Amazon and combining all of those decisions in order to compete against those third party sellers in your marketplace. How is that not use of dominance?

Mr. Mark Ryland:

I think the fact that the third party marketplace is wildly successful and that there are a huge number of very successful businesses in it is a very clear indicator that this is not a problem.

Mr. Nathaniel Erskine-Smith:

You don't think you have an unfair market advantage.

Mr. Mark Ryland:

No.

Mr. Nathaniel Erskine-Smith:

The last question I have was raised by—

The Chair:

Please go very quickly, because I know we're trying to squeeze everybody in.

Mr. Nathaniel Erskine-Smith:

With respect to the monetization of personal data, I raised the point with experts yesterday that the business model is the problem. That was put forth by a number of folks, and Apple, I think—Tim Cook—made the same point about the industrial data complex.

Microsoft and Amazon, do you think the business model is itself a problem? You just want to collect more and more information about us. What's the value to us in your collecting so much information about us? Is the business model a problem?

Mr. John Weigelt:

To be clear, the information we collect is only there for the products. We're not looking at doing things personalized to you and you only, to target to you.

When we find that people aren't using a feature, grosso modo we anonymize, pseudonymize, and that's a great feature. We try to surface that feature in subsequent releases. That's simply there to help enhance our business. We're a software and services company. That's what we do, and that's our business line.

Mr. Mark Ryland:

Our business model is very consistent with consumer privacy, because it's all about meeting customer choice through a traditional purchase-and-sale model of capabilities and products and services.

Mr. Nathaniel Erskine-Smith:

Thank you.

The Chair:

Now we'll go to Mr. Angus for five minutes.

Mr. Charlie Angus:

Thank you very much.

Diapers.com was an online business selling diapers in this competitive market that Amazon says is out there. Jeff Bezos wanted to buy it. They refused, so Amazon went to predatory pricing. Amazon was losing $100 million on diapers every three months to put a competitor out of business or to force them to sell. They finally agreed, because they were afraid Amazon would drop prices even lower.

We talk about antitrust because of the “kill zone” of innovation that The Economist is talking about, but with Amazon, it's the kill zone of competition—the power that you have through all of your platforms to drive down prices and actually put people out of business. Shaoul Sussman says that the predatory pricing practices of Amazon are antitrust in nature and need legislation.

What do you say?

Mr. Mark Ryland:

Again, I have to say that I'm not an expert in competition law and I don't know the history or the details of some of the things you mention.

In the general business that we're in, we see robust competition across all these businesses. There are a lot of new start-ups, and we even have a great number of competitors who use our Amazon Web Services platform. Some of the largest online commerce platforms in, say, Germany and Latin America use AWS and trust us with their businesses, so we think competition is working.

Mr. Charlie Angus:

Yes, so you've got all the people to use your cloud services and then you can drive down prices against mom and pop. Lena Kahn, from Open Markets, says that because you are controlling so much market dominance in so many various areas, you can use your profits from the cloud to run predatory pricing and to run down competition. She says that your “structure and conduct pose anticompetitive concerns—yet it has escaped antitrust scrutiny”.

This is an issue that I think legislators need to think about. We see that in Canada one of the great advantages you have is that you're not paying taxes the way our poorest businesses have to. In the U.K., you made 3.35 billion pounds and paid only only 1.8 million pounds in taxable income. I mean, you're like our biggest welfare case on the planet if you're getting that.

In the U.S., it's even better. You made $11 billion in profits and you got a $129-million rebate. You were actually paying a negative 1% tax rate. That seems to me to be an extraordinary advantage. I don't know of any company that wouldn't want to get a rebate rather than pay taxes—or any citizen.

How is it that we have a marketplace where you can undercut any competitor and you can undercut any book publisher and you're not even properly paying taxes? Don't you think that it's at least our job to rein you guys in and make sure that we have some fair rules in the marketplace?

(1055)

Mr. Mark Ryland:

Again, I apologize. I'm not an expert in the competition law area. The panel discussion was on security, consumer protection and privacy, where I do have some expertise, but I'm not able to answer your questions on that area.

Mr. Charlie Angus:

Yes, that's unfortunate. I mean, this is why our chair asked that we get people who would be able to answer questions, because these are the questions that as legislators we need to have answered. We're dealing in this new age, and your colleagues at Facebook have put us in this situation. If Facebook had better corporate practices, we might not even be paying attention, but we're having to pay attention. If Amazon was not engaged in such anti-competitive practices, we might think that the free market was great, but it's not great right now, and you can't answer those questions for us.

It puts us in a bind, because as legislators we're asking for answers. What's a fair taxation rate? How do we ensure competition in the marketplace? How do we ensure that we don't have predatory pricing that is deliberately driving down prices and putting businesses—our businesses— out of business because you have such market dominance and you can't answer the question? It leaves us very confused. Should we call Alexa or Siri? Would they help?

Voices: Oh, oh!

Mr. Mark Ryland:

I apologize, but I don't have the expertise to answer those questions.

Mr. Charlie Angus:

Thank you.

The Chair:

I would like to highlight what Mr. Angus said. This is the reason we asked Mr. Bezos to come. He can answer those kinds of questions before this grand committee. He's exactly the person who could have answered all our questions. We wouldn't have kept anybody off the panel, but certainly we wanted people who could give us comprehensive answers with regard to the whole package.

I will go next to Mr. Lucas from the U.K.

Mr. Ian Lucas:

John, could I return to transfer of data within Microsoft? You mentioned that Microsoft has acquired a number of companies. LinkedIn, which you mentioned, was one of them. Can you just be clear? If I give information to LinkedIn, within the Microsoft organization is it then transferred to other businesses within Microsoft?

Mr. John Weigelt:

Absolutely not. LinkedIn remains rather independent from the organization.

Mr. Ian Lucas:

You're saying there is a wall around the information that is collected by LinkedIn and it's not transferred within the Microsoft organization.

Mr. John Weigelt:

Any transfer of.... Excuse me. Let me step back from that. Any connection between your LinkedIn profile and, let's say, your Office toolset is done by the user, and that's a connection that's done explicitly. For example, in your email clients, you may choose to leverage your LinkedIn connection there. That's something that the user intervenes with in their LinkedIn profile. It's their Office—

Mr. Ian Lucas:

I'm interested in the default position. If I join LinkedIn and I don't go through the terms and conditions and I give information to LinkedIn, does it get transferred or is it capable of being transferred to other businesses within the Microsoft family, as you guys like to call it?

Mr. John Weigelt:

LinkedIn doesn't share that information across the business from the back end.

Mr. Ian Lucas:

As a general rule regarding the separate businesses within the Microsoft organization, is the information transferred generally?

Mr. John Weigelt:

As a general rule, each business line is independent.

(1100)

Mr. Ian Lucas:

Is the information transferred between the separate businesses?

Mr. John Weigelt:

Personal information is maintained by each individual business line.

Mr. Ian Lucas:

I just asked a very specific question. Is the policy of the Microsoft organization to allow transfer of personal data between separate businesses owned by Microsoft?

Mr. John Weigelt:

This is a consistent purpose—

Mr. Ian Lucas:

Can I have a yes or no?

Mr. John Weigelt:

It's a consistent purpose question, right? So we, as a—

Mr. Ian Lucas:

It's a question to which either yes or no is the answer.

Mr. John Weigelt:

I will have to answer that I cannot affirm or deny that there is.... I don't have that knowledge.

Mr. Ian Lucas:

Right, okay. That's not very helpful.

Could you come back to me on that question?

Mr. John Weigelt:

Absolutely.

Mr. Ian Lucas:

Thank you.

Erik, I have in front of me two very impressive Apple devices, although my techie colleagues tell me that my iPhone is really very old.

The issue I have is that people access, for example, Facebook, very much through Apple, through the hardware that you provide. You have said that a lot of information goes into the Apple phone or the iPad, and it's not transferred elsewhere, and it's not your responsibility to transfer it elsewhere. I don't really buy that argument, because people access other platforms through your hardware.

You are one of the biggest businesses on the planet and you can deal with whom you like. Why should you be allowing businesses that don't agree with your approach to privacy to use your hardware to do business?

Mr. Erik Neuenschwander:

I don't know if the businesses agree or disagree with our approach. I think we'd certainly encourage.... We try to demonstrate that people can copy us in our approach to privacy.

What my team seeks to do and what I think the focus is, as I said, is to put the information on the device, but I do think we have a responsibility about where it goes. That's why we've taken steps in our operating system to get in between an application and certain data on the device.

There is some data that we've never exposed on the device, and I don't think we would. For instance, the user's phone number or hardware identifiers that could be used for tracking have never been available on our platform.

We did this with the design of a technology we call sandboxing, which actually separates applications from themselves and from data in the OS.

Mr. Ian Lucas:

My point is that you set out the principles. The chairman set them out, and it's really complex and difficult for us to legislate on these issues, as we're all discovering.

You can do business with Facebook or not. You could disallow access to Facebook through your hardware if you so chose if they did not adhere to the principles. Facebook has done your industry a lot of damage. Why do you continue to do business with them?

Mr. Erik Neuenschwander:

I guess if you're talking about their availability on the App Store, I think there are two—

Mr. Ian Lucas:

Well, it's a fact that so many people access Facebook through your devices.

Mr. Erik Neuenschwander:

Right, so on one hand, under the hypothetical, if the Facebook application wasn't there, Facebook offers a website, and people would still be able to access Facebook through the website, through our browser, or through a competing browser.

If we go further down that route and say that we should actually begin imposing what I would call—

Mr. Ian Lucas:

It's not imposing; it's about agreement. If you believe in your principles and you're an ethical company, then you should deal with people who abide by your principles. That's within your power.

Mr. Erik Neuenschwander:

Well, I suppose what's within my power are the technical controls. My approach is to say that underneath any application or any service running on the phone, we should find technical measures to keep the user in control of their data.

Mr. Ian Lucas:

What you could do is not do business with Facebook. You could choose an approach whereby you set out your principles and you apply them in dealing with who you want. Why don't you do that?

Mr. Erik Neuenschwander:

If I take that as the availability of Facebook on our App Store, it would not measurably impact privacy to withdraw that application from the App Store.

Mr. Ian Lucas:

You really don't?

Mr. Erik Neuenschwander:

I think that users—

Mr. Ian Lucas:

Do you think you'd get a bit of a headline?

(1105)

Mr. Erik Neuenschwander:

We'd get headline, sure. I don't personally believe that headlines necessarily impact privacy, with respect. I think users would—

Mr. Ian Lucas:

Don't you think it would make a substantial impact on the approach that Facebook has been taking?

Mr. Erik Neuenschwander:

As you point out, Facebook is an extremely popular service. Users would turn to web technologies in other ways to continue to access Facebook. I don't personally see a way that either Apple could or, out of respect for an individual's privacy, that I would be—

Mr. Ian Lucas:

What concerns me is that you're presenting yourselves as the good guys, but you're facilitating the bad guys through the use of your hardware.

Mr. Erik Neuenschwander:

We have taken many steps over the years to continue to constrain and raise the bar higher than any other platform on privacy and user control over the data on our hardware. It's precisely because of our hardware integration that we've been able to take so many positive, proactive steps toward putting users in control of data and finding ways to encourage date minimization.

Mr. Ian Lucas:

But you still want to do business with the bad guys.

The Chair:

Thank you, Mr. Lucas. We have to move on.

Next is Ms. Naughton, from Ireland.

Ms. Hildegarde Naughton:

Thank you.

I want to go back to Mr. Ryland and my earlier question in relation to Amazon displaying the names and email addresses of customers. Were you categorical that it did not happen?

Mr. Mark Ryland:

I'm certainly not familiar with the incident. I don't believe so, but we'll follow up.

Ms. Hildegarde Naughton:

There were two articles on November 21, 2018, in The Guardian and The Telegraph. Both of them stated that Amazon suffered a major data breach that caused the names and email addresses of customers to be disclosed on its website.

Mr. Mark Ryland:

I'd be happy to follow up on that.

Ms. Hildegarde Naughton:

Thank you. I just wanted to clarify that. It's very much on the record.

The Chair:

Go ahead, Mr. Lawless.

Mr. James Lawless:

I have a question about data portability and the GDPR principle. It struck me as an issue.

In terms of big data, it's where it sits, how it's housed and what form it's kept in, etc. Is that something you embrace? Do you want to hold proprietary data, so that it's exclusive to your corporation, or is it something you're comfortable with using open formats to share? Where are each of you at on data portability at the moment?

Mr. Alan Davidson:

We think access and data portability are extremely important parts of the GDPR and are actually really important pillars of any good privacy rules. Not only that, but they also could have a positive effect in the competition space. We think there's a lot of promising work to be done in not just getting people to be able to see what people have—and we do that when we hold data—but also in making it useful.

It's not just, “I can download my entire Facebook corpus of data”—which I've done and people should do, and it's really interesting—but it's also making it useful, so that I could take it somewhere else if I wanted to.

Mr. John Weigelt:

We're committed to the GDPR and the data portability principles. The big question comes around the interoperability of those profiles or that data, and making sure that you can move them from one place to another in a format that's appropriate. The jury is still out about where people want to move their data and in what formats.

Mr. James Lawless:

Microsoft has advanced on that. I know at one stage there was an alleged issue at Microsoft in terms of proprietary formats, but I know now there's always an option to “save as” in a more open format. Is that where you've gone with that?

Mr. John Weigelt:

Absolutely. We've even seen in cloud computing the industry move to take arbitrary activities and move them from one place to another. That's something that we've embraced. We've also looked to the open-source/open data community for advice and guidance.

Mr. Erik Neuenschwander:

In the expectation of GDPR, Apple launched a data and privacy portal. Users can download their personal information, both under access and under portability, in human and machine-readable formats.

Mr. Mark Ryland:

Speaking for Amazon web services, where I work, importing and exporting are fundamental capabilities of our platform. We never have an import service that doesn't have an accompanying export service, whether they are virtual machine formats or other kinds of import/export data formats. We have tools always going bidirectionally.

We also work a lot with the open-source community for the portability of application codes and so forth. For example, a lot of our platforms are supporting things like docker formats for containers, Kubernetes for cluster management and so forth. Users can very readily create highly portable systems and data portability across platforms. That's something customers expect, and we want to meet those customer needs.

(1110)

Mr. James Lawless:

You're saying it's the likes of Apache and the open-source foundations and those sorts of guidelines. We're merging open standards, and I suppose they're being embraced to an extent, or maybe they were pre-GDPR-type community concepts, but they're pretty much across the board now. Is that the case?

Mr. John Weigelt:

Absolutely.

Mr. James Lawless:

Yes, okay. That's very good. Thank you.

Thank you, Chair.

The Chair:

Next we'll go to Singapore for five minutes.

Ms. Sun Xueling:

Mr. Davidson, you mentioned earlier in a reply to Mr. Baylis that with regard to political ads, your first preference was for company action to promote transparency. I'd like to highlight two instances in which it seems that company action has fallen short.

In April 2018, Facebook implemented new rules for political ad transparency. They acknowledged they were slow to pick up foreign interference in the 2016 U.S. elections. They said they were increasing transparency around ads and that this would increase accountability, yet in late October 2018, Vice News published a report showing how easy it was to manipulate the so-called safeguard that Facebook had put in place. The reporters had been required to have their identification verified as having U.S. addresses before they could buy ads, but once verified, the reporters were able to post divisive ads and lie about who paid for them.

That's for Facebook.

Separately, in August 2018, Google said it had invested in robust systems to identify influence operations launched by foreign governments, but shortly after that, a non-profit organization, Campaign for Accountability, detailed how their researchers had posed as an Internet research agency and bought political ads targeting U.S. Internet users. According to CFA, Google made no attempt to verify the identity of the account and they approved the advertisements in less than 48 hours. The adverts ran on a wide range of websites and YouTube channels, generating over 20,000 views, all for less than $100.

Therefore, it does not sound as if the platforms are anywhere close to fulfilling their assurance to safeguard against foreign interference.

Would you agree with that?

Mr. Alan Davidson:

I think we clearly have a long way to go, absolutely, and it's been frustrating for those of us working in this space because we think that ad transparency is an incredibly important tool in being able to do this, and the other tools are not as good.

Ms. Sun Xueling:

Yes. It does not seem that it's a technical problem per se, because the researchers flagged that they used the Russian IP address to access Google's Russian advert platforms and supply the details of the Internet research agency, and they went as far as to pay for the adverts using Russian rubles.

That seems to suggest to us that it's more about a desire to sell ads rather than to cut foreign interference.

Mr. Alan Davidson:

I'd caution you a little. The jury is still out. It's still early days. There's a lot more to do, I think. Perhaps the experience in the parliamentary elections in Europe and the elections in India will be informative. That's where people were trying to take much more proactive steps. I think we need to be able to assess that. That's partly why transparency is important.

Platforms need to do more, but as somebody else among your colleagues has pointed out, we should also look at who is perpetrating these acts—

Ms. Sun Xueling:

Definitely, yes.

Mr. Alan Davidson:

—and this is where we as companies need the help of government when nation states are attacking companies.

Ms. Sun Xueling:

You used the term earlier about having guardrails.

Mr. Alan Davidson:

Yes.

Ms. Sun Xueling:

I think that's important to prevent all of us from dropping into the abyss of disinformation.

Mr. Alan Davidson:

Agreed.

Ms. Sun Xueling:

Thank you.

Chair, thank you.

The Chair:

Thank you.

We'll go to Anita next. Go ahead.

Ms. Anita Vandenbeld:

To change the topic a little, in your opening remarks, Mr. Davidson, you talked about the fact that your company's workforce is focusing more on diversity. We know and we've heard testimony that algorithms are influenced by the social biases of those who are programming them, so if most of the programmers are young 20-something males, their social bias will be perpetrated through the algorithms.

How important is it that the workforce be diversified? How are you doing that, and what impact is it having?

Mr. Alan Davidson:

We think it's extremely important. It's essential not just because it's the right thing to do—and it is the right thing to do—but also because our argument is we all will build better products if we have a more diverse workforce that reflects the broader base of the communities we serve.

It's been a big struggle in Silicon Valley, in the tech industry generally, and I think we all should acknowledge that. We constantly need to work on it.

We've made it a very big priority in our company. As an example, every executive in our company has goals for the year. We call them objectives and key results. We all set our own, but one is mandatory for everybody: How well did you do in diversity in your hiring? It adds that little extra push to know you're being graded on it.

We need to do more of that, and we will be the first to say we have a way to go. I think we've probably made a lot of progress in gender diversity, particularly within our technical community. We've done less well and still have a long way to go on other kinds of ethnic diversity, and we are really working on it.

(1115)

Ms. Anita Vandenbeld:

Thank you.

Mr. Alan Davidson:

Thank you for raising it.

Ms. Anita Vandenbeld:

Could I ask the other platforms to each comment on that aspect?

Mr. John Weigelt:

At Microsoft, Satya Nadella has made it a top priority, and we recognize that our decisions and our products are better if our company better reflects the communities we serve.

Here in Canada, we're working to have Microsoft Canada reflect the cultural mosaic that Canada has, which includes not only gender but ethic backgrounds and orientation. Also, for those people who have unique adaptive requirements and unique work styles, such as visual challenges or hearing challenges or perhaps mental attention challenges....

Really, we're creating that community, and we build that into our AI ethics program. We have a governance committee that looks at sensitive uses of AI, but then we convene a very diverse community to do a 360° view of that sensitive use. We want very explicitly to have that cross-sectional perspective from every person in the organization who has a comment and to represent, again, that cultural mosaic. That way, we feel we can address some of those potential unintended consequences up front and be able to provide advice and guidance going forward.

Ms. Anita Vandenbeld:

Go ahead.

Mr. Erik Neuenschwander:

Diversity is one of the four corporate values that our CEO Tim Cook has espoused, in addition to privacy. They're both quite important. It goes far beyond AI. Certainly speaking from a privacy dimension, it's very much about the human condition, and having a diversity of viewpoints will help us make good choices.

I don't have the numbers at hand about how our diversity is today. I'm sure we still have a long way to go. We have taken steps not only to improve our hiring and our outreach in terms of bringing diverse people into the workforce, but also in taking a look at churn, or career longevity. It's one thing to get somebody in the door, but you also want to make sure they have a productive and fulfilling career experience to stay and continue contributing.

As I said, we have more work to do on both of those dimensions.

Ms. Anita Vandenbeld:

Thank you.

Mr. Mark Ryland:

You'll hear a similar story from Amazon. We place a big focus on diversity. It's a big part of our corporate goals, and hiring managers and executives are given specific goals in that area.

Of course, it's not just a matter of hiring. It's also a matter of career longevity, career management and creating communities of interest within our company that allow people to feel both integrated into the larger organization and to have communities of interest that they feel very much at home in.

We do a lot of work across all those areas to increase the diversity of the business. Again, we think that's best for business. Not only is it the right thing to do, but it will help us to build better products, because the diverse backgrounds of our employees will match the customers we're trying to serve.

Ms. Anita Vandenbeld:

Thank you.

The Chair:

Thank you, Ms. Vandenbeld.

I have an explanation of what's going to happen. We have a few more comments, and then we're going to have some final closing comments of the IGC from our vice-chairs, my co-chair and then me. Then we'll be done. It might go a little past 11:30, but it will be very close.

I have Mr. Kent for five minutes.

Hon. Peter Kent:

Thank you, Mr. Chair.

If I could come back to the topic of competition, antitrust and monopolies in the new marketplace, there's been a lot of discussion recently, particularly in the United States, about the new digital monopolies and the fact that they may be a lot more durable than monopolies in the past—the railroads, the phone companies and so forth. They can overwhelm competition by either buying it or destroying it.

Yesterday I quoted, to the Facebook representative who was before us, the writings of Chris Hughes, the disillusioned former co-founder of Facebook. I know there's been some suggestion from some of our panellists today that their companies may be willing to accept versions of the European legislation, but one of Mr. Hughes' headlines suggests that Facebook should, in fact, be broken up and be subject to antitrust application. He said, “Facebook isn't afraid of a few more rules. It's afraid of an antitrust case”.

I know the defence against antitrust prosecution is a little more difficult because your big data monopolies use the excuse that your service is free and that there's not a tangible or identifiable dollar cost to what consumers are buying.

Again, this question may be greater than your job descriptions allow, which is why we asked that CEOs be present with us today, but I wonder, particularly in the case of Amazon and Microsoft, if you could discuss your companies' views with regard to countering these growing antitrust discussions and calls for breakup in the interests of greater competition and greater consumer protection.

I'll start with Mr. Ryland.

(1120)

Mr. Mark Ryland:

I'd be happy to say a few words about that.

Again, our business model is very traditional. We're selling goods and services—they have monetary value—both in our retail Amazon.com business and our cloud computing business, and we are facing robust competition across all kinds of different services and platforms that are not limited to online. There's a vast variety of channels and mechanisms that people use to acquire IT services, whether it be for a cloud or other kinds of capabilities. It's just a very different business model from our perspective, and our use of data to enhance the consumer experience is, we believe, very much adding value for consumers, and they really enjoy the experience of using these technologies.

I think it's a very different approach to some of the issues that you raise. Again, that's kind of a high-level statement, and beyond that, in terms of specifics around competition law, I've already disclosed that I'm not an expert.

Again, I think our business model is very traditional in that regard, so I think it's a bit different.

Hon. Peter Kent:

Thanks.

I'll go to Microsoft.

Mr. John Weigelt:

I think that as you look at our longevity since the seventies, we've seen ebbs and flows. We used to have a phone. We have a great browser, but it has undergone a number of revisions. The vision of having a PC on every desktop has now changed to a phone in every pocket. We see these ebbs and flows that move through the environment.

As for the consumer data environment, consumers will go to services that are popular to them, and they will have ebbs and flows. Certainly if you speak with millennials today, the millennials are off in different places. For example, my children, who are kind of in that space, although they'll disagree that they're millennials, will say, “Dad, I'm not there, so don't talk to me on that channel—talk to me on this channel.” These things ebb and flow.

The data then lends itself to algorithms. We see an algorithmic age coming, and people using algorithms as a monetization technique. We see a move from algorithms to APIs and people monetizing APIs.

What we have is this continual innovation engine that's moving forward. We need to work together to try to figure out those unintended consequences, the lessons that we are learning along the way when it comes to disinformation, such as, for example, the squishy bag that happens when we push down on one place and then are surprised when it's “Oh, we didn't think about that.” Working together, then we can put in place those instruments to be able to do that.

I've abstracted this out, I know, from your question around anti-competition and antitrust, but I'd like to look at it from the macro level and how these things ebb and flow. How do we then put in place strong protection mechanisms for businesses and for people? That's through partnerships.

Hon. Peter Kent:

Next are Apple and then Mozilla.

Mr. Erik Neuenschwander:

I don't know that I have much to add to the comments of the other panellists. I think that we are very much about both trying to put the diversity of the App Store in front of our users and trying to enable great competition. I think that has been wildly successful for many different companies in that space.

When it comes to personal data, we practice data minimization and are not trying to empower Apple but instead to empower users.

Mr. Alan Davidson:

I would just say that I work at a company that in some ways has its roots in a reaction to a dominant player in the market, which at the time was Internet Explorer. I think we do believe that antitrust law provides some really important guardrails in the market. We want what everybody wants, which is a level playing field of competition.

We think there are a lot of concerns out there about size. With size comes responsibility. We also think that there are a lot of very powerful tools in the hands of antitrust regulators today. We probably need to think about how to give them more information, more tools and a better understanding of things such as APIs and the power of data in their analysis. That's really where the upgrade needs to happen first, even as we think about how to expand the roles. This is a very important area.

(1125)

Hon. Peter Kent:

To contemporize digitally...?

Mr. Alan Davidson:

A contemporized digital antitrust enforcer is what we need out there.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Mr. Kent.

Last in the line of questions is David. Go ahead, Mr. Graham.

Mr. David de Burgh Graham:

Thank you.

I got everybody else earlier, so I want to go to Mr. Ryland from Amazon for a bit.

Earlier you were talking to Mr. Lucas about whether Alexa has ever been compromised. As I recall, you said that it has not. Is that correct?

Mr. Mark Ryland:

That's right.

Mr. David de Burgh Graham:

Are you not familiar with the Checkmarx hack of only a year ago that did a complete compromise of Alexa and could cause Alexa to stream live audio in an unlimited amount?

Mr. Mark Ryland:

I wasn't familiar with that particular.... I'll get back to you on that.

Mr. David de Burgh Graham:

Are you not the director of security engineering?

Mr. Mark Ryland:

What's that?

Mr. David de Burgh Graham:

Are you not the director of security engineering?

Mr. Mark Ryland:

I am, at Amazon Web Services, yes.

Mr. David de Burgh Graham:

You're at Amazon Web Services; so we weren't sent someone from Amazon proper. I just wanted to get that clear.

Amazon has an integrated marketing system. If I go and search for something on Amazon, and then I go onto another computer on another website, I will have ads pop up for me from Amazon saying, “Hey, do you want to buy this thing that you searched for on a different device on a different day at a different time with a different IP address?” How does Amazon know that? What kind of data exchange happens between Amazon and other sites like Facebook and other websites all across...? For example, National Newswatch does that to me.

What is the information exchange there? How do you know who I am on another device?

Mr. Mark Ryland:

We do participate in ad exchanges. We have a whole privacy site on our website that allows you to opt out of advertising. Again, that's not personal data. That's anonymized data. It's based on demographic profiling.

Again, it's straightforward to opt out of that on our website, or you can use some of the industry's tools, such as AdChoices, to opt out from participating in ad networks.

Mr. David de Burgh Graham:

It's anonymized data, but it knows exactly that one thing that I looked for three hours ago.

Mr. Mark Ryland:

I can't speak to the very specific experience you had, but we're not using your personal data for that type of use case.

Mr. David de Burgh Graham:

Okay.

At the very beginning of the meeting, you had some interesting perspectives on consent for the use of data. It caused a very good intervention from Mr. Angus. In Amazon's opinion or in your opinion, what is the limit of consent for the sharing of data? Is it explicit? If something is advertised on the box as a “smart” device, is that enough for consent to share data?

Mr. Mark Ryland:

We think context awareness makes sense. The reasonable consumer consuming a certain experience will have some idea of what is involved. If that is not there, then we want that to be more explicit. It's very contextual.

It also depends, obviously, on the type of data. Some data is much more sensitive than other data. As one of the other panellists mentioned, using an online gaming platform is different from using a health care site, so it's being context aware and content aware. Context-based consent makes a lot of sense.

Mr. David de Burgh Graham:

Okay.

You mentioned earlier that you're a customer-oriented company. Are you also a worker-oriented company?

Mr. Mark Ryland:

Yes. We very much try to be very worker-oriented.

Mr. David de Burgh Graham:

Do you not get engaged in anti-union practices?

Mr. Mark Ryland:

Again, it's not my area of expertise, but I would say that we treat our workers with respect and dignity. We try to pay a solid wage and give them reasonable working conditions.

Mr. David de Burgh Graham:

Do you engage in any data collection from your own employees?

Mr. Mark Ryland:

Like all companies, we collect data around things like web access and an appropriate use of our technology to protect other workers in the workforce.

Mr. David de Burgh Graham:

Then at no time did Amazon distribute anti-union marketing materials to newly acquired companies.

Mr. Mark Ryland:

I'm not familiar with that particular scenario.

Mr. David de Burgh Graham:

Well, the next time we have this committee, I hope we have somebody at Amazon who knows the policies of Amazon rather than AWS. You do very good work at web services, but we need to know about Amazon as a whole company.

I think that's all I have for the moment. Thank you.

The Chair:

Thank you, David.

I did neglect Jo from the U.K., and—

Mr. James Lawless:

Chair, before you hand it to Ms. Stevens, I must apologize; we need to catch a flight.

I would just thank the committee for the engagement over the last few days.

The Chair:

All right. Thank you. We will see you again in November of this year.

Mr. James Lawless: Absolutely.

The Chair: Give our best to Ms. Naughton. Thank you for coming.

Mr. James Lawless:

Thank you very much.

The Chair:

Go ahead, Jo.

Ms. Jo Stevens:

Thank you very much, Chair.

I want to go back to something you said earlier, John, about a board or a group that you have to look at sensitive use of AI. Can you give me an example of what sort of AI deployment you would describe as “sensitive”?

(1130)

Mr. John Weigelt:

One area is the use of artificial intelligence in medical diagnosis. We look at three criteria: Can it approve or deny consequential services? Is there infringement on human rights or human dignity? Are there health and safety issues at hand?

In one case, researchers were training artificial intelligence algorithms on chest X-rays. They then wanted to put that onto the emergency room floor, and they said, “Hey, this might impact patients. We need to understand how this works.” Our committee came together. We reviewed the datasets. We reviewed the validity of that open-source dataset and the number of people there. Then we provided guidance back to the researchers who were putting this in place. The guidance was along the lines of, “Hey, this is not for clinical use”, because software as a medical device is a completely different area. It requires certifications and whatnot.

However, if we're trying to assess whether or not artificial intelligence could potentially have the ability to learn from these scans, then that would be a good use. That's how we would tend to look at that situation.

Ms. Jo Stevens:

That's a really useful example. Thank you.

We do know, and there's plenty of evidence about this, that there is both deliberate and unconscious bias inherent in AI. I think there's quite a strong argument for a regulatory approach to govern AI deployment, much like we have in, say, the pharmaceutical sector. When you look at a product, before you can put it on the market, you have to look at what might be the unintended side effects of a particular medicine.

What do you feel about that? Do you think there is an argument for a regulatory approach, particularly because, as we know, the current deployment of AI does discriminate against women and does discriminate against black and ethnic minority citizens? People are losing jobs and are not gaining access to services like loans and mortgages because of this.

Mr. John Weigelt:

Absolutely. I think your point is well made around the unintended creep of bias into AI decision-making solutions, so we do need to guard against that. It's one of those engineering principles that we're working hard on to come out with guidance and direction to our teams.

There are some areas where we've advocated for very swift and direct action to move more carefully and more deliberately, and one area is facial recognition software. It's to your very point that a lot of these models have been trained on a very homogeneous community and are therefore not looking at the diverse community that they must serve.

We are quite strong advocates for putting in place legislative frameworks around some of the consent regimes, such as whether you have banners on the streets that say that, whether you have measurements, what the difference is between public and private space, and things like that.

Ms. Jo Stevens:

How willing are you to make the work that you've been doing public? I appreciate if you're doing it behind the scenes. That's great, but it would be useful to know what you're doing and what your colleagues are doing.

Mr. John Weigelt:

Absolutely. Clearly, we need to do more about advising and alerting the community about all the great work that's under way. We've published guidance around bots and how to make sure that bots are behaving properly, because we've had our own negative experience around a foul-mouthed, bigoted bot that was trolled for a while. We learned from that. Our CEO stood behind our team, and we did better. Now we've provided guidance, and it's publicly available.

We have what is called the AI Business School, which has a complete set of lectures for business leaders to put in an AI governance model. We're working with that community to help them. We're working to evangelize the work that we're doing internally around our AI ethics overview.

Lastly, I would say that we're working in the 60-plus different regulatory guidance document activities that are happening around the world so that we can start to socialize this from a practical experience perspective. Here in Canada there's the AI impact assessment and the AI ethics guidance standard that are being developed.

Ms. Jo Stevens:

It would be really nice to see a virtual assistant that is not a subservient female in the future. I look forward to seeing something different.

Thank you.

The Chair:

Thank you, Jo.

Now we'll get into our closing comments from our vice-chairs and then the co-chair.

Nate, would you start with your 60 seconds, please?

Mr. Nathaniel Erskine-Smith:

I think if we've learned anything from the last few days, it's that we continue to live in an age of surveillance capitalism that has the potential for serious consequences to our elections, to our privacy and to innovation, frankly.

While it has been frustrating at times, I do think we have made progress. We have had every single platform and big data company now say what they haven't said previously: They are going to embrace stronger privacy and data protection rules.

We had the platforms yesterday note that they need public accountability in their content control decisions and yesterday they acknowledged corporate responsibility for algorithmic impacts, so there is progress, but there is also a lot more work to do with respect to competition and consumer protection, and with respect to moving from an acknowledgement of responsibility for the algorithms that they employ to real accountability and liability when there are negative consequences to those decisions.

I think there's a lot more work to do, and that will depend upon continued global co-operation. I think our Canadian community has worked across party lines effectively. This international committee has now worked effectively across oceans, in some cases, and across countries.

The last thing I will say is that it's not just about addressing these serious global problems with serious global co-operation among parliamentarians; it requires global co-operation from companies. If there is any last takeaway, it is that the companies simply didn't take it seriously enough.

(1135)

The Chair:

Thank you, Mr. Erskine-Smith.

Next we will go to Charlie.

Mr. Charlie Angus:

Thank you to our two excellent chairs. Thank you to our witnesses.

I think we have seen something extraordinary. I've been very proud of the Canadian Parliament and our willingness to be part of this process.

There's been some extraordinary testimony in terms of the quality of questions, and I've been very proud to be part of it. Two extraordinary facts are that we have never in my 15 years ever worked across party lines on pretty much anything, and yet we came together. Also, we have never, ever worked across international lines. We can thank a Canadian whistle-blower, Christopher Wylie, who opened the door to the digital Chernobyl that was happening around us.

As politicians, we stay away from complex technical things. They frighten us. We don't have the expertise, so we tend to avoid them, which I think was a great advantage for Silicon Valley for many years.

These things are not all that technical. I think what we've done these last two days with our international colleagues—and what we will continue to do internationally—is to make it as simple and clear as possible to restore the primacy of the person in the realm of big data. Privacy is a fundamental human right that will be protected. Legislators have an obligation and a duty to protect the democratic principles of our country, such as free expression and the right to participate in the digital realm without growing extremism. These are fundamental principles on which our core democracies have been founded. It's no different in the age of the phone than it was in the age of handwritten letters.

I want to thank my colleagues for being part of this. I think we came out of this a lot stronger than we went in, and we will come out even further. We want to work with the tech companies to ensure that the digital realm is a democratic realm in the 21st century.

Thank you all.

The Chair:

Thank you, Charlie.

Go ahead, Damian.

Mr. Damian Collins:

Thank you very much, Mr. Chairman.

I'd just like to start by congratulating you and the members of your committee for the excellent job you've done in hosting and chairing these sessions. I think it's done exactly what we hoped it would do. It has built on the work we started in London. I think it's a model for co-operation between parliamentary committees in different countries that are working on the same issues and benefiting from related experience and insights.

The sessions have been split between what we call social media companies yesterday and other data companies here. Really what we're talking about is that while there are different functions, these are all basically huge data businesses. What we're interested in is how they gather their data, what consent they have for doing so and how they use it.

Across the sessions, time and again we saw companies unwilling to answer direct questions about how they gather data and how they use it. Whether it's asking how Amazon and Facebook share data.... Even though this is widely reported, we don't know. My colleague, Mr. Lucas, asked about LinkedIn and Microsoft data being shared. It's possible to totally integrate your LinkedIn data with your Microsoft tools, and a quick Google search can tell you exactly how to it.

I don't understand why companies are unwilling to talk openly about the tools they put in place. People may consent to use these tools, but do they understand the extent of the data they're sharing when they do? If it's as simple and straightforward as it seems, I'm always surprised that people are unwilling to talk about it. For me, these sessions are important because we get the chance to ask the questions that people won't ask and to continue to push for the answers we need.

Thank you.

The Chair:

I'll speak to the panellists first and then get into some closing comments.

I want to encourage you. You had promised, especially Mr. Ryland, about giving us a lot of the documents that you didn't.... Various commenters didn't have all the information that we were asking for. I would implore you to provide the information we requested to the clerk next to me so we can get a comprehensive answer for the committee. We'll provide it to all the delegates here.

Something that's really going to stick with me is a comment by Roger McNamee about the term "voodoo dolls”.

I watch my kids. I have four children. One is 21, one is 19, one is 17 and one is 15. I watch them becoming more and more addicted to these phones. I see work done by our colleagues in London about the addictive capabilities of these online devices. I wondered where are they going with this. You see that the whole drive from surveillance capitalism, the whole business model, is to keep them glued to that phone, despite the bad health it brings to those children, to our kids. It's all for a buck. We're responsible for doing something about that. We care about our kids, and we don't want to see them turned into voodoo dolls controlled by the almighty dollar and capitalism.

Since we like the devices so much, I think we still have some work to do to make sure we still provide access. We like technology and we've said that before. Technology is not the problem; it's the vehicle. We have to do something about what's causing these addictive practices.

I'll say thanks and offer some last comments.

Thanks to our clerk. We'll give him a round of applause for pulling it off.

He has that look on his face because events like this don't come off without their little issues. We deal with them on a real-time basis, so it's challenging. Again, I want to say a special thanks to Mike for getting it done.

Thanks also to my staff—over to my left, Kera, Cindy, Micah, Kaitlyn—for helping with the backroom stuff too. They're going to be very much de-stressing after this.

I'll give one shout-out before we finally close—oh, I forgot the analysts. Sorry. I'm always forgetting our poor analysts. Please stand.

Thank you for everything.

Thanks to the interpreters as well. There were three languages at the back, so thank you for being with us the whole week.

I'll give a little shout-out to our friend Christopher Wylie, despite being upstaged by sandwiches. I don't know if somebody saw the tweets from Christopher Wylie: “Democracy aside, Zuckerberg also missed out on some serious sandwich action.” He suggested that I mail the leftovers to Facebook HQ. Maybe that's the way we get the summons delivered into the right hands.

I want to thank all the media for giving this the attention we think it deserves. This is our future and our kids' future.

Again, thanks to all the panellists who flew across the globe, especially our U.K. members, who are our brothers and sisters across the water.

Singapore is still here as well. Thank you for coming.

Have a great day.

We'll see you in Ireland in November.

The meeting is adjourned.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(0835)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

La 155e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique est ouverte.

Il s'agit de la dernière de nos grandes réunions internationales cette semaine, celle du Grand Comité international sur les mégadonnées, la protection des renseignements personnels et la démocratie.

Nous accueillons aujourd'hui, de chez Amazon, Mark Ryland, directeur de l'ingénierie de sécurité, au Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services.

Marlene Floyd, directrice nationale des Affaires commerciales, et John Weigelt, agent national de technologie, représentent Microsoft Canada inc.

De la Mozilla Foundation, nous recevons Alan Davidson, vice-président, Politique mondiale, confiance et sécurité.

Enfin, de chez Apple Inc., nous accueillons Erik Neuenschwander, gestionnaire pour la vie privée des utilisateurs.

Nous allons passer aux témoignages. Je tiens à signaler que nous avons invité les PDG. Il est regrettable qu'ils ne se soient pas présentés. Comme je l'ai dit à nombre d'entre vous avant la séance, il doit s'agir ici d'une réunion constructive pour chercher les moyens d'apporter des améliorations. Certaines propositions que vos sociétés ont faites d'emblée sont bonnes, et c'est pourquoi nous souhaitions accueillir les PDG, qui auraient pu répondre à nos questions. Nous sommes néanmoins heureux que vous soyez parmi nous.

Nous entendrons d'abord M. Ryland, qui aura 10 minutes.

M. Mark Ryland (directeur, Ingénierie de sécurité, Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services, Amazon.com):

Merci beaucoup.

Bonjour, monsieur le président Zimmer, et mesdames et messieurs les membres du Comité. Je salue également les invités venus de l'étranger.

Je m'appelle Mark Ryland, et je suis directeur de l'ingénierie de sécurité au Bureau du dirigeant principal de la sécurité de l'information pour Amazon Web Services, la division de l'infonuagique chez Amazon.

Merci de m'avoir invité à m'entretenir avec vous. C'est un plaisir de me joindre à cette importante discussion. Je chercherai surtout à expliquer comment Amazon place la sécurité et la confiance des consommateurs au centre de toutes ses activités.

La mission d'Amazon est d'être l'entreprise la plus axée sur la clientèle au monde. Sa philosophie d'entreprise est profondément ancrée dans une démarche qui consiste à faire le cheminement inverse, à partir des besoins du client, et à innover constamment pour lui offrir ensuite un meilleur service, un choix plus vaste et des prix plus bas. Cette approche s'applique à tous ses secteurs d'activité, y compris ceux qui concernent la protection des renseignements des consommateurs et la cybersécurité.

Amazon est au service des clients canadiens depuis le lancement d'amazon.ca, en 2002. L'entreprise compte plus de 10 000 employés à temps plein au Canada et elle a annoncé en 2018 qu'elle comptait créer 6 300 emplois de plus.

Amazon a également deux carrefours technologiques, l'un à Toronto et l'autre à Vancouver. Ces regroupements de bureaux emploient plus d'un millier d'ingénieurs en logiciels et un certain nombre de techniciens de soutien. Ils élaborent certains de nos systèmes mondiaux les plus avancés. Il y a également des bureaux à Victoria pour www.abebooks.com et la filiale AWS Thinkbox, à Winnipeg.

L'entreprise exploite sept centres de traitement au Canada, et quatre autres ont été annoncés. Ils ouvriront tous leurs portes cette année, en 2019.

Un mot maintenant au sujet de notre plateforme infonuagique.

Il y a un peu plus de 13 ans, Amazon a lancé Amazon Web Services, son entreprise d'infonuagique. C'est à Montréal que se trouve le siège d'AWS au Canada, où AWS compte un certain nombre de centres de données distincts. Nous avons lancé AWS parce qu'après plus d'une décennie passée à construire et à exploiter Amazon.com, nous nous sommes aperçus que nous avions acquis une compétence fondamentale dans l'exploitation d'une infrastructure technologique et de centres de données à très grande échelle. Nous nous sommes engagés dans une mission plus vaste, celle de servir les développeurs et les entreprises en leur offrant des services de technologie de l'information qu'ils peuvent utiliser pour gérer leurs propres entreprises.

Le terme « infonuagique » désigne la prestation sur demande de ressources de TI sur Internet ou sur des réseaux privés. Le nuage d'AWS s'étend sur un réseau de centres de données répartis dans 21 régions géographiques dans le monde entier. Au lieu de posséder et d'entretenir leurs propres centres de données, nos clients peuvent acquérir des technologies telles que la puissance de calcul, le stockage et les bases de données en quelques secondes, au gré des besoins, en appelant simplement une API ou en cliquant sur une console graphique.

Nous fournissons l'infrastructure et les services de TI de la même façon que le consommateur qui appuie sur l'interrupteur d'une lampe chez lui reçoit l'électricité d'un fournisseur.

L'une des préoccupations du Comité est la démocratie. Eh bien, nous démocratisons vraiment l'accès à des services de TI que seulement de très grandes organisations pouvaient s'offrir auparavant, vu l'importance du dispositif nécessaire. Maintenant, les plus petites organisations peuvent avoir accès à ce même type de technologie de pointe très perfectionnée en cliquant simplement sur un bouton et en payant uniquement leur consommation.

Aujourd'hui, AWS fournit des services informatiques à des millions de clients actifs dans plus de 190 pays. Les entreprises qui se prévalent des services d'AWS vont de grandes entreprises canadiennes comme Porter Airlines, Shaw, la Banque Nationale du Canada, TMX Group, Corus, Capital One et Blackberry jusqu'à de jeunes entreprises novatrices comme Vidyard et Sequence Bio.

Je tiens à souligner que la protection de la vie privée commence au fond par la sécurité. Il n'est possible de se conformer aux règlements et aux attentes en matière de protection des renseignements personnels que si la confidentialité des données est prise en compte dès la conception même des systèmes. Chez AWS, nous disons que la sécurité est la fonction primordiale: elle est encore plus importante que la toute première priorité. Nous savons que, si la sécurité n'est pas assurée, notre entreprise ne peut pas exister.

AWS et Amazon veillent jalousement à la sécurité et à la protection des renseignements des consommateurs et ont mis en œuvre des mesures techniques et physiques perfectionnées pour bloquer tout accès non autorisé aux données.

La sécurité est la responsabilité de tous. Bien que nous ayons une équipe d'experts en sécurité de calibre mondial qui surveille nos systèmes 24 heures sur 24 et 7 jours sur 7, afin de protéger les données des clients, chaque employé d'AWS, peu importe son rôle, est responsable de veiller à ce que la sécurité fasse partie intégrante de toutes les facettes de notre entreprise.

La sécurité et la protection des renseignements personnels sont une responsabilité partagée d'AWS et du client. Cela signifie qu'AWS est responsable de la sécurité et de la protection des renseignements personnels dans le nuage même, et que les clients sont responsables de la sécurité et de la confidentialité dans leurs systèmes et leurs applications qui fonctionnent dans le nuage. Par exemple, les clients doivent tenir compte de la sensibilité de leurs données et décider s'il faut les crypter et comment. Nous offrons une grande variété d'outils de cryptage et des conseils pour aider les clients à atteindre leurs objectifs en matière de cybersécurité.

Nous disons parfois: « Dansez comme si personne ne vous regardait. Cryptez comme si tout le monde était aux aguets. » Le cryptage est également utile pour garantir la confidentialité des données. Dans de nombreux cas, les données peuvent être effacées de façon efficace et permanente simplement en supprimant les clés de cryptage.

(0840)



De plus en plus, les organisations prennent conscience du lien entre la modernisation de la TI offerte par le nuage et une meilleure posture en matière de sécurité. La sécurité dépend de la capacité de garder une longueur d'avance dans un contexte de menaces qui évolue rapidement et continuellement, ce qui exige à la fois agilité opérationnelle et technologies de pointe.

Le nuage offre de nombreuses caractéristiques avancées qui garantissent que les données sont stockées et manipulées en toute sécurité. Dans un environnement classique, sur place, les organisations consacrent beaucoup de temps et d'argent à la gestion de leurs propres centres de données et se préoccupent de se défendre contre une gamme complète de menaces très variables et en constante évolution qu'il est difficile de prévoir. AWS met en œuvre des mesures de protection de base, comme la protection contre les DDoS ou la protection contre les dénis de service distribués; l'authentification, le contrôle d'accès et le cryptage. À partir de là, la plupart des organisations complètent ces protections en ajoutant leurs propres mesures de sécurité pour renforcer la protection des données de l'infonuagique et resserrer l'accès à l'information délicate dans le nuage. Elles disposent également de nombreux outils pour atteindre leurs objectifs en matière de protection des données.

Comme la notion de « nuage » est une nouveauté pour bien des gens, je tiens à souligner que les clients d'AWS sont les propriétaires de leurs propres données. Ils choisissent l'emplacement géographique où ils entreposent leurs données dans nos centres hautement sécurisés. Leurs données ne bougent pas à moins qu'ils ne décident de les déplacer. Nous n'accédons pas aux données de nos clients et nous ne les utilisons pas sans leur consentement.

La technologie est un élément important de la vie moderne et elle a le potentiel d'offrir des avantages extraordinaires dont nous commençons à peine à prendre conscience. Les solutions basées sur les données offrent des possibilités illimitées d'améliorer la vie des gens, qu'il s'agisse de poser des diagnostics médicaux beaucoup plus rapides ou de rendre l'agriculture beaucoup plus efficace et durable. Face à de nouveaux enjeux liés à la technologie, il se peut qu'il faille de nouvelles approches réglementaires, mais elles devraient éviter de nuire aux incitatifs à l'innovation et de limiter les gains d'efficience importants comme les économies d'échelle et la portée des technologies.

Nous croyons que les décideurs et les entreprises comme Amazon ont des objectifs très semblables: protéger la confiance des consommateurs et les renseignements personnels et promouvoir les nouvelles technologies. Nous partageons l'objectif de trouver des solutions communes, surtout en période d'innovation rapide. À mesure que la technologie évoluera, nous aurons tous la possibilité de travailler ensemble.

Merci. Je me ferai un plaisir de répondre à vos questions.

Le président:

Merci, monsieur Ryland.

Nous passons maintenant à Microsoft. Entendrons-nous Mme Floyd ou M. Weigelt?

Mme Marlene Floyd (directeur national, Affaires commerciales, Microsoft Canada inc.):

Nous allons nous partager le temps de parole.

Le président:

D'accord. À vous. [Français]

M. John Weigelt (agent national de technologie, Microsoft Canada inc.):

Merci, monsieur le président.

Nous sommes heureux d'être ici avec vous aujourd'hui.[Traduction]

Je m'appelle John Weigelt. Je suis l'agent national de technologie pour Microsoft au Canada. Ma collègue, Marlene Floyd, directrice nationale des affaires commerciales chez Microsoft Canada, m'accompagne. Nous sommes heureux d'avoir l'occasion de comparaître devant le Comité. Le travail que vous avez entrepris est important, compte tenu de la place de plus en plus grande du numérique et de l'incidence de la technologie sur les emplois, la protection des renseignements personnels, la sécurité, la participation de tous et l'équité.

Depuis la création de Microsoft Canada, en 1985, notre présence ici s'affirme de plus en plus, au point que nous avons désormais 10 bureaux régionaux aux quatre coins du pays, et ils emploient plus de 2 300 personnes. Au centre de développement de Microsoft à Vancouver, plus de 700 employés mettent au point des produits qui sont utilisés dans le monde entier. Des recherches de pointe sur l'intelligence artificielle sont également menées par des docteurs et des ingénieurs au laboratoire de recherche de Microsoft à Montréal. Ils travaillent en partenariat avec les universités de cette ville.

Des technologies puissantes comme l'infonuagique et l'intelligence artificielle transforment notre façon de vivre et de travailler et apportent des solutions à certains des problèmes les plus urgents du monde. Chez Microsoft, nous considérons avec optimisme les avantages de ces technologies, mais nous sommes aussi lucides devant les défis qui exigent une réflexion qui va au-delà de la technologie pour garantir l'application de principes éthiques forts et de lois adaptées. Quel rôle la technologie devrait-elle jouer dans la société? Pour répondre, il faut que des représentants de l'État, du milieu universitaire, du monde des affaires et de la société civile conjuguent leurs efforts pour modeler l'avenir.

Il y a plus de 17 ans, lorsqu'il a affirmé que « l'informatique fiable » était au premier rang des priorités chez Microsoft, Bill Gates a changé radicalement la façon dont cette société offre des solutions sur le marché. Cet engagement a été réitéré par l'actuelle PDG, Satya Nadella, en 2016. Nous croyons que la vie privée est un droit fondamental. Notre approche à l'égard de la protection de la vie privée et des données personnelles repose sur notre conviction que les clients sont propriétaires de leurs propres données. Par conséquent, nous protégeons la vie privée de nos clients et leur donnons le contrôle de leurs données.

Nous avons préconisé l'adoption de nouvelles lois sur la protection de la vie privée dans un certain nombre de pays, et nous avons été parmi les premiers à appuyer le RGPD en Europe. Nous reconnaissons que, pour les gouvernements, il est très important d'avoir une capacité informatique située près de leurs administrés. Microsoft a des centres de données dans plus de régions que tout autre fournisseur de services infonuagiques, avec plus d'une centaine de centres de données répartis dans plus de 50 régions du monde. Nous sommes très fiers que deux de ces centres de données soient situés ici, au Canada, soit en Ontario et au Québec.

La protection de nos clients et de la collectivité en général contre les cybermenaces est une responsabilité que nous prenons très au sérieux. Microsoft continue d'investir plus de 1 milliard de dollars par année dans la recherche et le développement en matière de sécurité, et des milliers de professionnels de la sécurité mondiale travaillent avec notre centre de renseignement sur les menaces, notre unité de la criminalité numérique et notre centre des opérations de cyberdéfense. Nous entretenons une étroite collaboration avec le Centre canadien pour la cybersécurité annoncé récemment par le gouvernement du Canada. Nous avons établi des partenariats avec des gouvernements du monde entier dans le cadre du Government Security Program, cherchant à échanger de l'information technique et des renseignements sur les menaces et même à coopérer pour démanteler des réseaux de zombies. En outre, Microsoft a pris la tête du Cybersecurity Tech Accord, signé par plus d'une centaine d'organisations mondiales qui se sont rassemblées pour défendre tous les clients de partout contre les cyberattaques malveillantes et rendre Internet plus sûr.

(0845)

Mme Marlene Floyd:

Microsoft a également été fière de signer l'Appel de Paris pour la confiance et la sécurité dans le cyberespace lancé en novembre par le président français, Emmanuel Macron, lors du Forum de Paris sur la paix. Avec plus de 500 signataires, il s'agit du plus important engagement multipartite à l'égard des principes de protection du cyberespace.

Le Comité a également mis l'accent sur l'ingérence croissante d'acteurs malveillants dans les processus démocratiques de nombreux pays. Nous sommes tout à fait d'accord pour dire que le secteur de la technologie doit faire davantage pour aider à protéger le processus démocratique. Plus tôt cette semaine, nous avons eu le plaisir d'appuyer la Déclaration du Canada sur l’intégrité électorale en ligne annoncée par la ministre Gould.

Microsoft a pris des mesures pour aider à protéger l'intégrité de nos processus et institutions démocratiques. Il a créé le Programme de défense de la démocratie, qui travaille avec les intervenants des pays démocratiques pour promouvoir l'intégrité des élections, la sécurité des campagnes électorales et la défense contre la désinformation.

Dans le cadre de ce programme, Microsoft offre sans frais un service de sécurité appelé AccountGuard aux clients d'Office 365 dans l'écosystème politique. Il est actuellement proposé dans 26 pays, dont le Canada, les États-Unis, le Royaume-Uni, l'Inde, l'Irlande et la plupart des autres pays de l'Union européenne. Il protège actuellement plus de 36 000 comptes de courriel. AccountGuard identifie les cybermenaces, y compris les attaques d'États-nations, et met en garde les particuliers et les organisations. Depuis le lancement du programme, des centaines d'avis de menaces ont été envoyés aux participants.

Nous avons également utilisé la technologie pour assurer la résilience du processus électoral. Plus tôt ce mois-ci, nous avons annoncé ElectionGuard, une trousse de développement de logiciels libres et gratuits visant à rendre le vote plus sûr en fournissant une vérification de bout en bout des élections, en ouvrant les résultats à des organismes tiers pour permettre une validation sécurisée, et en donnant à chaque électeur la possibilité de confirmer que son vote a été compté correctement.

Chez Microsoft, nous travaillons fort pour nous assurer de développer les technologies de manière qu'elles soient centrées sur l'être humain et qu'elles permettent un accès large et équitable pour tous. L'évolution rapide de la puissance informatique et la croissance des solutions d'IA nous aideront à être plus productifs dans presque tous les domaines de l'activité humaine et conduiront à une plus grande prospérité, mais il faut relever les défis avec un sens de la responsabilité commune. Dans certains cas, cela signifie qu'il faut avancer plus lentement dans le déploiement d'une gamme complète de solutions d'IA tout en travaillant de façon réfléchie et délibérée avec les responsables gouvernementaux, le milieu universitaire et la société civile.

Nous savons que nous devons en faire plus pour continuer à gagner la confiance, et nous comprenons que nous serons jugés à nos actes, et pas seulement d'après nos paroles. Microsoft est déterminée à continuer de travailler dans le cadre d'un partenariat délibéré et réfléchi avec le gouvernement au fur et à mesure que nous progressons dans le monde du numérique.

Merci. Ce sera un plaisir de répondre à vos questions.

Le président:

Merci, madame Floyd.

Nous passons maintenant à M. Davidson, de Mozilla.

M. Alan Davidson (vice-président, Politique mondiale, confiance et sécurité, Mozilla Corporation):

Mesdames et messieurs les membres du Grand Comité et du Comité permanent, merci.

Si je témoigne aujourd'hui, c'est parce que tout ne va pas bien dans le monde d'Internet. Il est certain que l'Internet ouvert est le moyen de communication le plus puissant que nous ayons jamais connu. À son mieux, il fait apparaître de nouvelles occasions d'apprendre à résoudre de grands problèmes pour bâtir un sens commun de l'humanité, et pourtant, nous avons aussi vu le pouvoir d'Internet utilisé pour miner la confiance, accentuer les dissensions et violer la vie privée. Nous pouvons faire mieux, et je suis ici pour vous faire part de quelques idées sur la façon de s'y prendre.

Je m'appelle Alan Davidson. Je suis vice-président chargé de la politique, de la confiance et de la sécurité à la Mozilla Corporation. Mozilla est une entité assez inhabituelle sur Internet. Nous appartenons entièrement à un organisme sans but lucratif, la Mozilla Foundation. Nous sommes une entreprise de logiciels libres axée sur une mission. Nous produisons le navigateur Web Firefox, Pocket et d'autres services.

Chez Mozilla, nous sommes déterminés à rendre Internet plus sain. Depuis des années, nous nous faisons les champions de l'ouverture et de la protection de la vie privée en ligne. Ce n'est pas qu'un slogan; c'est notre principale raison d'être. Nous essayons de montrer par l'exemple comment créer des produits pour protéger les renseignements personnels. Nous fabriquons ces produits avec le concours non seulement de nos employés, mais aussi de milliers d'intervenants de la base, partout dans le monde.

Chez Mozilla, nous croyons qu'Internet peut être meilleur. Pendant la période qui m'est accordée, je voudrais aborder trois sujets: premièrement, le fait que la protection de la vie privée commence par une bonne conception des produits; deuxièmement, le rôle de la réglementation en matière de protection de la vie privée; et troisièmement, certaines des questions de contenu dont vous avez parlé ces derniers jours.

Tout d'abord, nous croyons que notre industrie est en mesure de beaucoup mieux protéger la vie privée grâce à nos produits. C'est exactement ce que nous essayons de faire chez Mozilla. Permettez-moi de vous donner un exemple tiré de notre travail sur le pistage en ligne.

Lorsque les utilisateurs se rendent sur un site Web d'information, ils s'attendent à y voir des annonces de l'éditeur, du propriétaire de ce site. Or, les visiteurs des principaux sites d'information, du moins aux États-Unis, y trouvent des dizaines de dispositifs de pistage provenant de sites autres que celui qu'ils visitent, parfois même une trentaine ou une quarantaine. Certains de ces dispositifs de pistage sont rattachés à des entreprises fort bien connues, mais d'autres sont ceux d'entreprises totalement obscures dont la plupart des consommateurs n'ont jamais entendu parler.

Quoi qu'il en soit, les données recueillies par ces dispositifs causent des préjudices réels. Ils permettent de lancer des publicités politiques clivantes, d'influencer les décisions en matière d'assurance-maladie, d'encourager la discrimination dans le domaine du logement et de l'emploi. La prochaine fois que vous verrez un élément de désinformation en ligne, demandez-vous d'où viennent les données qui ont permis de croire que vous seriez une cible attrayante pour cette désinformation.

Chez Mozilla, nous avons décidé d'essayer de lutter contre le pistage en ligne. Nous avons créé ce que nous appelons le Facebook Container, qui limite grandement les données que Facebook peut recueillir sur l'utilisateur qui navigue sur Firefox. En passant, c'est maintenant l'une des extensions les plus populaires que nous ayons jamais produites. Nous sommes en train de mettre en place ce qu'on appelle la protection améliorée contre le pistage. Il s'agit d'une nouvelle fonction majeure du navigateur Firefox qui bloque presque tout le pistage effectué par des tiers. Cela va grandement limiter la capacité d'entreprises que vous ne connaissez pas de vous suivre secrètement pendant que vous naviguez sur le Web.

Nous l'offrons à un plus grand nombre de personnes, et notre but ultime est de l'appliquer par défaut à tout le monde. J'insiste là-dessus, parce que nous avons appris que la création de produits avec protection de la vie privée par défaut est un moyen très puissant pour les utilisateurs. Et il ne faut pas oublier des efforts comme nos pratiques de gestion allégée des données, que nous utilisons pour limiter les données que nous recueillons dans notre propre produit. C'est une approche que d'autres adopteront, nous l'espérons, parce que nous avons appris qu'il est vraiment irréaliste de s'attendre à ce que les utilisateurs s'y retrouvent dans toutes les politiques sur la protection des renseignements personnels et toutes les options que nous pouvons leur offrir pour qu'ils se protègent. Si nous voulons que la protection de la vie privée devienne réalité, le fardeau doit passer des consommateurs aux entreprises. Malheureusement, ce n'est pas une conviction partagée par tout le monde dans notre industrie.

Je passe maintenant à mon deuxième point: nous croyons que la réglementation sera un élément essentiel de la protection de la vie privée en ligne. L'Union européenne a été un chef de file dans ce domaine. Beaucoup d'autres entreprises dans le monde emboîtent le pas et essaient maintenant d'élaborer leurs propres lois sur la protection des données. C'est important, car l'approche que nous avons adoptée au cours des deux dernières décennies dans notre industrie ne fonctionne manifestement plus. Par le passé, nous avons vraiment adopté la notion de notification et de choix, c'est-à-dire que si nous disons simplement aux navigateurs ce que nous allons recueillir comme données et en leur permettant de s'exclure, tout ira bien. Nous avons constaté que cette approche ne fonctionne vraiment pas pour eux. Nous avons été les promoteurs de ces nouvelles règles de protection des données, et nous espérons que vous le serez aussi.

Nous croyons qu'une bonne loi sur la protection de la vie privée devrait comporter trois éléments principaux. Il faut pour les entreprises des règles claires sur ce qu'elles peuvent recueillir et utiliser; il devrait y avoir des droits solides pour les personnes, y compris le consentement granulaire et révocable au sujet d'utilisations précises; et la loi devrait être appliquée par un organisme efficace et doté de pouvoirs, ce qui n'est pas toujours le cas. C'est là un élément important, à notre avis.

(0850)



Nous croyons qu'il est essentiel d'élaborer ces lois et d'y inclure ces éléments tout en préservant l'innovation et les utilisations bénéfiques des données. C'est pourquoi nous appuyons une nouvelle loi fédérale sur la protection des renseignements personnels aux États-Unis et nous travaillons avec les organismes de réglementation en Inde, au Kenya et ailleurs pour promouvoir des lois de cette nature.

Troisièmement, étant donné les échanges que vous avez tous eus ces derniers jours, il serait utile de dire au moins un mot de certaines de nos opinions sur les grandes questions de réglementation du contenu. De toutes les questions étudiées par le Comité, c'est la plus ardue, selon nous.

Nous avons constaté que de nombreux éléments, dans l'industrie, sont incités à encourager la propagation de la désinformation et des abus, mais nous voulons aussi nous assurer que nos réactions à ces préjudices réels ne minent pas elles-mêmes la liberté d'expression et l'innovation qui ont été une force constructive dans la vie des utilisateurs d'Internet.

Chez Mozilla, nous avons adopté quelques approches différentes. Nous travaillons actuellement à ce que nous appelons des « processus de responsabilisation ». Plutôt que de nous concentrer sur des éléments de contenu individuels, nous devrions réfléchir au genre de processus que les entreprises devraient mettre en place pour s'attaquer à ces problèmes. Cela peut se faire au moyen d'une approche fondée sur des principes. Elle doit être adaptée au rôle et proportionnelle à la taille des différentes entreprises, de sorte qu'elle n'ait pas d'incidence disproportionnée sur les petites entreprises, mais donne plus de responsabilités aux grandes entreprises qui jouent un rôle plus important dans l'écosystème.

Nous nous sommes également beaucoup occupés des problèmes de désinformation, surtout en prévision des élections législatives européennes qui viennent de se tenir. Nous sommes signataires du Code de bonnes pratiques de l'Union européenne sur la désinformation, qui est, à mon avis, une initiative d'autoréglementation très importante et utile, assortie d'engagements et de principes visant à stopper la propagation de la désinformation. Pour notre part, nous avons créé des outils dans Firefox pour aider les navigateurs à résister à la manipulation en ligne, à mieux choisir et comprendre ce qu'ils regardent en ligne.

Nous avons également déployé des efforts pour inciter les autres signataires du Code à en faire davantage en matière de transparence et de publicité politique. Il nous semble possible d'en faire beaucoup plus à cet égard. Honnêtement, il y a eu des résultats discutables chez certains de nos collègues. Il y a encore beaucoup de place pour améliorer les outils, en particulier ceux que Facebook a mis en place pour assurer la transparence de la publicité. Il y a peut-être aussi du travail à faire chez Google. Si nous n'arrivons pas à faire ce qu'il faut, nous aurons besoin de mesures plus énergiques de la part des gouvernements. La transparence devrait être un bon point de départ pour nous.

En conclusion, je dirai qu'aucune des questions examinées par le Comité n'est simple. La mauvaise nouvelle, c'est que la progression de la technologie — avec l'intelligence artificielle, la montée de l'Internet des objets et la réalité augmentée — ne fera que rendre la tâche plus difficile.

Une dernière réflexion: nous devons vraiment songer aux moyens de bâtir la capacité de la société d'affronter ces problèmes. Par exemple, chez Mozilla, nous avons participé à ce qu'on a appelé le défi de l'informatique responsable. Il s'agit d'aider à former la prochaine génération de technologues pour qu'ils comprennent les implications éthiques de ce qu'ils élaborent. Nous appuyons les efforts déployés aux États-Unis pour rétablir l'Office of Technology Assessment afin de renforcer la capacité de l'État de comprendre ces questions et de travailler avec plus de dextérité. Nous travaillons à améliorer la diversité dans notre propre entreprise et notre industrie, ce qui est essentiel si nous voulons renforcer la capacité de régler ces problèmes. Nous publions chaque année un rapport, Bulletin de santé d'Internet, qui a paru il y a quelques semaines. Cela fait partie de ce que nous considérons comme l'énorme projet que nous voulons tous réaliser pour sensibiliser le public afin qu'il puisse affronter ces problèmes.

Ce ne sont là que quelques exemples et quelques idées sur la façon de travailler à de nombreux niveaux. Il s'agit de concevoir de meilleurs produits, d'améliorer notre réglementation publique et d'investir dans notre capacité de relever ces défis à l'avenir.

Nous vous remercions sincèrement de nous avoir donné l'occasion de vous parler aujourd'hui et nous avons hâte de travailler avec vous et vos collègues du monde entier pour bâtir un Internet meilleur.

Merci.

(0855)

Le président:

Merci, monsieur Davidson.

Enfin, nous accueillons Erik Neuenschwander, d'Apple Inc. Je vous en prie. Vous avez 10 minutes.

M. Erik Neuenschwander (gestionnaire pour la vie privée des utilisateurs, Apple Inc.):

Merci.

Bonjour, mesdames et messieurs les membres du Comité, et merci de m'avoir invité à vous parler aujourd'hui de l'approche d'Apple en matière de protection des renseignements personnels et de sécurité des données.

Je m'appelle Erik Neuenschwander et je suis ingénieur en logiciels chez Apple depuis 12 ans. J'ai été l'ingénieur principal en analyse de données sur le premier iPhone. J'ai géré l'équipe de performance du logiciel du premier iPad, et j'ai fondé l'équipe d'ingénierie de la protection de la vie privée d'Apple. Aujourd'hui, je gère l'équipe chargée des aspects techniques de la conception des caractéristiques de confidentialité d'Apple. Je suis fier de travailler dans une entreprise qui accorde la priorité au client et fabrique d'excellents produits qui améliorent la vie des utilisateurs.

Chez Apple, nous croyons que la vie privée est un droit fondamental et qu'elle est essentielle à tout ce que nous faisons. C'est pourquoi nous intégrons la protection de la vie privée et la sécurité à chacun de nos produits et services. Ces considérations architecturales vont très loin, jusqu'au silicium très physique de nos appareils. Chaque appareil que nous expédions combine des logiciels, du matériel et des services conçus pour fonctionner ensemble pour une sécurité maximale et une expérience utilisateur transparente. Aujourd'hui, j'ai hâte de discuter avec vous de ces éléments clés de conception, et je renvoie également le Comité au site Web d'Apple sur la protection des renseignements personnels, qui donne beaucoup plus de détails sur ces éléments et d'autres facteurs dont il est tenu compte dans la conception dans nos produits et services.

L'iPhone est devenu une partie essentielle de nos vies. Nous l'utilisons pour stocker une quantité incroyable de renseignements personnels, comme nos conversations, nos photos, nos notes, nos contacts, nos calendriers, nos renseignements financiers, nos données sur la santé, et même de l'information sur nos allées et venues. Notre principe, c'est que les données appartiennent à l'utilisateur. Tous ces renseignements doivent être protégés contre les pirates informatiques et les criminels qui voudraient les voler ou les utiliser à notre insu ou sans notre permission.

C'est pourquoi le cryptage est essentiel à la sécurité des dispositifs. Les outils de cryptage sont offerts dans les produits d'Apple depuis des années, et la technologie de cryptage intégrée à l'iPhone d'aujourd'hui est la meilleure sécurité de données qui soit à la disposition des consommateurs. Nous avons l'intention de poursuivre dans cette voie, parce que nous sommes fermement opposés à ce que les données de nos clients soient vulnérables aux attaques.

En établissant un code d'accès, l'utilisateur protège automatiquement l'information de son appareil au moyen d'un cryptage. Apple ne connaît pas le code d'accès de l'utilisateur. En fait, ce code n'est stocké nulle part sur l'appareil ou sur les serveurs d'Apple. Chaque fois, il appartient à l'utilisateur et à lui seul. Chaque fois qu'un utilisateur saisit son mot de passe, l'iPhone est jumelé à l'identificateur unique que l'iPhone fusionne dans son silicium au moment de la fabrication. L'iPhone crée une clé à partir de ce jumelage et tente de décrypter les données de l'utilisateur. Si la clé fonctionne, alors le mot de passe doit avoir été correct. Si cela ne fonctionne pas, l'utilisateur doit réessayer. Nous avons conçu l'iPhone pour protéger ce processus à l'aide d'une enclave sécurisée spécialement conçue, un gestionnaire de clés qui fait partie du matériel, isolé du processeur principal et offrant une couche de sécurité supplémentaire.

En concevant des produits, nous nous efforçons également de recueillir le moins de données possible sur les clients. Nous voulons que vos appareils sachent tout sur eux, mais nous ne pensons pas que nous devions tout savoir.

Par exemple, nous avons conçu notre matériel et nos logiciels de manière qu'ils fonctionnent ensemble pour offrir d'excellentes fonctions en traitant efficacement les données sans que celles-ci ne quittent jamais l'appareil de l'utilisateur. Lorsque nous recueillons des renseignements personnels, nous disons avec précision et transparence à quoi ils serviront, car le contrôle par l'utilisateur est essentiel à la conception de nos produits. Ainsi, nous avons récemment ajouté une icône de confidentialité qui apparaît sur les appareils Apple lorsque des renseignements personnels sont recueillis. L'utilisateur peut s'en servir pour en apprendre davantage sur les pratiques d'Apple en matière de protection des renseignements personnels, le tout étant expliqué en langage simple.

Nous utilisons également la « confidentialité différentielle locale », une technique qui permet à Apple d'en apprendre davantage sur un groupe d'utilisateurs sans en savoir plus sur les membres du groupe. Nous avons fait œuvre de pionnier en ce qui concerne les avis « juste-à-temps », de sorte que, lorsque des applications tierces cherchent à accéder à certains types de données, l'utilisateur a un choix et un contrôle sérieux sur les renseignements recueillis et utilisés. Cela signifie que les applications tierces ne peuvent pas accéder aux données des utilisateurs comme les contacts, les calendriers, les photos, la caméra ou le microphone sans demander et obtenir l'autorisation explicite de l'utilisateur.

Ces caractéristiques de conception, parmi d'autres, sont au cœur d'Apple. Les clients s'attendent à ce qu'Apple et d'autres entreprises de technologie fassent tout en leur pouvoir pour protéger les renseignements personnels. Chez Apple, nous sommes profondément engagés à cet égard parce que la confiance de nos clients signifie tout pour nous. Nous passons beaucoup de temps à réfléchir à la façon dont nous pouvons offrir à nos clients non seulement des produits qui transforment l'existence, mais aussi des produits fiables, sûrs et sécuritaires. En intégrant la sécurité et la protection de la vie privée à tout ce que nous faisons, nous avons prouvé que les expériences formidables n'ont pas à se faire aux dépens de la vie privée et de la sécurité. Ils peuvent plutôt les appuyer.

Je suis honoré de participer à cette importante séance. Je me ferai un plaisir de répondre à vos questions.

Merci.

(0900)

Le président:

Merci, monsieur Neuenschwander.

Nous allons passer aux questions des membres du Comité. Mon collègue Damian Collins sera ici sous peu. Il regrette d'être retenu par autre chose.

Nous allons commencer par M. Erskine-Smith, qui aura cinq minutes.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Merci beaucoup.

Merci à tous de vos exposés. Je sais que Microsoft appuie le RGPD et des règles plus strictes en matière de protection de la vie privée. De toute évidence, Tim Cook a publiquement appuyé le RGPD. Chez Amazon, appuyez-vous également ce règlement?

M. Mark Ryland:

Nous appuyons les principes de protection de la vie privée que sont le contrôle par l'utilisateur, le consentement et ainsi de suite. La loi actuelle est plutôt récente et elle entraîne un fardeau qui, à notre avis, ne favorise pas directement une meilleure protection de la vie privée des utilisateurs. Bien que nous nous conformions tout à fait aux principes et que nous les appuyions pleinement, nous ne pensons pas nécessairement que c'est un dispositif qui devrait être appliqué universellement pour l'instant.

M. Nathaniel Erskine-Smith:

Le soutien des principes s'étend au principe de la minimisation des données.

M. Mark Ryland:

Oui, ainsi qu'au contrôle par l'utilisateur. C'est vraiment le principe fondamental.

M. Nathaniel Erskine-Smith:

Chez Microsoft, approuvez-vous le principe de la minimisation des données?

M. John Weigelt:

Oui, nous sommes d'accord

M. Nathaniel Erskine-Smith:

Bien.

En ce qui concerne la protection des renseignements des consommateurs, une façon de s'y prendre consiste à obtenir des consentements positifs supplémentaires qui sont explicites pour des fins secondaires. Par exemple, dans le cas d'Echo d'Amazon, la Californie proposait des règles sur les haut-parleurs intelligents selon lesquelles il faudrait obtenir le consentement pour que l'information soit stockée. Êtes-vous d'accord sur ces règles?

(0905)

M. Mark Ryland:

Nous croyons que l'expérience des utilisateurs devrait être très fluide et claire, et que les attentes des gens devraient être très raisonnablement satisfaites. Par exemple, dans le cas du dispositif Echo, on utilise une application mobile pour configurer son appareil, et les règles de confidentialité sont très claires.

M. Nathaniel Erskine-Smith:

Y a-t-il consentement explicite pour enregistrer ces conversations?

M. Mark Ryland:

Il ne s'agit pas d'un consentement explicite, mais il indique clairement les enregistrements et vous en donne le plein contrôle. Il donne une liste complète des enregistrements et la capacité de supprimer un enregistrement en particulier, ou tous les enregistrements. Il s'agit d'une interface utilisateur très explicite et claire.

M. Nathaniel Erskine-Smith:

Si le RGPD était en vigueur, il faudrait un consentement explicite.

M. Mark Ryland:

Peut-être. Il peut y avoir des décisions juridiques que nous... Cela fait partie du problème. Beaucoup de détails ne seront pas clairs tant qu'il n'y aura pas plus de décisions des pouvoirs réglementaires ou des tribunaux sur la signification exacte de certains des principes généraux.

M. Nathaniel Erskine-Smith:

Le représentant d'Apple pourrait-il dire si sa société pratique le pistage en ligne?

M. Erik Neuenschwander:

Nous n'avons pas le genre de destinations sur Internet où se fait ce genre de pistage. Bien sûr, notre magasin en ligne, par exemple, entretient une relation directe de première partie avec les utilisateurs qui le visitent.

M. Nathaniel Erskine-Smith:

Il est probablement raisonnable de s'attendre à ce que, lorsque je me rends sur le site d'Apple, cette société veuille communiquer avec moi par la suite, mais si je me rends sur d'autres sites non connexes sur Internet, Apple ne pratiquerait aucun pistage.

M. Erik Neuenschwander:

Non, Apple ne le fait pas. En réalité, notre système intelligent de prévention du pistage est activé par défaut dans notre navigateur Web Safari. Si Apple essayait de faire du pistage, le système de prévention chercherait à l'en empêcher.

M. Nathaniel Erskine-Smith:

Je m'adresse à Microsoft et à Amazon. Faites-vous comme Apple ou faites-vous du pistage en ligne sur de nombreux sites Internet?

M. Mark Ryland:

Nous sommes engagés dans l'écosystème du Web et nous avons la capacité de comprendre d'où viennent les utilisateurs et où ils vont lorsqu'ils quittent notre site.

Encore une fois, notre principal modèle d'affaires consiste à vendre des produits à des clients. Le pistage n'est pas pour nous un moyen de recueillir de l'argent pour l'entreprise.

M. Nathaniel Erskine-Smith:

Était-ce un oui au pistage en ligne, de façon assez générale?

M. Mark Ryland:

Nous participons à l'écosystème de la publicité. Alors c'est oui.

M. Nathaniel Erskine-Smith:

C'est ainsi que j'interprète votre réponse.

Les représentants de Microsoft ont-ils quelque chose à dire?

M. John Weigelt:

Nous avons nos propriétés particulières, comme les autres groupes. Nous avons le magasin Microsoft et les propriétés de MSN. Nous sommes donc en mesure de trouver l'origine de nos clients.

M. Nathaniel Erskine-Smith:

Si je pose la question, c'est qu'hier, un témoin nous a dit que le consentement, parfois, n'était pas suffisant, et je comprends que, dans certains cas, ce soit vrai. Comme je suis raisonnablement occupé, on ne peut pas s'attendre à ce que je lise chaque entente sur les modalités. On ne peut pas s'attendre à ce que je lise tout. S'il y a des consentements secondaires dans chaque application que j'utilise et que je dois donner 10 consentements différents, vais-je vraiment pouvoir protéger mes renseignements personnels? Nous ne devrions pas nous attendre à cela des consommateurs, et c'est pourquoi nous avons une loi sur la protection des consommateurs et des garanties implicites dans d'autres contextes.

Hier, Roger McNamee a laissé entendre que certaines choses devraient être strictement exclues. J'ai dit à Google qu'il ne devrait peut-être pas être en mesure de lire mes courriels et de me cibler en fonction de publicités — cela devrait être exclu. Pensez-vous, chez Apple, que certaines choses devraient tout simplement être exclues?

M. Erik Neuenschwander:

Oui, lorsque nous... Notre service iCloud est un lieu où les utilisateurs peuvent stocker leurs photos ou leurs documents chez Apple, et nous n'exploitons pas ce contenu pour créer des profils de nos utilisateurs. Nous considérons qu'il s'agit des données de l'utilisateur. Nous les stockons grâce à notre service, mais elles demeurent la propriété de l'utilisateur.

M. Nathaniel Erskine-Smith:

Même question pour Microsoft et Amazon: pensez-vous que la collecte de certaines données devrait être complètement exclue?

M. John Weigelt:

L'une des choses qui nous tiennent à coeur, c'est que les utilisateurs puissent savoir quelles données ils ont communiquées à certaines organisations. Nous avons travaillé en étroite collaboration — je l'ai fait personnellement — avec les commissaires à l'information et à la protection de la vie privée de tout le Canada. Nous avons discuté du consentement et du sens à donner à ce terme. Lorsque nous avons mis en place des outils comme Cortana, par exemple, nous avons travaillé avec le Commissariat à la protection de la vie privée du Canada pour arriver à comprendre laquelle des 12 étapes du consentement pour les consommateurs était particulièrement importante.

M. Nathaniel Erskine-Smith:

Mais je propose que, au-delà de la question du consentement, certains éléments soient exclus d'emblée. Par exemple, mes photos personnelles sur mon téléphone. Devrait-on pouvoir les numériser, après quoi je recevrais des annonces ciblées?

M. John Weigelt:

Soyons clairs: nous ne numérisons pas cette information...

M. Nathaniel Erskine-Smith:

Eh bien, je sais que vous ne le faites pas...

M. John Weigelt:

... mais nous fournissons...

M. Nathaniel Erskine-Smith:

... mais certaines choses devraient-elles être exclues? Voilà où je veux en venir.

M. John Weigelt:

... une certaine visibilité pour les clients afin qu'ils comprennent où leurs données sont utilisées et qu'ils en aient le plein contrôle.

Notre tableau de bord sur la protection des renseignements personnels, par exemple, permet de voir quelles données se trouvent dans l'environnement Microsoft, puis l'utilisateur peut contrôler ces données et être en mesure de mieux gérer la situation. Il s'agit d'avoir cette interaction avec les utilisateurs pour qu'ils comprennent la proposition de valeur de cette capacité de communiquer des données.

M. Nathaniel Erskine-Smith:

Les représentants d'Amazon sont-ils d'avis qu'il faudrait exclure certaines choses?

M. Mark Ryland:

Je ne pense pas qu'on puisse dire, a priori, que certaines choses sont toujours inacceptables, parce que, encore une fois, l'expérience client est essentielle, et si les gens veulent une meilleure expérience client fondée sur les données qu'ils communiquent... Le consentement, évidemment, et le contrôle sont essentiels.

M. Nathaniel Erskine-Smith:

Prenons le cas des enfants de moins de 18 ans, par exemple. Nous ne devrions peut-être pas être en mesure de recueillir des renseignements sur les jeunes de moins de 18 ans, de moins de 16 ans ou de moins de 13 ans.

Les enfants, disons. Faudrait-il exclure les données qui les concernent?

(0910)

M. Mark Ryland:

Nous allons nous conformer à toutes les lois des pays où nous menons nos activités, si...

M. Nathaniel Erskine-Smith:

Êtes-vous en train de dire que vous n'avez pas d'opinion éthique sur la collecte de renseignements auprès des enfants?

M. Mark Ryland:

Nous sommes certainement d'avis que les parents devraient être responsables de l'expérience en ligne des enfants, et nous donnons aux parents le plein contrôle de cette expérience dans nos systèmes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Il est tellement difficile de dire oui.

Le président:

Nous passons maintenant à M. Kent, qui aura cinq minutes.

L'hon. Peter Kent (Thornhill, PCC):

Merci, monsieur le président.

Je remercie tous nos témoins qui comparaissent aujourd'hui.

Ma première question s'adresse à M. Ryland, d'Amazon.

En septembre dernier, le vice-président et avocat général associé d'Amazon, M. DeVore, témoignant devant un comité du Sénat américain, a critiqué vivement, je crois que le mot est juste, la loi sur la protection des consommateurs qui avait été adoptée en Californie.

Parmi les nouveaux droits reconnus aux consommateurs dans cette loi auxquels il s'est opposé, il y avait le droit des utilisateurs de connaître toutes les données commerciales recueillies à leur sujet et le droit de s'opposer à la vente de ces données. La loi institue, en Californie, le droit d'interdire la vente de ces données à des tiers. Il a dit que la loi avait été adoptée trop rapidement et que la définition de renseignements personnels était trop large.

Je me demande si vous pourriez nous aider aujourd'hui en nous disant comment Amazon définit les renseignements personnels à protéger.

M. Mark Ryland:

Tout d'abord, permettez-moi de dire que je travaille aux services Web d'Amazon dans le domaine de la sécurité et de la protection des données sur notre plateforme infonuagique. Je ne connais pas à fond l'ensemble de nos politiques de protection des renseignements personnels.

Toutefois, je dirai que certains éléments des données sur les consommateurs sont utilisés dans les secteurs de base de l'entreprise. Par exemple, si nous vendons un produit à un client, nous devons en faire un certain suivi à des fins fiscales et juridiques, de sorte qu'il est impossible de dire qu'un consommateur a un contrôle total sur certaines choses. Il y a d'autres raisons juridiques, par exemple, pour lesquelles les données doivent parfois être conservées.

L'hon. Peter Kent:

Des utilisateurs vous ont-ils demandé de l'information sur les données qui ont été recueillies à leur sujet et si elles avaient été vendues?

M. Mark Ryland:

Oui, assurément.

Tout d'abord, je tiens à dire qu'Amazon ne vend pas de données sur ses clients. Point à la ligne.

Deuxièmement, nous avons une page de renseignements personnels protégés où l'utilisateur peut voir toutes les données le concernant que nous avons accumulées: l'historique de ses commandes, ses commandes numériques, ses commandes de livres, etc. Nous avons une page similaire pour notre service Alexa Voice. Tout cela permet aux utilisateurs de contrôler et de comprendre les données que nous utilisons.

L'hon. Peter Kent:

Ainsi, malgré les critiques de M. DeVore, Amazon se conforme à la loi californienne, et je suppose qu'elle se conformerait à toute autre loi semblable adoptée ailleurs dans le monde.

M. Mark Ryland:

Nous nous conformerons toujours aux lois qui s'appliquent à nous partout où nous faisons des affaires. Certainement.

L'hon. Peter Kent:

Merci.

J'aimerais maintenant poser une question à M. Davidson au sujet de Mozilla.

Je sais que Mozilla, avec toutes ses bonnes pratiques et son mandat d'intérêt public sans but lucratif, travaille avec Google et avec Bing. Je me demande simplement quels genres de pare-feu vous établissez pour empêcher l'accumulation de données sur les utilisateurs par ces deux entreprises qui, autrement, les recueilleraient et les monétiseraient.

M. Alan Davidson:

Voilà une excellente question. Chez nous, c'est assez simple. Nous ne leur envoyons tout simplement pas de données au-delà de ce qu'ils obtiendraient normalement d'un visiteur qui se rend sur leur site Web, l'adresse IP, par exemple.

Nous avons pour pratique de ne pas recueillir de renseignements. Si, à partir de Firefox, vous faites une recherche sur Bing ou Google, nous n'en gardons aucune trace, nous ne conservons rien et nous ne transmettons rien de spécial. Cela nous a permis de nous distancer, honnêtement, et nous n'avons aucun incitatif financier à recueillir cette information.

L'hon. Peter Kent:

J'ai une question pour M. Neuenschwander.

En septembre dernier, on a appris que l'application Mac Adware Doctor, qui était censée protéger les utilisateurs d'Apple contre les menaces à la protection de la vie privée, enregistrait en fait les données de ces utilisateurs et les transmettait à un serveur en Chine. Apple y a mis fin depuis, mais je voudrais savoir combien de temps a duré cette exposition. Avez-vous déterminé qui exactement exploitait ce serveur en Chine?

M. Erik Neuenschwander:

Je me souviens de cet événement et des mesures prises par l'équipe de l'App Store. Je ne peux pas, de mémoire, vous dire exactement quelle a été la durée de l'exposition. Je me ferai un devoir de vérifier cette information et de vous revenir là-dessus.

(0915)

L'hon. Peter Kent:

Vous ne connaissez pas la durée de l'exposition…

M. Erik Neuenschwander:

Sur le moment, je ne pourrais pas le dire exactement.

L'hon. Peter Kent:

Je crois savoir que c'était une application Mac très populaire. Dans quelle mesure examinez-vous rigoureusement ces applications, dans la ruée capitaliste, bien compréhensible, pour monétiser ces nouvelles merveilles?

M. Erik Neuenschwander:

Pour les applications gratuites en magasin, il n'y a pas de monétisation pour Apple dans l'App Store.

Depuis que nous avons lancé l'App Store, nous effectuons un examen manuel et, ces dernières années, un examen automatisé de chaque application proposée au magasin, puis de chaque mise à jour de ces applications. Elles sont soumises à l'examen d'une équipe d'experts spécialisés de l'App Store.

Il y a une limite que nous ne dépassons pas. Nous ne surveillons pas l'utilisation des applications par nos utilisateurs. Une fois l'application installée sur l'appareil d'un utilisateur, nous nous interdisons, par respect pour la vie privée de l'utilisateur, de surveiller le trafic réseau ou les données qu'il envoie. Cela nous semblerait inconvenant.

Nous continuons d'investir du côté de l'App Store pour tâcher d'avoir un examen aussi rigoureux que possible. À mesure que les applications et leurs fonctionnalités changent, nous continuons de renforcer notre examen pour saisir les fonctionnalités qui ne répondent pas à nos politiques de confidentialité dans les magasins.

L'hon. Peter Kent:

J'ai une question pour les représentants de Microsoft, Mme Floyd en particulier. En 2013, la Commission européenne a imposé à Microsoft une amende d'environ 561 millions d'euros pour non-respect des engagements relatifs au choix de navigateur. Il ne semble pas y avoir eu de violation depuis. Tire-t-on des leçons d'amendes aussi lourdes? On nous dit que les amendes, même s'élevant à des centaines de millions de dollars ou d'euros — même celles dépassant le milliard de dollars —, ne découragent pas les grandes entreprises numériques. Je m'interroge sur l'utilité de fortes sanctions pécuniaires, qui n'existent pas actuellement au Canada, comme moyen pour assurer la conformité, ou pour inciter à la conformité.

M. John Weigelt:

Comme nous l'avons dit, la confiance est le fondement de notre entreprise. Chaque fois qu'il y a un jugement prononcé contre notre entreprise, nous constatons que la confiance s'érode, et cela se répercute sur toute l'organisation, non seulement du côté des consommateurs, mais aussi au sein de l'entreprise.

Cette amende était lourde. Nous avons donné suite à ce jugement en modifiant la façon dont nous offrons nos produits sur le marché, en donnant aux consommateurs le choix d'acheter des produits sans navigateur intégré.

Lorsque nous examinons le pouvoir de rendre des ordonnances, ici au Canada ou ailleurs, nous devons conclure qu'un jugement défavorable aura une incidence beaucoup plus grande sur l'entreprise que certaines de ces sanctions pécuniaires.

L'hon. Peter Kent:

Pensez-vous que le gouvernement canadien devrait renforcer ses règlements et ses sanctions en cas de non-respect des règles de protection de la vie privée?

M. John Weigelt:

J'encouragerais le gouvernement canadien à se faire entendre sur la façon dont les technologies sont mises en place dans le contexte canadien. Nous avons des gens sur place qui sont là pour l'entendre et modifier en conséquence la façon dont nous offrons nos services.

L'hon. Peter Kent:

Merci.

Le président:

Allez-y, monsieur Angus. Vous avez cinq minutes.

M. Charlie Angus (Timmins—Baie James, NPD):

Merci, monsieur le président.

Je parlais à un ami chez Apple de l'achat, en 1984, de mon premier Mac Plus, muni d'une disquette de 350 kilobits, que je voyais comme un outil révolutionnaire qui allait changer le monde pour le mieux. Je continue de croire que le monde a changé pour le mieux, mais nous constatons aussi des dérapages vraiment regrettables.

Maintenant que j'ai moi-même pris de l'âge, je peux prendre du recul et m'imaginer ce qui se serait passé si, dans les années 1980, Bell avait écouté mes conversations téléphoniques. Des accusations auraient été portées, même si Bell se justifiait en disant: « Nous écoutons vos conversations simplement parce que nous voulons vous offrir des trucs vraiment astucieux et nous pourrons mieux vous servir si nous savons ce que vous faites. » Que se passerait-il si le bureau de poste lisait mon courrier avant de me le livrer, non dans un but illicite, mais pour me mettre au courant de choses très intéressantes que je devrais connaître et pour me proposer son aide? Des accusations seraient certainement portées.

Pourtant, dans le monde numérique, nous avons maintenant affaire à des entreprises qui nous offrent toutes sortes de possibilités alléchantes. C'est sur ce point que mon collègue, M. Erskine-Smith, essayait d'obtenir des réponses claires.

Je pense que, en tant que parlementaires, nous allons vraiment au-delà de cette discussion sur le consentement. Le consentement n'a plus aucun sens si on nous espionne, si on nous surveille et si notre téléphone sert à nous pister. Le consentement est en train de devenir un terme trompeur parce qu'il s'agit de récupérer un espace dans nos vies que nous n'avons pas cédé. Si nous suivions les anciennes règles, il ne serait pas possible d'écouter nos conversations téléphoniques et de nous pister en ligne au mépris de nos droits, mais c'est tout à coup devenu acceptable dans le monde numérique.

Monsieur Davidson, je m'intéresse beaucoup au travail que fait Mozilla.

Pensez-vous qu'il soit possible pour les parlementaires d'établir des règles de base raisonnées pour protéger le droit à la vie privée des citoyens, des règles qui n'entraîneront pas la ruine complète des gens de Silicon Valley, n'en feront pas tous des assistés sociaux, et qui permettront au modèle d'affaires de réussir? Est-il possible d'établir des règles simples?

(0920)

M. Alan Davidson:

Oui.

Je peux en dire plus.

M. Charlie Angus:

Allez-y.

M. Alan Davidson:

Je pense que c'est effectivement…

M. Charlie Angus:

J'adore ça quand on est d'accord avec moi.

M. Alan Davidson:

Nous cherchions des feux verts.

Vous connaissez déjà certains exemples. Nous croyons fermement qu'il est possible d'établir de bonnes entreprises rentables tout en respectant la vie privée des gens. Vous avez pris connaissance de quelques exemples aujourd'hui, dont certains de notre part. Il existe des exemples de bonnes lois, y compris le RGPD.

Il y a des choses qui dépassent probablement toutes les bornes, pour lesquelles nous avons besoin d'interdictions claires ou de mesures de sécurité très rigoureuses. À mon avis, il ne faut pas rejeter complètement l'idée du consentement. Ce qu'il nous faut, c'est un consentement plus précis parce que je pense que les gens ne comprennent pas vraiment…

M. Charlie Angus:

Le consentement explicite.

M. Alan Davidson:

... le consentement explicite.

Il y a toutes sortes de façons de l'encadrer, mais il y a une forme plus parcellaire de consentement explicite. C'est qu'il y aura des moments où des gens voudront profiter d'applications sur la santé ou faire connaître à des proches et à leur famille où ils se trouvent. Ils devraient pouvoir le faire, mais ils devraient vraiment comprendre ce que cela implique.

Nous croyons qu'il demeure possible de créer des entreprises qui le permettraient.

M. Charlie Angus:

Merci.

Certaines des préoccupations sur lesquelles nous nous sommes penchés concernent l'intelligence artificielle. Il s'agit de l'arsenalisation des médias numériques. L'intelligence artificielle pourrait jouer un rôle très positif ou très négatif.

Monsieur Ryland, Amazon a certainement fait beaucoup de progrès en matière d'intelligence artificielle. Cependant, elle a également été qualifiée d'entreprise novatrice du XXIe siècle, mais dont les pratiques de travail appartiennent au XIXe siècle.

Au sujet des allégations selon lesquelles les travailleurs faisaient l'objet d'une surveillance, pouvant mener jusqu'à leur congédiement, au moyen d'un pistage par intelligence artificielle, est-ce bien la politique d'Amazon?

M. Mark Ryland:

Notre politique est certainement de respecter la dignité de notre main-d’œuvre et de traiter tout le monde comme il se doit.

Je ne connais pas les détails de cette allégation, mais je me ferai un devoir de vous fournir de plus amples renseignements.

M. Charlie Angus:

C'était dans un article retentissant sur Amazon. On y lisait que les travailleurs étaient surveillés, jusqu'à la seconde près, par des moyens d'intelligence artificielle et que ceux qui étaient trop lents étaient congédiés.

Je suis peut-être de la vieille école, mais je pense que ce serait illégal en vertu des lois du travail de notre pays. C'est apparemment la façon dont l'intelligence artificielle est utilisée dans les centres de traitement. À mon avis, c'est une utilisation très problématique de l'intelligence artificielle. N'êtes-vous pas au courant de cela?

M. Mark Ryland:

Je ne suis pas au courant, et je suis presque certain qu'il y aurait un examen humain de toute décision de congédiement. Il est impossible de prendre une telle décision sans au moins un examen humain des types d'algorithmes d'apprentissage machine.

M. Charlie Angus:

C'était un article assez accablant, et le sujet a été repris par de nombreux journaux étrangers.

Pourriez-vous faire un suivi de cette question et transmettre une réponse au Comité?

M. Mark Ryland:

Je me ferai un plaisir d'y donner suite.

M. Charlie Angus:

Je ne cherche pas à vous mettre sur la sellette, mais je voudrais avoir une réponse à ce sujet. Je pense que nous aimerions certainement pouvoir nous faire une idée de l'optique dans laquelle Amazon utilise l'intelligence artificielle pour faire la surveillance des travailleurs dans les centres de traitement. Si vous pouviez faire parvenir cela au Comité, ce serait très utile.

M. Mark Ryland:

Je ne manquerai pas de le faire.

Le président:

Merci, monsieur Angus.

Nous passons maintenant à nos délégations.

Nous allons commencer par celle de Singapour.

Allez-y, vous avez cinq minutes.

Mme Sun Xueling (secrétaire parlementaire principale, Ministère des affaires intérieures et Ministère du développement national, Parlement de Singapour):

Merci, monsieur le président.

J'ai quelques questions à poser à M. Davidson.

J'ai lu avec intérêt le Manifeste Mozilla. Je suppose que j'avais un peu de temps libre. Je pense qu'il y a 10 principes dans votre manifeste. Je m'arrête en particulier sur le principe 9, qui est formulé comme suit: « L'investissement commercial dans le développement d'Internet apporte de nombreux bénéfices; un équilibre entre les bénéfices commerciaux et l'intérêt public est crucial. »

C'est textuellement ce que dit le principe 9.

Seriez-vous d'accord, alors, pour dire que les entreprises de technologie, même si elles ont un objectif de croissance et de rentabilité, ne devraient pas abdiquer leur responsabilité d'empêcher l'utilisation abusive de leurs plateformes?

M. Alan Davidson:

Nous sommes tout à fait d'accord avec cela. Je dirais que le manifeste, pour ceux qui ne l'ont pas lu, constitue en quelque sorte nos principes directeurs. Il a été rédigé il y a une quinzaine d'années. Nous venons tout juste de le mettre à jour en y apportant un ensemble d'ajouts pour répondre à la situation d'aujourd'hui.

Nous croyons effectivement que cet équilibre est vraiment important. Pour ma part, je pense que les entreprises doivent réfléchir aux conséquences de ce qu'elles construisent. Je pense aussi que le gouvernement doit baliser tout cela parce que, nous l'avons vu, ce ne sont pas toutes les entreprises qui vont le faire. Certaines ont besoin d'être guidées.

Mme Sun Xueling:

De plus, il me semble que le Bulletin de santé d'Internet a été publié par la Fondation Mozilla, et j'aimerais remercier votre organisme, qui est sans but lucratif et qui travaille dans l'intérêt public. Je pense que votre bulletin a traité du scandale impliquant Cambridge Analytica et a fait remarquer qu'il était un symptôme d'un problème systémique beaucoup plus vaste, que, de nos jours, le modèle d'affaires dominant et les activités courantes du monde numérique sont, en fait, fondés sur la collecte et la vente de données au sujet des utilisateurs.

Seriez-vous alors d'accord pour dire que le scandale impliquant Cambridge Analytica illustre en quelque sorte une attitude mentale qui priorise la quête du gain et de la croissance de l'entreprise au détriment de sa responsabilité civique?

(0925)

M. Alan Davidson:

Oui, mais nous gardons espoir qu'il s'agit de cas isolés. Je dirais simplement que ce ne sont pas toutes les entreprises qui fonctionnent de cette façon. Il y a, je crois, des entreprises qui tâchent de faire ce qu'il faut pour servir l'utilisateur, qui tentent de faire passer leurs utilisateurs en premier, et non uniquement à des fins altruistes. Je pense que c'est plutôt parce que nous sommes nombreux à croire que c'est dans l'intérêt de l'entreprise et que, sur le long terme, le marché récompensera les entreprises qui accordent la priorité aux utilisateurs.

Mme Sun Xueling:

Nous avons entendu des témoignages hier également. Je pense que bon nombre des membres du grand comité ont parlé avec des entreprises qui avaient fait état d'exemples concernant le Sri Lanka ou Nancy Pelosi. Il m'a semblé qu'il s'agissait davantage de diffuser de l'information, d'assurer la liberté d'extension de l'information, plutôt que de protéger réellement la liberté d'expression, puisqu'il qu'il n'y a pas de véritable liberté d'expression si elle est fondée sur une information fausse ou trompeuse.

Même si nous aimons croire que le scandale impliquant Cambridge Analytica est un cas unique, ce qui nous préoccupe, je pense, c'est que les modèles d'affaires existants de ces entreprises ne semblent pas devoir nous assurer que la responsabilité civique est perçue sous le même jour que la marge bénéficiaire des entreprises. Je pense que c'est à cela que je voulais en venir.

M. Alan Davidson:

Étant dans ce domaine depuis longtemps, je peux dire qu'il est vraiment désolant de voir certains de ces comportements en ligne. Je pense que c'est en partie à cause de l'évolution des modèles d'affaires, surtout ceux qui font de l'engagement la mesure prépondérante. Nous espérons que les entreprises feront plus et mieux.

Il y a un risque à une trop grande intervention gouvernementale dans ce domaine, du fait que nous tenons à respecter la liberté d'expression. Lorsque les gouvernements font des choix tranchés sur ce qui est vrai et ce qui est faux dans l'information diffusée en ligne, il y a beaucoup de risques. Je pense qu'il faut trouver un juste équilibre. Pour commencer, il me semble qu'il faudrait utiliser notre tribune exceptionnelle pour vraiment pousser les entreprises à faire mieux. C'est le bon point de départ. Espérons qu'il aura des suites utiles.

Mme Sun Xueling:

Oui. Merci.

Le président:

Nous allons maintenant passer à la délégation irlandaise et à Mme Naughton.

Mme Hildegarde Naughton (présidente, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Je vous remercie, monsieur le président. Merci à tous d'être venus ce matin.

Ma première question s'adresse au porte-parole d'Amazon. En novembre dernier, le vendredi noir, je crois savoir qu'il y a eu des problèmes techniques. Beaucoup de noms et de courriels de clients ont paru sur votre site Web. Est-ce exact?

M. Mark Ryland:

Non, ce n'est pas exact.

Mme Hildegarde Naughton:

Non? D'accord. Je croyais qu'il y avait eu des reportages à ce sujet. Y a-t-il eu des problèmes techniques en novembre dernier?

M. Mark Ryland:

Cela ne me dit rien du tout, mais je me ferai un plaisir de vérifier. Non, je ne suis pas au courant.

Mme Hildegarde Naughton:

En ce qui concerne le RGPD et la protection des données, d'après ce que mes collègues vous ont demandé tout à l'heure, vous dites que vous seriez en faveur d'une forme quelconque de RGPD à l'échelle mondiale.

M. Mark Ryland:

Encore une fois, nous croyons que les principes de la confiance des consommateurs — accorder la priorité aux clients, leur donner le contrôle de leurs données, obtenir leur consentement à l'utilisation des données — ont du sens. Les moyens précis de le faire, la tenue de dossiers et la charge administrative que cela suppose semblent parfois l'emporter sur les avantages pour les consommateurs, alors nous pensons vraiment que nous devons travailler en collectivité pour trouver un juste équilibre qui ne soit pas trop onéreux.

Par exemple, une grande entreprise comme la nôtre serait capable de se conformer à un règlement très coûteux à appliquer, mais pas nécessairement une petite entreprise. Nous devons trouver des moyens d'appliquer ces principes de façon efficace, relativement simple et directe.

Bien sûr, nous appuyons les principes qui sous-tendent le RGPD. Nous pensons que la loi comme telle n'est pas encore tout à fait au point, en ce sens que nous ne savons pas exactement comment certaines dispositions seront interprétées une fois rendues au niveau réglementaire ou judiciaire — ce qu'on entend au juste par diligence raisonnable, par exemple, de la part d'une entreprise.

Mme Hildegarde Naughton:

D'accord, alors êtes-vous ouvert à cela, ou peut-être à une version différente à travers le monde?

M. Mark Ryland:

Oui.

Mme Hildegarde Naughton:

Comme vous le savez, dans le RGPD tel qu'il s'applique actuellement, il y a de ces obstacles pour certaines entreprises, mais on les a aplanis dans l'ensemble de l'Union européenne.

M. Mark Ryland:

Oui.

Mme Hildegarde Naughton:

Je suppose que vous attendez de voir la suite des choses...

M. Mark Ryland:

Nous pensons qu'il y aura beaucoup de bonnes leçons à tirer de cette expérience. Nous pourrons faire mieux à l'avenir, que ce soit en Europe ou ailleurs, mais encore une fois, les principes ont du sens.

(0930)

Mme Hildegarde Naughton:

D'accord.

Ma question s'adresse à Microsoft. Plus tôt cette année, je crois savoir qu'un pirate a compromis le compte d'un agent de soutien de Microsoft. Est-ce exact?

M. John Weigelt:

C'est exact. Il y a eu divulgation de justificatifs d'identité.

Mme Hildegarde Naughton:

Microsoft disait alors qu'il se pouvait que le pirate ait eu accès au contenu de certains utilisateurs d'Outlook. Est-ce que cela est vraiment arrivé? A-t-il pu accéder au contenu d'utilisateurs de Microsoft?

M. John Weigelt:

Cet accès du côté du soutien leur en donnait la possibilité, oui.

Mme Hildegarde Naughton:

Comment un pirate a-t-il pu, je suppose, déjouer votre propre sécurité ou votre dispositif de sécurité des données?

M. John Weigelt:

Tout cet environnement repose sur un modèle de confiance de bout en bout, alors il suffit de trouver le maillon le plus faible dans la chaîne. Dans ce cas-ci, malheureusement, l'employé de soutien avait un mot de passe que les pirates pouvaient deviner pour entrer dans ce système.

Mme Hildegarde Naughton:

Qu'avez-vous fait pour que cela ne se reproduise plus? Cela me paraît être une atteinte fondamentale à la sécurité des données de vos utilisateurs.

M. John Weigelt:

Tout à fait. Chaque fois qu'il se produit un incident dans notre environnement, nous réunissons notre équipe d'intervention de sécurité avec nos techniciens pour voir comment nous améliorer. Nous avons examiné ce qui s'était passé et nous nous sommes assurés de pouvoir mettre en place des protections comme le contrôle multifactoriel, qui exige deux choses pour se connecter: quelque chose que vous savez, quelque chose que vous avez. Nous avons envisagé des choses comme le contrôle à deux personnes et des outils de ce genre, afin de nous assurer de préserver la confiance de nos clients.

Mme Hildegarde Naughton:

Nous savons que vous avez apporté ces changements. Avez-vous eu un rapport? Avez-vous fait un rapport sur le nombre d'utilisateurs dont les renseignements ou le contenu ont été compromis?

M. John Weigelt:

Il faudrait que nous revenions devant le Comité pour en discuter. Je ne suis pas au courant de ce rapport. Je n'avais pas moi-même cherché à savoir.

Mme Hildegarde Naughton:

D'accord.

En ce qui concerne les mesures prises par la suite... Là encore, il s'agit de la confiance des utilisateurs en ligne et de ce que votre entreprise a fait. Pourriez-vous nous revenir à ce sujet?

M. John Weigelt:

Absolument.

Mme Hildegarde Naughton:

Merci.

Le vice-président (M. Nathaniel Erskine-Smith (Beaches—East York, Lib.)):

Il vous reste une minute.

M. James Lawless (membre, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Merci, monsieur le président.

Je m'adresse d'abord à Amazon. Est-ce qu'Alexa nous écoute? Je suppose que oui. Que fait-elle de cette information?

M. Mark Ryland:

Alexa est à l'affût d'un mot-clé, le mot qui l'active, qui avertit le système que vous voulez interagir avec lui d'une façon ou d'une autre. Cette information n'est pas stockée localement. Rien n'est stocké localement sur l'appareil. Une fois que le mot-clé est reconnu, il suit le flux de données. Un témoin lumineux vous indique que l'appareil est maintenant actif, et le son suivant qui se produit dans la pièce est alors envoyé dans le nuage.

La première chose que fait le nuage, c'est de revérifier le mot-clé. Souvent, le logiciel de l'appareil n'est pas évolué, alors il fait parfois des erreurs. Si le nuage reconnaît que ce n'était pas un mot-clé, il interrompt le flux. Par contre, si le nuage confirme que le mot-clé a été prononcé, le flux est ensuite acheminé par un système de traitement du langage naturel, qui produit essentiellement un texte. À partir de là, les systèmes prennent le relais pour répondre à la demande de l'utilisateur.

M. James Lawless:

D'accord.

Est-ce qu'Amazon se sert de cette information à des fins de profilage ou de marketing?

M. Mark Ryland:

L'information est versée dans les renseignements sur votre compte, tout comme si vous achetiez des livres sur notre site Web. Elle pourrait donc influencer ce que nous vous présentons comme autres choses susceptibles de vous intéresser.

M. James Lawless:

D'accord.

M. Mark Ryland:

Elle n'est transmise à aucun tiers. Elle ne sert pas à des fins publicitaires et ainsi de suite.

M. James Lawless:

D'accord, mais si vous avez demandé le temps qu'il fait aux Bermudes et que vous allez ensuite sur le site Web d'Amazon, vous pourriez tomber sur un guide de vacances aux Bermudes, n'est-ce pas?

M. Mark Ryland:

C'est théoriquement possible, oui. Je ne sais pas si cet algorithme existe.

M. James Lawless:

Est-ce probable?

M. Mark Ryland:

Je ne sais pas. Il faudrait que je vous revienne là-dessus.

M. James Lawless:

D'accord, mais on utilise tout de même les questions posées, qui sont traitées par Alexa, pour offrir quelque chose à l'utilisateur. On pourrait s'en servir pour lui faire une présentation de marketing intelligent sur la plateforme, non?

M. Mark Ryland:

C'est parce que l'utilisateur lie directement l'appareil à son compte et que tous ses énoncés deviennent visibles. Vous pouvez voir une liste complète de ce que vous avez dit et vous pouvez supprimer n'importe quel énoncé. Il sera aussitôt retiré de la base de données et ne pourra plus servir à vous faire une recommandation.

M. James Lawless:

Est-ce que l'utilisateur consent à cela lorsqu'il s'inscrit? Est-ce que cela fait partie des modalités?

M. Mark Ryland:

Je pense que c'est très clair. Le consentement fait partie de l'expérience. Pour prendre un exemple familier, je n'ai pas explicitement consenti à ce que ma voix et mon image soient enregistrées ici aujourd'hui, mais le contexte me dit que c'est probablement ce qui se passe. Nous croyons que les expériences simples pour le consommateur sont les meilleures. Nous pensons que nos clients comprennent que, si nous accumulons des données à leur sujet, c'est justement pour que le service fonctionne comme il est censé fonctionner...

Le vice-président (M. Nathaniel Erskine-Smith):

Merci.

M. Mark Ryland:

... et nous facilitons vraiment, vraiment, la suppression et le contrôle de ces données.

(0935)

Le vice-président (M. Nathaniel Erskine-Smith):

Merci beaucoup, même si vous comprenez peut-être mieux ce qui se passe aujourd'hui que la plupart des utilisateurs d'Alexa.

M. Charlie Angus:

Excusez-moi, monsieur le président, mais puis-je invoquer le Règlement?

Je veux que ce soit bien clair. Quand on s'adresse à un comité, c'est comme s'adresser à un tribunal. Il ne s'agit pas de savoir si vous consentez à être enregistré ou si vous pensez que vous l'êtes. Il s'agit d'un processus parlementaire prévu par la loi, alors, bien sûr, vous êtes enregistré. Il est ridicule de comparer cela avec Alexa qui vous vend quelque chose à la Barbade, cela mine les fondements de notre Parlement.

Je rappellerais simplement aux témoins que nous sommes ici pour recueillir de l'information au profit de la communauté internationale des législateurs, et que tout est consigné officiellement.

Le vice-président (M. Nathaniel Erskine-Smith):

Merci, monsieur Angus.

Monsieur de Burgh Graham, vous avez cinq minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci. Je vais commencer par Microsoft.

L'écosystème de Microsoft est assez vaste, comme vous le savez. Vous avez la majorité des ordinateurs de bureau du monde, avec Office 365, LinkedIn, Bing, Skype, MSN, Live.com, Hotmail, etc. De toute évidence, vous avez la capacité de recueillir une énorme quantité de données sur un nombre immense de personnes. Pouvez-vous m'assurer qu'il n'y a pas de données personnelles échangées entre ces différentes plateformes?

M. John Weigelt:

Parlez-vous de données échangées entre, disons, un utilisateur de Xbox et un utilisateur d'Office 365? Est-ce là votre question?

M. David de Burgh Graham:

Oui, ou entre LinkedIn et Bing. Pendant nos premiers jours de séance sur cette question, nous avons beaucoup entendu parler de la création d'avatars des utilisateurs de différentes entreprises. Est-ce que Microsoft crée un avatar de ses utilisateurs? Est-ce qu'elle crée une image de qui utilise ses services?

M. John Weigelt:

Si vous avez un compte Microsoft commun, vous pouvez conserver et gérer vos données de l'une à l'autre de ces plateformes. L'équipe de produits de Bing ne ferait pas nécessairement l'aller-retour entre elle et l'équipe de Xbox pour obtenir les données requises. C'est vous qui contrôlez les données qui se trouvent au centre.

M. David de Burgh Graham:

Je voulais savoir s'il y avait un échange de données entre les services. Vous avez votre connexion commune, mais une fois que vous l'avez passée, vous pouvez aller dans différentes bases de données. Les bases de données interagissent-elles?

M. John Weigelt:

Là encore, à travers toutes les différentes plateformes, il faudrait que j'examine chaque scénario particulier pour dire généralement qu'il n'y a pas d'échange de données entre...

M. David de Burgh Graham:

D'accord.

Vous avez récemment acheté GitHub, une entreprise à code source ouvert, ce que j'ai trouvé très intéressant. Pourquoi?

M. John Weigelt:

Nous trouvons que la communauté des partisans du code source ouvert est très dynamique et qu'elle offre un excellent modèle de développement. Ce libre dialogue entre eux, cette discussion libre, va au-delà de la simple conversation sur les logiciels pour englober des projets plus vastes. Nous y avons vu une occasion de collaboration.

Par le passé, vous savez qu'il y avait presque de l'animosité entre nous et les partisans du code source ouvert. Nous avons vraiment adhéré aux concepts du logiciel libre et des données ouvertes pour être en mesure de mieux innover dans le marché.

M. David de Burgh Graham:

Je viens moi-même de cette communauté, alors je peux comprendre ce que vous dites.

J'aimerais m'adresser un instant à Mozilla.

Vous avez parlé de meilleures protections contre le pistage en ligne. Diriez-vous qu'il y a une sorte de course aux armements entre pisteurs et contre-pisteurs?

M. Alan Davidson:

Malheureusement, oui. Nous sommes très lucides en nous apprêtant à construire cet ensemble de protections contre le pistage en ligne. Nous pensons qu'elles offrent une réelle valeur. Et je lève mon chapeau à nos amis d'Apple. Ils font quelque chose de semblable avec Safari qui est vraiment bon.

Les pisteurs vont trouver d'autres façons de déjouer nos protections, et nous allons devoir en construire de nouvelles. Je pense que cela va durer un certain temps, ce qui est malheureux pour les utilisateurs, mais c'est un exemple de ce que nous pouvons faire pour les protéger.

M. David de Burgh Graham:

Compris.

Pour passer à Apple un instant, il y a eu récemment le piratage d'identifiant de capteur qui a été corrigé dans la version 12.2 d'iOS — je ne la connais pas —, qui permettait à n'importe quel site Web dans le monde de suivre n'importe quel iPhone et la plupart des appareils Android en se servant des données de calibrage sensoriel. Vous êtes probablement au courant de cela.

M. Erik Neuenschwander:

Oui, c'est l'affaire du pistage par empreinte numérique.

M. David de Burgh Graham:

Oui, le pistage par empreinte numérique. Pouvez-vous nous en dire davantage à ce sujet, nous dire comment il a été utilisé et si c'est vraiment corrigé maintenant dans iOS 12.2?

M. Erik Neuenschwander:

Je vais commencer par expliquer un peu le contexte. Lorsque nous parlons, disons, de pistage en ligne, il peut y avoir des technologies qui servent expressément à cela, comme les témoins communément appelés cookies. Une des évolutions que nous avons observées est la mise au point de ce que nous appelons une empreinte synthétique. Il s'agit simplement d'un numéro unique qui est synthétisé par un tiers, probablement pour essayer de faire du pistage. On s'en sert aussi dans la lutte anti-fraude et pour d'autres usages, mais chose certaine, cela se prête très bien au pistage en ligne.

Vous avez raison. Certains chercheurs, en examinant les variations dans la fabrication des capteurs, ont déterminé qu'il était possible de synthétiser un de ces identifiants uniques. Le pistage par empreinte numérique, tout comme le contre-pistage, va évoluer continuellement et nous sommes déterminés à rester à l'avant-garde. Quant à savoir comment il a été utilisé, je n'ai aucune donnée indiquant qu'il ait même été utilisé, mais je ne peux pas non plus vous assurer qu'il ne l'a pas été.

Nous avons mis en place des mesures d'atténuation dans notre dernière mise à jour, et les chercheurs ont confirmé qu'elles ont bloqué leur version de l'attaque en ligne, mais je répète que c'est une technique qui continue d'évoluer, alors je pèse soigneusement mes mots « mesures d'atténuation ». À moins de retirer les capteurs de l'appareil, il y aura toujours un risque. Nous allons aussi continuer de travailler pour réduire ce risque et garder le dessus.

(0940)

M. David de Burgh Graham:

Il me reste environ 20 secondes. J'ai une autre question pour Apple.

Sur iOS, lorsque vous passez d'une application à l'autre, une application se met en suspens et l'autre s'ouvre. Lorsque vous revenez à l'application originale, si cela fait plus de quelques secondes, elle recharge les données. Est-ce que cela ne donne pas amplement l'occasion de pister vers n'importe quel site Web que vous consultez, en disant que c'est l'usage de l'appareil? Je trouve curieux de faire cela, au lieu de stocker le contenu que vous utilisez.

M. Erik Neuenschwander:

Je vais diviser cela en deux parties, je crois bien.

Premièrement, lorsque l'application passe à l'avant-plan et qu'elle peut s'exécuter, elle peut recharger le contenu, si elle juge bon de le faire. À ce moment-là, vous lui avez remis les commandes et elle peut s'exécuter et recharger, si vous voulez.

Notre objectif, en fait, est de réduire au minimum ces recharges dans le cadre de l'expérience utilisateur. Nous voulons aussi que l'application qui se trouve à l'avant-plan obtienne, dans un bac à sable, dans un ensemble de limites que nous avons, le maximum des moyens d'exécution et des autres ressources de l'appareil. Cela peut vouloir dire que le système d'exploitation enlève des ressources aux applications qui se trouvent en arrière-plan.

Pour ce qui est du rechargement que vous voyez, iOS, notre système d'exploitation, pourrait y contribuer, mais au fond, peu importe les ressources qu'on préserve pour celle qui se trouve en arrière-plan, lorsque vous retournez à une application, elle a le contrôle de l'exécution et elle peut recharger si elle le juge bon.

M. David de Burgh Graham:

Merci.

Le président:

Merci, monsieur Graham.

Nous passons maintenant à mon coprésident, M. Collins.

Allez-y de vos remarques préliminaires. C'est bon de vous revoir.

M. Damian Collins (président, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci.

Mes excuses, puisque les autres représentants du Royaume-Uni et moi-même n'étions pas ici au début de la séance, mais nous sommes ravis de voir tous les témoins ici présents.

Hier, nous nous sommes concentrés sur certaines plateformes de médias sociaux, mais je pense que notre champ d'intérêt est beaucoup plus vaste et qu'il englobe tout un éventail d'entreprises de technologie.

J'aurais d'abord quelques questions pour Apple.

Lorsque je suis entré, il était question des données recueillies sur la voix. Pourriez-vous me parler un peu du genre de données qu'Apple recueille en ce qui concerne le son capté par ses appareils? Dans le cas des appareils intelligents, est-ce qu'ils captent le son ambiant pour se faire une idée des utilisateurs — peut-être le milieu dans lequel ils se trouvent ou ce qu'ils sont en train de faire lorsqu'ils utilisent l'appareil?

M. Erik Neuenschwander:

Pour ce qui est de l'information sur nos appareils qui supportent Siri, il y a une partie de l'appareil qui est toujours à l'écoute. Sur certains de nos appareils, nous l'avons isolée même d'iOS, même de notre système d'exploitation, dans un coprocesseur dédié, essentiellement une pièce de matériel spécialisée, qui n'enregistre ni ne stocke l'information, mais qui est seulement à l'écoute du mot-clé pour activer notre assistant personnel, alors l'information n'est pas conservée dans l'appareil.

Toujours en réponse à votre question, elle n'est pas non plus versée dans un quelconque profil dérivé pour identifier quelque chose en rapport avec le comportement ou les centres d'intérêt de l'utilisateur. Non.

M. Damian Collins:

Est-ce que l'appareil recueille de l'information sur l'environnement où on se trouve en ce moment? Disons, par exemple, que je suis dans l'autobus pour me rendre au travail. Est-ce qu'il capterait ce genre de bruit ambiant?

M. Erik Neuenschwander:

Elle n'enregistre pas tout. Il y a ce que nous appelons une « période tampon ». Il s'agit essentiellement d'une courte période qui est enregistrée de façon transitoire pour analyser le mot-clé, et qui est ensuite continuellement effacée à mesure que le temps avance. Rien n'est enregistré, sauf les quelques millisecondes éphémères qui permettent d'entendre ce mot-clé.

M. Damian Collins:

L’écoute ne sert qu'à passer une commande à Siri.

M. Erik Neuenschwander:

C’est exact.

M. Damian Collins:

À des fins de développement de produits ou de formation, l’entreprise conserve-t-elle certains de ces renseignements?

M. Erik Neuenschwander:

Encore une fois, l'appareil ne conserve même pas ces renseignements. Comme il écoute de façon passagère, ces renseignements sont continuellement effacés. Lorsque l’utilisateur utilise un mot-clé, un apprentissage automatique se fait sur l'appareil en adaptant le modèle audio à l'interlocuteur pour réduire le nombre de faux positifs ou de faux négatifs de ce mot-clé. Ensuite, si l’utilisateur fait appel à Siri, au moment où Siri est interrogée et où l'on communique avec elle débute l'envoi de données à Apple.

M. Damian Collins:

Quelle est la portée des données ainsi envoyées?

M. Erik Neuenschwander:

La portée des données n'englobe que l’énoncé jusqu’à ce qu’il atteigne un point de terminaison et que Siri estime que l’utilisateur a cessé de parler, ainsi que des renseignements comme le modèle de l'appareil, pour adapter la réponse à l’appareil et un identificateur aléatoire généré par l’appareil, qui est la clé des données détenues par Siri aux fins de vos interactions avec elle. Il s’agit d’un identificateur qui est distinct de votre identificateur Apple et qui n’est associé à aucun autre compte ou service chez Apple.

M. Damian Collins:

Est-ce qu’Apple tient un registre de mes demandes à Siri, de mes commandes?

M. Erik Neuenschwander:

Oui.

(0945)

M. Damian Collins:

Est-ce que l’entreprise utilise ce registre ou est-il seulement utilisé pour faciliter la réponse à mon appareil?

M. Erik Neuenschwander:

Je suppose, en réponse à la deuxième partie de votre question, que cela donne lieu à une certaine forme d'utilisation par l’entreprise. Oui, nous utilisons ces données pour Siri, mais pour Siri seulement.

M. Damian Collins:

Pour comprendre ce que sont les objectifs de Siri, ne s'agit-il que de rendre Siri plus sensible à ma voix...

M. Erik Neuenschwander:

Oui.

M. Damian Collins:

... ou les données sont-elles conservées par l’entreprise pour établir un profil des demandes des utilisateurs? Conservez-vous des profils de métadonnées des gens selon l'utilisation qu'ils font de Siri?

M. Erik Neuenschwander:

Le seul profil de métadonnées que nous avons est celui qui est utilisé pour adapter vos interactions réelles avec Siri. Par exemple, nous formons nos modèles de voix pour qu'ils puissent reconnaître le langage naturel sur le profil sonore. Cela ne sert que pour le volet ou l’expérience Siri. Si vous demandez si les renseignements recueillis permettent d'établir un profil plus large utilisé par l’entreprise pour commercialiser des produits et des services, la réponse est non.

M. Damian Collins:

Monsieur Ryland, est-ce qu’Amazon fait cela?

J’aimerais savoir quelle est la différence entre la façon dont Amazon utilise les données recueillies à partir de la voix et la façon dont Apple les utilise. Récemment, un utilisateur a présenté une demande de données qu’Amazon détenait. Cela comprenait une série d’enregistrements de la parole à domicile que l’entreprise utilisait apparemment à des fins de formation. J’aimerais savoir comment Amazon recueille les données vocales et comment elle les utilise.

M. Mark Ryland:

L’appareil attend aussi un mot-clé. Il ne stocke aucune donnée ambiante. Une fois interpellé, il commence à acheminer des données vers le nuage pour analyser ce que l’utilisateur demande réellement. Ces données sont stockées; tout cela est expliqué dans le profil de l’utilisateur, qui peut voir tous les énoncés. Il peut voir ce qu’Alexa a cru entendre, le texte de l'interprétation qu'en a fait Alexa. Cela lui permet également de comprendre l'origine des problèmes de communication, et ainsi de suite.

L'utilisateur peut supprimer ces données, individuellement ou collectivement. Nous utilisons les données tout comme nous utilisons les données d’autres interactions concernant le compte de l'utilisateur. Cela fait partie du compte de l'utilisateur Amazon. Cela fait partie de la façon dont il interagit avec notre plateforme globale.

M. Damian Collins:

Le représentant d’Apple a dit que l’appareil écoute constamment, mais attend seulement la commande Siri. Il semble que ce soit différent avec Alexa. L’appareil est toujours à l’écoute et il conserve dans le nuage ce qu’il a entendu.

M. Mark Ryland:

Non, c’est plutôt très semblable. Nous conservons les énoncés entendus après le mot-clé, tout comme Siri.

M. Damian Collins:

Je sais d’expérience qu’Alexa répond à des commandes autres que le mot-clé. Il pourrait être déclenché par quelque chose qu’il a entendu dans la salle et qui n’est pas nécessairement le mot-clé.

M. Mark Ryland:

Cela me semble être une défaillance. Alexa n’est pas censée réagir de façon aléatoire aux sons ambiants.

M. Damian Collins:

Roger McNamee, qui est venu témoigner devant nous hier, nous a expliqué comment il avait placé Alexa dans une boîte dès le premier jour parce qu’Alexa avait commencé à interagir avec une publicité d’Amazon qui passait à la télévision. Je pense que la plupart des gens qui ont ces appareils savent que toutes sortes de choses peuvent les déclencher, et pas seulement la commande ou le mot-clé d’Alexa.

M. Mark Ryland:

Eh bien, nous travaillons sans cesse à raffiner la technologie et à nous assurer que le mot-clé constitue la seule façon dont les gens peuvent interagir avec l’appareil.

M. Damian Collins:

Si vous conserviez dans l'appareil les données qu'il entend et les gardiez ensuite dans le nuage — ce qui semble être différent de ce que fait Apple —, vous nous dites que ce ne sont que des données sonores qui sont fondées sur les commandes reçues par Alexa?

M. Mark Ryland:

Oui. Ce ne sont que les données créées en réponse à la tentative de l’utilisateur d’interagir avec Alexa, qui est déclenchée par le mot-clé.

M. Damian Collins:

Est-ce qu’Amazon serait en mesure de répondre à une demande de données ou de renseignements de la police au sujet d’un crime qui a peut-être été commis à l’intérieur du pays en fonction de paroles captées par Alexa?

M. Mark Ryland:

Nous observons évidemment les lois de tous les pays dans lesquels nous opérons. S’il y a une ordonnance exécutoire d’une portée raisonnable et ainsi de suite, nous y donnerons suite comme il se doit.

M. Damian Collins:

Cela donne à penser que vous conservez plus de données que de simples commandes à Alexa.

M. Mark Ryland:

Non, la seule chose à laquelle nous pourrions répondre, c’est l’information que je viens de décrire, c’est-à-dire les réponses qui viennent de l’utilisateur une fois qu’il a interpellé l’appareil. Il n’y a pas de stockage des données ambiantes.

M. Damian Collins:

Vous dites que lorsque quelqu’un interpelle l’appareil, la commande reçue — son dialogue avec Alexa, si vous voulez — est conservée?

M. Mark Ryland:

C’est exact.

M. Damian Collins:

Vous dites qu’à moins que le mot-clé ne soit prononcé, l’appareil n’est pas déclenché et il ne recueille pas de données ambiantes.

M. Mark Ryland:

C’est exact.

M. Damian Collins:

D’accord.

Je m’intéresse au cas des données dont j’ai parlé plus tôt. On semblait craindre que le son ambiant soit conservé et enregistré et que l'entreprise l’utilise à des fins de formation.

M. Mark Ryland:

Non. Quand j'ai parlé de formation, c’est simplement que nous améliorons nos modèles de traitement du langage naturel en utilisant les données que les clients nous donnent dans le cadre de leur interaction avec l’appareil. Ce n’est pas du tout basé sur le son ambiant.

(0950)

M. Damian Collins:

Tous les commandements d’Alexa qui sont déclenchés par le mot-clé sont donc conservés par l’entreprise dans le nuage. Pensez-vous que vos utilisateurs le savent?

M. Mark Ryland:

Je pense que oui. D'après mon expérience de l’utilisation d’un appareil mobile pour configurer l’appareil à la maison, j’ai immédiatement remarqué qu’il y a une icône d’historique, où je peux essentiellement aller prendre connaissance de toutes mes interactions avec le système.

M. Damian Collins:

Je ne me souviens pas d’avoir lu cela nulle part. C’est peut-être en raison du feuillet de l'épaisseur de Guerre et paix, des instructions qui sont rattachées à l’appareil.

Je pense que même si c’est peut-être la même chose que d’utiliser n’importe quelle autre fonction de recherche, le fait est qu’il parlait à un ordinateur, et je ne suis pas sûr que les utilisateurs savent que cette information est stockée indéfiniment. Je ne savais pas que cela se faisait. Je n’avais aucune idée de la façon dont on s’y prendrait pour le savoir. Je suis également un peu intrigué par le fait qu'il est possible, en fait, de voir la transcription de ce que vous avez demandé à Alexa.

M. Mark Ryland:

Oui, c'est exact. C’est dans l’application mobile, sur le site Web et sur la page de confidentialité d’Alexa que vous pouvez voir toutes vos interactions. Vous pouvez voir ce que le système de transcription a cru entendre, et ainsi de suite.

M. Damian Collins:

Je présume que tout cela est regroupé dans un ensemble de données qu’Amazon détient à mon sujet en ce qui concerne mes habitudes d’achat et d’autres choses également.

M. Mark Ryland:

Cela fait partie des données de votre compte.

M. Damian Collins:

Cela représente beaucoup de données.

Le président:

M. Davidson veut répondre.

M. Alan Davidson:

Je voulais simplement dire que je pense que cela met également en évidence le problème dont nous avons parlé au sujet du consentement.

Je suis un fidèle utilisateur d’Amazon Echo. L'entreprise a conçu un outil formidable. Il y a quelques semaines, je suis allé avec ma famille et nous avons vu les données qui étaient stockées, mais je dois dire que c’est...

La protection de la vie privée est un sujet qui me passionne. J’ai lu tout ce que vous recevez, et j’ai été stupéfait, honnêtement, et ma famille a été étonnée de voir ces données enregistrées de nous et de nos jeunes enfants qui remontent à plusieurs années et qui sont stockées dans le nuage. Cela ne veut pas dire que cela a été fait à tort ou illégalement. Je pense que c’est merveilleux de voir ce genre de transparence, mais les utilisateurs n’en ont aucune idée. Je pense que beaucoup d’utilisateurs ne savent tout simplement pas que ces données existent et ne savent pas non plus comment elles seront utilisées à l’avenir.

Comme industrie, nous devons faire un bien meilleur travail pour ce qui est de demander aux gens un consentement plus précis, ou fournir une meilleure information à ce sujet.

Le président:

Oui.

M. Alan Davidson:

Je ne veux pas m’en prendre à Amazon; c’est un produit merveilleux.

Le président:

Nous passons maintenant à M. Gourde.

Je vois beaucoup de mains se lever. Tout le monde aura beaucoup de temps aujourd’hui.

Monsieur Gourde, vous avez cinq minutes. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Ma question va toucher un sujet d'ordre un peu plus technique.

Vous possédez, surtout Amazon et les autres organisations semblables, beaucoup de renseignements et de données personnelles concernant vos clients.

Je suis convaincu que vous faites l'impossible pour sécuriser toutes ces données. Par contre, compte tenu de l'avènement de l'intelligence artificielle, vous avez peut-être eu des offres de service afin de vous aider à prévoir le marché dans l'avenir.

Cela pourrait être très utile — surtout pour Amazon — d'être capable de prévoir, supposons pour l'été prochain, quel article parmi ceux qui ont été commandés pourrait faire l'objet d'un rabais, être mis en solde.

Il y a peut-être des sous-traitants ou des personnes qui vous ont offert des services en ce qui a trait aux nouveaux systèmes d'algorithmes. Au fond, ils vous auraient vendu cela pour vous aider.

Est-ce que ces sous-traitants, si vous y faites appel — bien sûr, vous n'êtes pas obligé de nous le dire —, peuvent garantir que, en utilisant les données détenues par votre entreprise pour offrir ce genre de service, ils ne vont pas vendre ces renseignements personnels à d'autres personnes ou à des organisations plus importantes? Ces dernières seraient très heureuses d'obtenir ces informations, que ce soit pour vendre de la publicité ou à d'autres fins.

Y a-t-il des organisations qui vous offrent ce genre de service? [Traduction]

M. Mark Ryland:

Nous concluons des marchés avec des tiers pour la prestation de certains services et, dans des conditions très prudemment contrôlées, nous partageons des données personnelles.

Par exemple, si nous concluons un marché avec un service de livraison, nous communiquons le nom et l’adresse du client où le colis doit être livré, mais je pense que pour tous ces cas d’apprentissage automatique de base du genre dont vous parlez, tout cela ne concerne que notre entreprise. Nous ne vendons pas l’accès aux données de base aux entreprises avec lesquelles nous traitons aux fins des services que nous offrons. Ce partage de données ne se fait que dans des cas d’utilisation périphérique, et même dans ces cas, nous conservons des droits de vérification et nous contrôlons soigneusement, par l’entremise de contrats et de vérifications, l’utilisation que font nos sous-traitants des données de nos clients que nous partageons avec eux à ces fins très limitées.

(0955)

[Français]

M. Jacques Gourde:

Y a-t-il d'autres organisations qui utilisent des stratégies d'algorithmes pour mousser vos produits? [Traduction]

M. John Weigelt:

Nous appliquons chez Microsoft un très solide modèle de gouvernance des données qui nous permet de reconnaître et de marquer les données et de les protéger comme il se doit. Dans les secteurs où nous avons besoin de sous-traitants, leur nombre demeure très limité.

Il y a beaucoup de décisions à prendre avant que nous choisissions nos sous-traitants, et ils doivent conclure des ententes avec nous pour assurer la confidentialité des données qu’ils sauvegardent. Nous avons des règles strictes concernant la façon dont ils utilisent ces données et les conditions dans lesquelles ils doivent nous les renvoyer. Nous avons un programme très solide de politiques, de procédures et de mesures de sécurité techniques concernant l’utilisation des données par les sous-traitants pour veiller à ce qu’elles ne soient pas utilisées à mauvais escient.

L’intelligence artificielle est un domaine qui nous intéresse au plus haut point, et Satya Nadella, dans son livre intitulé Hit Refresh, a certes établi des principes d’utilisation judicieuse de l’intelligence artificielle afin de responsabiliser les gens. C’est vraiment le premier principe. Nous avons adopté ces principes au sein de notre organisation, en veillant à établir une structure de gouvernance robuste en matière d’intelligence artificielle. Nous avons mis sur pied un comité qui examine l’application de l’IA à l’intérieur et à l’extérieur de l’organisation pour s’assurer que nous l’utilisons de façon responsable.

La mise en place de ces éléments dans l'organisation nous aide à mieux gérer et comprendre la façon dont ces outils sont utilisés et à les mettre en place dans un cadre conforme à l'éthique. Nous sommes très heureux de collaborer avec des gouvernements partout dans le monde, que ce soit l’Union européenne avec ses travaux dans le domaine de l’éthique de l’intelligence artificielle ou les récentes lignes directrices de l’OCDE, ou même ici au Canada avec les travaux du Conseil stratégique des DPI, le CSDPI, sur un cadre déontologique de l’intelligence artificielle, afin que nous puissions aider les gens et d’autres organisations à mieux comprendre certaines de ces techniques, des processus et des modèles de gouvernance responsables qui doivent être mis en place.

M. Erik Neuenschwander:

Je ne sais pas si Apple fait le genre de modélisation dont vous parlez. Au lieu de cela, notre apprentissage automatique a tendance à être basé sur l’intelligence des appareils.

Par exemple, à mesure que le clavier apprend à connaître l’utilisateur, l’appareil lui-même recueille et utilise cette information pour s’entraîner à reconnaître cet utilisateur sans que l’information ne quitte l’appareil. Lorsque nous recueillons des données pour aider à éclairer les modèles communautaires, nous appliquons des critères comme la protection de la vie privée différentielle locale, qui applique la randomisation aux données avant qu’elles quittent l’appareil de l’utilisateur, de sorte que nous ne sommes pas en mesure de revenir en arrière et de relier les données de l’utilisateur et leur contenu à un utilisateur. Pour nous, tout est centré sur l'appareil. [Français]

M. Jacques Gourde:

Monsieur Davidson, voulez-vous ajouter quelque chose? [Traduction]

M. Alan Davidson:

Nous ne déployons aucun de ces systèmes. Dans le cadre de certaines de nos recherches, nous avons également examiné la possibilité de faire des expériences sur des appareils. Je pense que c’est une approche très solide pour protéger la vie privée des gens.

Le président:

Merci, monsieur Gourde.

Nous allons maintenant entendre M. Ian Lucas, du Royaume-Uni.

M. Ian Lucas (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Si je peux revenir à la question de M. Collins, j’ai été intrigué par le téléphone Apple et l’appareil Alexa. Y a-t-il eu des tentatives de piratage de vos systèmes et d’accès à l’information que vous conservez?

M. Erik Neuenschwander:

Les systèmes d’Apple sont constamment attaqués. Je ne sais pas exactement si l'application Siri en soi a été l’objet d’attaques ou non, mais on peut supposer qu'elle l'a été. Cependant, étant donné que les données de Siri ne sont pas associées à l’ensemble du compte Apple, même si nous les considérons comme très sensibles et que nous nous efforçons de les protéger, il serait très difficile pour une personne mal intentionnée de recueillir les données d’un utilisateur individuel à partir du système Siri.

M. Ian Lucas:

A-t-on déjà réussi à pirater le système en ce qui concerne une personne en particulier?

M. Erik Neuenschwander:

Pas à ma connaissance, non.

M. Mark Ryland:

De même, nous protégeons les données des clients avec beaucoup de succès depuis plus de 20 ans. Il s’agit d’un nouveau type de données, de toute évidence d’un type très sensible, mais nous conservons un dossier très positif à cet égard, et rien n’indique qu’il y ait eu quelque violation que ce soit à l’égard des données liées à Alexa.

Le président:

Nous cédons maintenant la parole à M. Lawless, pour cinq minutes.

M. James Lawless:

Merci.

Pour revenir à la sécurité, à la confidentialité des données et au cryptage, je crois qu’Apple a parlé du Key Store sur l’iPhone et l’iPad, et Mozilla, je crois, offre aussi une fonction de type Key Store dans son navigateur.

L’une des difficultés en matière de sécurité, c’est que nos mots de passe, selon moi, sont devenus tellement sûrs que personne ne les retient, sauf les appareils eux-mêmes. Sur le Key Store d'Apple — je crois qu’on l'appelle l’application Key Store —, vous pouvez demander à l'application de générer un mot de passe pour vous, puis lui demander de s’en souvenir pour vous. Vous ne savez pas ce que c’est, mais l’application et l’appareil le savent, et je suppose que cette information est stockée dans le nuage quelque part. Je sais que vous en avez présenté un aperçu au début.

Je suppose que Mozilla a une fonction semblable qui permet de demander à la plateforme de se souvenir du mot de passe pour vous, donc vous avez plusieurs mots de passe, et je pense que Microsoft offre aussi probablement cette fonction dans ses navigateurs. Encore une fois, si vous ouvrez une session dans Mozilla, Edge ou n’importe quel navigateur, vous pouvez remplir automatiquement tous vos champs de mot de passe. Nous nous retrouvons dans une situation comme celle du Seigneur des anneaux, où il n'existe qu'« un anneau pour tous ». Dans nos tentatives pour améliorer la sécurité, nous nous sommes retrouvés avec un seul maillon dans la chaîne, et ce maillon est assez vulnérable.

Peut-être, pourrais-je obtenir des commentaires sur ce problème particulier de toutes les plateformes.

(1000)

M. Erik Neuenschwander:

Je crois que l’application dont vous parlez est l’application Keychain Access sur les appareils Mac et iOS. Dans les « réglages », « mots de passe » et « comptes », vous pouvez voir les mots de passe. Comme vous le dites, ils sont générés automatiquement par la plateforme. La plupart des utilisateurs en font l’expérience grâce à notre navigateur Safari, qui offre une fonction de connexion à Keychain. Comme vous le dites, l'information est stockée dans le nuage.

Elle est sauvegardée dans le nuage et cryptée de bout en bout — je tiens à le préciser — au moyen d'une clé qu’Apple n’a jamais en sa possession. Même si nous plaçons cette information dans le nuage, à la fois pour vous permettre de récupérer les mots de passe et de les synchroniser entre tous les appareils que vous avez connectés à iCloud, nous le faisons d’une manière qui n’expose pas vos mots de passe à Apple.

Vous avez raison de dire que les mots de passe continuent de poser un défi en ce qui concerne la protection des comptes d’utilisateur. On voit beaucoup d’entreprises, notamment Apple, passer à ce qu’on appelle l’authentification à deux facteurs, où le simple mot de passe n’est pas suffisant pour accéder au compte. Nous sommes très favorables à cela. Nous avons pris un certain nombre de mesures au fil des ans pour faire passer nos comptes iCloud à ce niveau de sécurité, et nous estimons que c’est un bon progrès pour l’industrie.

La dernière chose que j'aimerais préciser, c’est que les données des mots de passe sont extrêmement délicates et méritent notre plus haut niveau de protection. C’est pourquoi, à part l’application Keychain Access dont vous parlez sur le Mac, sur nos dispositifs iOS et maintenant sur notre T2 — c’est le nom de la puce de sécurité dans certains de nos plus récents appareils Mac —, nous utilisons la technologie de l’enclave sécurisée pour protéger ces mots de passe et les séparer du système d’exploitation. Comme la surface d’attaque est plus petite, même si c’est un risque auquel nous sommes très attentifs, nous avons pris des mesures, à l'étape de la conception matérielle, pour protéger les données entourant les mots de passe des utilisateurs.

M. Alan Davidson:

C’est une excellente question. J’ajouterais simplement que cela semble contre-intuitif, n’est-ce pas? Il y a à peine 10 ans, nous aurions dit: « C’est fou. Vous allez mettre tous vos mots de passe au même endroit? » Nous offrons un produit semblable — Lockwise — sur notre navigateur.

Aujourd’hui, les experts en sécurité vous diront que c’est une bien meilleure solution pour la plupart des gens parce que le plus gros problème que nous avons tous est que nous ne pouvons pas nous souvenir de nos mots de passe, alors nous finissons par utiliser le même mot de passe partout, ou nous finissons par utiliser des mots de passe idiots partout, et c’est là que débutent nos problèmes.

Nos propres sondages d’experts en sécurité et nos propres experts internes ont dit qu’il est en fait beaucoup plus intelligent d’utiliser un gestionnaire de mots de passe. Pour la plupart d’entre nous, cela réduit sensiblement la menace de cette vulnérabilité centrale. Je vous encourage donc tous à utiliser des gestionnaires de mots de passe.

Je viens d’envoyer une note à tous nos employés pour leur dire qu’ils devraient le faire. Nous prenons tous cela très au sérieux. L’authentification à deux facteurs est un élément important, et c’est un élément important du fonctionnement de ces gestionnaires. Nous prenons très au sérieux la responsabilité de protéger nos informations, mais il s’avère qu’il s’agit d’une bien meilleure solution pour la plupart des consommateurs aujourd’hui.

M. John Weigelt:

J’aimerais ajouter que nous constatons que les protections matérielles locales fondées sur le cryptage sont importantes pour appuyer la protection des mots de passe. Jumelez ces protections à l’authentification multifactorielle, en utilisant peut-être quelque chose que vous possédez déjà.

Je pense qu’un contrepoint intéressant à cela et un ajout intéressant est la capacité de prendre des décisions très solides au sujet des personnes, au sujet de leur utilisation d’un système en particulier. Nous utilisons des données anonymes et pseudonymes pour aider les organisations à reconnaître que « Jean-Pierre se connecte à partir d’Ottawa, et il semble y avoir au même moment une ouverture de session à partir de Vancouver. Il ne peut pas voyager aussi vite. Avertissons Jean-Pierre qu'il est peut-être temps de rafraîchir son mot de passe. »

Il y a une autre chose que nous pouvons faire, compte tenu de la portée mondiale de notre vision de l’environnement des cybermenaces. Souvent, les utilisateurs malveillants partagent des dictionnaires de noms d’utilisateur et de mots de passe. Nous consultons ces dictionnaires, et nous sommes en mesure d’éclairer nos outils de sorte que si les organisations — par exemple, food.com — découvrent qu’un de leurs noms d'utilisateurs y figure, elles peuvent aussi s'en occuper.

Dans le cas des données associées à l’utilisation d’un ensemble d’outils particulier, l’anonymat et le pseudonymat fournissent une plus grande assurance de protection de la vie privée et de sécurité également. Assurons-nous de reconnaître qu’il y a un équilibre à trouver pour nous assurer de préserver la vie privée tout en protégeant ces utilisateurs.

(1005)

M. James Lawless:

C’est un domaine très intéressant, et les défis y demeurent nombreux. Il y a un compromis à faire entre la convivialité et la sécurité.

Je me souviens qu’un gestionnaire de la sécurité des TI d’une grande société m’a parlé d’une politique qu’il avait mise en œuvre avant l'avènement des gestionnaires de mots de passe, il y a peut-être une décennie. Il avait mis en place une politique de mots de passe robustes afin que tout le monde ne puisse pas utiliser son animal domestique ou son lieu de naissance, et ainsi de suite. Il a ensuite constaté que, même si cette politique était appliquée, tout le monde écrivait ses mots de passe sur papier parce qu’il n’y avait aucun moyen de s’en souvenir, ce qui était contre-productif.

J’ai une dernière question, puis je vais ensuite partager mon temps avec ma collègue. Je pense qu’il y a un site Web appelé haveyoubeenhacked.com ou haveibeenhacked — quelque chose du genre — qui enregistre essentiellement les atteintes connues. Si vos données, vos plateformes ou d’autres applications ou sites de tiers se trouvent dans le nuage et sont compromis, vous pouvez faire une recherche pour vous-même ou pour obtenir vos détails et les retirer.

Y a-t-il moyen de remédier à cela? J’ai fait le test récemment, et je crois qu’il y avait quatre sites différents sur lesquels mes détails avaient été divulgués. Si cela se produit sur vos plateformes, comment allez-vous procéder? Comment pouvez-vous atténuer cela? Vous contentez-vous simplement d'informer les utilisateurs? Faites-vous de la sensibilisation ou essayez-vous d’effacer cet ensemble de données et de recommencer? Que se passe-t-il dans un tel cas?

M. John Weigelt:

Nous avons des exigences et des obligations en matière de notification des atteintes, et nous avisons nos utilisateurs s’il y a un soupçon d'atteinte à leur information et nous leur recommandons de changer leur mot de passe.

Pour ce qui est de l’ensemble organisationnel, comme la trousse d’outils dont j'ai parlé — je pense que c’est « Have I been pwned »...

M. James Lawless:

C’est bien cela.

M. John Weigelt:

... ce site a des dictionnaires facilement accessibles, alors nous les transmettons également aux utilisateurs organisationnels. Il y a la notification des utilisateurs individuels, et nous aidons également les entreprises à comprendre ce qui se passe.

M. Alan Davidson:

Nous faisons la même chose en ce sens que nous avons tous des obligations en matière d’atteinte à la protection des données et nous nous en acquittons dans de tels cas. Nous avons également mis au point notre propre version Firefox de ce surveillant « Have I been hacked ». Les titulaires de compte Firefox qui choisissent d’y adhérer seront avisés des autres attaques dont nous sommes informés, pas seulement de n’importe quelle atteinte à notre système, mais à d’autres également. Ce sera un service que les gens trouveront fort utile.

M. James Lawless:

C’est bien.

M. Erik Neuenschwander:

Si les équipes de sécurité d’Apple, en plus des étapes dont il a été question ici, apprennent qu’il y a probablement eu violation d’un compte, alors nous pouvons prendre une mesure qu’on appelle la « réinitialisation automatisée » du compte. Nous obligerons en fait l’utilisateur à réinitialiser son mot de passe et lui poserons des défis supplémentaires s’il a une authentification à deux facteurs à l’aide de ses dispositifs de confiance existants pour rétablir l’accès à ce compte.

M. James Lawless:

Oui, il est très difficile de revenir à notre compte une fois qu'on en est évincé, et je le sais pour l'avoir vécu.

Des voix: Oh, oh!

M. Erik Neuenschwander:

Vous avez parlé d’équilibre entre la convivialité et la sécurité.

M. James Lawless:

Oui.

M. Erik Neuenschwander:

Nous essayons de trouver un équilibre entre la possibilité que vous soyez la bonne personne qui essaie de récupérer son compte, auquel cas il ne faut pas exagérément vous compliquer la vie, ou nous essayons de garder un utilisateur malveillant définitivement à l’écart. C’est un domaine en évolution.

Mme Hildegarde Naughton:

Puis-je intervenir, s’il vous plaît?

Le président:

Nous avons en fait largement dépassé le temps prévu. Le président passera au deuxième tour, et vous êtes déjà inscrite en premier au deuxième tour, Hildegarde. Lorsque tout le monde aura pris la parole, nous passerons à la prochaine série de questions. Cela ne devrait pas être très long.

Nous passons maintenant à Mme Vandenbeld, pour cinq minutes.

Mme Anita Vandenbeld (Ottawa-Ouest—Nepean, Lib.):

Merci beaucoup.

J’aimerais d'abord parler de la désuétude du consentement. Quand on veut utiliser une application ou autre chose, il y a de bonnes et de mauvaises fins. Disons, par exemple, que j'utilise mon iPhone et que je quitte le Parlement à 9 h. Mon iPhone me dit exactement quelle route prendre pour me rendre à la maison. Il sait où je vis parce qu’il a vu que j’emprunte cette voie tous les jours, et si je commence soudainement à emprunter une voie différente pour me rendre à un autre endroit, il le saura aussi.

Bien, c’est parfait quand je veux savoir si je devrais ou non prendre l'autoroute 417, mais le fait que mon téléphone sache exactement où je dors tous les soirs pourrait aussi être très troublant pour beaucoup de gens.

Nous n’avons pas vraiment le choix. Si nous voulons utiliser certains services, si nous voulons avoir accès à Google Maps ou à autre chose du genre, nous devons accepter, mais il y a alors d'autres utilisations de ces données.

Soit dit en passant, en ce qui concerne le fait qu’il s’agit d’une audience publique, il y a une enseigne sur le mur qui le précise. J’aimerais bien qu’il y ait une telle enseigne lorsqu’on effectue des recherches sur Internet pour savoir si ce qu’on fait sera enregistré ou rendu public.

Ma question, qui s’adresse particulièrement à Apple, porte sur les données que vous recueillez sur mes allées et venues. Il ne s’agit pas seulement de savoir où je vais ce jour-là. Le problème ne réside pas dans le fait de savoir si je veux aller du point A au point B et de savoir quel autobus je dois prendre; le problème, c'est que mon appareil sait exactement où je me trouve sur le plan géographique.

Lesquelles de ces données sont sauvegardées et à quelles autres fins pourraient-elles être utilisées?

(1010)

M. Erik Neuenschwander:

J’aimerais avoir plus de précisions, madame, à savoir de qui et de quoi vous parlez, parce qu'il y a des nuances à faire ici. « L'appareil » — votre téléphone — sait effectivement tout cela. Votre téléphone recueille des données de capteurs et des tendances comportementales et il essaie de déterminer où se trouve votre maison — et c’est votre iPhone. Quand vous dites « vous » en parlant d'Apple, sachez que nous n'avons pas cette information, ou du moins pas par ce processus. Si vous nous laissez une adresse de facturation pour des achats ou autre chose du genre, c’est différent, mais l’information qui améliore l'intelligence de votre iPhone demeure sur votre téléphone et Apple ne la connaît pas.

Lorsque vous demandez dans quelle mesure ces données sont recueillies, sachez qu'elles sont recueillies par le téléphone. Elles sont recueillies sous la fonction « lieux importants ». Les utilisateurs peuvent aller les chercher et les supprimer, mais la collecte ne concerne que l’appareil. Ce n’est pas Apple qui recueille cette information.

Pour ce qui est des fins auxquelles elle peut être utilisée, d'une version à l'autre du système d’exploitation, nous essayons d’utiliser cette information pour fournir de bonnes expériences locales sur l’appareil, comme les avis de moment du départ ou les avis d’accidents de la circulation sur votre trajet vers le domicile, mais cela ne va pas s’étendre à des fins auxquelles Apple, l’entreprise, pourrait utiliser ces données, parce que ces données ne sont jamais en notre possession.

Mme Anita Vandenbeld:

Je pense que cela revient à ce que Microsoft a commencé à dire dans sa déclaration préliminaire, c’est-à-dire la capacité des pirates informatiques d’accéder aux données. Apple n’utilise pas ces données, mais est-il possible, grâce aux cybermenaces, que d’autres utilisateurs malveillants puissent accéder à ces données?

Je vais en fait poser la question à Microsoft.

Vous avez parlé d’investir 1 milliard de dollars par année dans la recherche et le développement en matière de sécurité, et vous avez utilisé l'expression « démantèlements coopératifs de réseaux de zombies ». Pouvez-vous m'en dire plus à ce sujet, et aussi parler de votre travail en matière de cybercriminalité?

Nous savons qu’une fois que les données sont divulguées, il est impossible de revenir en arrière, et puisque bon nombre de ces Cambridge Analytica et autres agrégateurs de données les utilisent, que faites-vous pour vous assurer que ces données ne sont pas diffusées au départ?

M. John Weigelt:

Lorsque nous examinons le marché, nous constatons qu’il évolue continuellement, n’est-ce pas? Ce qui a été mis en place pour les contrôles de sécurité il y a 10 ans est différent aujourd’hui, et cela fait partie des efforts déployés par la collectivité pour protéger l’environnement des TI.

Dans notre cas, nous analysons ces techniques courantes. Nous essayons ensuite de nous assurer que ces techniques disparaissent. Nous n’essayons pas seulement de suivre; nous essayons de devancer les utilisateurs malveillants afin qu’ils ne puissent pas répéter leurs exploits antérieurs et qu’ils doivent trouver de nouvelles façons de faire.

Nous examinons des outils comme le cryptage, le renforcement du fonctionnement du système d’exploitation, pour que les choses ne se passent pas toujours au même endroit. C'est un peu comme si vous changiez d'itinéraire lorsque vous rentrez chez vous du Parlement le soir, de sorte que si des malfaiteurs vous attendent à l'angle de Sparks et Bank, ils ne vous auront pas parce que vous avez changé d'itinéraire. Nous faisons la même chose au sein du système interne, et cela rompt avec tout un tas de choses que fait la communauté des pirates traditionnels. Comme nous incluons également la protection de la vie privée et l’accessibilité, notre travail porte sur la confiance, la sécurité, la protection des renseignements personnels et l’accessibilité.

Parallèlement, comme il existe une plus vaste communauté Internet dans son ensemble, ce n’est pas quelque chose que nous pouvons faire seuls. Il y a des fournisseurs de services Internet, des sites Web et même des ordinateurs à domicile qui sont contrôlés par ces réseaux de zombies. Les pirates informatiques ont commencé à créer des réseaux d’ordinateurs qu’ils partagent pour commettre leurs méfaits. Ils peuvent avoir jusqu’à un million d’ordinateurs zombies qui attaquent différentes communautés. Cela ralentit vraiment l’Internet, embourbe le trafic sur la Toile et ainsi de suite.

Pour démanteler ces réseaux, il faut un savoir-faire technique pour en prendre le contrôle, mais il faut aussi l’appui des entités juridiques dans les régions. Ce qui est unique pour nous, c’est que notre centre de cybercriminalité a collaboré avec les autorités gouvernementales pour trouver de nouveaux précédents juridiques qui permettent de supprimer ces réseaux. Ainsi, en plus de l’aspect technologique, nous nous assurons d’être en règle sur le plan juridique pour mener nos activités.

Enfin, ce que nous avons fait pour les réseaux Zeus et Citadel, d'importants réseaux de zombies qui s’étaient installés dans les systèmes d'entreprises canadiennes, c’est collaborer avec le Centre canadien de réponse aux incidents cybernétiques ainsi qu’avec les entreprises pour désinfecter ces appareils afin qu’ils puissent redémarrer sans problème.

Mme Anita Vandenbeld:

Monsieur Davidson, avez-vous quelque chose à ajouter?

M. Alan Davidson:

J’ai deux points à soulever rapidement.

Premièrement, nous travaillons à ce que nous appelons l'« allègement des données ». Cette idée part du principe que nous ne devrions pas conserver les données dont nous n’avons pas besoin. La meilleure façon de protéger les données est de ne pas les conserver. Parfois, c’est nécessaire, mais parfois ce ne l’est pas. L’industrie pourrait faire un meilleur travail et les consommateurs pourraient en apprendre davantage sur l’importance d’insister pour que les données ne soient pas conservées si elles ne sont pas nécessaires.

Deuxièmement, l’emplacement est un aspect particulièrement délicat. C’est probablement un aspect qui, au bout du compte, exigera davantage d’attention de la part du gouvernement. De nombreux utilisateurs se sentiraient probablement très à l’aise qu'une société comme Apple ou Microsoft détienne ces données, parce qu’ils ont d’excellents experts en sécurité et ce genre de choses. Nous nous inquiétons beaucoup des petites entreprises et des tierces parties qui détiennent certaines de ces données et qui ne travaillent peut-être pas de façon aussi sûre.

(1015)

Le président:

Nous allons passer à Mme Jo Stevens, du Royaume-Uni.

Mme Jo Stevens (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

J’aimerais aborder un sujet tout à fait différent, celui de la concurrence et des marchés. J’aimerais demander à messieurs Ryland et Neuenschwander s’ils pensent que des règles en matière de concurrence et des règles antitrust différentes devraient s’appliquer aux géants de la technologie, compte tenu de leur influence et de leur pouvoir sans précédent sur le marché.

M. Erik Neuenschwander:

En ce qui concerne les règlements antitrust, comme je travaille au sein d'une organisation d’ingénierie, je ne peux pas dire que j’ai beaucoup réfléchi à cette question. Je serai heureux de répondre à vos questions et de les soumettre à nos équipes des affaires juridiques ou gouvernementales.

Mme Jo Stevens:

Comme consommateur, pensez-vous que les grands géants technologiques mondiaux ont trop d’influence et de pouvoir sur le marché?

M. Erik Neuenschwander:

Mon objectif, en ce qui concerne nos plateformes, est de permettre à l’utilisateur de contrôler les données et de laisser le plus de contrôle possible aux utilisateurs.

M. Mark Ryland:

Nous sommes une entreprise relativement importante, mais bien sûr, c’est en grande partie le résultat de nos activités à l’échelle mondiale. Nous évoluons dans beaucoup de marchés différents. Dans un segment de marché donné, nous pouvons souvent être un très petit joueur ou un joueur de taille moyenne.

Encore une fois, je ne vais pas me prononcer en profondeur au sujet des lois sur la concurrence. Ce n’est pas mon domaine d’expertise, mais nous estimons que la loi actuelle sur la concurrence est suffisante en ce qui a trait aux sociétés de technologie.

Mme Jo Stevens:

Monsieur Weigelt, qu'en pensez-vous?

M. John Weigelt:

Nous sommes sur le marché depuis pas mal de temps, depuis les années 1970, en fait, nous avons donc eu le temps de réfléchir à l'organisation et la manière dont nous exerçons nos activités. Je pense que nous avons apporté les correctifs nécessaires, en nous appuyant sur les commentaires et les points de vue des gouvernements étrangers.

Une chose qui me semble importante à signaler, en tant que Canadien travaillant pour Microsoft ici au Canada, c'est cet écosystème de partenaires qui stimule l'innovation canadienne et les entreprises canadiennes. Plus de 12 000 partenaires tirent leurs revenus grâce à l'ensemble d'outils à leur disposition et ont accès à une plateforme cohérente, ce qui leur permet de vendre leurs innovations dans le monde entier grâce à ces outils et de multiplier les revenus qu'ils génèrent ici au pays.

Les progiciels permettent parfois de multiplier les revenus par huit. Pour l'infonuagique, le facteur de multiplication peut être aussi élevé que 20 pour l'utilisation de ces ensembles d'outils. Il s'agit donc d'un moteur économique fantastique. Cet accès au marché mondial est un atout important pour nos partenaires.

Mme Jo Stevens:

Cela m'amène à ma prochaine question. Je pense que c'est une idée largement répandue que les géants mondiaux de la technologie sont un peu comme un service public et qu'ils devraient être traités à ce titre en raison du pouvoir qu'ils détiennent.

Compte tenu de ce que vous venez de dire au sujet de l'innovation, croyez-vous que, si c'était le cas et si la pression antitrust était plus forte, cela pourrait nuire à l'innovation? Est-ce la principale raison que vous invoquez?

M. John Weigelt:

Je faisais un lien entre ces deux sujets. Ce que je voulais dire, c'est que nous démocratisons la technologie. Nous la simplifions grandement pour les pays émergents et les entreprises émergentes et nous leur donnons des idées fantastiques pour tirer parti d'une technologie très avancée. Quand on pense à l'intelligence artificielle et au travail qui se fait à Montréal, à Toronto et ailleurs dans le monde, il est essentiel que nous puissions utiliser ces outils pour créer un nouveau marché.

Je vois cela comme un catalyseur pour le milieu de l'innovation. Nous collaborons avec cinq supergrappes canadiennes, qui sont le moteur de l'innovation du Canada dans les domaines de l'agriculture, des océans, de la fabrication de pointe, pour créer de nouveaux ensembles d'outils. Notre capacité d'interagir avec ces différents secteurs, d'adopter des approches multiplateformes et d'optimiser notre expérience sur une plateforme leur permet de s'engager dans des activités qui sont dans le meilleur intérêt du milieu.

Par exemple, dans la supergrappe de l'économie océanique, utiliser et obtenir des données sur nos océans et partager ce produit commun avec l'ensemble du secteur, c'est une pratique que nous encourageons afin de stimuler la croissance du secteur. Faciliter l'accès à cette plateforme est un moyen de stimuler l'innovation.

(1020)

Mme Jo Stevens:

Pourriez-vous nous parler de l'innovation du point de vue de votre entreprise? Ma question s'adresse à vous deux.

M. Mark Ryland:

Oui, avec plaisir.

La concurrence est très forte sur tous les marchés où nous sommes présents. L'infonuagique est un excellent exemple. Les joueurs ne sont pas très nombreux sur ce marché, mais la concurrence est très forte et les prix sont en baisse, ce qui facilite, comme l'a dit mon collègue, l'émergence de nouveaux modèles d'affaires qui étaient auparavant impensables.

J'ai travaillé quelques années à la division des organismes du secteur public chez Amazon Web Services. Ce que j'y ai constaté, c'est que de très petites entreprises, disons de 10, 20 ou 30 employés, étaient en concurrence pour l'obtention de gros contrats gouvernementaux, ce qui aurait été impensable pour elles avant l'existence de l'infonuagique. Seule une très grande entreprise spécialisée dans les contrats gouvernementaux aurait pu soumissionner pour ces gros contrats, parce qu'il fallait qu'elle soit dotée d'une solide infrastructure et qu'elle soit en mesure de faire d'importants investissements en capital.

Comme il est maintenant possible d'obtenir de nombreux services de TI à partir du nuage, nous assistons à une fantastique démocratisation, pour reprendre ce mot, de l'accès au marché international, de l'accès des petits commerces au marché international, que ce soit en vendant sur le site de vente au détail d'Amazon ou au moyen de notre plateforme infonuagique. Je pense que la concurrence est vraiment renforcée parce que certains de ces joueurs de grande envergure permettent aux consommateurs d'avoir accès à une gamme plus vaste de marchés.

Mme Jo Stevens:

Mais ils doivent passer par vous, n'est-ce pas? Autrement, comment feraient-ils?

M. Mark Ryland:

Non, ils peuvent y accéder par notre entremise ou celle de nos concurrents.

Mme Jo Stevens:

Mais les concurrents ne sont pas si nombreux, n'est-ce pas?

M. Mark Ryland:

Ils ne sont pas nombreux, mais la concurrence est féroce.

Mme Jo Stevens:

Il me semble un peu bizarre que vous ayez si peu de concurrents, même si la concurrence est féroce. Ce n'est pas ce que j'aurais normalement imaginé.

Et vous, monsieur Neuenschwander?

M. Erik Neuenschwander:

Je ne m'y connais pas beaucoup en matière de législation, mais il semble très difficile de légiférer dans ce domaine. Je suppose que l'objectif d'une loi n'est pas de freiner l'innovation ni d'imposer une limite à ce que les entreprises peuvent faire, mais plutôt d'encourager les bons comportements.

Mme Jo Stevens:

D'accord, merci.

Le président:

Merci, madame Stevens.

Monsieur Saini, c'est maintenant à vous. Vous avez cinq minutes.

M. Raj Saini (Kitchener-Centre, Lib.):

Bonjour à tous.

Vous connaissez tous, j'en suis certain, l'expression « monopole de données ». Nous avons devant nous Apple, qui contrôle un logiciel populaire d'exploitation mobile. Nous avons Amazon, qui contrôle la plus importante plateforme commerciale en ligne. Nous avons également Microsoft, qui a la capacité d'acquérir une foule de données et de les utiliser pour s'imposer sur les marchés.

Au sujet de la concurrence, je veux aller plus loin que Mme Stevens. Si nous regardons du côté de l'Union européenne, nous voyons qu'Apple a violé les règles de l'UE relatives aux aides d'État lorsque l'Irlande lui a accordé des avantages fiscaux indus de 13 milliards d'euros. Dans certains cas, vous avez payé beaucoup moins d'impôts, ce qui vous donnait un avantage.

Dans le cas d'Amazon, la Commission européenne a jugé anti-concurrentielle la clause de la nation la plus favorisée des contrats d'Amazon et le Luxembourg a accordé à Amazon des avantages fiscaux illégaux d'une valeur d'environ 250 000 millions d'euros.

Mon intention n'est pas de vous mettre dans l'embarras, mais il y a manifestement un problème de concurrence. Ce problème est attribuable à l'existence d'une diversité de régimes ou de lois en matière de concurrence, que ce soit en Europe, à la FTC des États-Unis, ou au Canada. La loi européenne sur la concurrence prévoit l'imposition d'un droit spécial aux acteurs dominants du marché. La situation est différente aux États-Unis parce que les mêmes infractions n'ont pas été sanctionnées. Selon vous, est-ce une mesure qui devrait être envisagée, étant donné que vous êtes en position dominante sur le marché?

M. Mark Ryland:

Je le répète, je ne suis pas un expert en droit de la concurrence, mais je vous assure que nous nous conformons aux lois des pays et des régions où nous exerçons nos activités et que nous continuerons à le faire.

M. Raj Saini:

Si la Commission européenne a imposé une amende à Amazon, c'est donc que vous n'avez pas vraiment respecté la loi.

Ma question porte sur le droit spécial imposé en vertu de la loi européenne sur la concurrence aux entreprises en position dominante sur le marché. Selon vous, les États-Unis et le Canada devraient-ils faire la même chose?

M. Mark Ryland:

Je vais devoir vous revenir sur ce point. Je ne suis pas un expert en la matière. Je serai heureux de faire le suivi avec nos experts dans ce domaine.

M. Raj Saini:

Parfait.

Des commentaires du côté d'Apple?

M. Erik Neuenschwander:

Je sais que l'affaire des aides publiques a fait beaucoup de bruit dans la presse, mais tout ce que je sais de cette affaire, je l'ai appris par les nouvelles. Je n'ai pas beaucoup lu sur le droit européen de la concurrence. Comme mon travail porte essentiellement sur la protection intégrée de la vie privée du point de vue technologique, je vais devoir demander à nos spécialistes de répondre à vos questions.

M. Raj Saini:

D'accord.

Amazon est probablement la librairie dominante sur le marché. Êtes-vous d'accord?

M. Mark Ryland:

Non, je ne suis pas d'accord.

M. Raj Saini:

Ah non? Qui occupe une place plus importante que vous?

M. Mark Ryland:

Le marché du livre est énorme et de nombreux acteurs vendent des livres, de Walmart à...

(1025)

M. Raj Saini:

Qui vend plus de livres que vous?

M. Mark Ryland:

Je ne connais pas la réponse, mais je serai heureux de faire une recherche pour vous.

M. Raj Saini:

D'accord.

L'une des méthodes que vous utilisez lorsque vous mettez des livres en vente — j'ai lu cela quelque part, corrigez-moi si je fais erreur —, c'est que vous approchez de petites librairies et leur imposez un droit appréciable pour inscrire leurs livres sur votre site. Vous ne payez pas les auteurs en fonction du nombre de copies numériques vendues, mais vous les payez en fonction du nombre de pages lues. Si le lecteur ne le lit pas le livre jusqu'au bout, vous empochez la différence. Vous enregistrez les préférences des lecteurs. S'ils lisent des auteurs populaires, vous n'offrez pas de rabais sur ces livres, parce que vous savez qu'ils les achèteront de toute façon.

Pensez-vous que cette pratique est équitable, ou est-ce que j'ai tout faux?

M. Mark Ryland:

Je ne connais pas les faits que vous évoquez, je ne peux donc pas répondre. Je serai heureux de vous revenir là-dessus.

M. Raj Saini:

D'accord.

Une dernière question. Laissons de côté l'animation un instant et imaginons qu'Amazon est un grand centre commercial. Vous en êtes le propriétaire. Vous louez des espaces aux détaillants. Vous leur donnez accès à votre plateforme. Vous contrôlez l'accès aux consommateurs et vous recueillez des données sur chaque site. Vous exploitez le plus grand centre commercial au monde.

Lorsque de petits commerçants connaissent un certain succès, vous avez tendance à utiliser cette information pour réduire la concurrence. Comme vous avez accès à toutes les tierces parties qui vendent des produits sur votre site, croyez-vous que ce soit une pratique équitable?

M. Mark Ryland:

Nous n'utilisons pas les données que nous recueillons pour soutenir le marché de nos fournisseurs tiers. Nous n'utilisons pas ces données pour promouvoir nos propres ventes ou les produits que nous lançons en ligne.

M. Raj Saini:

Vous en êtes certain?

M. Mark Ryland:

Oui.

M. Raj Saini:

Vous dites que si quelqu'un annonce un produit sur votre site Web, vous ne faites pas le suivi des ventes de ce produit pour savoir s'il est populaire ou non.

M. Mark Ryland:

Nous recueillons les données pour soutenir l'entreprise et ses clients. Nous ne les utilisons pas pour nos propres activités de vente au détail.

M. Raj Saini:

Vous ne cherchez pas à savoir quel produit se vend bien ou lequel se vend moins bien et vous n'essayez pas de concurrencer l'entreprise d'aucune manière.

M. Mark Ryland:

Le volet de notre entreprise qui soutient ce vaste marché de fournisseurs tiers et qui a contribué au succès de milliers d'entreprises et de petits commerces dans le monde entier utilise certainement les données pour maximiser leur succès sur le marché. Nous ne les utilisons pas pour nos activités commerciales.

M. Raj Saini:

L'une des plaintes que nous entendons dans le domaine de l'innovation, c'est que certains acteurs dominent le marché parce qu'ils ont accès à des données et parce qu'ils peuvent les conserver et les utiliser. Dans bien des cas, les petites entreprises ou les joueurs de moindre importance n'ont pas accès aux données ni au marché. De surcroît, il arrive parfois, lorsque des entreprises émergentes ont le vent dans les voiles, que les grandes compagnies leur achètent leur technologie pour la détruire et empêcher ainsi l'entreprise de leur faire concurrence.

Est-ce là une pratique utilisée par Amazon, Apple ou Microsoft?

M. Mark Ryland:

Si vous regardez l'historique de nos acquisitions, vous constaterez que nous avons tendance à acquérir de très petites entreprises très ciblées. En gros, la réponse serait donc non.

M. Erik Neuenschwander:

C'est la même réponse du côté d'Apple.

M. Raj Saini:

Je parle de toute technologie émergente, de toute entreprise émergente susceptible de faire concurrence à n'importe laquelle de vos plateformes. Vous ne faites pas cela, ou seulement...? Je ne comprends pas ce que vous voulez dire.

M. Erik Neuenschwander:

Les acquisitions dont je suis au courant visaient des entreprises comme AuthenTec, dont nous avons utilisé la technologie pour créer la première version de notre système Touch ID dans nos téléphones. Nous recherchons des innovations technologiques que nous pouvons intégrer à nos produits. Je ne pense pas que la technologie de lecture d'empreintes numériques de cette entreprise en faisait une concurrente directe d'Apple.

M. John Weigelt:

Nous travaillons activement avec les jeunes entreprises du monde entier. Des programmes comme BizSpark et Microsoft Ventures aident nos partenaires et les entreprises en démarrage à progresser et à vendre leur produit. Nous sommes un fournisseur de logiciels génériques; nous offrons une plateforme commune à partir de laquelle les entreprises du monde entier créent leurs innovations. Une plateforme de ce genre a été construite à Montréal, Privacy Analytics, c'est une jeune entreprise qui se spécialisait dans la technologie de confidentialité persistante appelée Perfect Forward Privacy. Nous n'avions pas cette technologie et nous avons pensé qu'elle pourrait servir de catalyseur pour nos activités. Nous avons donc fait l'acquisition de cette entreprise dans le but d'intégrer sa technologie à nos produits.

Nos décisions en matière de création ou d'acquisition s'appuient sur les ressources dont nous disposons; dans certains cas, nous avons fait l'acquisition d'innovations fantastiques que nous avons intégrées à nos produits. Voilà en quoi consiste notre stratégie d'acquisition.

M. Raj Saini:

Je vous remercie.

Le président:

Monsieur Saini, je vous remercie.

Le dernier intervenant sera M. Baylis.

Quand M. Baylis aura terminé, nous procéderons à une autre série de questions. Pour que les choses soient claires, nous recommencerons à poser des questions aux délégations en suivant l'ordre de la liste.

Monsieur Baylis, vous avez cinq minutes.

M. Frank Baylis (Pierrefonds—Dollard, Lib.):

Merci, monsieur le président.

Je remercie également nos témoins. Vous êtes tous deux très bien informés et disposés à répondre à nos questions, ce qui n'a pas été le cas hier. Je vous en suis reconnaissant.

Monsieur Davidson, dans vos observations préliminaires, vous avez dit que Google et Facebook doivent saisir l'occasion d'accroître leur transparence. Pouvez-vous nous en dire plus à ce sujet?

(1030)

M. Alan Davidson:

Bien sûr.

Nous pensons que la transparence publicitaire est un précieux outil à envisager pour lutter contre la désinformation, surtout dans un contexte électoral. Nous avons collaboré avec certains autres acteurs de premier plan à l'élaboration du Code de bonnes pratiques contre la désinformation de l'UE, afin d'améliorer les outils de transparence qui permettront aux consommateurs d'avoir plus de discernement face aux annonces qu'ils voient, tout en aidant les chercheurs et les journalistes à comprendre comment se produisent des vastes campagnes de désinformation. À la Fondation Mozilla, nous avons quelqu'un qui travaille là-dessus. Notre grande source de frustration, pour être honnête, c'est qu'il est très difficile d'avoir accès aux archives publicitaires, même si certains de nos collègues se sont engagés à en faciliter l'accès.

Nous avons récemment fait une analyse. Les experts ont établi cinq critères distincts — par exemple, est-ce une donnée historique? Est-elle publique? Est-ce une information difficile à obtenir? Ce genre de choses.

Sur notre blogue, nous publions des billets indiquant, par exemple, que Facebook n'a respecté que deux des cinq critères, soit le nombre minimal établi par les experts pour garantir un accès raisonnable à une publicité archivée. Sans vouloir critiquer ces entreprises — nous l'avons déjà fait publiquement —, je dirais que nous espérons aller plus loin, parce que si la transparence n'est pas au rendez-vous, je pense que...

Google a obtenu une meilleure note. Elle a obtenu quatre sur cinq sur la fiche des experts, sans toutefois être plus transparente concernant les annonces publicitaires. Nous n'arrivons toujours pas à comprendre comment sont orchestrées les campagnes de désinformation.

M. Frank Baylis:

Vous avez dit que ces entreprises ne sont pas disposées à s'autoréglementer et que, à votre avis, elles devraient être réglementées. Vous ai-je bien compris?

M. Alan Davidson:

Je voulais dire que si nous ne pouvons obtenir de meilleurs renseignements... La transparence est la première étape et elle peut être un outil vraiment puissant. Si nous arrivions à assurer la transparence et à mieux informer les gens sur la publicité partisane qu'ils voient, cela pourrait contribuer grandement à contrer ces campagnes de désinformation et la manipulation des élections. Si cette transparence n'est pas assurée, il serait alors plus raisonnable que les gouvernements interviennent et imposent plus de restrictions. Selon nous, c'est la deuxième meilleure solution, c'est certain. C'est ce que nous essayons de faire.

M. Frank Baylis:

Mon collègue M. Angus ou, si vous le permettez, Charlie, mon collègue aîné...

M. Charlie Angus:

Votre frère aîné.

M. Frank Baylis:

Mon grand frère Charlie a soutenu que certaines activités devraient nécessiter le consentement — vous avez parlé de consentement granulaire ou distinct — et que d'autres devraient être carrément interdites. Êtes-vous d'accord avec cette ligne de pensée?

M. Alan Davidson:

Nous avons dit que nous l'étions. Nous pensons qu'il est important de reconnaître que ces différents outils apportent de grands avantages aux utilisateurs, même dans des domaines comme la santé, les finances ou la localisation, nous voulons donc leur donner ces moyens. Si on parle des enfants ou de certaines informations du domaine de la santé, il faut probablement placer la barre très haut, voire interdire cette pratique.

M. Frank Baylis:

Mon jeune collègue, M. Erskine-Smith, a dit que certaines pratiques fondées sur l'âge... Par exemple, nous interdisons aux personnes d'un certain âge de conduire et nous interdisons la consommation d'alcool sous un certain âge. Les témoins ont-ils des idées sur cette possibilité d'interdire carrément la collecte de certaines données, qu'elles soient ou non liées à l'âge, ou d'autres types de données? Avez-vous des commentaires à faire à ce sujet?

M. Erik Neuenschwander:

Dans mes réponses précédentes, j'ai expliqué que nous cherchions à laisser les données sur l'appareil de l'utilisateur et sous son contrôle. Je ferais une distinction entre les données recueillies par une entreprise et celles recueillies par un appareil sous le contrôle de l'utilisateur. Dans la mesure du possible, nous voulons laisser les utilisateurs contrôler leurs données, par consentement explicite, et les laisser dans leur appareil.

M. Frank Baylis:

Si l'information est recueillie, mais qu'elle n'est pas utilisée ou vue par une entreprise comme la vôtre... Si l'entreprise l’a recueillie et simplement conservée et que j'ai ensuite le choix de la supprimer ou non, vous estimez que c'est différent d'une collecte destinée à une utilisation ailleurs. C'est bien ce que vous dites?

M. Erik Neuenschwander:

Je crois effectivement que la collecte effectuée par une entreprise est différente de la collecte effectuée sur l’appareil de l’utilisateur. À la limite, je n'emploierais pas le mot « collecte ». On devrait peut-être dire « stockage » ou quelque chose de ce genre.

M. John Weigelt:

Je prends mon temps pour répondre à cette question parce que je réfléchis aux différentes situations possibles. J’essaie de me mettre à la place d'un parent et je me demande comment j'utiliserais ces outils. Je suis convaincu que cela dépend du contexte dans lequel s'inscrit cette interaction. Un environnement médical sera radicalement différent d’un environnement de divertissement en ligne.

La gestion des données dépend énormément du contexte, qu'il s'agisse des garanties de protection ou même de l’interdiction de recueillir ces données.

M. Frank Baylis:

Est-ce que j'ai le temps de poser une autre question, monsieur le président?

Le président:

Si vous faites vite, oui; vous avez 30 secondes.

M. Frank Baylis:

Parlons de l'infonuagique. On dirait un beau nuage, mais ce n'est pas là que cela se passe. Il y a un serveur physique quelque part. C’est de cela qu'il est question. Oublions le nuage; c’est un serveur physique. Les lois applicables dépendent de l’endroit où se trouve le serveur.

On parle d’Apple, de Microsoft ou d’Amazon — et Amazon, c’est une grande partie de vos activités. Si nous, législateurs canadiens, adoptons une série de lois protégeant le Canada, mais que le serveur se trouve à l’étranger, nos lois n’auront aucun effet.

Est-ce que vous prenez des mesures pour vous aligner sur les lois gouvernementales en veillant à ce que ces serveurs se trouvent dans les limites territoriales du pays qui les réglemente?

(1035)

M. Mark Ryland:

Nous avons des centres de données dans de nombreux pays, y compris au Canada. Il y a un contrôle juridique, mais nous devons respecter les lois de tous les pays où nous fonctionnons. Ces lois peuvent aussi avoir une incidence extraterritoriale.

M. John Weigelt:

Nous avons créé des centres de données dans 54 régions du monde et nous en avons installé ici au Canada, à Toronto et à Québec. Il se trouve que j’ai la responsabilité de veiller à ce qu’ils respectent les lois et règlements canadiens, qu’il s’agisse des normes du Bureau du surintendant des institutions financières ou des lois fédérales ou provinciales sur la protection des renseignements personnels. Nous accordons la plus grande importance au respect du cadre juridique local. Nous traitons les données stockées dans ces centres de données comme des documents imprimés. Nous voulons que les lois fassent en sorte que ces renseignements électroniques soient traités comme des documents imprimés.

Nous sommes d’ardents défenseurs de la CLOUD Act, qui permet de clarifier les conflits de lois qui posent des problèmes aux entreprises multinationales comme la nôtre. Nous respectons les lois régionales, mais elles sont parfois contradictoires. Avec la CLOUD Act, on espère créer une plateforme commune pour comprendre les traités d’entraide juridique ou pour y donner suite — car nous savons tous que l'application des traités d’entraide juridique est plutôt lente et que ces traités s'appuient sur des documents imprimés —, qui fournira de nouveaux instruments juridiques pour donner aux gouvernements la garantie que les renseignements de leurs résidants sont protégés de la même façon qu’ils le seraient dans des centres de données locaux.

Le président:

Merci.

Merci, monsieur Baylis.

On n'en a pas encore parlé, et c’est pourquoi je vais poser la question.

Nous sommes ici à cause d’un scandale appelé Cambridge Analytica et d’une entreprise de médias sociaux appelée Facebook. Nous voulions vous différencier. Vous n’êtes pas dans les médias sociaux; les médias sociaux étaient représentés ici hier. Vous vous occupez de mégadonnées, etc.

J’ai un commentaire qui concerne plus précisément Apple. C’est pourquoi nous voulions que Tim Cook soit ici. Il a fait des observations très intéressantes. Je vais lire exactement ce qu’il a dit: Il y a d'abord le droit d'avoir des données personnelles réduites au minimum. Les entreprises devraient se faire un devoir de supprimer les renseignements signalétiques dans les données sur les clients ou d’éviter de les recueillir. Il y a ensuite le droit de savoir — c'est-à-dire de savoir quelles données sont recueillies et pourquoi. En troisième lieu, il y a le droit d’accès. Les entreprises devraient faire en sorte qu'il soit facile pour vous de consulter, de corriger et de supprimer vos données personnelles. Enfin, il y a le droit à la protection des données, sans quoi la confiance est impossible.

C’est une déclaration très forte. Dans la perspective d'Apple — et je poserai aussi la question à Mozilla —, que feriez-vous pour régler le problème de Facebook?

M. Erik Neuenschwander:

Je ne suis même pas sûr de comprendre suffisamment tous les aspects du problème de Facebook pour pouvoir le régler.

Mais je sais qu'on peut se concentrer sur deux moyens. J’accorde toujours la priorité aux solutions technologiques. Ce que nous voulons, c’est placer l’utilisateur au contrôle des données et de l’accès aux données sur son appareil. Nous avons pris l’initiative, dans le cadre de notre plateforme, de dresser la barrière du système d’exploitation entre les applications et les données de l’utilisateur et d’exiger le consentement de l’utilisateur, par la médiation du système d’exploitation, entre ces applications et ses données. C’est un ensemble de mesures que nous avons fait évoluer au fil du temps.

On vous a dit aussi aujourd’hui qu'il fallait également songer à la convivialité, et c'est pourquoi nous essayons de garder les choses claires et simples pour les utilisateurs. Ce faisant, nous avons apporté à notre plateforme technologique des améliorations qui nous permettent d’élargir cet ensemble de données que le système d’exploitation... Je rappelle que c’est distinct d’Apple, distinct de l'entreprise. Le système d’exploitation peut prendre de l'avance et permettre à l’utilisateur de contrôler cet accès.

C’est un processus auquel nous resterons fidèles.

Le président:

À mon avis, il est très difficile de modifier la loi à cet égard, étant donné tous les paramètres qui entrent en ligne compte. Ce serait peut-être plus simple pour quelqu’un comme Tim Cook et dans le cadre d'une idéologie qui considère que les utilisateurs sont primordiaux. Il serait peut-être plus simple pour Apple de s'en charger que pour les législateurs du monde entier d’essayer de régler cette question. Nous faisons cependant tout notre possible. Nous essayons vraiment.

Monsieur Davidson, est-ce que vous avez quelque chose à dire sur la façon de régler le problème de Facebook?

(1040)

M. Alan Davidson:

Vu de l'extérieur, il est très difficile d'imaginer comment régler le problème d'une autre entreprise. À mon avis, nous sommes nombreux à être déçus des choix qu’elle a faits et qui ont suscité l’inquiétude de beaucoup de gens et de nombreux organismes de réglementation.

Notre espoir est qu'elle garantisse la protection de la vie privée et permette aux utilisateurs d'exercer plus de contrôle. C’est un point de départ extrêmement important.

Si je devais dire quelque chose à mes collègues, je les inviterais à réfléchir un peu moins à court terme au sujet des moyens de répondre à certaines de ces préoccupations. Je pense qu’ils ont beaucoup d’outils à leur disposition pour donner aux gens beaucoup plus de contrôle sur leurs renseignements personnels.

À l’heure actuelle, les organismes de réglementation disposent de nombreux outils pour bien encadrer ce que les entreprises peuvent se permettre ou non. Malheureusement, quand les gens ne respectent pas de bonnes pratiques en matière de protection de la vie privée, ils donnent le mauvais exemple.

Nous pouvons tous faire quelque chose. C’est pourquoi nous avons intégré l'extension Facebook Container dans nos outils de suivi: pour essayer de donner plus de contrôle aux gens.

Le président:

Merci de votre réponse.

Il y a encore des questions. Nous allons commencer par mon coprésident, puis nous suivrons l'ordre habituel. Vous aurez du temps. Ne vous inquiétez pas.

Commençons par M. Collins.

M. Damian Collins:

Merci.

Je vais m'adresser d'abord à M. Ryland et à Amazon.

Pour faire suite aux commentaires du président au sujet de Facebook, si je relie mon compte Amazon à Facebook, quelles sont les données qui sont partagées entre les deux plateformes?

M. Mark Ryland:

Je ne sais pas comment on relie un compte Facebook à Amazon. Je sais qu’Amazon peut servir de service de connexion vers d’autres sites Web, mais Facebook n’en fait pas partie. Je ne connais aucun autre modèle de connexion.

M. Damian Collins:

Vous dites qu'on ne peut pas le faire. On ne peut pas connecter un compte Facebook et un compte Amazon.

M. Mark Ryland:

Pas à ma connaissance. Je ferai un suivi pour m’en assurer.

M. Damian Collins:

Il y a eu le Digital, Culture, Media and Sport Committee à Londres, que j’ai présidé avec mes collègues ici présents. En décembre dernier, nous avons publié des documents concernant l’affaire Six4Three.

Au même moment, une enquête du New York Times donnait à penser qu’un certain nombre de grandes entreprises avaient conclu avec Facebook des accords spéciaux de réciprocité leur permettant d'avoir accès aux données de leurs utilisateurs sur Facebook et à celles de leurs amis. Amazon figurait parmi ces entreprises.

Pourriez-vous nous dire quel genre de protocoles d'entente vous avez avec Facebook et si cela vous donne accès non seulement aux données de vos clients ou des titulaires de comptes Facebook, mais aussi à celles de leurs amis?

M. Mark Ryland:

Je vais devoir vous revenir à ce sujet. Je ne sais pas du tout.

M. Damian Collins:

Cet article du New York Times a fait des vagues l’année dernière. Je suis étonné qu’on ne vous en ait pas parlé.

Je vais poser la même question à Microsoft également.

On peut se connecter à Skype à partir de son compte Facebook. Je vous le demande également: si on relie son compte Skype et son compte Facebook, quelles sont les données qui sont partagées entre les deux?

M. John Weigelt:

Si je comprends bien, il s’agit d’une connexion simplifiée à votre compte Skype à partir de Facebook. Quand on se connecte, une fenêtre contextuelle devrait s'ouvrir pour donner une idée de ce que Facebook fournit à l’environnement Skype.

C’est un modèle de connexion simplifié.

M. Damian Collins:

Quelles sont les données qui sont partagées entre les comptes? Pour les utilisateurs qui utilisent ce moyen, quelles sont les données d'utilisation de Skype qui sont communiquées à Facebook?

M. John Weigelt:

C’est simplement une connexion.

M. Damian Collins:

Oui, mais toutes ces connexions sur Facebook comportent également des accords de réciprocité. La question est de savoir si...

M. John Weigelt:

C’est seulement une façon simplifiée de partager une preuve d’identité, si on veut, et c'est ce qui vous permet de vous connecter à Skype.

M. Damian Collins:

Je sais comment fonctionne la connexion de base, mais ces dispositions de connexion à partir de Facebook donnent un accès réciproque aux données des deux. C'est effectivement une connexion.

M. John Weigelt:

Ce n’est rien qui n’aurait pas été divulgué dans le cadre de la connexion initiale; donc, quand vous vous connectez, quand vous utilisez cette passerelle, une fenêtre contextuelle indique les données qui interagissent ou sont échangées.

M. Damian Collins:

Et puis c'est dans les conditions et modalités.

M. John Weigelt:

C’est dans la fenêtre contextuelle par laquelle vous devez passer. C’est une modalité simplifiée et, si j’ai bien compris; c’est un avis à plusieurs niveaux. On vous donne un aperçu de la catégorie de données; puis, en cliquant dessus, vous pouvez aller plus loin pour voir de quoi il s’agit.

M. Damian Collins:

En termes simples, est-ce que Facebook saurait avec qui j’ai communiqué sur Skype?

M. John Weigelt:

Je ne crois pas, mais je vais devoir vous revenir à ce sujet. Mais, vraiment, je ne crois pas.

M. Damian Collins:

D’accord.

Je voudrais revenir à Amazon. Rapidement.

Voici comment Amazon.com prévoit la connexion entre un compte Facebook et un compte Amazon: Aller dans réglages, sélectionner son compte, puis choisir la fonction de connexion aux réseaux sociaux. Sélectionner ensuite son compte Facebook. Fournir ses données de connexion et cliquer sur Se connecter.

C’est une façon très simple de connecter son compte Facebook à son compte Amazon. Je vais donc vous reposer la question: quand on fait cela, quelles sont les données qui sont partagées entre les deux plateformes?

(1045)

M. Mark Ryland:

Je vais devoir vous revenir à ce sujet. Je ne sais pas du tout.

M. Damian Collins:

Je vois. C'est pourtant assez élémentaire. Ce qui m’inquiète, c’est que des données soient partagées entre les deux plateformes.

Je rappelle que l’enquête du New York Times a révélé l'existence d'accords de réciprocité préférentiels entre Amazon et Facebook, entre Microsoft et Facebook, pour que ces entreprises aient accès non seulement aux données de leurs utilisateurs sur Facebook, mais aussi à celles de leurs amis, alors que ce réglage avait été éliminé d’autres applications. Il reste que les principaux partenaires de Facebook ont un accès préférentiel compte tenu de l’argent qu’ils dépensent ensemble ou de la valeur des données.

Je voudrais savoir, encore une fois, si Amazon ou Microsoft peut nous parler de la nature des données, de ce qu’elles englobent, et si ces arrangements sont toujours en vigueur.

M. John Weigelt:

Je ne peux rien dire de...

M. Damian Collins:

Je ne sais pas si cela veut dire que vous ne savez pas ou que vous ne savez pas quoi dire. Quoi qu’il en soit, si vous pouviez nous écrire, nous vous en serions reconnaissants.

M. Mark Ryland:

D'accord.

M. John Weigelt:

Sans faute.

M. Mark Ryland:

Nous ferons un suivi.

Le président:

Passons à M. Erskine-Smith. Vous avez cinq minutes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Je voudrais d’abord parler d'éthique et d’intelligence artificielle. Le Comité a entrepris une étude à ce sujet, et le gouvernement du Canada exige désormais des évaluations algorithmiques d'impact sur les ministères quand ceux-ci emploient un algorithme pour la première fois, à titre d'évaluation du risque dans l’intérêt public. D'après vous, est-ce qu'on devrait l'exiger des grandes entreprises de mégadonnées du secteur public comme la vôtre?

Je vais commencer par Amazon, puis je ferai le tour de la table.

M. Mark Ryland:

Nous faisons le maximum pour garantir l'impartialité des algorithmes, et c’est l’un de nos principes fondamentaux. Nous avons des ensembles de données d’essai pour veiller à toujours respecter la norme à cet égard.

M. Nathaniel Erskine-Smith:

Selon vous, est-ce qu'il devrait y avoir transparence pour le public afin de garantir une reddition des comptes suffisante concernant les algorithmes que vous appliquez à ces trésors considérables de données et de renseignements personnels?

M. Mark Ryland:

Je pense que le marché arrive très bien à faire en sorte que les entreprises se dotent de bonnes normes à cet égard.

M. Nathaniel Erskine-Smith:

Voyez-vous, ce qui est frustrant, c’est que vous avez dit être d’accord avec les principes du RGPD, et le droit à l'explication des algorithmes est justement un principe du RGPD.

Apple, qu’en pensez-vous?

M. Erik Neuenschwander:

Dans le modèle d’apprentissage machine que nous employons, nous voulons effectivement que les utilisateurs comprennent que nous le faisons principalement en le plaçant sur leurs appareils et en le développant à partir de leurs données. Quand nous développons des modèles généralisés, nous nous appuyons sur des ensembles de données publiques. Nous ne le faisons surtout pas à partir de données personnelles.

Si l'apprentissage machine se fait à partir de données personnelles, nous tenons absolument à ce que le processus puisse être expliqué aux utilisateurs et que ceux-ci puissent le comprendre.

M. Nathaniel Erskine-Smith:

Vous croyez donc à cette transparence publique.

M. Erik Neuenschwander:

Nous croyons en la transparence à bien des égards.

M. Nathaniel Erskine-Smith:

Microsoft, quel est votre avis?

M. John Weigelt:

Nous participons et nous contribuons au travail qui se fait ici, au Canada, et notamment au règlement des difficultés liées aux définitions. Dans le cas des systèmes d’intervention artificielle à grande échelle, il faut pouvoir expliquer à l’utilisateur ce qui se passe dans les coulisses.

C’est un sujet très controversé, un large domaine de recherche sur le droit à l’explication, sur la généralisabilité et sur la façon dont nous examinons les résultats.

D'après la documentation actuelle, tout se passe pour ainsi dire comme si l'évaluation des risques algorithmiques et un avis au public étaient obligatoires à partir du moment où on a la localisation du site Web — par exemple, si je viens du Québec et que je présente un site Web en français pour cette raison.

M. Nathaniel Erskine-Smith:

Vous vous inquiétez de la définition, mais vous êtes d'accord sur le principe.

M. John Weigelt:

Nous sommes d’accord sur le principe et nous félicitons le gouvernement du Canada d’avoir mis cela en place dès maintenant; d’autres devraient envisager des possibilités semblables.

M. Nathaniel Erskine-Smith:

Notamment le secteur privé et Microsoft.

Concernant la réglementation de la concurrence, j’ai lu hier une citation de l’organisme de réglementation allemand, qui souligne la position dominante de Facebook sur le marché et estime que « le seul choix donné à l’utilisateur est d’accepter de fournir une combinaison complète de données ou de s’abstenir d’utiliser le réseau social. En tout état de cause, on ne peut pas parler de consentement volontaire ».

Est-ce que le même principe s’applique à vos entreprises?

M. Mark Ryland:

Nous faisons face à une concurrence féroce sur les marchés où nous exploitons. Dans le domaine de l’infonuagique, par exemple, notre principal concurrent est l’ancien modèle d'exploitation des entreprises informatiques, et il y a un vaste éventail de concurrents.

M. Nathaniel Erskine-Smith:

Je vois. Changeons un peu de sujet. Est-ce qu'on devrait tenir compte de l’incidence sur la vie privée des consommateurs dans la réglementation de la concurrence?

M. Mark Ryland:

C’est un domaine qui n’est pas non plus de mon ressort. Je déteste donner cette réponse.

M. Nathaniel Erskine-Smith:

Dommage, parce que j’avais précisé à Amazon que nous discuterions justement de concurrence aujourd’hui.

Je pose la question aux autres entreprises: pensez-vous qu'on devrait tenir compte de l’incidence sur la vie privée des consommateurs dans la réglementation de la concurrence?

M. Erik Neuenschwander:

Vous laissez entendre qu’on exige, du moins dans certains cas, un consentement unique, du genre tout ou rien, et nous le savons très bien. Nous proposons, en fait, un consentement très nuancé et détaillé. Il est possible d’utiliser un appareil Apple sans s'inscrire ni créer de compte Apple. Nous essayons donc de différencier et de séparer ces choses.

(1050)

M. Nathaniel Erskine-Smith:

Je vois.

Est-ce que Microsoft a un point de vue sur cette question?

M. John Weigelt:

C'est une question de données et plus particulièrement de protection et d'utilisation des données. Je crois que nous devons examiner l'utilisation des données de façon plus générale. À ce chapitre, des fiches de données pourraient être utiles puisque, selon moi, la protection des renseignements personnels est une question de sécurité et d'accessibilité des données.

M. Nathaniel Erskine-Smith:

J'ai hâte de savoir ce que l'avocat général associé aura à dire demain au forum des données du commissaire à la concurrence.

J'ai une autre question au sujet du droit de la concurrence.

Dans les années 1990, Explorer était gratuit, et pourtant, on a empêché Microsoft d'être en situation de monopole avec son navigateur. Il ne s'agissait pas de protéger les consommateurs contre une hausse des prix. Il s'agissait de protéger l'innovation.

Je vais lancer quelques flèches en direction d'Amazon. Tout à l'heure, vous avez dit que les renseignements que je verse dans Alexa font partie de mon profil d'utilisateur. J'en déduis que ce que je regarde sur Prime, ce que j'achète de n'importe quel vendeur et ce que je recherche sur Amazon ou ailleurs sur Internet, tout cela est agrégé en un profil unique aux fins des publicités ciblées, je présume.

J'aimerais aussi savoir si mon profil d'utilisateur, combiné au profil des autres utilisateurs, oriente vos décisions en matière de nouveaux produits. Est-ce une question légitime?

M. Mark Ryland:

Nous examinons les tendances, les achats et le comportement de nos clients pour déterminer quels seront les prochains...

M. Nathaniel Erskine-Smith:

Au contraire, en réponse aux questions de M. Saini, vous avez dit ne pas faire le pistage en ligne des renseignements des vendeurs tiers sur vos sites Web. Si l'on regarde les choses sous un autre angle, on constate que vous faites le pistage de toutes les décisions d'achat individuelles sur Amazon et que vous combinez ces données pour faire concurrence aux vendeurs tiers sur votre plateforme de commerce. N'exploitez-vous pas ainsi votre position hégémonique?

M. Mark Ryland:

Je pense que le fait que le marché des vendeurs tiers est si prospère — on y retrouve un très grand nombre d'entreprises prospères — montre très clairement que ce n'est pas un problème.

M. Nathaniel Erskine-Smith:

Vous n'estimez pas détenir un avantage indu sur le marché.

M. Mark Ryland:

Non.

M. Nathaniel Erskine-Smith:

Ma dernière question a été soulevée par...

Le président:

Faites vite, je vous prie. Nous essayons de donner la parole à tout le monde.

M. Nathaniel Erskine-Smith:

En ce qui concerne la monétisation des données personnelles, comme je l'ai dit hier aux experts, le problème tient au modèle d'affaires. Cette proposition a été formulée par un certain nombre de personnes. Je crois que Tim Cook d'Apple a fait valoir le même argument en ce qui a trait au complexe industriel de données.

J'aimerais que les témoins de Microsoft et d'Amazon me disent s'ils pensent que le modèle d'affaires est problématique en soi. Vous voulez recueillir de plus en plus de renseignements à notre sujet. Quelle est l'utilité, pour nous, de cette collecte massive de renseignements à notre sujet? Le modèle d'affaires pose-t-il problème?

M. John Weigelt:

Je tiens à préciser que les renseignements que nous recueillons ne concernent que les produits. Nous ne cherchons pas à personnaliser les choses pour cibler une personne en particulier.

Lorsque nous nous rendons compte que les gens n'utilisent pas une fonctionnalité, grosso modo, nous faisons usage de l'anonymat et du pseudonymat; c'est une excellente fonctionnalité. Nous essayons de faire ressortir cette fonctionnalité dans les versions subséquentes. C'est simplement pour nous aider à améliorer notre entreprise. Nous sommes une société de logiciels et de services. C'est notre secteur d'activité.

M. Mark Ryland:

Notre modèle d'affaires est tout à fait conforme à la protection de la vie privée des consommateurs, car il s'agit de respecter les choix de ceux-ci grâce à un modèle traditionnel d'achat et de vente de ressources et de produits et de services.

M. Nathaniel Erskine-Smith:

Merci.

Le président:

Nous passons maintenant à M. Angus. Vous avez cinq minutes.

M. Charlie Angus:

Merci beaucoup.

Diapers.com était une entreprise en ligne qui vendait des couches dans ce « marché concurrentiel » dont parle Amazon. Jeff Bezos voulait l'acheter. L'entreprise a refusé l'offre, alors Amazon a fixé des prix d'éviction. Amazon perdait 100 millions de dollars en couches tous les trois mois, et ce, afin de pousser un concurrent à la vente ou à la faillite. Finalement, Diapers.com a accepté l'offre. On craignait qu'Amazon ne baisse les prix encore plus.

Nous parlons d'antitrust en raison de ce qu'on appelle, dans The Economist, la « zone de destruction » de l'innovation. Or, dans le cas d'Amazon, il s'agit d'une zone de destruction de la concurrence fondée sur le pouvoir que vous avez, sur toutes vos plateformes, de baisser les prix et de pousser les gens à la faillite. Selon Shaoul Sussman, les pratiques de prix d'éviction d'Amazon relèvent de l'antitrust et réclament une mesure législative.

Que répondez-vous à cela?

M. Mark Ryland:

Je me dois de répéter que je ne suis pas un expert en droit de la concurrence et que je ne connais pas l'historique ou les détails de certains éléments dont vous faites mention.

Dans notre secteur d'activité en général, nous constatons une forte concurrence entre toutes ces entreprises. Il y a beaucoup d'entreprises en démarrage et un grand nombre de concurrents qui utilisent notre plateforme Amazon Web Services — soit AWS. Certaines des plus grandes plateformes de commerce en ligne en Allemagne et en Amérique latine, par exemple, nous font confiance et utilisent AWS. Nous pensons donc que la concurrence fonctionne bien.

M. Charlie Angus:

Oui, vous avez tous ces gens qui utilisent vos services infonuagiques, puis vous pouvez baisser les prix dans une attaque contre les petites entreprises familiales. Lena Kahn, de Open Markets, dit que, étant donné que vous dominez le marché dans un si grand nombre de secteurs, vous pouvez utiliser les profits que vous tirez des services infonuagiques pour imposer des prix d'éviction et réduire la concurrence. Elle dit que la « structure et la conduite [de votre entreprise] soulèvent des préoccupations d'ordre anticoncurrentiel, et pourtant, [la société] échappe au contrôle antitrust ».

Les législateurs doivent se pencher sur cette question, selon moi. Nous constatons que, au Canada, vous jouissez de l'avantage de ne pas payer des impôts au même titre que nos entreprises les plus pauvres. Au Royaume-Uni, vous avez gagné 3,35 milliards de livres et vous n'avez payé que 1,8 million de livres sur des revenus imposables. Si vous obtenez ce genre de traitement, on peut dire que vous êtes le plus grand assisté social de la terre entière.

Aux États-Unis, les choses vont encore plus rondement. Vous avez réalisé des profits de 11 milliards de dollars et vous avez obtenu un remboursement de 129 millions de dollars. De fait, vous avez eu droit à un taux d'imposition négatif de 1 %. Voilà un avantage extraordinaire. Quelle entreprise ou quel particulier ne voudrait obtenir un remboursement au lieu de payer des impôts?

Comment justifier l'existence d'un marché où Amazon peut couper l'herbe sous le pied de n'importe quel concurrent ou éditeur de livres sans même payer sa juste part d'impôts? Ne croyez-vous pas qu'il nous incombe de vous rappeler à l'ordre et de veiller à ce que le marché soit gouverné par des règles équitables?

(1055)

M. Mark Ryland:

Mes excuses. Comme je vous l'ai déjà dit, je ne suis pas un expert en droit de la concurrence. La discussion devait porter sur la sécurité, la protection des consommateurs et la protection de la vie privée, un domaine dans lequel j'ai une certaine expertise. Je ne suis pas en mesure de répondre à vos questions sur les sujets dont vous parlez.

M. Charlie Angus:

Oui, c'est malheureux. C'est pourquoi le président du Comité a demandé que nous invitions des gens qui soient à même de répondre aux questions, parce que ce sont là les questions qui, pour nous, les législateurs, exigent des réponses. Nous sommes dans une nouvelle ère et en raison de Facebook, nous nous trouvons dans la situation actuelle. Si les pratiques d'entreprise de Facebook étaient meilleures, nous ne serions peut-être pas tenus de nous pencher là-dessus. Or, nous y sommes tenus. Si Amazon ne se livrait pas à de telles pratiques anticoncurrentielles, nous pourrions penser que le libre marché fonctionne parfaitement, mais ce n'est pas le cas actuellement, et vous n'arrivez pas à nous donner des réponses.

Voilà qui nous place dans une situation difficile. À titre de législateurs, nous demandons des réponses. Qu'est-ce qu'un taux d'imposition équitable? Comment assurer la concurrence sur le marché? Comment pouvons-nous nous assurer qu'il n'y a pas de pratique de prix d'éviction acculant les entreprises — nos entreprises — à la faillite en raison de votre hégémonie sur le marché? Pourtant, vous n'arrivez pas à répondre à nos questions. Tout cela nous laisse très perplexes. Devrions-nous demander l'aide d'Alexa ou de Siri?

Des voix: Oh, oh!

M. Mark Ryland:

Je m'excuse, mais je n'ai pas l'expertise nécessaire pour répondre à ces questions.

M. Charlie Angus:

Merci.

Le président:

J'aimerais revenir sur ce qu'a dit M. Angus. C'est la raison pour laquelle nous avons demandé à M. Bezos de venir. Il peut répondre à ce genre de questions devant notre grand Comité. C'est lui qui aurait été à même de répondre à toutes nos questions. Nous n'aurions exclu aucun témoin du Comité, mais nous voulions entendre des gens capables de nous donner des réponses complètes au sujet de l'ensemble du dossier.

Je donne maintenant la parole à M. Lucas, du Royaume-Uni.

M. Ian Lucas:

Monsieur Weigelt, puis-je revenir à la question du transfert de données au sein de Microsoft? Vous avez dit que Microsoft avait acquis un certain nombre d'entreprises, dont LinkedIn. Pouvez-vous apporter des éclaircissements? Si je confie des renseignements à LinkedIn, ceux-ci sont-ils ensuite communiqués à d'autres entreprises au sein de Microsoft?

M. John Weigelt:

Pas du tout. LinkedIn conserve une certaine indépendance par rapport à la société Microsoft.

M. Ian Lucas:

Vous dites donc que l'information recueillie par LinkedIn est isolée et qu'elle n'est pas communiquée au sein de la société Microsoft.

M. John Weigelt:

Tout transfert de... Excusez-moi. Permettez-moi de revenir en arrière. Toute connexion entre votre profil LinkedIn et, par exemple, votre suite Office est effectuée par vous-même, l'utilisateur. C'est une connexion qui est établie sciemment. Par exemple, vous pouvez choisir de tirer parti d'une connexion à LinkedIn dans vos clients de messagerie. Alors, l'utilisateur accomplit une action dans son profil LinkedIn. C'est sa suite Office...

M. Ian Lucas:

Ce qui m'intéresse, c'est le fonctionnement par défaut. Si je m'inscris à LinkedIn, j'omets de lire les modalités d'utilisation et je donne des renseignements, est-il possible que ceux-ci soient transférés vers d'autres entreprises de la famille Microsoft, pour reprendre votre appellation?

M. John Weigelt:

LinkedIn ne partage pas de tels renseignements à l'échelle de l'entreprise à partir du système informatique dorsal.

M. Ian Lucas:

En règle générale, les renseignements sont-ils transférés à travers les différentes entreprises faisant partie de la société Microsoft?

M. John Weigelt:

En règle générale, chaque secteur d'activité est indépendant.

(1100)

M. Ian Lucas:

Y a-t-il un transfert d'informations entre les différentes entreprises?

M. John Weigelt:

Les renseignements personnels sont conservés dans chaque secteur d'activité.

M. Ian Lucas:

Je viens de poser une question très précise. La politique de la société Microsoft permet-elle le transfert de données personnelles entre les différentes entreprises appartenant à Microsoft?

M. John Weigelt:

C'est une question d'usage compatible...

M. Ian Lucas:

Pouvez-vous répondre par un oui ou par un non?

M. John Weigelt:

C'est une question d'usage compatible, n'est-ce pas? Donc, nous, à titre de...

M. Ian Lucas:

La réponse à cette question est soit oui, soit non.

M. John Weigelt:

Je dois répondre que je ne peux ni affirmer ni nier qu'il y ait... Je ne suis pas au courant.

M. Ian Lucas:

Bon, d'accord. Voilà qui ne nous avance pas beaucoup.

Pourriez-vous me revenir là-dessus?

M. John Weigelt:

Certainement.

M. Ian Lucas:

Merci.

Monsieur Neuenschwander, j'ai devant moi deux appareils Apple très impressionnants, quoique mes collègues technophiles me disent que mon iPhone est complètement dépassé.

Le problème, c'est que bien souvent, les gens accèdent à Facebook, par exemple, au moyen d'un appareil Apple. Vous avez dit qu'une grande quantité de renseignements se retrouvent dans le téléphone ou dans l'iPad d'Apple. Vous avez aussi dit que ces renseignements ne sont pas transférés ailleurs et qu'il ne vous appartient pas de les transférer. Je n'accepte pas vraiment cet argument, parce que les gens ont accès à d'autres plateformes au moyen de vos appareils.

Votre entreprise est l'une des plus grandes sociétés du monde. Vous pouvez choisir avez qui vous faites affaire. Pourquoi permettre aux entreprises qui ne partagent pas votre approche en matière de protection de la vie privée d'utiliser votre matériel pour faire des affaires?

M. Erik Neuenschwander:

Je ne sais pas si les entreprises sont d'accord ou non avec notre approche. Je pense que nous encouragerions... Nous essayons de donner l'exemple dans notre approche en matière de protection de la vie privée.

Comme je l'ai dit, l'objectif de mon équipe est, je crois, de mettre les renseignements sur l'appareil, mais je pense que nous avons une responsabilité à l'égard du déplacement de ces renseignements. C'est pourquoi nous avons pris des mesures pour que notre système d'exploitation s'interpose entre les applications et certaines données présentes sur l'appareil.

Il y a des données présentes sur l'appareil que nous n'avons jamais rendues accessibles. Il en restera ainsi, je crois. Par exemple, le numéro de téléphone de l'utilisateur ou les identificateurs du matériel qui pourraient être utilisés pour le pistage n'ont jamais été rendus accessibles sur notre plateforme.

Il s'agit d'un concept technologique du type « vase clos », selon lequel chaque application est séparée à la fois des autres applications et des données présentes dans le système d'exploitation.

M. Ian Lucas:

Là où je veux en venir, c'est que vous établissez les principes. Le président les a énoncés. C'est vraiment complexe et difficile pour nous de légiférer sur ces questions. Nous nous en rendons tous compte.

Vous pouvez décider si vous faites affaire avec Facebook. Si vous le vouliez, vous pourriez refuser à Facebook l'accès à votre matériel en cas de non-respect des principes. Facebook a causé beaucoup de tort à votre secteur. Pourquoi continuez-vous de faire affaire avec cette entreprise?

M. Erik Neuenschwander:

Si vous parlez de la disponibilité de l'application sur l'App Store, je crois qu'il y a deux...

M. Ian Lucas:

On ne peut nier qu'énormément de gens accèdent à Facebook au moyen de vos appareils.

M. Erik Neuenschwander:

D'accord. D'un côté, supposons que l'application Facebook ne soit pas offerte. Facebook a un site Web auquel les gens pourraient toujours avoir accès au moyen de notre navigateur ou d'un navigateur concurrent.

Si nous allons plus loin et disons que nous devrions commencer à imposer ce que j'appellerais...

M. Ian Lucas:

Il ne s'agit pas d'imposer quelque chose. C'est une question d'accord. Si vous croyez en vos principes et si vous êtes une entreprise éthique, vous devriez faire affaire avec des gens qui respectent vos principes. Vous avez le pouvoir de faire cela.

M. Erik Neuenschwander:

Ce qui est en mon pouvoir, je suppose, ce sont les mesures techniques. Mon approche consiste à dire que toute application ou tout service passant par le téléphone devrait comprendre des mesures techniques permettant à l'utilisateur de garder la maîtrise de ses données.

M. Ian Lucas:

Vous pourriez décider de ne pas faire affaire avec Facebook. Vous pourriez établir vos propres principes et les appliquer en choisissant avec qui vous faites affaire. Pourquoi ne faites-vous pas cela?

M. Erik Neuenschwander:

Si vous parlez de la disponibilité de Facebook sur l'App Store, le retrait de cette application n'aurait pas une incidence mesurable sur la protection de la vie privée.

M. Ian Lucas:

Vraiment?

M. Erik Neuenschwander:

Je pense que les utilisateurs...

M. Ian Lucas:

Vous feriez les manchettes, ne croyez-vous pas?

(1105)

M. Erik Neuenschwander:

Bien sûr, nous ferions les manchettes. Avec tout le respect que je vous dois, je ne crois pas que les manchettes aient nécessairement une incidence sur la protection de la vie privée. Je pense que les utilisateurs...

M. Ian Lucas:

Ne pensez-vous pas que cela aurait une incidence importante sur l'approche adoptée par Facebook?

M. Erik Neuenschwander:

Comme vous l'avez souligné, Facebook est un service extrêmement populaire. Les utilisateurs se tourneraient vers les technologies Web pour trouver d'autres façons de continuer à accéder à Facebook. Personnellement, je ne vois pas comment Apple pourrait... ou comment je pourrais, par respect pour la vie privée d'une personne...

M. Ian Lucas:

Ce qui me préoccupe, c'est que vous vous présentez comme les bons tout en facilitant les choses pour les méchants par l'entremise de votre matériel.

M. Erik Neuenschwander:

Au fil des ans, nous avons adopté de nombreuses mesures pour établir des limitations et pour en faire plus que toute autre plateforme en matière de protection de la vie privée et de maîtrise des utilisateurs sur les données présentes sur nos appareils. C'est précisément grâce à l'intégration de notre matériel informatique que nous avons pu prendre tant de mesures positives et proactives pour encourager la minimisation des données et pour permettre aux utilisateurs d'avoir une maîtrise sur leurs données.

M. Ian Lucas:

Cependant, vous voulez tout de même faire affaire avec les méchants.

Le président:

Merci, monsieur Lucas. Nous devons poursuivre.

Nous passons maintenant à Mme Naughton, de l'Irlande.

Mme Hildegarde Naughton:

Merci.

J'aimerais revenir à M. Ryland et à la question que j'ai posée plus tôt au sujet de l'affichage des noms et des adresses électroniques des clients par Amazon. Êtes-vous absolument certain que cela ne s'est pas produit?

M. Mark Ryland:

Chose certaine, je ne suis pas au courant de l'incident. Je ne crois pas que cela se soit produit, mais nous vous reviendrons là-dessus.

Mme Hildegarde Naughton:

Le 21 novembre 2018, deux articles ont paru dans The Guardian et dans The Telegraph. Dans les deux cas, on faisait état d'une importante atteinte à la protection des données chez Amazon, si bien que les noms et adresses électroniques des clients avaient été divulgués sur le site Web de l'entreprise.

M. Mark Ryland:

Je me ferai un plaisir de vous revenir là-dessus.

Mme Hildegarde Naughton:

Merci. Je voulais simplement tirer cela au clair. C'est consigné au compte rendu.

Le président:

Monsieur Lawless, vous avez la parole.

M. James Lawless:

J'ai une question au sujet de la transférabilité des données et du principe du RGPD. Cela m'a semblé poser problème.

Pour ce qui est des mégadonnées, il s'agit de savoir où elles se trouvent, comment elles sont stockées, sous quelle forme elles sont conservées, etc. Acceptez-vous cela? Souhaitez-vous conserver des données qui soient exclusives à votre société ou êtes-vous à l'aise avec l'utilisation de formats ouverts qui permettent le partage? J'aimerais savoir quelle est la position actuelle de chacun d'entre vous au sujet de la transférabilité des données.

M. Alan Davidson:

Nous pensons que l'accès et la transférabilité des données sont des éléments extrêmement importants du RGPD. En fait, ce sont des piliers de toute bonne réglementation en matière de protection de la vie privée. C'est sans parler de l'effet positif que cela pourrait avoir sur la concurrence. Nous pensons qu'il y a beaucoup de travail prometteur à accomplir pour faire en sorte que les gens sachent ce qui se trouve à tel endroit et pour que cette information — laquelle nous fournissons, d'ailleurs, lorsque nous détenons des données — soit utilisable.

Il ne s'agit pas seulement de savoir que l'on peut télécharger tout son corpus de données Facebook — je l'ai fait et j'encourage les gens à le faire, c'est très intéressant. Il s'agit aussi de rendre ces données utilisables, de telle sorte que l'utilisateur puisse les transporter ailleurs s'il le souhaite.

M. John Weigelt:

Nous nous sommes engagés à respecter le RGPD et les principes de la transférabilité des données. La grande question porte sur l'interopérabilité des profils ou des données et sur la possibilité de les déplacer dans un format approprié. Pour l'heure, on ignore encore où les gens veulent transférer leurs données et dans quels formats ils veulent le faire.

M. James Lawless:

Microsoft a fait des progrès à ce chapitre. Je sais que, par le passé, on alléguait qu'il y avait chez Microsoft un problème qui tenait aux formats exclusifs, mais aujourd'hui, on offre toujours l'option de « sauvegarder sous » un format plus ouvert. Est-ce là ce que vous avez fait?

M. John Weigelt:

Tout à fait. Même que dans le secteur, dans le domaine de l'infonuagique, des activités arbitraires ont été déplacées d'un endroit à l'autre. Nous avons adopté cette approche. De plus, nous nous sommes tournés vers la communauté des codes sources ouverts et des données ouvertes pour obtenir des conseils.

M. Erik Neuenschwander:

Anticipant le RGPD, Apple a lancé un portail de données et de renseignements personnels. Les utilisateurs peuvent télécharger leurs renseignements personnels, au titre de l'accès à l'information comme au titre de la transférabilité, en formats lisibles par des humains et par des machines.

M. Mark Ryland:

Au nom d'Amazon Web Services, où je travaille, je dirai que l'importation et l'exportation sont des fonctionnalités fondamentales de notre plateforme. Chez nous, toute fonction d'importation se double d'une fonction d'exportation dans des formats lisibles par des machines virtuelles ou dans d'autres types de formats de données d'importation ou d'exportation. Nos outils sont toujours bidirectionnels.

Nous collaborons aussi beaucoup avec la communauté des codes sources ouverts en vue de la transférabilité des codes des applications, entre autres. Par exemple, bon nombre de nos plateformes sont compatibles avec les formats pour le débardage des conteneurs, tel Kubernetes pour la gestion de grappes de serveurs. Les utilisateurs peuvent très facilement créer des systèmes caractérisés par une très grande transférabilité des données entre les plateformes. Telles sont les attentes de nos clients, attentes auxquelles nous souhaitons répondre.

(1110)

M. James Lawless:

Vous dites que c'est comme Apache, suivant les lignes directrices des fondations du code source ouvert. Les normes du code source ouvert sont en train d'être consolidées et acceptées, je suppose, dans une certaine mesure. Peut-être s'agissait-il de concepts communautaires antérieurs au RGPD, mais ces concepts sont maintenant assez généralisés, n'est-ce pas?

M. John Weigelt:

Tout à fait.

M. James Lawless:

Oui, d'accord. C'est très bien. Merci.

Merci, monsieur le président.

Le président:

Nous passons maintenant à Mme Xueling, de Singapour. Vous avez cinq minutes.

Mme Sun Xueling:

Monsieur Davidson, vous avez dit tout à l'heure, en réponse à une question de M. Baylis, qu'en ce qui concerne les publicités politiques, vous aimeriez voir les entreprises adopter des mesures pour promouvoir la transparence. J'aimerais donner deux exemples dans lesquels les mesures prises par les entreprises n'ont pas été suffisantes.

En avril 2018, Facebook a mis en œuvre de nouvelles règles pour la transparence en matière de publicité politique. Chez Facebook, on a admis avoir pris beaucoup de temps pour déceler l'ingérence étrangère dans les élections américaines de 2016. On a dit avoir amélioré la transparence en matière de publicité et on a argué que, par conséquent, il y aurait une meilleure reddition de comptes. Pourtant, à la fin d'octobre 2018, Vice News a publié un rapport montrant à quel point il était facile de contourner les barrières que Facebook avait prétendu avoir mises en place. Les journalistes ont dû se soumettre à une vérification d'identité avant de pouvoir acheter des annonces publicitaires, mais une fois cette étape franchie, ils ont été capables de publier des annonces semant la discorde et de mentir au sujet de ceux qui les avaient payées.

Voilà pour Facebook.

Par ailleurs, en août 2018, Google a déclaré avoir investi dans des systèmes robustes visant à identifier les opérations d'influence lancées par des gouvernements étrangers. Cependant, peu de temps après, un organisme sans but lucratif nommé Campaign for Accountability a mené une expérience qui a été décrite en détail: des chercheurs de l'organisme ont prétendu travailler pour un organisme de recherche Internet, puis ils ont acheté des publicités politiques ciblant les internautes américains. Selon Campaign for Accountability, chez Google, on n'a pas tenté de vérifier l'identité du compte et on a approuvé les annonces en moins de 48 heures. Les publicités ont été diffusées sur un large éventail de sites Web et de chaînes YouTube, générant plus de 20 000 visionnements, et ce, pour un coût inférieur à 100 $.

Ainsi, il ne semble pas que les plateformes soient sur le point de remplir leur promesse de protection contre l'ingérence étrangère.

Êtes-vous d'accord avec ce que je viens de dire?

M. Alan Davidson:

Manifestement, il nous reste beaucoup de travail à faire. Tout à fait. Nous qui travaillons dans ce domaine avons ressenti une frustration, car nous pensons que la transparence de la publicité est un outil extrêmement important pour accomplir cela. Les autres outils ne sont pas aussi efficaces.

Mme Sun Xueling:

Oui. Il ne semble pas qu'il s'agisse d'un problème technique à proprement parler, puisque les chercheurs ont indiqué avoir utilisé l'adresse IP russe pour accéder aux plateformes de publicité russe de Google et fournir les détails de l'organisme de recherche Internet. Ils sont allés jusqu'à payer les publicités en roubles.

Voilà qui semble indiquer que le désir de vendre des publicités est plus fort que l'intention de réduire l'ingérence étrangère.

M. Alan Davidson:

Je mettrais un bémol. Il est encore trop tôt pour dire ce qu'il en est. Il reste beaucoup à faire, à mon avis. L'expérience des élections en Inde et au Parlement européen sera peut-être instructive. Là-bas, les gens ont tenté d'adopter des mesures de manière beaucoup plus proactive. Nous devons être à même d'évaluer cela, je crois. C'est pourquoi, entre autres raisons, la transparence est importante.

Les plateformes doivent en faire plus, mais comme l'un de vos collègues l'a souligné, nous devrions aussi nous pencher sur les auteurs de ces actes...

Mme Sun Xueling:

Tout à fait, oui.

M. Alan Davidson:

... et lorsque des États-nations s'en prennent à nos entreprises, nous avons besoin de l'aide du gouvernement.

Mme Sun Xueling:

Plus tôt, vous avez parlé de garde-fous.

M. Alan Davidson:

Oui.

Mme Sun Xueling:

Je crois que c'est important pour que nous évitions de plonger dans l'abîme de la désinformation.

M. Alan Davidson:

Je suis d'accord.

Mme Sun Xueling:

Merci.

Merci, monsieur le président.

Le président:

Merci.

Nous passons maintenant à Mme Vandenbeld. C'est à vous.

Mme Anita Vandenbeld:

Je vais changer un peu le sujet de la conversation. Monsieur Davidson, dans votre déclaration préliminaire, vous avez mentionné le fait que votre entreprise met davantage l'accent sur la diversité de la main-d'œuvre. Nous savons — des témoins entendus ici l'ont aussi dit — que les algorithmes sont influencés par les préjugés sociaux de ceux qui en écrivent le code, de sorte que si la plupart des programmeurs sont des hommes dans la vingtaine, leurs préjugés sociaux seront reconduits par les algorithmes.

Dans quelle mesure est-il important de diversifier la main-d'œuvre? Comment vous y prenez-vous? Quelles sont les répercussions?

M. Alan Davidson:

Selon nous, c'est extrêmement important. Non seulement est-ce la bonne chose à faire, mais nous soutenons aussi que les produits que nous créerons seront meilleurs si nous disposons d'une main-d'œuvre plus diversifiée qui reflète l'ensemble des communautés que nous desservons.

C'est un grand problème dans la Silicon Valley et dans le secteur de la technologie en général. Je pense que nous devrions tous l'admettre. Nous devons travailler là-dessus sans relâche.

Dans notre entreprise, nous en avons fait une très grande priorité. Par exemple, chaque année, tous les cadres de notre entreprise ont des objectifs. Nous parlons d'objectifs et de résultats clés. Chacun établit ses propres critères, mais il y a un critère qui est obligatoire pour tout le monde. La question se pose comme suit: dans quelle mesure avez-vous réussi à assurer la diversité dans votre processus d'embauche? Lorsque l'on se sait évalué, on a tendance à fournir un effort quelque peu accru.

Nous devons en faire plus à ce chapitre. Nous sommes les premiers à reconnaître qu'il nous reste du chemin à faire. Je pense que nous avons fait beaucoup de progrès en matière de diversité des genres, surtout parmi les membres de la communauté du domaine technique. Dans d'autres aspects de la diversité ethnique, nos résultats sont moins bons, il nous reste beaucoup à faire. Nous y travaillons vraiment.

(1115)

Mme Anita Vandenbeld:

Merci.

M. Alan Davidson:

Merci d'avoir soulevé la question.

Mme Anita Vandenbeld:

Pourrais-je demander à chacun des autres témoins de s'exprimer à ce sujet?

M. John Weigelt:

Chez Microsoft, Satya Nadella en a fait une priorité absolue. Nous reconnaissons que nos décisions et nos produits sont meilleurs si notre entreprise reflète mieux les communautés que nous desservons.

Ici, au Canada, nous travaillons à faire en sorte que Microsoft Canada reflète la mosaïque culturelle du Canada, ce qui comprend non seulement le sexe, mais aussi les origines ethniques et l'orientation. De plus, pour les personnes qui ont des exigences d'adaptation et des méthodes de travail uniques, comme des problèmes de vision, d'ouïe ou d'attention...

Nous travaillons vraiment à forger une telle communauté en intégrant cet effort au sein de notre programme d'éthique de l'IA. Nous avons un comité de gouvernance qui se penche sur les utilisations délicates de l'IA. Ensuite, nous réunissons un groupe de personnes très diversifié pour examiner toutes les facettes de cette utilisation délicate. Nous voulons expressément obtenir le point de vue intersectionnel de toute personne de l'entreprise souhaitant émettre un commentaire afin de refléter cette mosaïque culturelle dont j'ai parlé. De cette façon, nous pensons être à même de tuer dans l'œuf certains effets imprévus potentiels, de manière à pouvoir donner des conseils et une orientation à l'avenir.

Mme Anita Vandenbeld:

Allez-y.

M. Erik Neuenschwander:

En plus de la protection des renseignements personnels, la diversité constitue l'une des quatre valeurs d'entreprise de notre PDG Tim Cook. Les deux valeurs sont très importantes. Cela va bien au-delà de l'IA. La protection de la vie privée relève surtout de la condition humaine. Pour ce qui est de la diversité des points de vue, elle nous aidera à faire de bons choix.

En matière de diversité dans notre entreprise, je n'ai pas les chiffres sous la main. Je suis sûr qu'il nous reste encore beaucoup de travail à faire. Nous avons adopté des mesures d'amélioration non seulement en matière de recrutement et de rayonnement visant à attirer des personnes de la diversité, mais aussi en matière de roulement ou de longévité de la carrière. Faire entrer une personne dans l'entreprise est une chose, s'assurer qu'elle a une expérience de carrière productive et enrichissante pour qu'elle reste dans l'entreprise et continue d'y contribuer en est une autre.

Comme je l'ai dit, nous avons encore du travail à faire sur ces deux aspects.

Mme Anita Vandenbeld:

Merci.

M. Mark Ryland:

La situation est similaire chez Amazon. Nous mettons beaucoup l'accent sur la diversité. Parmi nos objectifs d'entreprise, cet enjeu occupe une grande place. Les gestionnaires d'embauche et les cadres supérieurs sont tenus d'atteindre des objectifs précis à cet égard.

Bien entendu, ce n'est pas seulement une question d'embauche. C'est aussi une question de longévité de carrière, de gestion de carrière et de création de communautés d'intérêts au sein de notre entreprise. Ainsi, les gens sentent qu'ils font partie à la fois de l'entreprise dans son ensemble et de communautés d'intérêts qui leur ressemblent vraiment.

Nous travaillons très fort dans tous ces domaines pour accroître la diversité de l'entreprise. Encore une fois, nous pensons que c'est ce qu'il y a de mieux pour les affaires. Non seulement est-ce la bonne chose à faire, mais c'est aussi ce qui nous aidera à créer de meilleurs produits, parce que les origines diverses de nos employés correspondent aux clients que nous essayons de rejoindre.

Mme Anita Vandenbeld:

Merci.

Le président:

Merci, madame Vandenbeld.

J'aimerais expliquer le déroulement des choses. Nous aurons encore quelques interventions, puis nous entendrons les derniers commentaires des vice-présidents, du coprésident et de moi-même. Ensuite, ce sera terminé. Si nous dépassons les 11 h 30, ce sera de peu.

Monsieur Kent, vous avez cinq minutes.

L'hon. Peter Kent:

Merci, monsieur le président.

J'aimerais revenir à la question de la concurrence, de l'antitrust et des monopoles dans le nouveau marché. On a beaucoup parlé récemment, particulièrement aux États-Unis, des nouveaux monopoles numériques et du fait qu'ils sont peut-être beaucoup plus durables que les monopoles du passé — les chemins de fer, les compagnies de téléphone, etc. Ces monopoles peuvent vaincre leurs concurrents en les achetant ou en les détruisant.

Hier, j'ai cité, à l'intention du représentant de Facebook qui comparaissait au Comité, les écrits de Chris Hughes, le cofondateur de Facebook, désormais désillusionné. Certains de nos témoins d'aujourd'hui ont laissé entendre que leurs entreprises seraient peut-être prêtes à accepter des déclinaisons de la loi européenne. Toutefois, M. Hughes a fait les manchettes en laissant entendre que Facebook devrait être démantelée et faire l'objet d'une démarche antitrust. Il a dit ceci: « Ce qui effraie chez Facebook, ce n'est pas quelques règles de plus. C'est une poursuite antitrust ».

Je sais que la défense contre les poursuites antitrust peut poser problème. En situation de monopole en matière de mégadonnées, vous invoquez l'excuse suivante: votre service est gratuit, il n'y a pas de coûts tangibles associés aux achats des consommateurs.

C'est peut-être une question trop vaste pour le poste que vous détenez, comme on l'a déjà dit. C'est pourquoi nous avions demandé que les PDG soient présents aujourd'hui. Je me demande tout de même, particulièrement dans le cas d'Amazon et de Microsoft, si vous pourriez nous parler du point de vue de vos entreprises visant à contrer ces discussions antitrust et les appels au démantèlement dans l'intérêt d'une plus grande concurrence et d'une plus grande protection des consommateurs.

Je pose d'abord la question à M. Ryland.

(1120)

M. Mark Ryland:

Je dirai volontiers quelques mots à ce sujet.

Comme je l'ai déjà dit, notre modèle d'affaires est très traditionnel. Nous vendons des biens et des services — lesquels ont une valeur pécuniaire — tant dans notre commerce de détail Amazon.com que dans notre entreprise d'infonuagique, et nous faisons face à une concurrence féroce pour toutes sortes de services et de plateformes qui ne se limitent pas à l'Internet. Les gens utilisent une grande variété de canaux et de mécanismes pour acquérir des services de TI, que ce soit pour l'infonuagique ou pour d'autres types de ressources. De notre point de vue, il s'agit tout simplement d'un modèle d'affaires très différent, et notre utilisation des données pour améliorer l'expérience des consommateurs est, à notre avis, très avantageuse pour les consommateurs. Ceux-ci apprécient vraiment l'expérience d'utilisation de ces technologies.

À mon avis, c'est une approche qui diffère beaucoup de certains enjeux que vous soulevez. Je m'en tiens à cette affirmation plutôt générale. En ce qui concerne les détails du droit de la concurrence, comme je l'ai déjà dit, je ne suis pas un expert.

Je pense vraiment que notre modèle d'affaires est très traditionnel à cet égard. C'est un peu différent, à mon avis.

L'hon. Peter Kent:

Merci.

Je vais passer au témoin de Microsoft.

M. John Weigelt:

Au vu de la longévité de notre entreprise, qui existe depuis les années 1970, nous avons connu des fluctuations. Nous avons eu un téléphone par le passé. Nous avons un excellent navigateur, mais celui-ci a subi un certain nombre de modifications. Auparavant, on disait: un ordinateur sur chaque bureau. Aujourd'hui, on dit plutôt: un téléphone dans chaque poche. Ces fluctuations traversent le milieu qui est le nôtre.

Pour ce qui est de l'environnement des données, les consommateurs se tourneront vers les services qui leur plaisent. Il y aura des fluctuations. Si vous parlez aux milléniaux, ils vous diront qu'ils utilisent différents services. Par exemple, mes enfants — qui, s'ils ne se considèrent pas comme des milléniaux, occupent le même espace —, diront ceci: « Papa, ne me parle pas sur cette plateforme, je ne suis pas là. Parle-moi sur cette autre plateforme ». Ces choses-là fluctuent.

Des données, on passe ensuite aux algorithmes. Nous entrevoyons une ère algorithmique et une monétisation des algorithmes. Nous assistons à une transition des algorithmes aux API, les gens tirant un profit pécuniaire de ces API.

Nous voyons ce moteur d'innovation en marche, qui va continuellement de l'avant. Nous devons travailler ensemble pour essayer d'anticiper les conséquences imprévues et d'apprendre en cours de route des leçons en matière de désinformation. C'est comme le jeu de la taupe: on n'a pas plus tôt frappé une taupe qu'une autre resurgit à un endroit imprévu. On s'exclame alors: « Oh, nous n'avions pas pensé à cela. » En travaillant ensemble, nous pouvons mettre en place les instruments pour y arriver.

J'ai donné une réponse abstraite à votre question au sujet de l'anticoncurrence et de l'antitrust, je sais, mais j'aimerais aborder la question sous l'angle général et sur le plan des fluctuations. Comment pouvons-nous mettre en place des mécanismes de protection solides pour les entreprises et les particuliers? Grâce à des partenariats.

L'hon. Peter Kent:

C'est au tour des témoins d'Apple et de Mozilla.

M. Erik Neuenschwander:

Je ne crois pas avoir grand-chose à ajouter aux observations des autres témoins. Je pense que nous essayons à la fois d'offrir la diversité de l'App Store à nos utilisateurs et de favoriser une grande concurrence. De nombreuses entreprises ont connu une grande réussite dans cet espace.

En ce qui concerne les données personnelles, nous pratiquons la minimisation des données et nous essayons de donner le pouvoir non pas à Apple, mais bien aux utilisateurs.

M. Alan Davidson:

Je dirai simplement que je travaille pour une entreprise qui, d'une certaine façon, a pris naissance en réaction à Internet Explorer, qui était un joueur dominant dans le marché à l'époque. Nous croyons que la loi antitrust constitue un garde-fou très important pour le marché. Comme tout le monde, nous voulons qu'il y ait des règles du jeu équitables sur le plan de la concurrence.

À notre avis, il y a beaucoup de préoccupations au sujet de la taille des entreprises. Plus grande est la taille, plus grande est la responsabilité. Nous pensons aussi que les organismes de réglementation antitrust disposent de beaucoup d'outils très puissants à l'heure actuelle. Nous devons, je crois, réfléchir à la façon de donner à ces organismes plus d'information, plus d'outils et une meilleure compréhension des API et de la puissance des données dans leur analyse, notamment. C'est d'abord là que nous devons effectuer une mise à niveau, tandis que nous réfléchissons à la façon d'élargir les rôles. C'est un domaine très important.

(1125)

L'hon. Peter Kent:

Pour moderniser numériquement...?

M. Alan Davidson:

Nous avons besoin d'une application contemporaine et numérique de la loi antitrust.

L'hon. Peter Kent:

Merci.

Le président:

Merci, monsieur Kent.

Le dernier intervenant est M. Graham. C'est à vous.

M. David de Burgh Graham:

Merci.

J'ai posé des questions à tout le monde un peu plus tôt. J'aimerais donc discuter un peu avec M. Ryland d'Amazon.

Plus tôt, vous avez discuté avec M. Lucas de la question de savoir si la sécurité d'Alexa avait déjà été compromise. Si je me souviens bien, vous avez dit que non. Est-ce exact?

M. Mark Ryland:

C'est exact.

M. David de Burgh Graham:

Vous n'êtes pas au courant du piratage de Checkmarx d'il y a à peine un an, qui a complètement compromis Alexa et qui pourrait causer la diffusion en direct d'innombrables enregistrements audio?

M. Mark Ryland:

Je n'étais pas au courant de ce... Je vais vous revenir là-dessus.

M. David de Burgh Graham:

N'êtes-vous pas le directeur de l'ingénierie de sécurité?

M. Mark Ryland:

Qu'est-ce que c'est?

M. David de Burgh Graham:

N'êtes-vous pas le directeur de l'ingénierie de sécurité?

M. Mark Ryland:

Oui, chez Amazon Web Services.

M. David de Burgh Graham:

Vous travaillez pour Amazon Web Services; on ne nous a donc pas envoyé quelqu'un de Amazon. Je voulais simplement que ce soit clair.

Amazon a un système de marketing intégré. Si je cherche une information sur Amazon et je vais ensuite sur un autre ordinateur et un autre site Web, il y aura des annonces de Amazon me demandant si je veux acheter l'article que j'avais cherché antérieurement sur un autre appareil et avec une adresse IP différente. Que fait Amazon pour savoir cela? Quel genre d'échange de données y a-t-il entre Amazon et des sites comme Facebook et autres? Par exemple, National Newswatch me fait le coup.

Comment se fait cet échange d'information? Comment savez-vous qui je suis quand j'utilise un autre appareil?

M. Mark Ryland:

Nous faisons des échanges publicitaires. Nous avons tout un site consacré à la vie privée, qui vous permet de désactiver la publicité. Cela dit, il ne s'agit pas de renseignements personnels. Les données sont anonymisées. Le système se fonde sur un profilage démographique.

Je répète qu'il est très simple de désactiver la publicité sur notre site Web. On peut également se valoir d'outils commerciaux, comme AdChoices, pour éviter de participer aux réseaux publicitaires.

M. David de Burgh Graham:

Ce sont des données soi-disant anonymes, mais le système sait exactement ce que j'ai cherché il y a trois heures.

M. Mark Ryland:

Je ne sais quoi vous dire dans votre cas précis, mais nous n'utilisons pas vos renseignements personnels à de telles fins.

M. David de Burgh Graham:

D'accord.

Au tout début de la réunion, vous avez présenté des points de vue intéressants sur le consentement à l'utilisation des données, ce qui a suscité une excellente intervention de M. Angus. Selon Amazon ou selon vous, quelle est la limite de consentement pour la divulgation de données? Est-ce explicite? Suffit-il que la boîte précise qu'il s'agit d'un appareil « intelligent » pour que le consentement à divulguer des données soit sous-entendu?

M. Mark Ryland:

Nous pensons que le plus logique, c'est d'être sensible au contexte. Le consommateur averti aura sûrement une idée de ce qui est en jeu. Si ce n'est pas le cas, il faudra nous arranger pour que ce soit plus explicite. C'est très contextuel.

Cela dépend aussi, bien entendu, du type de données. Certaines sont beaucoup plus délicates que d'autres. Comme l'un des panélistes l'a mentionné, utiliser une plateforme de jeux en ligne et consulter un site sur les soins de santé sont deux choses entièrement différentes; il faut donc connaître le contexte et le contenu. Le consentement fondé sur le contexte est tout à fait logique.

M. David de Burgh Graham:

D'accord.

Vous avez dit plus tôt que votre entreprise est axée sur la clientèle. Accordez-vous autant d'importance à vos travailleurs?

M. Mark Ryland:

Oui. Nous nous efforçons de le faire.

M. David de Burgh Graham:

Vous ne suivez pas des pratiques antisyndicales?

M. Mark Ryland:

Ce n'est pas mon champ d'expertise, mais je dirais que nous traitons nos travailleurs avec respect et dignité. Nous nous efforçons de leur offrir de bons salaires et des conditions de travail raisonnables.

M. David de Burgh Graham:

Obtenez-vous des données de vos propres employés?

M. Mark Ryland:

Comme toutes les entreprises, nous recueillons des données sur des aspects comme l'accès à Internet et l'utilisation responsable de notre technologie pour protéger les autres travailleurs.

M. David de Burgh Graham:

Alors Amazon n'aurait jamais distribué de matériel promotionnel antisyndical à des entreprises nouvellement acquises.

M. Mark Ryland:

Je ne suis pas au courant de ce genre de scénario.

M. David de Burgh Graham:

Eh bien, j'espère que lors de notre prochaine réunion, nous pourrons compter sur un représentant de Amazon qui en sache plus long sur les politiques de l'entreprise. Vous maîtrisez sans doute les services sans fil évolués, mais ce qu'il nous faut, c'est nous faire une idée globale du fonctionnement de Amazon.

Je pense que c'est tout pour l'instant. Merci.

Le président:

Merci, monsieur de Burgh Graham.

Il semble que j'ai oublié Mme Stevens du Royaume-Uni, et...

M. James Lawless:

Monsieur le président, avant que vous ne donniez la parole à Mme Stevens, je dois m'excuser, car nous devons prendre l'avion.

Je voudrais simplement remercier les membres de tout le travail qui a été fait ces derniers jours.

Le président:

D'accord. Merci. Nous vous reverrons en novembre prochain.

M. James Lawless: Absolument.

Le président: Toutes nos salutations à Mme Naughton. Merci d'être venus.

M. James Lawless:

Merci beaucoup.

Le président:

Allez-y, madame Stevens.

Mme Jo Stevens:

Merci beaucoup, monsieur le président.

J'aimerais revenir à quelque chose que vous avez dit tout à l'heure, monsieur Weigelt, au sujet d'un conseil ou d'un groupe qui doit se pencher sur l'utilisation judicieuse de l'intelligence artificielle. Pouvez-vous me donner un exemple du genre de déploiement qui serait « judicieux » d'après vous?

(1130)

M. John Weigelt:

Il y a d'abord l'utilisation de l'intelligence artificielle dans le diagnostic médical. Il y a trois critères à examiner: le système peut-il approuver ou refuser des services corrélatifs? Y a-t-il atteinte aux droits de la personne ou à la dignité humaine? Y a-t-il des problèmes de santé et de sécurité?

Dans un cas, des chercheurs ont établi des algorithmes d'intelligence artificielle sur les radiographies pulmonaires. Ils ont ensuite voulu les incorporer à la salle d'urgence, pour en constater le fonctionnement et les effets sur les patients. Notre comité s'est réuni. Nous avons examiné les ensembles de données. Nous avons étudié la validité de cet ensemble de données ouvertes et le nombre de personnes visées. Nous avons ensuite déconseillé leur usage clinique aux chercheurs en cause en leur précisant que tout logiciel utilisé comme instrument médical est un domaine complètement différent. Il faut des certifications et tout le reste.

Un usage judicieux serait d'évaluer si l'intelligence artificielle peut oui ou non tirer des leçons de ces examens. C'est l'optique que nous avons tendance à adopter en la matière.

Mme Jo Stevens:

C'est un exemple très utile. Merci.

Nous savons, et ce ne sont pas les preuves qui manquent, qu'il y a des préjugés délibérés et inconscients inhérents à l'intelligence artificielle. Je pense qu'il y a un argument assez solide en faveur d'une approche réglementaire pour régir son déploiement, un peu comme ce que nous avons dans, disons, le secteur pharmaceutique. Avant de mettre un médicament sur le marché, il faut en examiner les effets secondaires indésirables.

Qu'en pensez-vous? Pensez-vous qu'il y a un argument en faveur d'une approche réglementaire, particulièrement parce que, comme nous le savons, le déploiement actuel de l'intelligence artificielle est discriminatoire envers les femmes, les Noirs et les minorités ethniques? Des gens perdent leur emploi et n'ont pas accès à des services comme des prêts et des hypothèques à cause de cela.

M. John Weigelt:

Absolument. Je pense que vous avez raison de parler du parti pris involontaire en ce qui a trait aux décisions en matière d'intelligence artificielle; il s'agit donc de nous protéger contre cela. C'est l'un des principes techniques sur lesquels nous travaillons fort pour donner des conseils et des directives à nos équipes.

Il y a certains domaines où nous avons préconisé une action très rapide et directe pour agir plus prudemment et plus délibérément, comme dans le cas du logiciel de reconnaissance faciale. Pour revenir à ce que vous disiez, bon nombre de ces modèles ont été formés en fonction d'une communauté très homogène et ne tiennent donc pas compte de la diversité des gens qu'ils doivent servir.

Nous sommes d'ardents défenseurs de la mise en place de cadres législatifs pour certains régimes de consentement, par exemple s'il faut des bannières dans les rues, s'il faut des paramètres, s'il faut définir la différence entre l'espace public et l'espace privé, et ainsi de suite.

Mme Jo Stevens:

Dans quelle mesure êtes-vous prêt à rendre public le travail que vous avez fait? Je vous en sais gré si vous le faites officieusement. C'est très bien, mais il serait utile de savoir ce que vous faites et ce que font vos collègues.

M. John Weigelt:

Absolument. Il est clair que nous devons mieux renseigner la collectivité de l'excellent travail qui est en cours. Nous avons publié des lignes directrices sur les robots et sur la façon de s'assurer qu'ils se comportent correctement, car figurez-vous que nous avons eu nos propres ennuis avec un robot sectaire qui a semé la discorde pendant un certain temps. Nous en avons tiré des leçons. Notre PDG a appuyé notre équipe et nous avons progressé. Nous avons fourni des conseils, et ils sont accessibles au public.

Nous avons ce qu'on appelle la AI Business School, qui propose toute une série de cours à l'intention des chefs d'entreprise pour mettre en place un modèle de gouvernance de l'intelligence artificielle. Nous travaillons avec ce milieu pour l'aider. Nous nous efforçons de diffuser le travail que nous faisons à l'interne dans le cadre de notre examen de l'éthique de l'intelligence artificielle.

Enfin, je dirais que nous travaillons dans le cadre d'une soixantaine d'activités d'orientation en matière de réglementation qui se déroulent partout dans le monde afin de commencer à socialiser cet aspect du point de vue de l'expérience pratique. Ici, au Canada, on s'occupe de mettre au point les critères d'évaluation de l'impact de l'intelligence artificielle et la norme d'éthique correspondante.

Mme Jo Stevens:

Ce serait vraiment bien de voir un assistant virtuel coupé sur un patron tout autre que celui d'une femme servile. J'ai hâte de voir quelque chose de différent.

Merci.

Le président:

Merci, madame Stevens.

Nous allons maintenant entendre les observations finales de nos vice-présidents, puis du coprésident.

Monsieur Erskine-Smith, voulez-vous commencer par vos 60 secondes, s'il vous plaît?

M. Nathaniel Erskine-Smith:

Je pense que si nous avons tiré des leçons des derniers jours, c'est que nous continuons de vivre dans une ère de capitalisme de surveillance qui pourrait avoir de graves conséquences sur nos élections, sur notre vie privée, voire sur notre envie d'innover.

Malgré certaines frustrations, je crois que nous avons fait des progrès. Toutes les plateformes et toutes les entreprises de mégadonnées nous ont dit ce qu'elles n'avaient pas dit auparavant, à savoir qu'elles allaient adopter des règles plus rigoureuses en matière de protection de la vie privée et des données.

Hier, les responsables des plateformes ont fait remarquer qu'ils doivent rendre des comptes au public lorsqu'ils prennent des décisions sur le contrôle du contenu, et ils ont reconnu la responsabilité des entreprises à l'égard des répercussions algorithmiques. Il y a donc des progrès, mais il reste encore beaucoup de travail à faire en ce qui concerne la concurrence et la protection des consommateurs, et la reconnaissance de la responsabilité des algorithmes qu'ils utilisent, pour passer à une responsabilisation et responsabilité réelles lorsque les décisions ont des conséquences négatives.

Je pense qu'il y a encore beaucoup de travail à faire, et cela dépendra d'une coopération mondiale suivie. Je pense que notre communauté canadienne a su transcender les lignes de parti. Ce comité international travaille maintenant efficacement dans plusieurs pays.

La dernière chose que je dirai, c'est qu'il ne s'agit pas seulement de s'attaquer à ces graves problèmes mondiaux au moyen d'une coopération mondiale sérieuse entre les parlementaires; il faut une coopération mondiale de la part des entreprises. S'il y a une dernière chose à retenir, c'est que les entreprises ne l'ont tout simplement pas pris assez au sérieux.

(1135)

Le président:

Merci, monsieur Erskine-Smith.

Nous passons maintenant à M. Angus.

M. Charlie Angus:

Merci à nos deux excellents présidents. Merci à nos témoins.

Je pense que nous avons vu quelque chose d'extraordinaire. Je suis très fier du Parlement canadien et de notre volonté de participer à ce processus.

Il y a eu des témoignages extraordinaires en ce qui a trait à la qualité des questions, et j'ai été très fier d'en faire partie. Deux faits extraordinaires, c'est que, au cours de mes 15 années en fonction, nous n'avons jamais réussi à transcender les lignes de parti sur ainsi dire quoi que ce soit, et pourtant, nous voilà réunis. De plus, nous n'avons jamais travaillé au-delà des frontières internationales. Nous pouvons remercier un dénonciateur canadien, Christopher Wylie, qui a lancé l'alerte sur le Tchernobyl numérique qui sévissait autour de nous.

Les politiciens, nous ne nous occupons pas des aspects techniques complexes. Ils nous effraient. Nous n'avons pas l'expertise nécessaire, alors nous avons tendance à les éviter, ce qui a été un grand avantage pour la Silicon Valley pendant des années.

Ces choses ne sont pas tellement techniques. Je pense que ce que nous avons fait ces deux derniers jours avec nos collègues d'autres pays — et ce que nous continuerons de faire à l'échelle internationale — c'est de rendre les choses aussi simples et claires que possible pour rétablir la primauté de la personne humaine dans le domaine des mégadonnées. La vie privée est un droit fondamental qui sera protégé. Les législateurs ont l'obligation et le devoir de protéger les principes démocratiques de notre pays, comme la liberté d'expression et le droit de participer à l'univers numérique sans faire proliférer l'extrémisme. Ce sont là des principes fondamentaux sur lesquels reposent nos démocraties. Ce qui était vrai à l'ère des lettres manuscrites est tout aussi vrai à l'ère de la téléphonie.

Je tiens à remercier mes collègues de leur participation. Je pense que nous sortons de nos réunions beaucoup plus forts qu'avant et nous prendrons encore plus de force à l'avenir. Nous voulons travailler avec les entreprises de technologie pour faire en sorte que le monde numérique soit un monde démocratique au XXIe siècle.

Merci à tous.

Le président:

Merci, monsieur Angus.

C'est votre tour, monsieur Colllins.

M. Damian Collins:

Merci beaucoup, monsieur le président.

J'aimerais commencer par vous féliciter, vous et les membres de votre comité, de l'excellent travail que vous avez fait en organisant et présidant ces séances. Je pense que cette rencontre a réussi à faire exactement ce que nous espérions. Elle s'appuie sur les travaux que nous avions entrepris à Londres. Je pense que c'est un modèle de coopération entre les comités parlementaires de différents pays qui travaillent sur les mêmes questions et profitent mutuellement de leurs expériences et connaissances connexes.

Les séances ont été divisées entre ce que nous appelons les entreprises de médias sociaux hier et d'autres entreprises de données ici. En réalité, ce dont nous parlons, c'est que même s'il y a différentes fonctions, ce sont toutes des entreprises de données énormes. Ce qui nous intéresse, c'est la façon dont elles recueillent leurs données, si elles ont le consentement des intéressés, et ce qu'elles font de ces données.

Au cours des séances, nous avons vu à maintes reprises des entreprises refuser de répondre à des questions directes sur la façon dont elles obtiennent des données et dont elles les utilisent. Qu'il s'agisse de savoir comment Amazon et Facebook échangent les données... Même si c'est amplement diffusé, il demeure que nous ne le savons pas. Mon collègue, M. Lucas, a posé une question au sujet de l'échange des données de LinkedIn et de Microsoft. Il est possible d'intégrer totalement vos données LinkedIn à vos outils Microsoft, et une recherche rapide sur Google vous dira exactement comment faire.

Je ne comprends pas pourquoi les entreprises ne veulent pas parler ouvertement des outils qu'elles mettent en place. Les gens peuvent consentir à utiliser ces outils, mais comprennent-ils la portée des données qu'ils divulguent ce faisant? Si c'est aussi simple et direct qu'il semble, je suis toujours surpris que les gens ne veuillent pas en parler. Pour moi, ces séances sont importantes parce que nous avons l'occasion de poser les questions que les gens ne poseront pas et de continuer à insister pour obtenir les réponses dont nous avons besoin.

Merci.

Le président:

Je vais d'abord m'adresser aux panélistes, puis je ferai quelques observations finales.

Je tiens à vous encourager. Vous aviez promis, surtout M. Ryland, de nous donner beaucoup de documents que vous n'avez pas... Divers commentateurs n'avaient pas toute l'information que nous demandions. Je vous implore de fournir les renseignements que nous avons demandés au greffier à mes côtés afin que nous puissions obtenir une réponse complète pour le Comité. Nous la distribuerons ensuite à tous les délégués ici présents.

Ce que je ne risque pas d'oublier de sitôt, c'est le commentaire de Roger McNamee au sujet de l'expression « poupées vaudou ».

Je regarde mes enfants. J'en ai quatre, âgés de 21, 19, 17 et 15 ans, respectivement. Je les vois devenir de plus en plus dépendants de ces appareils téléphoniques. Je vois le travail effectué par nos collègues à Londres au sujet de la dépendance que ces appareils peuvent créer. Je me demandais où on voulait en venir. On voit clairement que le capitalisme de surveillance, tout le modèle des affaires, ne demandent qu'une chose: garder ces enfants, nos enfants, collés au téléphone, même si c'est au prix de leur santé. C'est une question d'argent, tout simplement. Nous avons la responsabilité de faire quelque chose à ce sujet. Nous nous soucions de nos enfants, et nous ne voulons pas qu'ils soient transformés en poupées vaudou contrôlées par le tout-puissant dollar et le capitalisme.

Comme nous aimons tellement les appareils, je pense qu'il nous reste du travail à faire pour nous assurer que nous continuons d'offrir l'accès. Nous aimons la technologie et nous l'avons déjà dit. La technologie n'est pas le problème; c'est le véhicule. Nous devons nous attaquer aux causes de ces pratiques qui créent une dépendance.

Je vais dire merci et faire quelques derniers commentaires.

Merci à notre greffier. Nous allons l'applaudir pour s'être si bien tiré d'affaire.

Il a ce regard sur son visage parce que des événements comme celui-ci ne se déroulent pas sans ses petits problèmes. Nous nous en occupons au fur et à mesure, alors c'est difficile. Encore une fois, un gros merci à Mike MacPherson, pour avoir tout si bien résolu.

Je remercie également mon équipe — à ma gauche, Kera, Cindy, Micah, Kaitlyn — de m'avoir aidé à régler les questions administratives. Je pense qu'ils ont hâte de décompresser.

Avant de terminer, je vais encore évoquer... Oh, j'ai oublié les analystes. Désolé. J'oublie toujours nos pauvres analystes. Veuillez vous lever.

Merci pour tout.

Merci également aux interprètes. Il y avait trois langues à traduire, alors je vous remercie de nous avoir accompagnés toute la semaine.

Je salue notre ami Christopher Wylie, même si les sandwichs ont fini par avoir la vedette. Je ne sais pas si quelqu'un a vu ses gazouillis, « En plus d'une occasion ratée de faire preuve de démocratie, Zuckerberg a manqué toute l'action autour des sandwichs. » Notre ami m'a suggéré d'envoyer les restes par la poste au siège social de Facebook. C'est peut-être ainsi que nous réussirons à remettre la convocation en bonnes mains.

Je tiens à remercier tous les médias d'avoir accordé à cette question l'attention qu'elle mérite. C'est notre avenir et celui de nos enfants qui sont en jeu.

Encore une fois, merci à tous les panélistes qui sont venus de si loin, en particulier nos membres du Royaume-Uni, qui sont nos frères et sœurs de l'autre côté de l'océan.

Singapour est toujours là aussi. Merci d'être venus.

Passez une bonne journée.

Nous nous reverrons en Irlande au mois de novembre.

La séance est levée.

Hansard Hansard

committee ethi foss hansard 68302 words - whole entry and permanent link. Posted at 22:44 on May 29, 2019

2019-05-28 ETHI 154

Standing Committee on Access to Information, Privacy and Ethics

(1530)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

We'll call to order the Standing Committee on Access to Information, Privacy and Ethics for meeting 154, an by extension, the international grand committee on big data, privacy and democracy.

I don't need to go through the list of countries that we have already mentioned, but I will go through our witnesses very briefly.

From the Office of the Privacy Commissioner of Canada, we have Mr. Daniel Therrien, the Privacy Commissioner of Canada.

As an individual, we have Joseph A. Cannataci, special rapporteur on the right to privacy for the United Nations.

We are having some challenges with the live video feed from Malta. We'll keep working through that. I'm told by the clerk that we may have to go to an audio feed to get the conversation. We will do what we have to do.

Also we'd like to welcome the chair of the United States Federal Election Commission, Ellen Weintraub.

First of all, I would like to speak to the meeting's order and structure. It will be very similar to that of our first meeting this morning. We'll have one question per delegation. The Canadian group will have one from each party, and we'll go through until we run out of time with different representatives to speak to the issue.

I hope that makes sense. It will make sense more as we go along.

I would like to thank the members who came to our question period today. I personally thank the Speaker for recognizing the delegation.

I'll give Mr. Collins the opportunity for to open it up.

Mr. Collins.

Mr. Damian Collins (Chair, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you.

Let me put my first question to all three of the witnesses.

The Chair:

Shall we have statements first?

Mr. Damian Collins:

Okay.

The Chair:

We'll have opening statements. We'll start with Mr. Therrien.

Go ahead for 10 minutes.

Mr. Daniel Therrien (Privacy Commissioner of Canada, Office of the Privacy Commissioner of Canada):

Thank you, Mr. Chair.

Members of the grand committee, thank you for the invitation to address you today.

My remarks will address three points that I think go to the heart of your study: first, that freedom and democracy cannot exist without privacy and the protection of our personal information; second, that in meeting the risks posed by digital harms, such as disinformation campaigns, we need to strengthen our laws in order to better protect rights; lastly, I will share suggestions on what needs to be done in Canada, as I'm an expert in Canadian privacy regulation, so that we have 21st century laws in place to ensure that the privacy rights of Canadians are protected effectively.

I trust that these suggestions made in a Canadian context can also be relevant in an international context.

As you know, my U.K. counterpart, the Information Commissioner's Office, in its report on privacy and the political process, clearly found that lax privacy compliance and micro-targeting by political parties had exposed gaps in the regulatory landscape. These gaps in turn have been exploited to target voters via social media and to spread disinformation. [Translation]

The Cambridge Analytica scandal highlighted the unexpected uses to which personal information can be put and, as my office concluded in our Facebook investigation, uncovered a privacy framework that was actually an empty shell. It reminded citizens that privacy is a fundamental right and a necessary precondition for the exercise of other fundamental rights, including democracy. In fact, privacy is nothing less than a prerequisite for freedom: the freedom to live and develop independently as individuals, away from the watchful eye of surveillance by the state or commercial enterprises, while participating voluntarily and actively in the regular, day-to-day activities of a modern society.[English]

As members of this committee are gravely aware, the incidents and breaches that have now become all too common go well beyond matters of privacy as serious as I believe those to be. Beyond questions of privacy and data protection, democratic institutions' and citizens' very faith in our electoral process is now under a cloud of distrust and suspicion. The same digital tools like social networks, which public agencies like electoral regulators thought could be leveraged to effectively engage a new generation of citizens, are also being used to subvert, not strengthen, our democracies.

The interplay between data protection, micro-targeting and disinformation represents a real threat to our laws and institutions. Some parts of the world have started to mount a response to these risks with various forms of proposed regulation. I will note a few.

First, the recent U.K. white paper on digital harms proposes the creation of a digital regulatory body and offers a range of potential interventions with commercial organizations to regulate a whole spectrum of problems. The proposed model for the U.K. is to add a regulator agency for digital platforms that will help them develop specific codes of conduct to deal with child exploitation, hate propaganda, foreign election interference and other pernicious online harms.

Second, earlier this month, the Christchurch call to eliminate terrorist and violent extremist content online highlighted the need for effective enforcement, the application of ethical standards and appropriate co-operation.

Finally, just last week here in Canada, the government released a new proposal for an update to our federal commercial data protection law as well as an overarching digital charter meant to help protect privacy, counter misuse of data and help ensure companies are communicating clearly with users.

(1535)

[Translation]

Underlying all these approaches is the need to adapt our laws to the new realities of our digitally interconnected world. There is a growing realization that the age of self-regulation has come to an end. The solution is not to get people to turn off their computers or to stop using social media, search engines, or other digital services. Many of these services meet real needs. Rather, the ultimate goal is to allow individuals to benefit from digital services—to socialize, learn and generally develop as persons—while remaining safe and confident that their privacy rights will be respected.[English]

There are certain fundamental principles that I believe can guide government efforts to re-establish citizens' trust. Putting citizens and their rights at the centre of these discussions is vitally important, in my view, and legislators' work should focus on rights-based solutions.

In Canada, the starting point, in my view, should be to give the law a rights-based foundation worthy of privacy's quasi-constitutional status in this country. This rights-based foundation is applicable in many countries where their law frames certain privacy rights explicitly as such, as rights, with practices and processes that support and enforce this important right.

I think Canada should continue to have a law that is technologically neutral and principles based. Having a law that is based on internationally recognized principles, such as those of the OECD, is important for the interoperability of the legislation. Adopting an international treaty for privacy and data protection would be an excellent idea, but in the meantime, countries should aim to develop interoperable laws.

We also need a rights-based statute, meaning a law that confers enforceable rights to individuals while also allowing for responsible innovation. Such a law would define privacy in its broadest and truest sense, such as freedom from unjustified surveillance, recognizing its value in correlation to other fundamental rights.

Privacy is not limited to consent, access and transparency. These are important mechanisms, but they do not define the right itself. Codifying the right, in its broadest sense, along the principles-based and technologically neutral nature of the current Canadian law would ensure it can endure over time, despite the certainty of technological developments.

One final point I wish to make has to do with independent oversight. Privacy cannot be protected without independent regulators and the power to impose fines and to verify compliance proactively to ensure organizations are truly accountable for the protection of information.

This last notion, demonstrable accountability, is a needed response to today's world, where business models are opaque and information flows are increasingly complex. Individuals are unlikely to file a complaint when they are unaware of a practice that may harm them. This is why it is so important for the regulator to have the authority to proactively inspect the practices of organizations. Where consent is not practical or effective, which is a point made by many organizations in this day and age, and organizations are expected to fill the protective void through accountability, these organizations must be required to demonstrate true accountability upon request.

What I have presented today as solutions are not new concepts, but as this committee takes a global approach to the problem of disinformation, it's also an opportunity for domestic actors—regulators, government officials and elected representatives—to recognize what best practices and solutions are emerging and to take action to protect our citizens, our rights, and our institutions.

Thank you. I look forward to your questions.

(1540)

The Chair:

Thank you once again, Mr. Therrien.

We're going to double-check whether Mr. Cannataci is able to stream. No.

We'll go next to Ms. Weintraub for 10 minutes.

Ms. Ellen Weintraub (Chair, United States Federal Election Commission):

Thank you.

The Chair:

I'm sorry, Ms. Weintraub.

We just heard the comments. He's available to speak.

My apologies, Ms. Weintraub. I guess we have him on, so we'll go ahead.

Mr. Cannataci, go ahead for 10 minutes.

Professor Joseph A. Cannataci (Special Rapporteur on the Right to Privacy, United Nations, As an Individual):

Thank you very much, Mr. Chair, and members of the grand committee, for the invitation to speak.

I will try to build on what Mr. Therrien has said in order to cover a few more points. I will also make some references to what other witnesses presented previously.

First, I will be trying to take a more international view, though the themes that are covered by the committee are very global in nature. That's why when it comes to global...the previous witness spoke about an international treaty. One of the reasons, as I will be explaining, that I have decided in my mandate at the United Nations to go through a number of priorities when it comes to privacy is that the general framework of privacy and data protection in law insofar as an international treaty is concerned, who regulates this, doesn't happen to be specifically a UN treaty. It happens to be convention 108 or convention 108+, which is already ratified by 55 nations across the world. Morocco was the latest one to present its document of ratification yesterday.

When people meet in Strasbourg or elsewhere to discuss the actions and interoperability within an international framework, there are already 70 countries, ratified states and observer states, that will discuss the framework afforded by that international legal instrument. I would indeed encourage Canada to consider adhering to this instrument. While I am not an expert on Canadian law, I have been following it since 1982. I think Canadian law is pretty close in most cases. I think it would be a welcome addition to that growing group of nations.

As for the second point that I wish to make, I'll be very brief on this, but I also share preoccupations about the facts on democracy and the fact that the Internet is being increasingly used in order to manipulate people's opinions through monitoring their profiles in a number of ways. The Cambridge Analytica case, of course, is the classic case we have for our consideration, but there are other cases too in a number of other countries around the world.

I should also explain that the six or seven priorities that I have set for my United Nations mandate to a certain extent summarize maybe not all, but many of the major problems that we are facing in the privacy and data protection field. The first priority should not surprise you, ladies and gentlemen, because it relates to the very reasons that my mandate was born, which is security and surveillance.

You would recall that my United Nations mandate was born in the aftermath of the Snowden revelations. It won't surprise you, therefore, that we have dedicated a great deal of attention internationally to security and surveillance. I am very pleased that Canada participates very actively in one of the fora, which is the International Intelligence Oversight Forum because, as the previous witness has just stated, oversight is a key element that should be addressed. I was also pleased to see some significant progress in the Canadian sphere over the past 12 to 24 months.

(1545)



There is a lot to be said about surveillance, but I don't have much left of my 10 minutes so I can perhaps respond to questions. What I will restrict myself to saying at this stage is that globally we see the same problems. In other words, we don't have a proper solution for jurisdiction. Issues of jurisdiction and definitions of offences remain some of the greatest problems we have, notwithstanding the existence of the Convention on Cybercrime. Security, surveillance and basically the growth of state-sponsored behaviour in cyberspace are still a glaring problem.

Some nations are not very comfortable talking about their espionage activities in cyberspace, and some treat it as their own backyard, but in reality, there is evidence that the privacy of hundreds of millions of people, not in just one country but around the world, has been subjected to intrusion by the state-sponsored services of one actor or another, including most of the permanent powers of the United Nations.

The problem remains one of jurisdiction and defining limits. We have prepared a draft legal instrument on security and surveillance in cyberspace, but the political mood across the world doesn't seem conducive to major discussions on those points. The result is that we have seen some unilateral action, for example, by the United States with its Cloud Act, which has not seen much take-up at this moment in time. However, regardless of whether unilateral action would work, I encourage discussion even on the principles of the Cloud Act. Even if it doesn't lead to immediate agreements, the very discussion will at least get people to focus on the problems that exist at that stage.

I will quickly pass to big data and open data. In the interests of the economy of time, I refer the committee to the report on big data and open data that I presented to the United Nations General Assembly in October 2018. Quite frankly, I would advise the committee to be very wary of joining the two in such a way that open data continues to be a bit like a mother with an apple pie when it comes to politicians proclaiming all the good it's going to do for the world. The truth is that in the principles of big data and open data, we are looking at key fundamental issues when it comes to privacy and data protection.

In Canadian law, as in the law of other countries, including the laws of all those countries that adhere to convention 108, the purpose specification principle that data should be collected and used only for a specified or compatible purpose lives on as a fundamental principle. It also lives on as a principle in the recent GDPR in Europe. However, we have to remember that in many cases, when one is using big data analytics, one is seeking to repurpose that data for a different purpose. Once again, I refer the committee to my report and the detailed recommendations there.

At this moment in time, I have out for consultation a document on health data. We are expecting to debate this document, together with recommendations, at a special meeting in France on June 11 and 12. I trust there will be a healthy Canadian presence at that meeting too. We've received many positive comments about the report. We're trying to build an existing consensus on health data, but I'd like to direct the committee's attention to how important health data is. Growing amounts of health data are being collected each and every day with the use of smart phones and Fitbits and other wearables, which are being used in a way that really wasn't thought about 15 or 20 years ago.

Another consultation paper I have out, which I would direct the committee's attention to, is on gender and privacy. I'm hoping to organize a public consultation. It has already started as an online consultation, but I am hoping to have a public meeting, probably in New York, on October 30 and 31. Gender and privacy continues to be a very important yet controversial topic, and it is one in which I would welcome continued Canadian contribution and participation.

(1550)



I think you would not be surprised if I were to say that among the five task forces I established, there is a task force on the use of personal data by corporations. I make it a point to meet with the major corporations, including Google, Facebook, Apple, Yahoo, but also some of the non-U.S. ones, including Deutsche Telekom, Huawei, etc., at least twice a year all together around a table in an effort to get their collaboration to find new safeguards and remedies for privacy, especially in cyberspace.

This brings me to the final point I'll mention for now. It's linked to the previous one on corporations and the use of personal data by corporations. It's the priority for privacy action.

I have been increasingly concerned about privacy issues, especially those affecting children as online citizens from a very early age. As the previous witness has borne witness, we are looking at some leading new and innovative legislation, such as that in the United Kingdom, not only the one on digital harms, but also one about age-appropriate behaviour and the liability of corporations. I am broaching these subjects formally next with the corporations at our September 2019 meeting. I look forward to being able to achieve some progress on the subject of privacy and children and on greater accountability and action from the corporations in a set of recommendations that we shall be devising during the next 12 to 18 months.

I'll stop here for now, Mr. Chair. I look forward to questions.

The Chair:

Thank you, Mr. Cannataci.

We'll go now to Ms. Weintraub.

I just want to explain what the flashing lights are. In the Canadian Parliament the flashing lights signal that votes are to happen in about 30 minutes. We have an agreement among our parties that one member from each party will stay, and the rest are clear to go and vote. The meeting will continue with the rest of us. We won't stop. It isn't a fire alarm. We're good to go.

(1555)

Mr. Charlie Angus (Timmins—James Bay, NDP):

Being the only New Democrat, as The Clash would say, should I stay or should I go?

Voices: Oh, oh!

The Chair:

You probably should stay.

It's been cleared that we have one member for—

Mr. Charlie Angus:

If I leave, you're not taking one of my seats.

The Chair:

I just wanted to make it clear that's what's going on.

We'll go to Ms. Weintraub now for 10 minutes.

Ms. Ellen Weintraub:

Thank you, Mr. Chair and members of the committee.

I am the chair of the Federal Election Commission in the United States. I represent a bipartisan body, but the views that I'm going to express are entirely my own.

I'm going to shift the topic from privacy concerns to influence campaigns.

In March of this year, special counsel Robert S. Mueller III completed his report on the investigation into Russian interference in the 2016 presidential election. Its conclusions were chilling. The Russian government interfered in the 2016 presidential election in sweeping and systemic fashion. First, a Russian entity carried out a social media campaign that favoured one presidential candidate and disparaged the other. Second, a Russian intelligence service conducted computer intrusion operations against campaign entities, employees and volunteers, and then released stolen documents.

On April 26, 2019, at the Council on Foreign Relations, FBI director Christopher A. Wray warned of the aggressive, unabated, malign foreign influence campaign consisting of “the use of social media, fake news, propaganda, false personas, etc., to spin us up, pit us against each other, sow divisiveness and discord, and undermine Americans' faith in democracy. That is not just an election cycle threat; it's pretty much a 365-days-a-year threat. And that has absolutely continued.”

While he noted that “enormous strides have been made since 2016 by all different federal agencies, state and local election officials, the social media companies, etc.,” to protect the physical infrastructure of our elections, he said, “I think we recognize that our adversaries are going to keep adapting and upping their game. And so we're very much viewing 2018 as just kind of a dress rehearsal for the big show in 2020.”

Last week, at the House of Representatives, a representative of the Department of Homeland Security also emphasized that Russia and other foreign countries, including China and Iran, conducted influence activities in the 2018 mid-terms and messaging campaigns that targeted the United States to promote their strategic interests.

As you probably know, election administration in the United States is decentralized. It's handled at the state and local levels, so other officials in the United States are charged with protecting the physical infrastructure of our elections, the brick-and-mortar electoral apparatus run by state and local governments, and it is vital that they continue to do so.

However, from my seat on the Federal Election Commission, I work every day with another type of election infrastructure, the foundation of our democracy, the faith that citizens have that they know who's influencing our elections. That faith has been under malicious attack from our foreign foes through disinformation campaigns. That faith has been under assault by the corrupting influence of dark money that may be masking illegal foreign sources. That faith has been besieged by online political advertising from unknown sources. That faith has been damaged through cyber-attacks against political campaigns ill-equipped to defend themselves on their own.

That faith must be restored, but it cannot be restored by Silicon Valley. Rebuilding this part of our elections infrastructure is not something we can leave in the hands of the tech companies, the companies that built the platforms now being abused by our foreign rivals to attack our democracies.

In 2016, fake accounts originating in Russia generated content that was seen by 126 million Americans on Facebook, and another 20 million Americans on Instagram, for a total of 146 million Americans; and there were only 137 million voters in that election.

As recently as 2016, Facebook was accepting payment in rubles for political ads about the United States elections.

As recently as last year, in October 2018, journalists posing as every member of the United States Senate tried to place ads in their names on Facebook. Facebook accepted them all.

Therefore, when the guys on the other panel keep telling us they've got this, we know they don't.

By the way, I also invited Mark Zuckerberg and Jack Dorsey, all those guys, to come and testify at a hearing at my commission when we were talking about Internet disclosure of advertising, and once again, they didn't show up. They didn't even send a surrogate that time; they just sent us written comments, so I feel for you guys.

(1600)



This is plainly really important to all of us. In the United States, spending on digital political ads went up 260% from 2014 to 2018, from one mid-term election to the next, for a total of $900 million in digital advertising in the 2018 election. That was still less than was spent on broadcast advertising, but obviously digital is the wave of the future when it comes to political advertising.

There have been constructive suggestions and proposals in the United States to try to address this: the honest ads act, which would subject Internet ads to the same rules as broadcast ads; the Disclose Act, which would broaden the transparency and fight against dark money; and at my own agency I've been trying to advance a rule that would improve disclaimers on Internet advertising. All of those efforts so far have been stymied.

Now, we have been actually fortunate that the platforms have tried to do something. They have tried to step up, in part, I'm sure, to try to ward off regulation, but in part to respond to widespread dissatisfaction with the information and the disclosure they were providing. They have been improving, in the United States at least, the way they disclose who's behind their ads, but it's not enough. Questions keep coming up, such as about what triggers the requirement to post the disclaimer.

Can the disclaimers be relied upon to honestly identify the sources of the digital ads? Based on the study about the 100 senators ads, apparently they cannot, not all the time, anyway. Does the identifying information travel with the content when information is forwarded? How are the platforms dealing with the transmission of encrypted information? Peer-to-peer communication represents a burgeoning field for political activity, and it raises a whole new set of potential issues. Whatever measures are adopted today run the serious risk of targeting the problems of the last cycle, not the next one, and we know that our adversaries are constantly upping their game, as I said, and constantly improvising and changing their strategies.

I also have serious concerns about the risks of foreign money creeping into our election system, particularly through corporate sources. This is not a hypothetical concern. We recently closed an enforcement case that involved foreign nationals who managed to funnel $1.3 million into the coffers of a super PAC in the 2016 election. This is just one way that foreign nationals are making their presence and influence felt even at the highest levels of our political campaigns.

These kinds of cases are increasingly common, and these kinds of complaints are increasingly common in the United States. From September 2016 to April 2019, the number of matters before the commission that include alleged violations of the foreign national ban increased from 14 to 40, and there were 32 open matters as of April 1 of this year. This is again an ongoing concern when it comes to foreign influence.

As everything you've heard today demonstrates, serious thought has to be given to the impact of social media on our democracy. Facebook's originating philosophy of “move fast and break things”, cooked up 16 years ago in a college dorm room, has breathtaking consequences when the thing they're breaking could be our democracies themselves.

Facebook, Twitter, Google, these and other technology giants have revolutionized the way we access information and communicate with each other. Social media has the power to foster citizen activism, virally spread disinformation or hate speech and shape political discourse.

Government cannot avoid its responsibility to scrutinize this impact. That's why I so welcome the activities of this committee and appreciate very much everything you're doing, which has carryover effects in my country, even when we can't adopt our own regulations when you all adopt regulations in other countries. Sometimes the platforms maintain the same policies throughout the world, and that helps us. Thank you very much

Also, thank you very much for inviting me to participate in this event. I welcome your questions.

The Chair:

Thank you, Ms. Weintraub.

First of all we'll go to Mr. Collins.

Mr. Damian Collins:

Thank you. My first question is for Ellen Weintraub.

You mentioned dark money in your opening statement. How concerned are you about the ability of campaigns to use technology, particularly blockchain technology, to launder impermissible donations to campaigns by turning them into multiple, small micro-donations?

(1605)

Ms. Ellen Weintraub:

I'm very concerned about it, in part because our entire system of regulation is based on the assumption that large sums of money are what we need to worry about and that this is where we should focus our regulatory activity. On the Internet, however, sometimes very small amounts of money can be used to have vast impact, and that doesn't even get into the possibility of Bitcoin and other technologies being used to entirely mask where the money is coming from.

So yes, I have deep concerns.

Mr. Damian Collins:

Have there been any particular examples that have come to the awareness of your commission?

Ms. Ellen Weintraub:

The problem with dark money is that you never really know who is behind it. There has been about a billion dollars in dark money spent on our elections in the last 10 years, and I cannot tell you who is behind it. That's the nature of the darkness.

Mr. Damian Collins:

I just wondered whether any particular allegations had been made, or whether there had been cause for any further investigation about what might be considered to be suspicious activity.

Ms. Ellen Weintraub:

We have a constant stream of complaints about dark money. The case I just described to you is one of the foremost examples we've seen recently. It can be money that comes in through LLCs or 501(c)(4)s. In this case, it came in through the domestic subsidiary of a foreign corporation.

Mr. Damian Collins:

Do you have any concerns about the way technologies like PayPal could be used as well to bring money in from sources trying to hide their identity or even from abroad?

Ms. Ellen Weintraub:

PayPal, gift cards and all of those things are deeply concerning. If the money is going directly to a campaign, they can't accept more than a small amount of money without disclosing the source of it, and they're not allowed to accept anonymous contributions above a very small amount of money. However, once you get into the outside spending groups—super PACs and groups like that—they can accept money from corporations, which by definition are a shield against knowing who is really behind them.

Mr. Damian Collins:

I'd be interested in the comments of all three of the witnesses in response to my next question.

Ad transparency seems to be one of the most important things we should push for. Certainly in the U.K., and I think in other countries as well, our electoral law was based on understanding who the messenger was. People had to state who was paying for the advert and who the advert was there to promote. Those same rules didn't translate into social media.

Even though the platforms are saying they will require that transparency, it seems, particularly in the case of Facebook, quite easy to game. The person who claims to be the person responsible for the ads may not be the person who is the data controller or the funder. That information isn't really clear.

I wonder if you share our concerns about that, and if you have any thoughts about what sort of legislation we might need to make sure there is full, proper disclosure as to who is funding campaigns.

Ms. Ellen Weintraub:

I absolutely share that concern. Part of the problem, as far as I know, is that they're not verifying who is behind the ad. If somebody says Mickey Mouse is the sponsor of this ad, that's what they're going to run on their platform.

Mr. Damian Collins:

I'd be interested in hearing from the other two panellists as well, whether they have any concern regarding how we would create a robust system of ad transparency online.

Mr. Daniel Therrien:

I would add that to reduce the risk of misuse of information in the political process, you need to have a series of laws. In Canada and a number of other countries, such as the United States, political parties, at least federally in Canada, are not governed by privacy legislation. That's another gap in the laws of certain countries.

You need a series of measures, including transparency in advertising, data protection laws and other rules, to ensure that the ecosystem of companies and political parties is properly governed.

Mr. Damian Collins:

It sounds like the heart of it is having regulators who have statutory powers to go into the tech companies and investigate whether they feel the appropriate information is being disclosed.

Mr. Daniel Therrien:

We can investigate companies in Canada, but we cannot investigate political parties. A proper regime would authorize a regulator to have oversight over both.

Mr. Damian Collins:

That would be both parties and the platforms that are providing the advertising.

Mr. Daniel Therrien:

Yes.

Mr. Damian Collins:

I don't know if the audio feed to Malta is working.

Prof. Joseph A. Cannataci:

The audio feed is working, thank you, Mr. Collins. I thank you also for the work you've put in on your report, which I must say I found to be extremely useful for my mandate.

Very quickly, I share the concerns of both the previous witnesses. The importance of who the messenger was is very, very great when it comes to ad transparency. I share serious concerns about the use of blockchain and other distributed ledger technologies. Frankly, not enough research has been carried out at this moment in time to enable us to examine the issues concerned.

I happen to live in a country that has proclaimed itself the blockchain island, and we have some efforts going on with legislation on blockchain, but I'm afraid there is still a lot of work to be done around the world on this subject. If at all possible, I would suggest that the committee lend its name to some serious resources in studying the problem and coming up with proper recommendations.

(1610)

The Chair:

Thank you, Mr. Cannataci.

We're over time and we have some members who need to go to a vote. Therefore, I need to get to Ms. Vandenbeld as soon as I can.

I will try to get back around if you need a more fulsome answer.

Ms. Vandenbeld.

Ms. Anita Vandenbeld (Ottawa West—Nepean, Lib.):

Thank you, Chair.

Thank you very much for being here and for your very informative testimony.

I'd like to focus my questions on the foreign threats to democracy and what I call the enabling technologies: the social media platforms, the “data-opolies” that are allowing for those foreign threats to actually take hold.

I note that, as legislators, we are the front lines of democracy globally. If those of us who are elected representatives of the people are not able to tackle this and do something about these threats.... This is really up to us and that's why I'm so pleased that the grand committee is meeting today.

I also note the co-operation that even our committee was able to have with the U.K. committee on AggregateIQ, which was here in Canada when we were studying Cambridge Analytica and Facebook.

However, we do have a problem, which is that individual countries, especially smaller markets, are very easily ignored by these large platforms, because simply, they're so large that individually there is not much we can do. Therefore, we do need to work together.

Ms. Weintraub, do you believe that right now you have the tools you need to ensure that the 2020 U.S. election will be free, or as free as possible, of foreign influence?

Ms. Ellen Weintraub:

I hesitate to answer that question. As I said in my testimony, there are various laws that I wish Congress would pass. There are regulations that I wish I could persuade my colleagues on the commission to agree to pass.

I think we are not in as good shape as we could be, but I do know that the Department of Homeland Security and all the state and local governments have been working very hard on ensuring the physical infrastructure, to try to ensure that votes don't get changed, which of course is the biggest fear.

When it comes to foreign influence, as our FBI director said, we are expecting our adversaries to be changing up their game plan, and until we see it, we won't know whether we're ready for it.

Ms. Anita Vandenbeld:

In Canada, one of the issues is that during an election campaign it's very hard to know who has the authority to be able to speak out, so we've put together the critical election incident public protocol, which is a group of senior civil servants who would be able to make public if it's known through the security agencies that there is, in fact, a foreign threat.

Has the U.S. looked at something such as that? Is it something that you think would work internationally?

Mr. Cannataci, I would ask you to also answer that in terms of the global context. I wonder if you're seeing things that could potentially, during an election period, allow for that type of authority to be able to speak out on that.

I'll start with Ms. Weintraub and then go to Mr. Cannataci.

Ms. Ellen Weintraub:

I do think that authority is there. I think there are federal officials who are empowered to make that type of information public if they become aware of it, as they become aware of it. There are obviously national security and intelligence concerns that sometimes hamper that type of transparency.

Ms. Anita Vandenbeld:

Mr. Cannataci, you mentioned that there are international treaties of sorts on data and privacy protection, but is there a clearing house of sorts of international best practice?

We're finding in this committee alone that there are very good examples that we're sharing, but is there any place where these best practices are being shared and tested, and documented and disseminated?

(1615)

Prof. Joseph A. Cannataci:

Not to my knowledge. We have coming up two United Nations committees, at least one of which might be discussing ancillary subjects. There is the so-called open-ended working group inside the UN, which will start working probably in the autumn, where you might be tempted to broach the subject.

I would, however, be pleased to work together with the committee in order to devise any sets of mechanisms that can be shared on good practices, because most of the attempts we have seen in manipulating elections involve profiling individuals in one area or another and then targeting them in order to get their votes.

I'd be very pleased to carry out work, together with the committee, in that direction, and anybody who wishes to share good practices is very welcome to do so.

The Chair:

Thank you, Ms. Vandenbeld. That's your time.

We'll go over to Mr. Angus for five minutes.

Mr. Charlie Angus:

Thank you, Mr. Chair.

Thank you for appearing, Ms. Weintraub.

You Americans are like our first cousins, and we love you dearly, but we're a little smug, because we look over the border and see all this crazy stuff and say we'd never do that in Canada. I will therefore give you the entire history of electoral fraud and interference in Canada in the last 10 years.

We had a 20-year-old who was working for the Conservatives who got his hands on some phone numbers and sent out wrong information on voting day. He was jailed.

We had a member of this committee who got his cousins to help pay an electoral paying scheme. He lost his seat in Parliament and went to jail.

We had a cabinet minister who cheated on 8,000 dollars' worth of flights in an election and went over the limit. He lost his position in cabinet and lost his seat.

These situations have consequences, and yet we see wide open data interference now for which we don't seem to have any laws, or we're seemingly at a loss and are not sure how to tackle it.

I can tell you that in 2015 I began to see it in the federal election, and it was not noticed at all at the national level. It was intense anti-Muslim, anti-immigrant women material that up-ended the whole election discourse in our region. It was coming from Britain First, an extremist organization. How working-class people in my region were getting this stuff, I didn't understand.

I understand now, however, how fast the poison moves in the system, how easy it is to target individuals, how the profiles and the data profiles of our individual voters can be manipulated.

When the federal government has new electoral protection laws, they may be the greatest laws for the 2015 election, but that was like stage coach robberies compared with what we will see in our upcoming election, which will probably be testing some of the ground for the 2020 election.

In terms of this massive movement in the tools of undermining democratic elections, how do we put in in place the tools to take on these data mercenaries who can target us right down to individual voters each with their own individual fears?

Ms. Ellen Weintraub:

I don't even know how to begin to answer that question.

Obviously Canada has a different system from ours in the United States. I don't always agree with the way our Supreme Court interprets the First Amendment, but it has provided extremely strong protections for free speech rights, and that has ramifications in the area of technology, in the area of dark money, in the area of money and politics.

If it were up to me, I think they would veer a little bit more toward the Canadian model, but I don't have control over that.

Mr. Charlie Angus:

Mr. Therrien, I will go to you.

It was your predecessor, Elizabeth Denham, who identified the Facebook weakness in 2008 and attempted to have them comply. If they had done so, we might have avoided so many issues. Now, in 2019, we have you making a finding in the rule of law under your jurisdiction that Facebook broke our information protection act.

What has been very disturbing is that Facebook has simply refused to recognize the jurisdiction of our country, based on our supposed necessity to prove to them whether or not harm was caused.

I'm not sure whether you heard Mr. Chan's testimony today, but in terms of the rights of democratic legislators to ensure that laws are protected, how do we address a company that believes it can pick and choose, opt in or opt out, among national laws?

(1620)

Mr. Daniel Therrien:

You refer to the findings of my predecessors 10 years ago. It's certainly disconcerting that practices that were identified 10 years ago and were said to have been corrected by better privacy policies and better information to users were not actually corrected. There were superficial improvements, in our view, but in effect, the privacy protections of Facebook 10 years after the investigation of the OPC are still very ineffective.

On the jurisdictional argument, I believe the argument of the company is that because Canadians were not personally affected in terms of the ultimate misuse of the information for political purposes, this somehow results in the lack of jurisdiction for my office. Actually, however, what we looked at was not limited to the impact of these privacy practices on the Canadian political process. We looked at the sum total of the privacy regulatory scheme of Facebook as it applies not only to one third party application but all third party applications, of which there are millions.

I'm certainly very concerned that Facebook is saying that we do not have jurisdiction, when we were looking at the way in which Facebook handled the personal information of Canadians vis-à-vis millions of applications and not only one application.

How do you ensure that Facebook or other companies heed the jurisdiction of Canada? Well, based on the legal regime that we have, we are left with the possibility of bringing Facebook to the Canadian Federal Court—and this is what we will do—to have a ruling on Facebook's practices, including whether it is subject to our jurisdiction. We don't have much doubt that they are subject to our jurisdiction, but it will take a court finding to decide that question.

Mr. Charlie Angus:

Finally—

The Chair:

Thank you, Mr. Angus. You're out of time.

Mr. Charlie Angus:

My watch says it's four minutes and 53 seconds.

Voices: Oh, oh!

The Chair:

We'll have some more time around the hop, so I'd better get going here.

We'll go next to Singapore for five minutes.

Mr. Tong.

Mr. Edwin Tong (Senior Minister of State, Ministry of Law and Ministry of Health, Parliament of Singapore):

Thank you.

Ms. Weintraub, thank you very much for being here. In September 2017 you wrote a letter to the then chairman of the FEC. I'll just quote one paragraph from it and ask you some questions. You said, “It is imperative that we update the Federal Election Commission's regulations to ensure that the American people know who is paying for the Internet political communications they see.”

Am I right to assume that your concerns arise from the fact that foreign activity influences, interferes with, and even corrupts political communication, not just in an election but in the everyday life of people in a democratic society, and that if left unchecked over time such activity would seek to undermine institutions and the government, subvert elections and ultimately destroy democracy?

Would I be right to say that?

Ms. Ellen Weintraub:

I share many of those concerns and I worry deeply that what is going on is not just election-oriented but is an attempt to sow discord, to sow chaos and to undermine democracy in many countries.

Mr. Edwin Tong:

In fact, would you agree that the typical modus operandi of such bad actors would be precisely to sow discord on socially decisive issues; to take up issues that split open fault lines in society so that institutions and ultimately governments are undermined?

(1625)

Ms. Ellen Weintraub:

I believe that is so.

Mr. Edwin Tong:

You mentioned earlier the tech companies. I think you said that their answer to you was, “We've got this.” Obviously, that's far from the case. You also said it's obvious that they were not verifying the persons behind the advertisements and the donations.

Are you aware of the Campaign for Accountability, the CFA?

Ms. Ellen Weintraub:

I can't say that I am; I'm sorry.

Mr. Edwin Tong:

Sometime, I think, after you released Robert Mueller's findings, a non-profit organization called Campaign for Accountability posed as IRA operators, bought political ads and did so very easily. They were able to effectively get Google to run a whole series of advertisements and campaigns for a little less than $100 U.S. and they managed to get something like 20,000 views and more than 200 clicks with that kind of spending.

Is that something that would concern you, and should regulations deal with that kind of obvious foreign activity that also shows that media platforms cannot be trusted to police?

Ms. Ellen Weintraub:

I absolutely think there is a need for greater regulation to ensure that when people see things on social media, they can trust where it's coming from.

Mr. Edwin Tong:

Yes.

On the regulations that you spoke of, from the quote that I read to you, could you maybe, in 30 seconds, tell us what you think should be the core principles behind such regulations to stop the influence and corruption of foreign interference in democratic processes?

Ms. Ellen Weintraub:

Well, as I said, I think what we need is greater transparency. When people are reading something online, they need to be able to know where it's coming from.

We had this example of ads and information being placed, propaganda, coming from the Internet Research Agency in Russia. I don't know anybody who wants to get their news from a Russian troll farm. I think if they knew that was where it was coming from, that would tell them something about how much to believe it.

Mr. Edwin Tong:

Yes, because ultimately, false information is not free speech, is it?

Ms. Ellen Weintraub:

People need to know where the information is coming from, and then they can draw better conclusions.

Mr. Edwin Tong:

Yes. Thank you.

Thank you, Mr. Chair.

The Chair:

Thank you.

We'll go next to Ms. Naughton from Ireland.

Ms. Hildegarde Naughton (Chair, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

My first question will be for Mr. Cannataci. It's in relation to legislation we're looking at in Ireland, which could ultimately apply at a European level. It's an online digital safety commissioner. One of the key challenges our committee is having in relation to drawing this legislation is the definition about what is harmful communication. I don't know if you could assist us. Is there a best practice or best way of going about that?

We're also legislating ultimately at a European level, and as we know, we need to protect freedom of speech and freedom of expression. Those issues have been raised here. Have you any comments to make in relation to that?

Prof. Joseph A. Cannataci:

The short answer is, yes, I would be happy to assist you. We are setting up a task force precisely on privacy and children and online harm. It's a very difficult subject, especially because some of the terminology that has been used is not very clear, including the use of words such as “age appropriate”.

For most kids around the world, there's no such thing as one age being associated with a given level of maturity. Kids develop at different ages. The type of harm that they can receive really needs to be better studied. In fact, there are very few studies, unfortunately, on this subject. There are some studies, but not enough.

I would certainly welcome a joint European, Irish, and indeed, international approach on the subject, because this is something that goes across borders, so thank you for that.

Ms. Hildegarde Naughton:

Thank you very much. I think that's a common concern here around the table in relation to that definition.

I might ask the Privacy Commissioner, Mr. Therrien, in relation to GDPR, do you have any viewpoints on how that's working?

As you know, Facebook's Mark Zuckerberg has called for GDPR to be rolled out on a global level. I'd like your own comments, from your own professional background.

It is quite new. As you know, it has been rolled out at a European level. What are your viewpoints on that, how it's working, and Mr. Zuckerberg's call for that to be rolled out, even on a modified level, from country to country?

(1630)

Mr. Daniel Therrien:

The GDPR is still relatively new, so in terms of how it is working, I think we'll need to wait a bit longer to see what its impact is in practice. I certainly believe that the principles of the GDPR are good ones; they're good practices. I believe that individual countries obviously should seek to have the most effective privacy and data protection possible and borrow from other jurisdictions rules that have that impact.

In my opening statement, I mentioned interoperability. In addition, it's important that the national laws, although interoperable and borrowing from good principles such as the GDPR, are also aligned and informed by the culture and traditions of each country. There might be differences in certain jurisdictions, say, on the various weight or the relative weight of freedom of expression versus data protection, but GDPR is an excellent starting point.

Ms. Hildegarde Naughton:

Okay, thank you.

I think those are my questions.

The Chair: You have one minute.

Ms. Hildegarde Naughton: Do you want to ask a question?

Mr. James Lawless (Member, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Thanks.

Chair, if it's okay, I'll just use the last minute, but I'll come in on the second round again for my five minutes.

The Chair:

Yes, you bet.

Mr. James Lawless:

Ms. Weintraub, it was interesting to listen to your analysis of what happened in the recent elections, and I suppose particularly of nation-states' influence.

One thing that I think is common is that it's not necessarily that they favour one candidate over another, but—it seems to be a common theme—that they favour dissent and, I suppose, weakening western democracies. I think we saw that arguably in Brexit as well as in the U.S. elections. How do we combat that?

I have drafted legislation similar to the honest ads act, the social media transparency act, with very similar objectives. One question, and I'll come back to it in the second round, is about how we actually enforce that type of legislation. Is the onus on the publishers or is it on the platform?

We heard somebody mention that they had successfully run fake ads from the 100 U.S. senators or members of the House of Representatives or whatever it was. Should it be the platforms that are liable for ensuring that the correct disclosure and disclaimers and verification are performed? They say back to us that they can't possibly do that. Do we, then, make the people who are running the ads liable, or do we make the people who are taking out the ads liable, if you understand the distinction?

Ms. Ellen Weintraub:

Historically what we do in the States is put the onus on whoever is placing the ads to make sure that their disclaimers and disclosure obligations are fulfilled. It seems to me, though, that we could take advantage of the vaunted machine learning AI capabilities of these platforms. If the machines can detect that the name on the ad bears no relation at all to the source of the payment, you would think they could have a human being take a look at it and say, “Hey, let's just make sure we have the right name here on the ad.”

It's not the way our laws work right now, though.

The Chair:

Next up for five minutes is Mr. Zimmermann from Germany.

Mr. Jens Zimmermann (Social Democratic Party, Parliament of the Federal Republic of Germany):

Thank you, Mr. Chair.

I would first start with Mr. Cannataci and would focus on international co-operation.

We brought up earlier here that on an international level, co-operation is needed. This is also the idea behind our meeting here. Where, though, do you see forums for co-operation in these areas? We'll have, for example, the Internet Governance Forum, which is a multi-stakeholder approach on the UN level, this year in Germany.

Do you see any other approaches?

(1635)

Prof. Joseph A. Cannataci:

Thank you for that question, Mr. Zimmermann.

The Internet Governance Forum is a useful place to meet and talk, but we must be very careful not to let it remain just a talking show. The problem is that it is a forum in which many interesting ideas are heard but very little governance takes place. At this moment in time, the states unfortunately tend to dodge the responsibility of providing actual governance.

I think what we're going to see, and I think the companies feel this coming—some of them have half-admitted it—is countries getting together, including the European Parliament that has just been elected, and increasingly using measures that will focus attention.

Nothing focuses attention like money. The GDPR approach, which has been referred to, has companies around the world paying close attention, because nobody wants to be stuck with a bill of 4% of their global turnover. I think that this is one measure that will help introduce liability and responsibility. To come to the previous question, I think it will also focus attention on platforms at least as much as publishers, because as somebody said, sometimes it's difficult to detect whether the publisher was the right person.

Mr. Jens Zimmermann:

Thank you very much.

The enforcement question would have been my follow-up, but you already answered. Thank you.

I would also ask Ms. Weintraub one question.

We have mentioned many times now trolls and troll farms, and we're focusing very much on advertisements. What about homegrown trolls? We've seen to a certain degree also in Germany that especially on the far right there are activists who are really trolls on steroids. You don't have to pay them; they do this because they want to support their political affiliates.

They're also using tools whereby, in the dark, they decide to focus on such-and-such member of Parliament, attacking him or her, or simply supporting every post done by a member of a party. They are simply making the most out of the algorithms, and they don't need any money for it

Do you have that also on the radar?

Ms. Ellen Weintraub:

I think you raise another very serious question. We have seen this in the States, that some of the techniques that were pioneered by foreign activists are now being adopted by domestic activists because they've seen that they work. It has the same kind of concerning effect as promoting discord, and hate speech sometimes, and gathering from the crevices of the community people who have views that in isolation might not have much power but that, when they are able to find each other online and promote these ideas, become much more concerning.

We don't have good tools to go after that, because it's easy to say, if it's foreigners, that they're trying to intervene in our election, and we know that's not a good thing. When it's our own people, though, it's a bigger challenge.

The Chair:

You have about 30 seconds.

Mr. Jens Zimmermann:

I'll raise maybe one last aspect.

We have a lot of regulation of the media, what is allowed for a TV station, for a radio station, but in Germany right now we have a lot of debate about YouTube, people who basically have more of an audience than many TV stations but are not regulated at all.

Is that something you are also seeing?

Ms. Ellen Weintraub:

We certainly have the phenomenon of influencers. I don't spend a lot of time on YouTube myself, and when I see some of these folks, I'm really not sure why they have this kind of influence and sway, but they do.

It goes back to the model that we have. The model of regulation in the United States is a money-based model. When we began to address political activity on the Internet, it was at a point when YouTube was in its infancy and the governing assumption was that of course somebody would have to pay to put these ads up in order for anybody to see them. Now we're dealing in a whole different world in which all this free content is up there and it goes viral. There are very few controls on that.

(1640)

The Chair:

Thank you.

We're going to get back to our parliamentarians, now that they've returned from voting.

We'll go to Mr. Kent for five minutes.

Hon. Peter Kent (Thornhill, CPC):

Thank you, Chair.

My first question is for Commissioner Therrien and is related to the revelation in the government's response to an Order Paper question regarding discriminatory advertising for employment, on a number of platforms, it seems, but certainly Facebook was mentioned, in which a number of departments had requested micro-targeting advertising by sex and age.

Mr. Chan, the CEO of Facebook Canada, responded that yes, that was the case but protocols have changed, although there was a certain imprecision or ambiguity in his responses. He said that the Government of Canada has been advised that it is not only unacceptable but quite possibly illegal under various human rights legislation across the country.

Could I have your response, Commissioner?

Mr. Daniel Therrien:

I think this shows the importance of having regulations that are human rights based. Here we have a practice that allegedly resulted or could result in discrimination. I think it's important that the regulations look at the net effect of a practice and deal with it from a human rights perspective.

In terms of privacy, we tend to look at privacy or data protection as rules around consent and specification of purpose and so forth. I think Cambridge Analytica raised the issue of the close relationship between privacy protection, data protection and the exercise of fundamental rights, including, in the case of your example, equality rights.

I think that for the types of laws for which I'm responsible in Canada, by defining privacy not with regard to important mechanisms such as consent, for instance, but with regard to the fundamental rights that are protected by privacy, we would have a more effective and more fulsome protection.

Hon. Peter Kent:

Okay.

The question for you, Ms. Weintraub, is on the discussion we had with Facebook this morning with regard to the Pelosi altered video and the statement that Facebook made to the Washington Post saying,“We don't have a policy that...the information you post on Facebook must be true.”

Clearly, this is a case of political maliciousness. It is not an election year, but certainly it is tainting the well of democracy and obviously targeting one political leader's reputation and political leadership. I'm wondering what your thoughts are with regard to the Facebook argument.

They will take down a video by someone posting the truth who is falsely posting, but they will leave up the video placed by someone who is obviously quite willing to say that they put the video up and simply to put an advisory that it doesn't seem to be the truth, even though, in the Pelosi case, that manipulated video has been seen by many millions of viewers since the controversy developed, which again feeds the business plan of Facebook with regard to clicks and number of views.

Ms. Ellen Weintraub:

Well, I heard a lot of dissatisfaction voiced this morning about the answer that Facebook gave. I have to say that I also found their answer to be somewhat unsatisfactory, but it raises a really important question. I mean, in this case they know it's not true, but the broader question is, who is going to be the arbiter of truth?

Personally, I don't want that responsibility, and I think it's dangerous when government takes on that responsibility of deciding what is true and what isn't. That really veers more into the Orwellian, more authoritarian governance. I don't think I would feel comfortable either being that person or living in a regime where government had that power, but if government doesn't have that power, then the question is, who does? I'm also uncomfortable with the platforms having that much power over determining what is truth and what isn't.

(1645)

Hon. Peter Kent:

If that were to occur in an election cycle, what would your response be?

Ms. Ellen Weintraub:

In election cycles, we have various regulations that govern ads, if indeed it is paid advertising and if it mentions candidate names. Every member of the House of Representatives runs every two years. I suppose that for a member of the House of Representatives they are always in cycle, but we have stronger rules that govern once we get closer to the election. Within 30 days of a primary or 60 days of a general election, there are rules, again, that go to disclosure, though. We don't have any rules that would empower my agency to order a platform to take down an ad.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Ms. Weintraub.

Some of the membership of the committee are not going to ask questions, so we have a bit more time than you might expect. If you do want to ask another question, please signal the chair, and I'll add you in at the end of the sequence.

Next up, we have the member from Estonia.

Go ahead.

Ms. Keit Pentus-Rosimannus (Vice-Chairwoman, Reform Party, Parliament of the Republic of Estonia (Riigikogu)):

Thank you.

Ms. Weintraub, I have a question for you.

Disinformation is officially part of Russia's military doctrine. It has been so for some time already. They are using it as a strategy to divide the west, basically. It is also known that Russia uses 1.1 billion euros per year for their propaganda and spreading their narratives.

Your next presidential elections are practically tomorrow. Knowing the things we now know about the last campaigning period, are you ready today? If what happened during the previous campaign would reappear, and if all the same things would happen again, do you think that now you would be able to solve it?

Ms. Ellen Weintraub:

I'm not going to claim that I can personally solve the problem of disinformation in our elections. As I mentioned earlier, I think there are laws and regulations that have been drafted and should be adopted that would strengthen our position.

I also think that we, writ large, need to devote more attention to digital literacy. A lot of people believe all sorts of things that they see online and that they really shouldn't. My daughter tells me that this is generational, that her generation is much more skeptical of what they read online and that it's only my foolish generation that views the Internet as this novelty and assumes that everything they read is true.

I don't know that I entirely agree that it's entirely a generational problem, but I do think that we, as a whole, as the broader community of democracies, really need to look into what our resiliency is to the kind of disinformation that we know is going to be out there.

As I said, we're always fighting the last battle, so we can write laws to address what happened last time, but I'm quite sure that in the next election new techniques are going to be developed that nobody's even thinking about yet.

Ms. Keit Pentus-Rosimannus:

Can you say what are the two main threats you are preparing for?

Ms. Ellen Weintraub:

My agency is all about regulating money in politics. That is our focus, so we are trying to look at where the money is coming from. That is what we're always looking at. We're trying to get better transparency measures in place so that our voters and our electorate will better know where the money is coming from and who is trying to influence them. That's really my number one priority.

Ms. Keit Pentus-Rosimannus:

We just had elections in Europe, the European parliamentary elections. Do you see anything we went through that could be used to prepare for your next election? How closely do you co-operate with European colleagues?

Ms. Ellen Weintraub:

I'm always happy to get information from any source. That's why I'm here. It's a very educational event for me. As well, I'm happy to answer any questions that you all may have.

(1650)

Ms. Keit Pentus-Rosimannus:

Do you see already that there are some things from the European Parliament elections that you can find useful?

Ms. Ellen Weintraub:

We have not yet studied what went on in the European Parliament elections.

Ms. Keit Pentus-Rosimannus: All right.

The Chair:

You're good? Thank you.

We're going to start the cycle again, just so you know. We'll start with Nate, and then we'll go to the next parliamentarian, so it will be Nate, Ian and James.

Go ahead, Nate.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Thanks very much.

I was in Brussels recently and met with the EU data protection supervisor. There is great co-operation among the privacy commissioners in the EU. There are conferences for privacy commissioners where you get together and discuss these issues as a matter of co-operation amongst regulators.

Is there the same level of co-operation, Ms. Weintraub, with respect to elections?

Ms. Ellen Weintraub:

Our elections are run under our own unique rules. As I said before, I'm happy to have information from any source, but because our rules are different from other countries' rules, particularly when it comes to the transparency of money and politics and how we fund our elections, we kind of plow our own course.

Mr. Nathaniel Erskine-Smith:

When I suggested to a friend from Colorado and a friend from Mississippi that I wanted to get involved in politics and said that the cap in my local district was $100,000 Canadian, they laughed at me for a long time.

Voices: Oh, oh!

Ms. Ellen Weintraub:

It's very different.

Mr. Nathaniel Erskine-Smith:

Before I move to Mr. Therrien, I completely respect that as an American you have stronger free speech rules than we have here in Canada. Still, when you say “arbiters of truth”, there are still standards councils and there are still, when it comes to broadcasters.... Surely, a broadcaster in an election.... Maybe I'm incorrect, but I would expect that there are standards councils and some ethics guidelines and some basic principles they would abide by, and they wouldn't just broadcast anything.

Ms. Ellen Weintraub:

I think that's true of broadcasters, mostly out of a sense of professional responsibility. That is one of the conundrums that I think we all face. When we were living in a world where there was a small number of broadcasters and those were all professional journalists, and they had training and they exercised editorial control over what they were distributing and were doing a lot of fact-checking, that was a whole different world from the information that we get online, where everybody's a broadcaster, everyone is a content producer, and—

Mr. Nathaniel Erskine-Smith:

So sort of, right...? Because it's one thing for you and me to be friends on Facebook and you post something and I see it. It's a very different thing if the News Feed, the algorithm that Facebook employs, makes sure I see it because of a past history that I have online, or if the YouTube recommendation function ensures that I see a video that I wouldn't see otherwise because I didn't seek it out. Aren't they very akin to a broadcaster when they're employing algorithms to make sure I see something and they're increasing impressions and reach?

Ms. Ellen Weintraub:

You're discussing an entirely different topic. I was talking about individuals who are putting their own content out there. The way the platforms are regulated under current United States law is that they don't have those same responsibilities as broadcasters under section 230 that—

Mr. Nathaniel Erskine-Smith:

If they took their corporate social responsibility seriously, as broadcasters do, presumably they would join a standards council or create one.

With respect to ad transparency, we recommended at this committee.... I mean, the honest ads act would be a good start, but I think it would just be a first step.

Ms. Ellen Weintraub:

Absolutely.

Mr. Nathaniel Erskine-Smith:

Does it make sense to you that if I'm receiving an ad online, especially in an election, that I would be able to click through and see who paid for it, obviously, but also the demographics for which I've been targeted, as well as a selection criteria on the back end that the advertiser has selected, whether it's Facebook or Google or whatever it might be, for example, if it has been directed to a particular postal code, or if it's because I'm between the ages of 25 and 35? Do you agree that there should be more detailed transparency?

Ms. Ellen Weintraub:

I do, but of course part of the problem with that, though, is that very few people would actually click through to find that information. One concern I have is that everybody says that as long as you can click through and find the information somewhere, that should be good enough. I think there has to be some information right on the face of the ad that tells you where it's coming from.

(1655)

Mr. Nathaniel Erskine-Smith:

Right.

The last question I have is for Mr. Therrien.

We had a number of excellent witnesses last night and this morning who really highlighted the business model as the fundamental problem here, in that it encourages this never-ending accumulation of data.

I wonder if you have any comments on two ideas that I want to set out. One, how do we address that business model problem that was identified? Two, how do we address it in such a way that it also respects the real value of aggregate-level data in different ways?

If I look at Statistics Canada, for example, which publishes aggregate-level data, that is really helpful for informed public policy. When I use Google Maps on a daily basis, that is based upon user information that is fed into the system and, as a result, I don't need to know where I'm going all the time; I can use Google Maps. It's based on data that has been input, but in the public interest.

How do we address the business model but also protect the public interest use of aggregate-level data?

Mr. Daniel Therrien:

I think an important part of the solution is to look at the purposes for which information is collected and used. It's one thing for an organization, a company, to collect and use data to provide a direct service to an individual. That is totally legitimate, and this is the type of practice that should be allowed. It's another for an organization to collect so much information, perhaps under the guise of some type of consent, that the end outcome is something very close to corporate surveillance.

I think it's important to distinguish between the two. There are a number of technical rules that are at play, but the idea that we should define privacy beyond mechanical issues like consent and so on and so forth and define it by regard to what is the right being protected, i.e., the freedom to engage in the digital economy without fear of being surveilled, is an important part of the solution.

Mr. Nathaniel Erskine-Smith:

I'm out of time, but I'll just say one final thing. When you think of privacy from a consumer protection perspective, it's a curious thing that when I buy a phone I don't have to read the terms and conditions. I know that if it's a defective phone I can take it back, because there are implied warranties that protect me, but for every app I use on my phone, in order to be protected, I have to read the terms and conditions. I think it's just a crazy thing.

Thanks very much.

The Chair:

Thank you, Mr. Erskine-Smith.

I want to speak to the order of questions. This is what I have: Ian, James, David de Burgh Graham, Jo, Jacques, Charlie and Peter. To close out, we have Mr. Collins again, for some final words. That's what we have so far. If there is anybody else who wants to ask a question, please put your hand up. I'll try to get you added to that list, but it looks like we're tight for time.

Now we're going to Mr. Lucas for five minutes.

Mr. Ian Lucas (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Mr. Chairman.

I was very struck by something that Jim Balsillie said this morning. He said that the online business model of the platforms “subverts choice”, and choice is what democracy is essentially about. It occurred to me—you might find this quite amusing—that in the United Kingdom, broadcasters aren't allowed to do political advertising. In other words, we don't have the wonderful advertisements that I've seen in the United States, and I'm sure in other jurisdictions.

Do you think there's a case for banning paid-for political advertising online on these platforms?

Ms. Ellen Weintraub:

I don't see any way it would pass constitutional scrutiny on our Supreme Court.

Mr. Ian Lucas:

That's in the United States?

Ms. Ellen Weintraub:

Yes. It's my frame of reference.

Mr. Ian Lucas:

Yes.

If I can talk to you, Mr. Cannataci, is the use of political advertising through broadcasting worldwide nowadays? Are there jurisdictions where broadcast advertisements are not accepted?

Prof. Joseph A. Cannataci:

Thank you for the question, Mr. Lucas.

The answer is that national practices vary. Some countries go more towards the United States model. Others go towards the United Kingdom model. In truth, though, we are finding that in many countries where the law is more restrictive, in practice many individuals and political parties are using social media to get around the law in a way that was not properly envisaged in some of the actual legislation.

With the chair's permission, I'd like to take the opportunity, since I've been asked a question, to refer to something that I think is transversal across all the issues we have here. It goes back to the statement made by Ms. Weintraub regarding who is going to be the arbiter of truth. In a number of countries, that value is still very close to our hearts. It is a fundamental human right, which happens to reside in the same article 17 of the International Covenant on Civil and Political Rights, of which many of the countries around the table, if not all, are members.

In the same section that talks about privacy, we have the provision on reputation, and people [Technical difficulty—Editor] care a lot about their reputation. So in terms of the arbiter of truth, essentially, in many countries, including France—I believe there was some discussion in Canada too—people are looking at having an arbiter of truth. Call him the Internet commissioner or call him the Internet ombudsman, call him what you will, but in reality people want a remedy, and the remedy is that you want to go to somebody who is going to take things down if something is not true.

We have to remember—and this applies also to online harm, including radicalization—that a lot of the harm that is done on the Internet is done in the first 48 hours of publication, so timely takedown is the key practical remedy. Also, in many cases, while freedom of speech should be respected, privacy and reputation are best respected by timely takedown. Then, if the arbiter in the jurisdiction concerned deems that it was unfair to take something down, it can go back up. Otherwise, we need the remedy.

Thank you.

(1700)

Mr. Ian Lucas:

It occurs to me, going back to Mr. Erskine-Smith's point, that when I joined Facebook I didn't consent to agree to be targeted by political advertising from anywhere. I didn't know that was part of the deal. It's not why people join Facebook.

It seems to me that we've managed, give or take a few bad phases, to survive as a democracy in the U.K. without broadcast TV adverts, political adverts. It's a particular area of advertising that I'm seeking to restrict, and I'm supported because of the emphasis that was given this morning to the way the control of data is really removing choice from the individual in this process.

From an information regulation point of view, how clear do you think people are in that area? Do you think people understand that this is what's happening here?

Ms. Ellen Weintraub:

First of all, let me say that I think there are many people in the United States who would love a system where they didn't get political advertisements. It's not something that people actually enjoy all that much.

I think you're raising a nuance there that I think is important, and that is, it's not.... Our Supreme Court would never allow a sort of a flat-out ban on political advertising, but—

Mr. Ian Lucas:

Right. It's the position of the United States, but—

Ms. Ellen Weintraub:

Right, but what you're talking about is the use of people's personal data to micro-target them, and that, it seems to me, does raise a very different issue. I'm not actually sure that it wouldn't pass constitutional scrutiny.

Mr. Ian Lucas:

That's exactly what's happening in terms of paid-for advertising at the moment.

The other issue—

The Chair:

Mr. Lucas, could you could make it real quick? I hate to cut you off. You've come a long way.

Mr. Ian Lucas:

Very quickly, I'll pick up on an issue that Jens mentioned. He talked about trolls. Closed groups are also a massive problem, in that we do not have the information, and I think we need to concentrate more on that as an issue, too.

The Chair:

Thank you, Mr. Lucas.

Next up, we have James from Ireland.

Mr. James Lawless:

Thank you, Chair. I have another couple of questions and observations.

Just picking up on something that I think Nate was saying earlier in his other points, the question often is whether these platforms are legally publishers or dumb hosts, terminals that display the content that gets put in front of them. I think one argument to support the fact that they're publishers and therefore have greater legal responsibilities is that they have moderators and moderation policies, with people making live decisions about what should and shouldn't be shown. On top of that, of course, are the targeting algorithms. I think that's something that's of interest, just as an observation.

On my other point, before I get into questions, we were talking about nation-states and different hostile acts. One thing that's the topic of the moment, I suppose, is the most recent revelation in terms of the Chinese government and the Huawei ban, and the fact that Google, I think in the last few days, announced a ban on supporting Huawei handsets. But it strikes me that Google is tracking us through Google Maps and everything else as we walk about with our phones. I think I read that there are 72 million different data points in a typical year consumed just by walking about town with a phone in your hand or in your pocket. Maybe the difference is that somewhere Google has terms and conditions that we're supposed to take, and Huawei doesn't, but both are effectively doing the same thing, allegedly. That's just a thought.

On the legislative framework, again, as I mentioned earlier, I've been trying to draft some legislation and track some of this, and I came to the honest ads act. One of the issues we've come across, and one of the challenges, is balancing free speech with, I suppose, voter protection and protecting our democracies. I'm always loath to criminalize certain behaviours, but I'm wondering what the tipping point is.

I suppose that in the way I've drafted it initially what I've considered is that I think you can post whatever you whatever you want as long as you're transparent about who actually said it, who is behind it, who is running it or who is paying for it, particularly if it's a commercial, if it's a paid-for post. In terms of the bots and the fake accounts, and what I would call the industrial-scale fake accounts, where we have a bot farm or where we have multiple hundreds or thousands of users actually being manipulated by maybe a single user or single entity for their own ends, I think that probably strays into the criminal space.

That's one question for Ms. Weintraub.

I suppose another question, a related question, is something that we struggle with in Ireland and that I guess many jurisdictions might struggle with. Who is responsible for policing these areas? Is it an electoral commission? If so, does that electoral commission have its own powers of enforcement and powers of investigation? Do you have law enforcement resources available to you? Is it the plain and simple police force of the state? Is a data protection commissioner in the mix as well? We have different types of regulators, but it can be a bit of an alphabet soup, and it can be difficult to actually pin down who is in charge. Also, then, if we do have somebody in charge, it can be difficult; they don't always have the resources to follow through.

That's my first question. In terms of criminalization, is that a bridge too far? Where do you draw the line? Second, if there is criminalization and there's an investigation required, what kind of resourcing do you have or do you think is needed?

(1705)

Ms. Ellen Weintraub:

Again, my expertise is in the U.S. system, so I can most effectively tell you about that. We are a law enforcement agency. We have jurisdiction over money and politics, and we have civil enforcement authority. We have subpoena authority. We can do investigations. I think that some of our enforcement tools could be strengthened, but we also have the ability to refer to our justice department if we think there are criminal violations, which are basically knowing and wilful violations of the law.

Going back to something that you said earlier, in terms of our regulatory system, I don't think bots have first amendment rights. They're not people, so I don't have any problem with.... I don't understand why these smart tech companies can't detect the bots and get them off the platforms. I don't think that would raise first amendment concerns, because they're not people.

Mr. James Lawless:

Actually, that's a great line. I'm going to use that again myself.

I think I still have time for my next question. There is another way around this that we've seen in Ireland and, I guess, around the world. We've heard it again today. Because of the avalanche of fake news and disinformation, there is a greater onus on supporting the—dare I say—traditional platforms, the news media, what we'd call independents, quality news media.

There is a difficulty in terms of who decides what's independent and what's quality, but one of the approaches that we've been looking at I think I heard it in the Canadian Parliament when we watched the question period a few hours ago. I heard similar debates. One solution we're toying with is the idea of giving state subsidies or state sponsorship to independent media, not to any particular news organization but maybe to a broadcasting committee or a fund that is available to indigenous current affairs coverage, independent coverage.

That could be online, or in the broadcast media, or in the print media. It's a way to promote and sustain the traditional fourth estate and the traditional checks and balances of democracy but in a way that I suppose has integrity and is supported, asks questions of us all, and acts as a foil to the fake news that's doing the rounds. However, it's a difficult one to get right, because who decides who's worthy of sponsorship and subsidy and who isn't? I guess if you can present as a bona fide, legitimate local platform, you should be entitled to it. That's an approach we're exploring, one that has worked elsewhere and has seemed to work in other jurisdictions.

(1710)

The Chair:

Thank you James.

Next we'll go to Mr. Graham.

Go ahead for five minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you.

Ms. Weintraub, to build on that, if bots don't have first amendment rights, why does money?

Ms. Ellen Weintraub:

Well, money doesn't have first amendment rights. It's the people who are spending the money who have first amendment rights.

Let me be clear about this. I'm not a big fan of our Supreme Court jurisprudence. I mean, I would adopt the Canadian jurisprudence on this stuff if I could, but it's a little bit above my pay grade.

Mr. David de Burgh Graham:

Fair enough. So you don't necessarily think the decision in Citizens United was a good one?

Ms. Ellen Weintraub:

It would be fair to say that I am not a fan of the Citizens United decision.

Mr. David de Burgh Graham:

Fair enough.

As you were saying, the elections commission's job is to oversee the financing of elections. If a company knowingly permits the use of its algorithm or platform to influence the outcome of an election, would you consider that to be a regulated non-monetary contribution?

Ms. Ellen Weintraub:

I think it could be an in-kind contribution.

Mr. David de Burgh Graham:

Interesting. My next question is related to that.

The CEO of Facebook has a majority of voting shares in the company. He basically has absolute powers in that company. From a legal or regulatory point of view, what prevents that company from deciding to support or act in any way they feel like in an election?

Ms. Ellen Weintraub:

As a corporation, it can't give a donation directly to a candidate, and that would include an in-kind contribution.

A question was raised earlier—and forgive me as I can't recall if it was you who suggested it—about Mark Zuckerberg running for president and using all of the information that Facebook has accumulated to support his campaign. That would be a massive campaign finance violation because he doesn't own that information. Facebook, the corporation, owns it.

The wrinkle in that is that due to the decision of our Supreme Court, corporations can make contributions to super PACs, which supposedly act independently of the campaigns. If a super PAC were advancing the interests of a particular candidate, a corporation—including Facebook—could make an unlimited contribution to that super PAC to help them with their advocacy.

Mr. David de Burgh Graham:

Understood.

I don't have much time, so I'll go to Mr. Therrien for a quick second.

To Mr. Lucas's point earlier, in the social media world, are we the client or are we the product?

Mr. Daniel Therrien:

It is often said that when you do not pay with money, you are the product, and there is certainly a lot of truth to that phrase.

Mr. David de Burgh Graham:

When a surveillance-based company adds tags to sites that do not belong to them, with the approval of the site owner—for example, Google Analytics is pervasive across the Internet and has the approval of the site owner but not of the end user—do you consider them to have implied consent to collect that data?

Mr. Daniel Therrien:

Sorry, I did not get the end.

Mr. David de Burgh Graham:

If I have website and have Google Analytics on it, I have approved Google's use of my website to collect data, but somebody coming to use my website doesn't know that Google is collecting data on my site. Is there implied consent, or is that illegal from your point of view?

Mr. Daniel Therrien:

It is one of the flaws of consent, probably, that there is a term and condition somewhere that makes this consent. That's why I say that privacy is not only about the rules of consent; it's about the use of the information and the respect for rights. We should not be fixated on consent as the be-all and end-all of privacy and data protection.

The Chair:

We have Mr. Picard, who will share the rest of the time with—

Mr. Michel Picard (Montarville, Lib.):

Ms. Weintraub, you said something very interesting, and I don't know whether we have established this notion before.

In the scenario where Zuckerberg would run for president, Facebook couldn't give the information because it would be a massive contribution in kind. Have we established the ownership of the information? No one has consented that this information be spread, and therefore does Facebook own this information?

(1715)

Ms. Ellen Weintraub:

That is a very interesting question, but I'm not sure it's a campaign finance question, so it may be outside of my expertise.

Mr. Michel Picard:

What if it were in Canada, Mr. Therrien?

Mr. Daniel Therrien:

The rules around ownership of information are not very clear.

From a privacy and data protection perspective, I think the question is one of control, consent, but ownership is not a clearly cut question in Canada.

The Chair:

Thank you.

The last three are Jo, Jacques, Charlie, and then we'll finish up.

Ms. Jo Stevens (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Chair.

Ms. Weintraub, I want to ask you, as someone with an obvious professional interest and expertise in this area, do you think we in the U.K. would have more confidence in the integrity in our elections and referenda if we had a Mueller-type inquiry into the 2016 European Union referendum?

Ms. Ellen Weintraub:

You know your people better than I do. I think you're a better judge of what would give them greater confidence.

There were specific incidents that triggered the Mueller inquiry.

Ms. Jo Stevens:

Do you see any overlap between those incidents, or any trend in terms of what happened there and what you know about the European Union referendum?

Ms. Ellen Weintraub:

I haven't studied it carefully enough to wage an opinion.

Ms. Jo Stevens:

Okay, thank you.

In terms of the future for us, we potentially have a second referendum coming up soon. We may have another vote. We may even have a general election very shortly.

Are there any recommendations you would make, in terms of foreign interference through money to the U.K. and to our government? At the moment, our electoral laws, I think, are generally accepted to be unfit for purpose in the digital age.

Ms. Ellen Weintraub:

As I said, I think a lot of it goes to transparency. Do you have the ability to know who is behind the information that you're seeing both digitally and in other media?

Ms. Jo Stevens:

Are there any jurisdictions that you would identify currently as having really good electoral laws that are fit for purpose, bearing in mind what we've all been talking about today around digital interference? Is there a country that you would hold up as a really good model?

Ms. Ellen Weintraub:

I keep looking for that. I go to international conferences, and I'm hoping that somebody out there has the perfect solution. However, I have to say that I haven't found it yet.

If you find it, let me know, because I would love to find that country that's figured this out.

Ms. Jo Stevens:

Perhaps I could ask Mr. Cannataci the same question.

Is there a jurisdiction you're aware of that you think we could all look to for best practice on electoral law encompassing the digital age?

Prof. Joseph A. Cannataci:

The short answer is no.

I share Ms. Weintraub's problem. I keep looking for the perfect solution and I only find, at best, half-baked attempts.

Ms. Stevens, we'll stay in touch about the matter, and the minute we find something, I'll be very happy to share it.

Ms. Jo Stevens:

Thank you.

The Chair:

You have two minutes, Jo.

Ms. Jo Stevens: That's good.

The Chair: Okay.

Next up, we have Monsieur Gourde.

Go ahead, for five minutes. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

My question will focus on a word that seemed to me to be important just now, the word “responsibility”.

This morning, we heard from representatives from digital platforms. They seemed to brush away a major part of their responsibility.

That shocked me. I feel they have a responsibility for their platforms and for the services they provide. Despite very specific questions, they were not able to prove that they are in control of their platforms in terms of broadcasting fake news or hate propaganda that can really change the course of things and influence a huge number of people.

The users, those that buy advertising, also have a responsibility. When you buy advertising, it must be fair and accurate, in election campaigns especially, but also all the time.

If there was international regulation one day, how should we determine the responsibility of both parties, the digital platforms and the users, so they can be properly identified?

That question goes to anyone who wants to answer.

(1720)

Mr. Daniel Therrien:

In terms of protecting data or privacy, you have put your finger on concepts that are fundamental, in my opinion; they are responsibility and accountability. We live in a world where there is massive information gathering and where the information is used by companies for a number of purposes other than the first purpose for which they had been obtained.

The companies often tell us that the consent model is not effective in protecting the privacy of the public, the consumers. They are partly right. Their suggestion is to replace consent, when it is ineffective, by increased accountability for the companies. I feel that that proposal must come with a real demonstration that companies are responsible and they cannot simply claim to be. That is why it is important for regulatory organizations to ensure that companies are really responsible. [English]

Ms. Ellen Weintraub:

It seems to me that they are occupying a sort of hybrid space. They say they're not broadcasters. They say they're just the platform and they're not responsible for any of the content, yet they do seem to feel that they have some responsibility, because they are taking steps. People may feel the steps are inadequate, but they are taking some steps to provide greater transparency.

Why are they doing that? I think it's because they know they can't quite get away with just ignoring this entire issue. They do bear some responsibility in a broader sense, if not in a particular legal sense in any particular jurisdiction. Whether they would have stronger responsibilities if particular jurisdictions, either on an individual basis or on a global basis, decided to say, “No, no, you really are broadcasters and you have to start acting like it”, that is a question for legislators, not regulators. [Translation]

Mr. Jacques Gourde:

Is there, anywhere in the world…

Mr. Cannataci, did you want to add a comment?

Prof. Joseph A. Cannataci:

Yes. Thank you.

I certainly share Mr. Therrien's opinion, but I would like to add something else.[English]

If I could in this questioning just pick out one thing, it is to say that for whoever is going to control whether something should be taken down or not, or whether it's true or not—whatever—it requires effort, and that requires resources. Resources need to be paid for, and who is collecting the money? It's largely the companies.

Of course, you can have somebody for whom you can genuinely say, “Okay, this was the party, or the sponsor, or whoever who paid for the ad.” Otherwise, when push comes to shove, I think we're going to see a growing argument and a growing agreement in a lot of jurisdictions, which will say that they think the companies are collecting the money and, therefore, they have the means to control things. We've seen that to be the case when, for example, Facebook needed to have people who spoke the language of Myanmar in order to control hate speech in that country. I think we're going to see an increasing lead in many national jurisdictions and potentially probably international agreements attributing accountability, responsibility and fiscal liability for what goes on the platforms to the people who collect the money, which is normally the platforms themselves, to a large extent.

Thank you, Mr. Chair.

The Chair:

Thank you.

We'll go to you, Mr. Angus, for five minutes, with Mr. Collins following you, and then me.

Mr. Charlie Angus:

Thank you, Mr. Chair.

We heard an extraordinary statement from Google today that they voluntarily stopped spying on our emails in 2017. They did that in such a magnanimous manner, but they wouldn't agree not to spy on us in the future because there may be nifty things they can do with it.

I can't even remember 2016—it's so long ago—but 2018 changed our lives forever. I remember our committee was looking at consent and whether the consent thing should be clear or it should be bigger with less gobbledygook.

I don't ever remember giving Google consent to spy on my emails or my underage daughters' emails. I don't ever remember that it came up on my phone that, if I wanted to put my tracking location on so I could find an address, they could permanently follow me wherever I went and knew whatever I did. I don't remember giving Google or any search engine the consent to track every single thing I do. Yet, as legislators, I think we've been suckered—Zuckered and suckered—while we all talked about what consent was, what consumers can opt in on, and if you don't like the service, don't use it.

Mr. Therrien, you said something very profound the last time you were here about the right of citizens to live free of surveillance. To me, this is where we need to bring this discussion. I think this discussion of consent is so 2016, and I think we have to say that they have no consent to obtain this. If there's no reason, they can't have it, and that should be the business model that we move forward on: the protection of privacy and the protection of our rights.

As for opt-in, opt-out, I couldn't trust them on anything on this.

We've heard from Mr. Balsillie, Ms. Zuboff, and a number of experts today and yesterday. Is it possible in Canada, with our little country of 30 million people, to put in a clear law that says you can't gather personal information unless there's an express, clear reason? It seems to me that's part of what's already in PIPEDA, our information privacy laws, but can we make it very clear with very clear financial consequences for companies that ignore that? Can we make decisions on behalf of our citizens and our private rights?

(1725)

Mr. Daniel Therrien:

Of course the answer to that is yes. I think there is a role for consent in certain circumstances where the relationship is bilateral between a company service provider and a consumer, where the consumer understands the information that is required to provide the service. With the current digital economy, we're way beyond that. There are many purposes for which the information is then used, often with the purported consent of the consumer.

While there is a place for consent, it has its limits, and that's why I say it is important that privacy legislation define privacy for what it is. It is not at all limited to the mechanical question of consent. It is a fundamental right linked to other fundamental rights. When the outcome of a practice of a company, despite purported consent, is to surveil a consumer in terms of data localization or in terms of the content of messages given by that person, then I think the law should say that consent or no consent, it doesn't matter. What is at play is a privacy violation, being the surveillance of the individual in question, and that is a violation per se that should lead to significant penalties. It is possible to do that.

Mr. Charlie Angus:

Thank you.

My final question is on facial recognition technology. There's a story in the Toronto Star today that the police are using facial recognition technology. San Francisco has attempted to ban it, and other jurisdictions are at least putting a pause on it.

As for the right of a citizen to be able to walk in a public square without being surveilled and without having to bring photo ID, facial recognition technology changes all that. There are obviously legitimate uses. For example, if someone on a CCTV camera has committed a crime, and there's a database, we would maybe have judicial oversight that this is a fair use; however, what about a number of people in a crowd that you can just gather in? I'm sure Facebook and Google would be more than helpful because they have such massive facial recognition databases on us.

As a Canadian regulator, do you believe that we need to hit a pause button on facial recognition technology? How do we put the rules in place to protect citizens' rights with clear safeguards for police use and for commercial use prior to abuses?

(1730)

Mr. Daniel Therrien:

I think in terms of moratoria or outright prohibitions, I would distinguish between the use of a technology—the technology of facial recognition—and the uses to which the technology is put. I find it more likely that a ban or a moratorium would make sense for specific uses of a technology than for the technology per se, because for facial recognition there might be useful public purposes including in a law enforcement domain where, despite the privacy restrictions of facial recognition, the overall public good is in favour of using the technology. I would look at it in terms, again, of specific uses for technology. In that regard, yes, it would make sense to prohibit certain uses.

The Chair:

Thank you, Mr. Angus.

Last, Mr. Collins, go ahead.

Mr. Damian Collins:

Thank you very much.

Ellen Weintraub, given what we've talked about this afternoon, dark money in politics and how difficult it is to have any kind of proper oversight of what happens on platforms like Facebook, are you frightened by the news reporting that Facebook is going to launch its own cryptocurrency?

Ms. Ellen Weintraub:

Yes.

Mr. Damian Collins:

You are. You're frightened by the prospect.

I think you're right to be frightened by the prospect. Given all the other problems we've talked about, this seems like a sort of political money launderer's charter.

Do you not think people will look back on this period of time and say we had sophisticated democracies and societies that have developed decades of rules and regulations on campaign finance, electoral law, personal rights about data and privacy, oversight of broadcast media and news and other forms of news as well, and that we were prepared to see all those decades of experience bypassed by a company like Facebook, simply because that's the way their business model works, and it's unsustainable, the position that we're in at the moment?

Ms. Ellen Weintraub:

Whether it's unsustainable, whether it requires further regulation, I think is exactly why all of you are sitting around this table today.

Mr. Damian Collins:

But in some ways, listening to the discussion in this last session, we're tying ourselves in knots trying to solve a problem that's being caused by a company. Actually it may well be that the solution is, rather than having to abandon lots of things that we value because they've been put there to protect citizens and citizens' rights, we actually should say to these companies, “This is what we expect of you, and we will force this upon you if we can't be convinced there's any other way of doing it”, and we're not prepared to tolerate people being exposed to dark hats, elections being interfered with by bad actors, disinformation, hate speech spreading uncontrolled, and actually, these are not the standards we expect in a decent society. We say that recognizing that platforms like Facebook have become the main media channel in terms of how people get news and information, anywhere between a third and a half of Europeans and Americans.

Ms. Ellen Weintraub:

I think there is a real risk trying to take a set of rules that evolved in the 20th century and assuming that they're going to be equally appropriate for the technologies of the 21st century.

Mr. Damian Collins:

The final comment from me is that I think that's right. Those rules have been demonstrated to be out of date because of new technology and the way people engage with content in the world. Surely, what should remain is the values that brought in those rules in the first place. Saying that those rules need to change because technology's changed is one thing. What we shouldn't say is that we should abandon those values simply because they've become harder to enforce.

Ms. Ellen Weintraub:

I absolutely agree with that.

The Chair:

Mr. Therrien.

Mr. Daniel Therrien:

I totally agree.

The Chair:

I would like to finish up with one thing. We've been talking about the subpoena to Mark Zuckerberg and Sheryl Sandberg for some time and, as chair of this committee, I will say we did our very best to make sure they attended today. We're limited by what's in this book and the laws of our country, and yet the platforms seem to operate in their own bubbles without any restriction within our jurisdictions, and that's the frustration for us as legislators in this place.

Again, thank you for appearing today and thank you for assisting us, especially Commissioner Therrien, for your work in assisting this committee. We look forward to keeping those conversations going in the future.

I have some housekeeping aspects of what's going to happen tonight. Dinner is going to be at 7 p.m., downstairs in room 035. This is room 225, so two floors down will be where dinner is. It's at 7 p.m.

Just to be clear, each delegation is to give a brief presentation on what your country has done and is looking at doing to fix this problem. I'll be talking with my vice-chairs about how we're going to deliver what we are doing in Canada, but I challenge you to have that ready. Again, it's going to be brief. It can be informal. It doesn't need to be a big written presentation. I see some very serious looks on faces wondering, “What did we just get ourselves into?”

More important, I see a lot of tired faces. I think we're all ready just to go back to the hotel for about an hour's rest and then we'll reconvene at 7 p.m. I think that's all I have to say for now, but again we'll see you back at 7 p.m.

(1735)

Mr. Charlie Angus:

I have a point of order, Mr. Chair, before you try to shut us all down.

I do want to commend the excellent work of the staff, our analysts who have put this together, and Mr. Collins for what was done in England. This goes above and beyond. I think we have really set a standard. I'm hoping that in the next Parliament, and maybe in other jurisdictions, we can maintain this conversation. You've done incredible work on this. We really commend you for it.

[Applause]

The Chair:

Thank you for that. For the record, we will be holding the other platforms to account tomorrow morning at 8:30.

We'll see you tonight at seven o'clock.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1530)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

Je déclare ouverte la séance no 154 du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique et, dans une plus large mesure, de notre Grand Comité international sur les mégadonnées, la protection des renseignements personnels et la démocratie.

Il n'est pas nécessaire de répéter la liste des pays que nous avons déjà mentionnés. Je vais présenter les témoins, rapidement.

Du Commissariat à la protection de la vie privée du Canada, nous accueillons M. Daniel Therrien, le commissaire à la protection de la vie privée du Canada.

Témoignant à titre personnel, nous avons M. Joseph A. Cannataci, rapporteur spécial sur le droit à la vie privée aux Nations unies.

Nous avons des problèmes avec la diffusion vidéo à partir de Malte. Nous poursuivrons malgré tout. Le greffier m'informe que nous devrons peut-être nous contenter de l'audio. Nous ferons le nécessaire.

Nous aimerions aussi accueillir la présidente de la Commission électorale fédérale des États-Unis, Mme Ellen Weintraub.

Tout d'abord, j'aimerais parler de l'ordre et de la structure de la réunion. Ce sera très semblable à celui de notre première réunion de ce matin. Nous aurons une question par délégation. Pour le groupe canadien, il y aura une question par parti, puis nous poursuivrons avec divers représentants jusqu'à ce que le temps alloué à la question soit écoulé.

J'espère que c'est assez clair. Vous verrez au fur et à mesure que nous procéderons.

Je tiens à remercier tous les membres qui ont assisté à la période de questions ce matin. Pour ma part, je remercie le Président de la Chambre d'avoir souligné la présence de la délégation.

Je donne à M. Collins l'occasion de commencer.

Allez-y, monsieur Collins.

M. Damian Collins (président, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci.

Ma première question s'adresse aux trois témoins.

Le président:

Ne devrait-on pas commencer par entendre les exposés?

M. Damian Collins:

Très bien.

Le président:

Nous allons entendre les déclarations, en commençant par M. Therrien.

Allez-y; vous avez 10 minutes.

M. Daniel Therrien (commissaire à la protection de la vie privée du Canada, Commissariat à la protection de la vie privée du Canada):

Merci, monsieur le président.

Mesdames et messieurs les membres du Grand Comité, je vous remercie de l'occasion de vous parler aujourd'hui.

Mon allocution portera sur trois points qui, à mon avis, sont des éléments essentiels de votre étude. Tout d’abord, la liberté et la démocratie ne peuvent exister sans la protection de la vie privée et de nos renseignements personnels. Ensuite, pour faire face aux risques posés par les préjudices numériques, comme les campagnes de désinformation, nous devrions renforcer nos lois afin de mieux protéger nos droits. Enfin, à titre d’expert de la réglementation canadienne en matière de protection de la vie privée, je ferai part de mes suggestions sur les mesures qui doivent être prises au Canada afin de mettre en place des lois modernes pour assurer la protection efficace du droit à la vie privée des Canadiens.

Je suis convaincu que ces suggestions formulées dans le contexte canadien ont aussi toute leur pertinence dans le contexte international.

Comme vous le savez, dans son rapport sur la protection des renseignements personnels et le processus politique, l'Information Commissioner's Office — le pendant de mon commissariat au Royaume-Uni — a clairement conclu que le laxisme en matière de respect de la vie privée et le microciblage par les partis politiques ont révélé des lacunes dans le paysage de la réglementation. Ces lacunes ont à leur tour été exploitées pour cibler les électeurs au moyen des médias sociaux et pour diffuser de la désinformation.[Français]

Le scandale de Cambridge Analytica a mis en lumière des pratiques inattendues en matière d'utilisation de renseignements personnels. En plus, mon enquête sur Facebook a révélé un cadre de protection de la vie privée qui était en fait une coquille vide. Cette affaire a rappelé aux citoyens que la vie privée est un droit fondamental et une condition préalable nécessaire à l'exercice d'autres droits fondamentaux, notamment la démocratie. En fait, la vie privée n'est rien de moins qu'une condition préalable à la liberté, c'est-à-dire la liberté de vivre et de se développer de façon autonome, à l'abri de la surveillance de l'État ou d'entreprises commerciales, tout en participant volontairement et activement aux activités courantes d'une société moderne.[Traduction]

Les membres de ce comité ne sont pas sans savoir que les incidents et les atteintes à la vie privée qui sont maintenant trop fréquents vont bien au-delà des questions de protection de la vie privée, aussi graves soient-elles. Outre les questions de protection de la vie privée et des données, les institutions démocratiques et la confiance même des citoyens dans notre processus électoral font maintenant l'objet de méfiance et de suspicion. Les organismes publics, notamment les organismes de réglementation électorale, souhaitaient que les outils numériques, comme les réseaux sociaux, puissent mobiliser une nouvelle génération de citoyens. Toutefois, ces outils sont aussi utilisés pour subvertir nos démocraties, et non les renforcer.

L'interaction entre la protection des données, le microciblage et la désinformation représente une menace réelle pour nos lois et nos institutions. Dans certaines parties du monde, on tente de répondre à ces risques en proposant différents types de règlements. Je vais en souligner quelques-uns.

Le Livre blanc du Royaume-Uni sur les préjudices numériques publié récemment propose la création d'un organisme de réglementation numérique et offre plusieurs interventions potentielles auprès des organisations commerciales pour réglementer un ensemble de problèmes. Le modèle proposé pour le Royaume-Uni consiste à ajouter un nouvel organisme de réglementation pour des plateformes numériques qui permettra d'élaborer des codes de conduite précis pour traiter des cas d'exploitation des enfants, de propagande haineuse, d'ingérence électorale étrangère et d'autres préjudices pernicieux en ligne.

En outre, plus tôt ce mois-ci, l'appel de Christchurch pour éliminer le contenu terroriste et extrémiste violent en ligne a souligné la nécessité d'assurer une application efficace des lois, une application des normes d'éthique et une coopération appropriée.

Enfin, il y a à peine une semaine, ici même au Canada, le gouvernement a publié une nouvelle proposition de mise à jour de notre loi fédérale sur la protection des données commerciales, ainsi qu'une charte numérique visant à protéger la vie privée, à contrer l'utilisation abusive des données et à assurer que les entreprises communiquent clairement avec les utilisateurs.

(1535)

[Français]

Toutes ces approches reposent sur la nécessité d'adapter nos lois aux nouvelles réalités de notre monde numérique interconnecté. De plus en plus de gens comprennent que l'ère de l'autoréglementation doit cesser. La solution n'est pas de faire en sorte que les gens éteignent leur ordinateur ou cessent d'utiliser les médias sociaux, les moteurs de recherche ou les autres services numériques. Un bon nombre de ces services répondent à des besoins réels. L'objectif ultime est plutôt de permettre aux individus de profiter des services numériques pour socialiser, apprendre et, de façon générale, se développer en tant que personnes tout en demeurant en sécurité et en étant confiants que leur droit à la vie privée sera respecté.[Traduction]

Certains principes fondamentaux peuvent, à mon avis, guider les efforts gouvernementaux visant à rétablir la confiance des citoyens. Mettre les citoyens et leurs droits au centre de ces discussions est d'une importance vitale selon moi, et le travail des législateurs devrait être axé sur des solutions fondées sur les droits.

Au Canada, le point de départ devrait être de conférer à la loi une base fondée sur les droits, conforme au statut quasi constitutionnel du droit à la vie privée. C'est le cas dans de nombreux pays, où la loi définit explicitement certains droits à la vie privée comme tels, avec des pratiques et des processus qui appuient et font appliquer ce droit important.

Je pense que le Canada devrait continuer d'avoir une loi neutre sur le plan technologique et axée sur des principes. Une loi fondée sur des principes reconnus internationalement, tels que ceux de l'OCDE, rejoint un objectif important, soit l'interopérabilité. Adopter un traité international pour la protection de la vie privée et la protection des données personnelles serait une excellente idée, mais d'ici là, les pays devraient viser l'adoption de lois interopérables.

Nous avons également besoin d'une loi fondée sur des droits, autrement dit une loi qui confère aux personnes des garanties juridiques, tout en permettant une innovation responsable. Une telle loi définirait la vie privée dans son sens le plus large et le plus véritable, par exemple le droit d'être libre de toute surveillance injustifiée, qui reconnaisse sa valeur et son lien avec les autres droits fondamentaux.

La vie privée ne se limite pas au consentement, à l'accès et à la transparence. Ces mécanismes sont importants, mais ils ne définissent pas le droit lui-même. La codification de ce droit, en plus de la nature fondée sur des principes et neutre sur le plan technologique de la législation canadienne actuelle, lui permettrait de perdurer, malgré les inexorables progrès technologiques.

Un dernier point que je souhaite soulever à cet égard est l'importance d'une surveillance indépendante. La protection de la vie privée ne peut être assurée sans la participation d'organismes de réglementation indépendants, habilités à imposer des amendes et à vérifier la conformité de façon proactive, afin de veiller à ce que les organisations soient véritablement responsables de la protection des renseignements.

Cette dernière notion de responsabilité démontrable est une mesure nécessaire dans le monde d'aujourd'hui, où les modèles d'affaires sont opaques et où les flux d'information sont de plus en plus complexes. Il est peu probable qu'une personne dépose une plainte si elle n'est pas au courant d'une pratique qui pourrait lui nuire. C'est pourquoi il est si important que les organismes de réglementation aient le pouvoir d'examiner de façon proactive les pratiques des organisations. Lorsqu'il n'est ni pratique ni efficace d'obtenir le consentement — un point soulevé par de nombreuses organisations à notre époque — et qu'on s'attend à ce que les organisations comblent les lacunes en matière de protection au moyen de la responsabilisation, ces organisations doivent être tenues de démontrer garder une responsabilité véritable.

Les solutions que je vous ai présentées aujourd'hui ne sont pas de nouveaux concepts. Cependant, comme ce comité adopte une approche globale pour faire face au problème de la désinformation, il s'agit aussi d'une occasion pour les acteurs nationaux, c'est-à-dire les organismes de réglementation, les représentants gouvernementaux et les représentants élus, de reconnaître les pratiques exemplaires et les solutions émergentes et de prendre des mesures pour protéger nos citoyens, nos droits et nos institutions.

Merci. Je répondrai maintenant à vos questions.

(1540)

Le président:

Merci encore, monsieur Therrien.

Vérifions si la connexion avec M. Cannataci fonctionne. Non.

Nous passons à Mme Weintraub pour 10 minutes.

Mme Ellen Weintraub (présidente, Commission électorale fédérale des États-unis):

Merci.

Le président:

Je suis désolé, madame Weintraub.

Nous venons d'entendre des commentaires. Il peut nous parler.

Je suis désolé, madame Weintraub. Nous allons l'écouter, puisque la communication est établie.

Monsieur Cannataci, la parole est à vous, pour 10 minutes.

M. Joseph A. Cannataci (rapporteur spécial sur le droit à la vie privée, Nations unies, à titre personnel):

Monsieur le président, membres du Grand Comité, merci beaucoup de l'invitation à comparaître.

Je vais essayer de m'appuyer sur les propos de M. Therrien afin d'aborder quelques points supplémentaires. Je reviendrai aussi sur certains propos tenus par d'autres témoins.

Premièrement, j'essaierai d'adopter une perspective plus internationale, même si les thèmes abordés par le Comité ont certainement une dimension mondiale. Voilà pourquoi, lorsqu'il est question d'un traité mondial... Le témoin précédent a parlé d'un traité international. Comme je vais l'expliquer, l'une des raisons pour lesquelles j'ai décidé d'examiner diverses priorités en matière de protection de la vie privée, dans le cadre de mon mandat aux Nations unies, c'est que le cadre juridique général de la protection de la vie privée et des données — un traité international à cet égard — ne relève pas spécifiquement de l'ONU. Il s'agit de la Convention 108 ou de la Convention 108+, qui a déjà été ratifiée par 55 pays. Le dernier pays à présenter un document de ratification est le Maroc, qui l'a fait hier.

Les rencontres tenues à Strasbourg ou ailleurs pour discuter des actions et de l'interopérabilité dans un cadre international comprennent déjà 70 pays, États signataires et observateurs. Les discussions portent sur le cadre offert par cet instrument juridique international. J'encourage d'ailleurs le Canada à envisager d'y adhérer. Bien que je ne sois pas un spécialiste du droit canadien, je l'étudie depuis 1982. Je pense que le droit canadien est très similaire dans la plupart des cas. Je pense que l'adhésion du Canada à ce groupe de pays de plus en plus nombreux serait un atout.

Pour ce qui est du deuxième point que je voudrais aborder, je serai bref. Je suis aussi préoccupé par la situation de la démocratie et le recours croissant à diverses méthodes de surveillance des profils sur Internet pour manipuler l'opinion des gens. L'exemple parfait qu'il faut examiner est celui de Cambridge Analytica, mais il y en a d'autres dans plusieurs autres pays du monde.

Je dois aussi préciser que les six ou sept priorités que je me suis fixées pour mon mandat à l'ONU résument dans une certaine mesure, certains des principaux enjeux de protection de la vie privée et des données auxquels nous sommes confrontés. La première priorité ne devrait pas vous surprendre, mesdames et messieurs, car elle est liée à la raison d'être de mon mandat. Il s'agit de la sécurité et de la surveillance.

Vous vous souviendrez que mon mandat à l'ONU m'a été confié dans la foulée des révélations de Snowden. Vous ne serez donc pas surpris d'apprendre que nous avons accordé une grande attention à la sécurité et à la surveillance à l'échelle internationale. Je suis très heureux que le Canada participe très activement à l'une des tribunes, le Forum international sur les mécanismes de contrôle des services de renseignement, car, comme le témoin précédent vient de le mentionner, la surveillance est un élément clé auquel nous devons accorder notre attention. J'ai également été ravi de constater les progrès importants réalisés au Canada au cours des 12 à 24 derniers mois.

(1545)



La surveillance est un vaste sujet, mais puisque mes 10 minutes sont presque écoulées, je pourrais répondre aux questions à ce sujet. Pour le moment, je dirai simplement que les problèmes sont les mêmes partout dans le monde. Autrement dit, nous n'avons pas de solution appropriée en matière de compétence. Les enjeux relatifs à la compétence et à la définition des infractions demeurent parmi nos plus importants problèmes, malgré l'existence de la Convention sur la cybercriminalité. La sécurité, la surveillance et, fondamentalement, le nombre accru d'actions dans le cyberespace qui sont parrainées par des États demeurent des problèmes flagrants.

Certains pays sont plutôt réticents à évoquer leurs activités d'espionnage dans le cyberespace, tandis que d'autres les considèrent comme leur propre cour. En réalité, il est évident que les intrusions à l'égard de la vie privée touchent des centaines de millions de personnes, pas dans un seul pays, mais dans le monde entier, et ces actions sont le fait de services parrainés par un acteur ou un autre, notamment la plupart des puissances permanentes des Nations unies.

Fondamentalement, il s'agit d'un problème de compétence et de définition des limites. Nous avons préparé une ébauche d'un instrument juridique sur la sécurité et la surveillance dans le cyberespace, mais le contexte politique mondial ne semble pas propice à de grandes discussions sur ces aspects. Cela a mené à des mesures unilatérales, notamment aux États-Unis, avec le Cloud Act, une mesure qui n'obtient pas un grand appui pour le moment. Toutefois, peu importe que des mesures unilatérales soient efficaces ou non, j'encourage la discussion, même sur les principes du Cloud Act. Même si les discussions ne mènent pas à des accords immédiats, elle amènera au moins les gens à se concentrer sur les problèmes actuels.

Je passe maintenant aux mégadonnées et aux données ouvertes. Comme nous avons peu de temps, je vous invite à consulter le rapport sur les mégadonnées et les données ouvertes que j'ai présenté à l'Assemblée générale des Nations unies en octobre 2018. En toute franchise, je vous invite à ne pas regrouper les deux enjeux et à éviter de considérer les données ouvertes comme une panacée, comme le font les politiciens qui ne cessent d'en vanter les avantages. La vérité, c'est que les principes des mégadonnées et des données ouvertes sous-tendent un examen des enjeux fondamentaux clés en matière de protection de la vie privée et des données.

En droit canadien, comme c'est le cas dans d'autres pays, notamment dans les lois de tous les pays qui adhèrent à la Convention 108, le principe de la spécification des finalités selon lequel les données ne devraient être recueillies et utilisées que pour une fin précise ou compatible demeure un principe fondamental. Ce principe est toujours d'actualité dans le règlement relatif à la protection des données récemment adopté en Europe. Il convient toutefois de garder à l'esprit que souvent, ceux qui ont recours à l'analyse des mégadonnées visent à utiliser ces données à d'autres fins. Je vous invite encore une fois à consulter mon rapport et les recommandations détaillées qui s'y trouvent.

J'ai présenté un document au sujet des données sur la santé, à des fins de consultation. Le document fera l'objet de discussions en vue de la présentation de recommandations lors d'une réunion spéciale qui aura lieu les 11 et 12 juin prochains, en France. J'espère que le Canada y sera bien représenté. Nous avons reçu de nombreux commentaires positifs au sujet du rapport. Nous essayons d'établir un consensus sur les données sur la santé. J'aimerais attirer l'attention du Comité sur l'importance de ces données. On collecte de plus en plus de données sur la santé chaque jour à l'aide de téléphones intelligents, de bracelets Fitbit et d'autres dispositifs portables. Ces appareils ne sont pas vraiment utilisés comme il était prévu il y a 15 ou 20 ans.

J'aimerais attirer l'attention du Comité sur un autre document de consultation. Il porte sur le genre et la protection de la vie privée. J'espère organiser une consultation publique. Une campagne de consultation a déjà été lancée en ligne, mais j'espère tenir une réunion publique, probablement à New York, les 30 et 31 octobre. Le genre et la protection de la vie privée demeurent des sujets très importants, mais controversés. Je serais heureux que le Canada continue de contribuer et de participer aux discussions à cet égard.

(1550)



À mon avis, vous ne serez pas surpris d'apprendre que parmi les cinq groupes de travail que j'ai créés, un groupe de travail étudie l'utilisation des données personnelles par les entreprises. Je me fais un point d'honneur de rencontrer les dirigeants de grandes entreprises, notamment Google, Facebook, Apple et Yahoo. Je rencontre aussi ceux de certaines entreprises non américaines, dont Deutsche Telekom, Huawei, etc. J'essaie de tenir au moins deux réunions par année. Je les réunis autour d'une table pour obtenir leur collaboration afin de trouver de nouvelles mesures de protection et de nouveaux recours en matière de protection de la vie privée, en particulier dans le cyberespace.

Cela m'amène au dernier point que je veux mentionner pour le moment. Il est lié à l'enjeu précédent concernant les entreprises et l'usage qu'elles font des données personnelles. C'est la priorité en matière de protection de la vie privée.

Les questions de protection de la vie privée me préoccupent de plus en plus, en particulier celles qui touchent les enfants, qui deviennent des citoyens numériques à un âge précoce. Comme l'a indiqué le témoin précédent, nous étudions certaines lois nouvelles et novatrices, comme celles du Royaume-Uni, non seulement la loi sur les préjudices numériques, mais aussi la loi sur les comportements adaptés à l'âge et sur la responsabilité des entreprises. J'aborderai officiellement ces questions avec les dirigeants d'entreprise lors de notre réunion de septembre 2019. J'ai hâte de pouvoir réaliser des progrès sur l'enjeu de la vie privée et des enfants, ainsi que sur celui de la responsabilisation et l'action des entreprises afin de préparer, dans les 12 à 18 prochains mois, une série de recommandations à cet égard.

C'est tout pour le moment, monsieur le président. C'est avec plaisir que je répondrai aux questions.

Le président:

Merci, monsieur Cannataci.

Nous passons maintenant à Mme Weintraub.

Je veux simplement vous expliquer pourquoi les lumières clignotent. Au Parlement canadien, cela indique que des votes auront lieu dans environ 30 minutes. Les partis ont convenu qu'un député de chaque parti resterait ici et que les autres iraient voter. Nous poursuivrons la réunion avec ceux qui restent, sans nous arrêter. Ce n'est pas une alarme incendie. Poursuivons.

(1555)

M. Charlie Angus (Timmins—Baie James, NPD):

Puisque je suis le seul néo-démocrate, la question est de savoir, comme dirait le groupe The Clash: should I stay or should I go?

Des voix: Ha, ha!

Le président:

Vous devriez probablement rester.

Il est convenu qu'un député de...

M. Charlie Angus:

Si je pars, vous ne pouvez prendre aucun de mes sièges.

Le président:

Je voulais simplement que le fonctionnement soit clair.

Nous passons maintenant à Mme Weintraub, pour 10 minutes.

Mme Ellen Weintraub:

Monsieur le président, membres du Comité, merci.

Je suis la présidente de la Commission électorale fédérale des États-Unis. Je représente un organisme bipartisan, mais les opinions que je vais exprimer sont entièrement les miennes.

Je vais passer du sujet de la protection de la vie privée aux campagnes d'influence.

En mars de cette année, le conseiller spécial Robert S. Mueller III a terminé son rapport d'enquête sur l'ingérence russe dans l'élection présidentielle de 2016. Ses conclusions donnaient froid dans le dos. Le gouvernement russe s'est ingéré dans l'élection présidentielle de 2016 de manière générale et systémique. Tout d'abord, une entité russe a mené une campagne dans les médias sociaux qui a favorisé un candidat à la présidence et dénigré l'autre. Deuxièmement, un service de renseignement russe a mené des opérations d'intrusion informatique contre des entités de la campagne, des employés et des bénévoles, puis a divulgué des documents volés.

Le 26 avril 2019, au Council on Foreign Relations, le directeur du FBI, Christopher A. Wray, a lancé une mise en garde contre une campagne d'influence étrangère agressive, malveillante et intensive consistant à « utiliser les médias sociaux, les fausses nouvelles, la propagande, les fausses personnalités, etc., pour nous monter les uns contre les autres, semer la discorde et la division, et saper la foi des Américains à l'égard de la démocratie. Il ne s'agit pas seulement d'une menace liée au cycle électoral; il s'agit plutôt d'une menace permanente, 365 jours par année. Et cela a manifestement continué. »

Bien qu'il ait noté que « d'énormes progrès ont été réalisés depuis 2016 par l'ensemble des organismes fédéraux, les responsables électoraux des États et des municipalités, les entreprises de médias sociaux, notamment, pour protéger l'infrastructure physique de nos élections », il a déclaré: « Je pense que nous reconnaissons que nos adversaires vont continuer à adapter et à améliorer leur jeu. Nous voyons donc 2018 comme une sorte de répétition générale pour le grand spectacle de 2020. »

La semaine dernière, à la Chambre des représentants, un représentant du département de la Sécurité intérieure a également souligné que la Russie et d'autres pays étrangers, dont la Chine et l'Iran, ont mené des activités d'influence lors des élections de mi-mandat de 2018 et des campagnes de communication qui visaient les États-Unis pour promouvoir leurs intérêts stratégiques.

Aux États-Unis, comme vous le savez probablement, l'administration des élections est décentralisée. Cela relève des États et des administrations locales. Cela signifie que la protection des infrastructures physiques des élections relève d'autres fonctionnaires. Je parle des installations physiques gérées par les gouvernements des États et les administrations locales. Il est essentiel qu'ils continuent d'assurer ce rôle.

Cependant, depuis mon siège à la Commission électorale fédérale, je travaille tous les jours avec un autre type d'infrastructure électorale, le fondement de notre démocratie: la conviction que les citoyens savent qui influence nos élections. Cette conviction a été la cible d'attaques malveillantes de la part de nos ennemis étrangers, par l'intermédiaire de campagnes de désinformation. Cette conviction a été minée par l'influence corruptrice de fonds occultes qui pourraient masquer des bailleurs de fonds étrangers illégaux. Cette conviction a subi les assauts répétés de campagnes de publicité politique en ligne de sources inconnues. Cette conviction a été ébranlée par des cyberattaques contre des responsables de campagnes politiques mal équipés pour se défendre par leurs propres moyens.

Cette conviction doit être restaurée, mais elle ne peut l'être par la Silicon Valley. Nous ne pouvons laisser la reconstruction de cet élément de notre infrastructure électorale aux sociétés de technologie, celles qui ont conçu les plateformes que nos rivaux étrangers utilisent à mauvais escient en ce moment même pour attaquer nos démocraties.

En 2016, le contenu généré par de faux comptes établis en Russie a été vu par 126 millions d'Américains sur Facebook et 20 millions d'Américains sur Instagram, pour un total de 146 millions d'Américains alors que pour cette élection, on comptait seulement 137 millions d'électeurs inscrits.

Aussi récemment qu'en 2016, Facebook acceptait le paiement en roubles pour des publicités politiques sur les élections américaines.

Pas plus tard que l'année dernière, en octobre 2018, des journalistes se faisant passer pour des sénateurs du Sénat des États-Unis — tous les sénateurs — ont tenté de placer des annonces en leur nom sur Facebook. Facebook a accepté dans tous les cas.

Par conséquent, lorsque ceux qui faisaient partie de l'autre groupe de témoins n'arrêtaient pas de nous dire qu'ils contrôlent la situation, nous savons que ce n'est pas le cas.

Je souligne au passage que j'ai aussi invité M. Mark Zuckerberg et M. Jack Dorsey, et d'autres, à venir témoigner lors des audiences de la Commission portant sur la divulgation de la publicité sur Internet. Encore une fois, ils ne se sont pas présentés, mais sans envoyer de représentant, cette fois. Ils se sont contentés d'envoyer des commentaires écrits. Donc, je compatis avec vous.

(1600)



C'est tout simplement très important pour nous tous. Aux États-Unis, les dépenses en publicité politique numérique ont augmenté de 260 % de 2014 à 2018, d'une élection de mi-mandat à l'autre, pour un total de 900 millions de dollars en publicité numérique lors des élections de 2018. C'était toujours moins que les dépenses pour la publicité radiodiffusée, mais en matière de publicité politique, le numérique est évidemment la voie de l'avenir.

Des propositions constructives ont été présentées aux États-Unis pour tenter de régler ce problème. Il y a la loi sur les publicités honnêtes, qui assujettirait les publicités sur Internet aux mêmes règles que les publicités radiodiffusées, ainsi que la Disclose Act, qui accroîtrait la transparence et la lutte contre les fonds occultes. Au sein de mon propre organisme, je tente de promouvoir une règle qui permettrait d'améliorer les avis de non-responsabilité pour toute publicité en ligne. Jusqu'à présent, tous ces efforts ont été contrecarrés.

Or, les plateformes ont heureusement tenté de faire quelque chose. Elles ont essayé d'aller plus loin en partie pour éviter la réglementation, j'en suis convaincue, mais aussi pour répondre à l'insatisfaction généralisée à l'égard de leurs pratiques en matière d'information et de divulgation. Elles ont amélioré, du moins aux États-Unis, leur processus de divulgation des commanditaires des publicités, mais ce n'est pas suffisant. Des questions reviennent sans cesse, par exemple sur les critères qui déclenchent l'obligation de publier un avis de non-responsabilité.

Peut-on se fier aux avis de non-responsabilité pour identifier correctement les sources des publicités numériques? Selon l'étude portant sur les 100 annonces des sénateurs, cela ne semble pas possible, du moins pas toujours. Lorsque le contenu est transmis, l'information d'identification est-elle transmise en même temps? Comment les plateformes gèrent-elles la transmission d'informations cryptées? La communication poste-à-poste est une avenue prometteuse pour l'activité politique, et elle soulève un lot d'enjeux potentiels. Quelles que soient les mesures adoptées aujourd'hui, elles risquent fort de cibler les problèmes du dernier cycle et non du prochain, et nous savons que nos adversaires ne cessent d'améliorer leur jeu, comme je l'ai dit, d'improviser et de modifier constamment leurs stratégies.

Je suis également très préoccupée par le risque d'un afflux de fonds étrangers dans notre système électoral, en particulier par l'intermédiaire des entreprises. Cette préoccupation n'a rien d'hypothétique. Nous avons récemment clos un cas d'application de la loi lié à des ressortissants étrangers qui ont réussi à verser 1,3 million de dollars dans les coffres d'un super PAC lors des élections de 2016. Ce n'est qu'une des méthodes employées par les ressortissants étrangers pour faire sentir leur présence et exercer une influence, même dans nos campagnes politiques au plus haut échelon.

Aux États-Unis, les cas et les plaintes de ce genre sont de plus en plus courants. De septembre 2016 à avril 2019, le nombre d'affaires dont la Commission a été saisie — ce qui comprend les violations présumées de l'interdiction visant les ressortissants étrangers — est passé de 14 à 40. Au 1er avril de cette année, 32 affaires étaient en instance. Il s'agit d'une autre préoccupation constante liée à l'influence étrangère.

Tout ce que vous avez entendu aujourd'hui indique qu'il faut réfléchir sérieusement à l'incidence des médias sociaux sur notre démocratie. La philosophie d'origine de Facebook, « bouger vite et bouleverser les choses », élaborée il y a 16 ans dans une chambre de résidence d'université, a des conséquences ahurissantes lorsque l'on considère que les médias sociaux sont peut-être en train de bouleverser nos démocraties elles-mêmes.

Facebook, Twitter, Google et autres géants de la technologie ont révolutionné notre façon d'accéder à l'information et de communiquer. Les médias sociaux ont le pouvoir de favoriser le militantisme citoyen, de diffuser de la désinformation ou des discours haineux de manière virale et de façonner le discours politique.

Le gouvernement ne peut se soustraire à sa responsabilité d'examiner les répercussions. Voilà pourquoi je me réjouis des travaux de ce comité et je suis très reconnaissante de tout ce que vous faites, car cela a des retombées dans mon pays, même lorsque nous sommes incapables d'adopter nos propres règlements alors que vous le faites, dans d'autres pays. Les plateformes ont parfois des politiques uniformes partout dans le monde, et cela nous aide. Merci beaucoup.

Je vous remercie aussi de l'invitation à participer à cette réunion. C'est avec plaisir que je répondrai à vos questions.

Le président:

Merci, madame Weintraub.

Nous commençons par M. Collins.

M. Damian Collins:

Merci. Ma première question s'adresse à Mme Ellen Weintraub.

Vous avez mentionné les fonds occultes dans votre déclaration préliminaire. Dans quelle mesure êtes-vous préoccupée par la capacité des organismes de campagne à utiliser la technologie, en particulier la technologie de la chaîne de bloc, pour blanchir les dons non admissibles aux campagnes en les transformant en une multitude de dons modestes?

(1605)

Mme Ellen Weintraub:

Cela m'inquiète beaucoup, notamment parce que tout notre système de réglementation repose sur l'hypothèse que les grosses sommes d'argent doivent être la préoccupation et que la réglementation doit être axée là-dessus. Sur Internet, cependant, il arrive que de très petites sommes d'argent aient une incidence considérable. Là, on ne prend même pas en compte la possible utilisation de Bitcoin et d'autres technologies pour masquer entièrement la provenance de l'argent.

Donc oui, cela me préoccupe considérablement.

M. Damian Collins:

Votre commission a-t-elle été saisie d'autres cas particuliers?

Mme Ellen Weintraub:

Le problème avec les fonds occultes, c'est qu'on ne sait jamais vraiment qui est derrière tout cela. Au cours des 10 dernières années, environ 1 milliard de dollars en fonds occultes ont été dépensés dans le cadre de nos élections, et je ne peux pas vous dire qui est derrière tout cela. C'est la nature de la clandestinité.

M. Damian Collins:

Je me demandais simplement s'il y avait eu des allégations particulières ou s'il y avait lieu d'enquêter davantage sur ce qui pourrait être considéré comme une activité suspecte.

Mme Ellen Weintraub:

Nous recevons constamment des plaintes au sujet de fonds occultes. Le cas que je viens de décrire est l'un des exemples les plus marquants que nous ayons vus récemment. Il peut s'agir d'argent qui entre par l'intermédiaire de sociétés par actions à responsabilité limitée ou d'organisations indépendantes en vertu de l’alinéa 501(c)(4). Dans ce cas précis, la partie en cause était une filiale nationale d'une société étrangère.

M. Damian Collins:

Avez-vous des préoccupations quant à la façon dont des technologies comme PayPal pourraient être utilisées pour obtenir de l'argent de sources qui tentent de cacher leur identité ou même de l'étranger?

Mme Ellen Weintraub:

PayPal, les cartes-cadeaux et toutes ces choses suscitent d'importantes préoccupations. Si l'argent est versé directement à une campagne, les organisations ne peuvent accepter de sommes importantes sans en révéler la provenance, et elles ne sont pas autorisées à accepter des contributions anonymes importantes supérieures à un seuil par ailleurs très faible. Cependant, dès qu'il est question de groupes externes de bailleurs de fonds — les super PAC et autres groupes du genre —, elles peuvent accepter des dons de sociétés, ce qui, par définition, empêche d'en connaître la provenance exacte.

M. Damian Collins:

J'aimerais savoir ce que les trois témoins ont à répondre à ma prochaine question.

La transparence en matière de publicité semble être l'une des choses les plus importantes que nous devrions exiger. Au Royaume-Uni, certainement — et dans d'autres pays également, il me semble —, la loi électorale se fondait sur la compréhension de l'identité du messager. Les gens devaient révéler qui payait la publicité et qui cette dernière visait à faire connaître. Or, ces mêmes règles ne se sont pas appliquées dans les médias sociaux.

Même si les gestionnaires de plateforme affirment qu'ils exigeront la transparence, il semble que ces précautions soient faciles à déjouer, surtout dans le cas de Facebook. La personne qui se dit responsable des publicités n'est peut-être pas celle qui contrôle les données ou qui finance les campagnes. Ces renseignements ne sont vraiment pas clairs.

Je me demande si vous partagez nos préoccupations à cet égard et si vous avez une idée du genre de loi que nous pourrions devoir adopter afin d'assurer la divulgation pleine et entière de l'identité de ceux qui financent les campagnes.

Mme Ellen Weintraub:

Je les partage certainement. À ma connaissance, le problème vient en partie du fait que les gestionnaires de plateforme ne vérifient pas qui est derrière la publicité. Si quelqu'un affirme que Mickey Mouse la parraine, c'est ce qu'ils indiquent sur leur plateforme.

M. Damian Collins:

J'aimerais aussi connaître l'avis des deux autres témoins pour savoir s'ils ont des préoccupations et s'ils considèrent que nous devrions instaurer un système solide au sujet de la transparence en matière de publicité en ligne.

M. Daniel Therrien:

J'ajouterais que pour réduire le risque de mauvais usage de l'information dans le cadre du processus politique, il faut disposer d'une série de lois. Au Canada et dans un certain nombre de pays, comme les États-Unis, les partis politiques ne sont pas assujettis à la loi sur la protection des renseignements personnels, à l'échelle fédérale canadienne, du moins. Voilà encore une lacune observée dans les lois de certains pays.

Il faut instaurer une série de mesures, en ce qui concerne notamment la transparence en matière de publicité et la protection des données, ainsi que d'autres règles pour que l'écosystème des compagnies et des partis politiques soit adéquatement réglementé.

M. Damian Collins:

Il semble que les organismes de réglementation doivent impérativement être autorisés par la loi à effectuer des vérifications auprès des entreprises de technologie pour s'assurer qu'elles divulguent les bons renseignements.

M. Daniel Therrien:

Au Canada, nous pouvons faire enquête sur les entreprises, mais pas sur les partis politiques. Un bon régime autoriserait un organisme de réglementation à mener des enquêtes sur les deux.

M. Damian Collins:

L'organisme pourrait faire enquête sur les partis et les plateformes qui font de la publicité.

M. Daniel Therrien:

Oui.

M. Damian Collins:

J'ignore si le signal audio fonctionne à Malte.

M. Joseph A. Cannataci:

Il fonctionne, merci, monsieur Collins. Je vous remercie également du travail que vous avez investi dans votre rapport, que j'ai — je dois dire — trouvé extrêmement utile dans le cadre de mon mandat.

Je dirai très brièvement que je partage les préoccupations des deux témoins précédents. Au chapitre de la transparence en matière de publicité, il est extrêmement important de connaître l'identité du messager. Je m'inquiète grandement du recours aux chaînes de blocs et à d'autres technologies de registre distribué. À dire vrai, il n'existe pas suffisamment de recherches en ce moment pour nous permettre d'examiner les problèmes concernés.

Il se trouve que le pays dans lequel je vis s'est proclamé l'île des chaînes de blocs, et nous déployons certains efforts pour légiférer en la matière, mais je crains qu'il faille effectuer encore bien du travail à ce sujet dans le monde. Si c'est possible, je proposerais au Comité de prêter son nom à des ressources sérieuses afin d'étudier le problème et de formuler des recommandations judicieuses.

(1610)

Le président:

Merci, monsieur Cannataci.

Nous avons dépassé le temps prévu, et certains membres doivent aller voter. Je dois donc accorder la parole à Mme Vandenbeld le plus rapidement possible.

Je tenterai de vous accorder de nouveau la parole si vous avez besoin d'une réponse plus exhaustive.

Madame Vandenbeld, vous avez la parole.

Mme Anita Vandenbeld (Ottawa-Ouest—Nepean, Lib.):

Merci beaucoup, monsieur le président.

Je vous remercie grandement d'être ici et de faire des témoignages très instructifs.

Je voudrais poser mes questions sur les menaces étrangères à la démocratie et sur ce que j'appelle les technologies habilitantes, comme les médias sociaux et les « donnéeopoles » qui permettent aux menaces étrangères de prendre pied.

Je considère qu'à titre de législateurs, nous nous trouvons aux premières lignes de la démocratie mondiale. Si ceux d'entre nous qui sont les représentants élus de la population ne sont pas capables de résoudre le problème et de contrer ces menaces, alors que c'est vraiment à nous qu'il revient de le faire... Voilà pourquoi j'étais enchantée que le Grand Comité se réunisse aujourd'hui.

Je souligne également la collaboration que même notre comité a pu avoir avec le comité du Royaume-Uni au sujet d'AggregateIQ, qui était ici, au Canada, lors de notre étude sur Cambridge Analytica et Facebook.

Nous avons toutefois un problème: les plateformes ont beau jeu d'ignorer les pays pris individuellement, particulièrement les petits marchés, car elles sont si grandes que nous ne pouvons pas faire grand-chose contre elles. Nous devons donc unir nos efforts.

Madame Weintraub, considérez-vous que vous disposez actuellement des outils nécessaires pour que les élections américaines de 2020 ne subissent aucune influence étrangère ou en subissent aussi peu que possible?

Mme Ellen Weintraub:

J'hésite à répondre à cette question. Comme je l'ai souligné dans mon témoignage, je voudrais que le Congrès adopte diverses lois et j'aimerais persuader mes collègues de la commission d'accepter d'adopter certains règlements.

Je pense que nous ne sommes pas aussi solides que nous pourrions l'être, mais je sais que le département de la Sécurité intérieure, les États et les administrations locales travaillent d'arrache-pied afin de protéger les infrastructures physiques pour tenter d'éviter la manipulation des votes, laquelle constitue la plus grande crainte, bien entendu.

Sur le plan de l'influence étrangère, comme le directeur du FBI l'a indiqué, nous nous attendons à ce que nos adversaires modifient leur plan, et tant que nous ne verrons pas ce plan, nous ne saurons pas si nous sommes prêts à faire face à la menace.

Mme Anita Vandenbeld:

Au Canada, le problème vient entre autres du fait qu'il est très difficile de savoir qui a le pouvoir de parler au cours d'une campagne électorale; nous avons donc instauré le Protocole public en cas d'incident électoral majeur. Il s'agit d'un groupe de hauts fonctionnaires qui seraient en mesure de rendre la chose publique si les organismes de sécurité décelaient une menace étrangère.

Les États-Unis ont-ils envisagé de mettre en place un protocole semblable? Est-ce une solution qui pourrait fonctionner à l'échelle mondiale?

Monsieur Cannataci, je vous demanderais de répondre également en ce qui concerne le contexte international. Je me demande si vous observez des initiatives qui pourraient, au cours d'élections, permettre à ce genre d'autorité de rendre la menace publique.

J'entendrai d'abord Mme Weintraub, puis M. Cannataci.

Mme Ellen Weintraub:

Je pense que ce pouvoir existe. Certains fonctionnaires ont le pouvoir de rendre ce genre de renseignements publics s'ils sont informés de la situation. Ce genre de transparence est toutefois limité pour des questions de sécurité nationale et de renseignement, bien entendu.

Mme Anita Vandenbeld:

Monsieur Cannataci, vous avez indiqué qu'il existe certains traités internationaux sur la protection des données et des renseignements personnels, mais y a-t-il une sorte de centre d'échange des pratiques exemplaires internationales?

À lui seul, notre comité trouve d'excellents exemples de pratiques qu'il s'emploie à faire connaître, mais existe-il quelque part un endroit où les pratiques exemplaires sont échangées, mises à l'épreuve, étudiées et diffusées?

(1615)

M. Joseph A. Cannataci:

Pas à ce que je sache. Deux comités des Nations unies doivent se former bientôt, dont au moins un pourrait discuter de sujets connexes. Vous pourriez aborder la question auprès de ce qui s'appelle le groupe de travail ouvert des Nations unies, qui commencera probablement ses travaux à l'automne.

Je serais toutefois ravi de travailler avec le Comité afin d'élaborer un ensemble de mécanismes pouvant être échangés sur le plan des pratiques exemplaires, car la plupart des tentatives de manipulation électorale que nous avons observées recouraient au profilage dans un domaine ou dans un autre afin de cibler des gens pour influencer leur vote.

Je me ferais un plaisir de réaliser des travaux dans ce domaine avec le Comité, et quiconque souhaite nous faire part de pratiques exemplaires est le bienvenu.

Le président:

Merci, madame Vandenbeld. Votre temps est écoulé.

Nous accorderons maintenant la parole à M. Angus pour cinq minutes.

M. Charlie Angus:

Merci, monsieur le président.

Je vous remercie de témoigner, madame Weintraub.

Les Américains sont comme nos cousins germains et nous les aimons beaucoup, mais nous sommes légèrement suffisants, car nous observons ce qu'il se passe par-delà la frontière et nous nous disons que toutes ces folies ne pourraient jamais se produire au Canada. Je vous relaterai donc toute l'histoire de la fraude et de l'ingérence électorales au Canada depuis 10 ans.

Un jeune de 20 ans travaillant pour les conservateurs a mis la main sur des numéros de téléphone et a envoyé des renseignements erronés le jour du scrutin. Il a fini en prison.

Un membre de notre comité a demandé à ses cousins de l'aider à payer un stratagème électoral. Il a perdu son siège au Parlement et trouvé une place en prison.

Un ministre du Cabinet qui avait caché des dépenses de 8 000 dollars en voyages aériens au cours d'élections a dépassé la limite, perdant ainsi son poste au Cabinet et son siège.

Ces situations ont des conséquences; pourtant, on manipule les données au grand jour, et il semble que nous ne dispositions pas de lois pour intervenir ou que nous ne soyons apparemment pas certains de la manière dont nous pourrions nous attaquer au problème.

Je peux vous dire qu'en 2015, j'ai commencé à remarquer le problème lors des élections fédérales, alors que la situation est passée totalement inaperçue au pays. Notre région a été la cible d'une campagne intense contre les musulmans et les immigrantes, qui y a complètement chamboulé le discours électoral. L'information était issue d'une organisation extrémiste de la Grande-Bretagne. Je ne comprenais pas comment les gens de la classe ouvrière de ma région recevaient ces renseignements.

Je comprends aujourd'hui avec quelle rapidité le poison se répand dans le système et à quel point il est facile de cibler des gens et de manipuler les profils de données d'électeurs.

Quand le gouvernement fédéral aura de nouvelles lois de protection des élections, il pourrait s'agir des meilleures lois pour les élections de 2015, mais l'ingérence observée alors s'apparente à un vol de diligence si on la compare à celle que vous verrons lors des prochaines élections, lesquelles feront probablement office de banc d'essai pour les élections de 2020.

Au regard du recours massif aux outils servant à influencer les élections démocratiques, comment pouvons-nous instaurer des mesures pour mettre des bâtons dans les roues des mercenaires de données qui peuvent cibler chaque électeur en en exploitant les craintes?

Mme Ellen Weintraub:

Je ne sais même pas comment commencer à répondre à cette question.

Le système canadien diffère manifestement du nôtre. Je n'approuve pas toujours la manière dont la Cour suprême interprète le Premier amendement, mais ce dernier assure une protection extrêmement solide de la liberté d'expression. Cela a une incidence dans les domaines de la technologie, de l'argent occulte et de la politique.

S'il n'en tenait qu'à moi, je pense que la Cour suprême devrait s'inspirer un peu plus du modèle canadien, mais je n’ai aucune incidence à ce sujet.

M. Charlie Angus:

Monsieur Therrien, je m'adresserai à vous.

C'est votre prédécesseure, Elizabeth Denham, qui a mis au jour la faiblesse de Facebook en 2008 et qui a tenté de forcer l'entreprise à se conformer. Si Facebook s'était exécutée, nous aurions peut-être évité bien des problèmes. Maintenant, en 2019, vous concluez qu'en vertu de la primauté du droit, dans votre champ de compétences, Facebook a violé la loi sur la protection des renseignements personnels.

Ce qui est très troublant, c'est que Facebook a tout bonnement refusé d'admettre nos compétences dans notre pays, affirmant que nous devions supposément lui prouver si des torts avaient été causés ou non.

Je ne suis pas certain si vous avez entendu le témoignage de M. Chan aujourd'hui, mais en ce qui concerne les droits des législateurs démocratiques d'assurer la protection des lois, comment pouvons-nous lutter contre une entreprise qui considère qu'elle peut choisir de respecter ou non les lois nationales?

(1620)

M. Daniel Therrien:

Vous faites référence aux conclusions tirées par mes prédécesseurs il y a 10 ans. Il est certainement déconcertant que les pratiques observées il y a 10 ans et qui sont censées avoir été corrigées grâce à l'amélioration des politiques en matière de protection des renseignements personnels et de l'information communiquée aux utilisateurs n'ont, de fait, pas été rectifiées. Des améliorations superficielles ont été apportées, selon, nous, mais dans les faits, les mesures de protection des renseignements personnels de Facebook s'avèrent encore très inefficaces 10 ans après l'enquête du Commissariat à la protection de la vie privée du Canada.

En ce qui concerne l'argument sur les compétences, je pense que la compagnie considère que puisque les citoyens canadiens n'ont pas été personnellement touchés par la manipulation de l'information à des fins politiques, le Commissariat n'a pas compétence en la matière. Nous ne nous sommes toutefois pas contentés d'examiner l'effet des pratiques de protection des renseignements personnels dans le processus politique canadien; nous avons étudié l'ensemble du régime de réglementation en matière de protection des renseignements personnels de Facebook lorsqu'il s'applique non seulement à une application de tierce partie, mais à toutes les applications semblables, lesquelles se comptent par millions.

Je me préoccupe certainement du fait que Facebook affirme que nous n'avons pas compétence en la matière, alors que nous nous sommes penchés sur la manière dont Facebook a traité les renseignements personnels de Canadiens et de Canadiennes au moyen de millions d'applications et non d'une seule.

Comment faire en sorte que Facebook ou d'autres entreprises respectent l'autorité du Canada? Eh bien, compte tenu du régime juridique qui est le nôtre, il nous reste la possibilité de les traîner devant la Cour fédérale du Canada — et c'est ce que nous ferons — pour qu'elle rende une décision sur les pratiques de Facebook, notamment en indiquant si l'entreprise doit respecter notre autorité. Nous ne doutons guère qu'elle doive la respecter, mais il faudra qu'un tribunal se prononce sur la question.

M. Charlie Angus:

Enfin...

Le président:

Merci, monsieur Angus. Votre temps est écoulé.

M. Charlie Angus:

Ma montre indique 4 minutes et 53 secondes.

Des voix: Ah, ah!

Le président:

Nous aurons encore du temps vers la fin de la séance; je ferais donc mieux de poursuivre.

Nous entendrons maintenant notre témoin de Singapour pour cinq minutes.

Monsieur Tong, nous vous cédons la parole.

M. Edwin Tong (ministre d'État principal, Ministère de la justice et Ministère de la santé, Parlement de Singapour):

Merci.

Madame Weintraub, merci beaucoup d'être là. En septembre 2017, vous avez écrit une lettre à la personne qui assumait alors la présidence de la Federal Election Commission, dans laquelle vous indiquiez qu'il fallait impérativement moderniser la réglementation de cet organisme pour que les Américains sachent qui paie les messages politiques qu'ils voient sur Internet.

Ai-je raison de présumer que vos inquiétudes découlent du fait que les activités étrangères influencent, voire corrompent les messages politiques, pas seulement lors d'élections, mais aussi dans la vie quotidienne des membres d'une société démocratique, et que si on leur laisse libre cours, ces activités chercheront à ébranler les institutions et le gouvernement, à influencer les élections et, au bout du compte, à renverser la démocratie?

Aurais-je raison de dire cela?

Mme Ellen Weintraub:

Je partage un grand nombre de ces préoccupations, et je crains vivement que ces activités visent non seulement à influencer les élections, mais aussi à semer la discorde et le chaos et à ébranler la démocratie dans de nombreux pays.

M. Edwin Tong:

En fait, conviendriez-vous que le mode opératoire typique de tels mauvais acteurs viserait à semer la discorde quant aux questions sociales primordiales et à provoquer des problèmes qui ouvrent des lignes de faille dans la société pour que les institutions et, au final, les gouvernements soient ébranlés?

(1625)

Mme Ellen Weintraub:

Je pense que c'est le cas.

M. Edwin Tong:

Vous avez parlé précédemment des entreprises de technologie. Je pense que vous avez dit qu'elles vous ont répondu qu'elles s'occupaient du problème. De toute évidence, c'est loin d'être le cas. Vous avez également indiqué que les entreprises ne vérifiaient pas qui se trouve derrière les publicités et les dons.

Connaissez-vous la Campaign for Accountability, ou CFA?

Mme Ellen Weintraub:

Je ne peux pas dire que je la connais; je suis désolée.

M. Edwin Tong:

Après la diffusion des conclusions de Robert Mueller, je pense, une organisation sans but lucratif du nom de Campaign for Accountability s'est faite passer pour l'IRA et a très facilement acheté des publicités politiques. Elle a réussi à faire publier toute une série de publicités et de campagnes par Google pour un peu moins de 100 $US et a obtenu quelque 20 000 visionnements et plus de 200 clics avec ce genre de dépense.

Est-ce une situation qui vous préoccupe? Faudrait-il réglementer ce genre d'activité étrangère, qui montre également qu'on ne peut s'en remettre aux plateformes de médias sociaux pour surveiller la situation?

Mme Ellen Weintraub:

Je suis convaincue qu'il faut réglementer davantage le domaine pour que les gens puissent savoir qui est derrière les publicités qu'ils voient sur les médias sociaux.

M. Edwin Tong:

Oui.

En ce qui concerne les règlements dont il est question dans la lettre que vous avez écrite, pourriez-vous nous dire, en 30 secondes, quels devraient être, selon vous, les principes fondamentaux sous-jacents à ces règlements pour que nous puissions mettre fin à l'influence et à la corruption étrangères dans les processus démocratiques?

Mme Ellen Weintraub:

Eh bien, comme je l'ai indiqué, je pense qu'il faut assurer une meilleure transparence. Quand les gens lisent des informations en ligne, ils doivent pouvoir en connaître l'origine.

Par exemple, l'Internet Research Agency de Russie a diffusé des publicités et des renseignements aux fins de propagande. Je ne connais personne qui veuille que ses nouvelles viennent d'une usine de trolls russe. Je pense que si les gens savaient que c'est de là d'où vient l'information, ils sauraient à quel point ils peuvent s'y fier.

M. Edwin Tong:

Oui, car au bout du compte, la fausse information, ce n'est pas la liberté d'expression, n'est-ce pas?

Mme Ellen Weintraub:

Les gens doivent savoir d'où vient l'information pour pouvoir tirer de meilleures conclusions.

M. Edwin Tong:

Oui. Merci.

Je vous remercie, monsieur le président.

Le président:

Merci.

Nous accorderons maintenant la parole à Mme Naughton, de l'Irlande.

Mme Hildegarde Naughton (présidente, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Ma première question s'adressera à M. Cannataci. Elle concerne les lois que nous envisageons d'adopter en Irlande, lois qui pourraient éventuellement s'appliquer à l'échelle de l'Europe. Nous voulons créer un poste de commissaire à la sécurité numérique en ligne. Dans le cadre de l'élaboration de cette loi, la définition de « communication préjudiciable » donne notamment du fil à retordre à notre comité. Je me demande si vous pourriez nous aider. Existe-t-il à cet égard une pratique exemplaire ou une manière optimale de procéder?

Nous voulons éventuellement légiférer à l'échelle de l'Europe et, comme nous le savons, il faut protéger la liberté d'expression. Ces questions ont été soulevées ici. Avez-vous des observations à formuler à ce sujet?

M. Joseph A. Cannataci:

La réponse brève est oui, je serais enchanté de vous aider. Nous sommes en train de mettre sur pied un groupe de travail précisément sur la protection des renseignements personnels, les enfants et les préjudices causés en ligne. C'est un sujet très difficile, car certains termes utilisés ne sont pas très clairs, notamment les mots « adapté à l'âge ».

Pour la plupart des enfants du monde, le niveau de maturité n'est pas lié à l'âge. Les enfants se développent à différents âges. Il faut vraiment mieux étudier le genre de préjudices dont ils peuvent être victimes en ligne. En fait, les études sur le sujet sont malheureusement rarissimes. Il en existe, mais pas suffisamment.

Je verrais certainement d’un œil favorable une approche irlandaise, européenne, voire internationale à ce sujet, car le problème transcende les frontières. Je vous remercie donc d'agir dans ce dossier.

Mme Hildegarde Naughton:

Merci beaucoup. Je pense que nous nous préoccupons tous ici de cette définition.

J'interrogerai peut-être le commissaire à la protection de la vie privée, M. Therrien, au sujet du Règlement général sur la protection des données. Avez-vous une opinion quant au fonctionnement de ce règlement?

Comme vous le savez, le président de Facebook, Mark Zuckerberg, a demandé que le Règlement général sur la protection des données soit mis en application à l'échelle internationale. J'aimerais savoir ce que vous en pensez d'un point de vue professionnel.

Ce règlement est très récent et a été mis en oeuvre à l'échelle européenne, comme vous le savez. Que pensez-vous de ce règlement, de son fonctionnement et du fait que M. Zuckerberg en réclame l'application dans tous les pays, même s'il fallait pour cela le modifier?

(1630)

M. Daniel Therrien:

Le Règlement général sur la protection des données est encore relativement nouveau; je pense donc qu'il faudra attendre encore un peu pour en déterminer les effets dans la pratique. Je considère certainement que les principes de ce règlement sont bons. Il s'agit de saines pratiques. Je pense que les divers pays devraient évidemment chercher à protéger le plus efficacement possible les renseignements personnels et les données, et s'inspirer des règles d'autres pays pour y parvenir.

Dans mon exposé, j'ai parlé de l'interopérabilité. J'ajouterais qu'il importe que les lois internationales, bien qu'elles soient interopérables et qu'elles reposent sur de bons principes comme ceux du Règlement général sur la protection des données, soient adaptées à la culture et aux traditions de chaque pays. Par exemple, le poids relatif accordé à la liberté d'expression et à la protection des données peut varier dans certains pays, mais le Règlement général sur la protection des données constitue un excellent point de départ.

Mme Hildegarde Naughton:

D'accord, merci.

Je pense que ce sont toutes les questions que je voulais poser.

Le président: Vous disposez d'une minute.

Mme Hildegarde Naughton: Voulez-vous poser une question?

M. James Lawless (membre, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Merci.

Monsieur le président, si vous le voulez bien, j'utiliserai la dernière minute, mais j'interviendrai de nouveau lors du deuxième tour pour utiliser mes cinq minutes.

Le président:

Oui, bien sûr.

M. James Lawless:

Madame Weintraub, votre analyse de ce qu'il s'est passé lors des dernières élections était intéressante, particulièrement en ce qui concerne l'influence des États-nations.

Ces derniers ont comme dénominateur commun le fait qu'ils ne favorisent pas nécessairement un candidat au détriment d'un autre, mais cherchent à semer la discorde et à affaiblir les démocraties occidentales. Cela semble être un thème commun. Je pense que c'est le phénomène que nous avons pu observer lors du Brexit et des élections américaines. Comment pouvons-nous lutter contre ces interventions?

J'ai élaboré des mesures législatives s'apparentant à la loi sur la publicité honnête et à la loi sur la transparence dans les médias sociaux, fort d'objectifs très semblables. J'ai une question, à laquelle je reviendrai lors du deuxième tour, sur la manière dont nous pouvons appliquer ce genre de loi. La responsabilité incombe-t-elle à ceux qui font de la publicité ou à la plateforme?

Quelqu'un a affirmé qu'un organisme avait réussi à diffuser de fausses publicités sur les 100 sénateurs ou membres de la Chambre des représentants. Les plateformes devraient-elles être responsables des divulgations, des avertissements et des vérifications d'usage? Elles nous ont affirmé qu'elles ne pouvaient pas le faire. Devons-nous faire porter cette responsabilité à ceux qui placent les publicités ou à ceux qui les publient, si vous saisissez la distinction?

Mme Ellen Weintraub:

Les États-Unis ont coutume d'imposer ces obligations à ceux qui placent les publicités. Il me semble toutefois que nous pourrions exploiter les fameuses capacités d'apprentissage machine de l'intelligence artificielle de ces plateformes. Si les machines peuvent s'apercevoir que le nom sur la publicité n'a aucun lien avec la source du paiement, elle pourrait avertir un humain qui entreprendrait de vérifier si le nom figurant dans la publicité est le bon.

Ce n'est toutefois pas ainsi que nos lois fonctionnent actuellement.

Le président:

M. Zimmermann, de l'Allemagne, aura la parole pour les cinq prochaines minutes.

M. Jens Zimmermann (Parti social-démocrate, Parlement de la République fédérale d'Allemagne):

Merci, monsieur le président.

Je commencerais avec M. Cannataci pour traiter de la collaboration internationale.

Nous avons indiqué plus tôt qu'il fallait collaborer à l'échelle internationale. C'est d'ailleurs l'objectif derrière la présente séance. Mais où verriez-vous des forums propices à la collaboration dans ces domaines? Cette année, par exemple, l'Allemagne accueillera le Forum sur la gouvernance d'Internet, une approche plurilatérale des Nations unies.

Voyez-vous d'autres approches?

(1635)

M. Joseph A. Cannataci:

Je vous remercie de cette question, monsieur Zimmermann.

Le Forum sur la gouvernance d'Internet est un endroit utile pour se réunir et discuter, mais nous devons faire très attention de ne pas nous en tenir aux belles paroles. Le problème, c'est que ce forum offre un endroit où les bonnes idées abondent, mais où la gouvernance est bien mince. À l'heure actuelle, les États tendent malheureusement à éluder la responsabilité de la gouvernance.

Je pense que nous verrons des pays se réunir, y compris le Parlement européen nouvellement élu, pour appliquer des mesures qui susciteront l'attention. Selon moi, les entreprises sentent le vent tourner; certaines d'entre elles l'ont d'ailleurs admis à demi-mot.

Rien n'attire l'attention comme l'argent. L'approche du Règlement général sur la protection des données, à laquelle on a fait référence, suscite une vive attention de la part des entreprises du monde, car aucune ne veut être obligée de payer une facture équivalant à 4 % de son chiffre d'affaires mondial. Je pense que cette mesure favorisera la reddition de comptes et la responsabilité. Pour répondre à la question précédente, je pense que cette démarche fera porter l'attention sur les plateformes au moins autant que sur ceux qui placent les publicités, car, comme quelqu'un l'a fait remarquer, il est parfois difficile de savoir si ces derniers sont les véritables responsables.

M. Jens Zimmermann:

Merci beaucoup.

La question de l'application devait suivre, mais vous y avez déjà répondu. Merci.

Je poserais une question à Mme Weintraub également.

Nous avons maintes fois parlé des trolls et des usines de trolls, mettant beaucoup l'accent sur la publicité. Qu'en est-il des trolls à l'oeuvre au pays? Nous avons constaté que dans une certaine mesure, des activistes qui sont en fait des trolls surpuissants sont en activité en Allemagne, particulièrement dans le mouvement d'extrême droite. On n'a pas besoin de les payer; ils agissent parce qu'ils veulent soutenir leurs groupes politiques.

Cachés dans l'ombre, ils décident d'utiliser des outils pour s'attaquer à un ou à une députée ou ils appuient simplement chaque publication d'un membre d'un parti. Ils font une utilisation optimale des algorithmes, sans avoir besoin d'argent pour le faire.

Vous intéressez-vous aussi à ce problème?

Mme Ellen Weintraub:

Je pense que vous soulevez une autre question très sérieuse. Aux États-Unis, nous avons constaté que certaines techniques instaurées par des activistes étrangers sont maintenant adoptées par des activistes américains, car ils ont vu qu'elles fonctionnaient. Ces techniques ont le même genre d'effet préoccupant que les démarches visant à semer la discorde et à répandre parfois les discours haineux. Elles permettent d'aller chercher, dans les crevasses de la communauté, des gens qui ont des idées et qui, seuls, n'ont pas beaucoup de pouvoir, mais qui, lorsqu'ils se réunissent en ligne et diffusent ces idées, deviennent bien plus inquiétants.

Nous n'avons pas d'outils efficaces pour lutter contre eux, car quand ces trolls sont des étrangers, il est facile de dire qu'ils cherchent à s'ingérer dans nos élections, et nous savons que ce n'est pas une bonne chose; c'est toutefois une autre paire de manches quand il s'agit de nos propres citoyens.

Le président:

Il vous reste une trentaine de secondes.

M. Jens Zimmermann:

J'aborderai peut-être une dernière question.

Nous avons de nombreux règlements régissant les médias et stipulant ce qu'une station de télévision ou de radio peut faire, mais YouTube soulève actuellement tout un débat en Allemagne, car on y trouve des gens qui joignent essentiellement un auditoire plus vaste que celui de nombreuses stations de télévision, sans pour autant être soumis à la moindre réglementation.

Est-ce un problème que vous observez également?

Mme Ellen Weintraub:

Nous observons certainement le phénomène des influenceurs. Je ne passe pas moi-même beaucoup de temps sur YouTube, mais quand je vois certaines de ces personnes, je ne suis pas vraiment certaine de comprendre pourquoi elles ont autant d'influence, mais elles en ont.

Cela nous ramène au modèle qui est le nôtre. Le modèle de réglementation des États-Unis se fonde sur l'argent. Quand nous avons commencé à nous intéresser à l'activité politique sur Internet, YouTube en était à ses balbutiements, et la plupart des gens présumaient qu'il faudrait évidemment payer pour diffuser une publicité afin que le public la regarde. Nous évoluons maintenant dans un monde entièrement différent où tout ce contenu est diffusé gratuitement et devient viral. Il existe très peu de mesures de contrôle dans ce domaine.

(1640)

Le président:

Merci.

Nous allons maintenant revenir aux parlementaires, de retour de leurs votes.

Nous accorderons la parole à M. Kent pour cinq minutes.

L'hon. Peter Kent (Thornhill, PCC):

Merci, monsieur le président.

Ma première question s'adresse au commissaire Therrien et concerne la révélation que le gouvernement a faite en réponse à une question inscrite au Feuilleton sur les annonces d'emplois discriminatoires publiées sur un certain nombre de plateformes, et Facebook a certainement été mentionnée. Un certain nombre de ministères auraient demandé que les annonces soient microciblées par sexe et par âge.

M. Chan, président et directeur général de Facebook Canada, a répondu que cela s'était effectivement produit, mais que les protocoles avaient changé, même si ses réponses étaient quelque peu imprécises ou ambiguës. Il a indiqué que le gouvernement fédéral avait été avisé que cette façon de faire était non seulement inacceptable, mais aussi potentiellement illégale en vertu des diverses lois relatives aux droits de la personne du pays.

Pourrais-je avoir votre réaction, monsieur le commissaire?

M. Daniel Therrien:

Je pense que cette affaire fait ressortir l'importance d'avoir des lois fondées sur les droits de la personne. Nous sommes ici en présence d'une pratique qui aurait pu engendrer de la discrimination. Je pense qu'il importe que les règlements tiennent compte de l'effet net d'une pratique et règlent la question en application des droits de la personne.

Sur le plan de la protection de la vie privée, nous tendons à considérer que la protection des données et des renseignements personnels prend la forme de règles entourant le consentement, la divulgation de l'objectif et d'autres facteurs. Je pense que l'affaire Cambridge Analytica a soulevé la question de la relation étroite entre la protection de la vie privée, la protection des données et l'exercice des droits fondamentaux, y compris, dans le cas de votre exemple, les droits à l'égalité.

Je pense que pour le genre de lois dont je suis responsable au Canada, nous assurerions une protection plus efficace et plus exhaustive en définissant la protection de la vie privée en fonction non pas des mécanismes importants comme le consentement, par exemple, mais des droits fondamentaux qui sont préservés grâce à la protection des renseignements personnels.

L'hon. Peter Kent:

D'accord.

Madame Weintraub, la question que je vous poserai concerne les échanges que nous avons eus ce matin concernant Facebook au sujet de la vidéo falsifiée de Mme Pelosi et de la déclaration que Facebook a faite au Washington Post, selon laquelle l'entreprise n'avait pas de politique exigeant que les publications sur sa plateforme soient véridiques.

Il s'agit manifestement d'un cas de malveillance politique. Ce n'est pas une année électorale, mais de pareils actes entachent le processus démocratique et ciblent de manière évidente la réputation d'un dirigeant politique et le leadership politique. Je me demande ce que vous pensez de l'argument de Facebook.

La plateforme retirera une vidéo publiée par quelqu'un qui révèle la vérité sous une fausse représentation, mais laissera celle publiée par quelqu'un qui est manifestement prêt à dire que c'est une falsification, se contentant de publier un avertissement indiquant que le contenu ne semble pas véridique, même si, dans le cas de la vidéo de Mme Pelosi, la vidéo a été vue par des millions de personnes depuis le déclenchement de la controverse, laquelle sert le plan d'affaires de Facebook au sujet des clics et du nombre de visionnements.

Mme Ellen Weintraub:

Eh bien, ce matin, j'ai entendu un grand nombre de commentaires qualifiant d'insatisfaisante la réponse donnée par Facebook. Je dois dire que j'ai aussi trouvé cette réponse insatisfaisante, mais cela soulève une question très importante, c'est-à-dire que dans ce cas-ci, ils savent que l'information est fausse, mais de façon plus générale, on peut se demander qui sera responsable de discerner le vrai du faux.

Personnellement, je ne veux pas assumer cette responsabilité, et je crois que c'est dangereux lorsque le gouvernement assume la responsabilité de décider ce qui est vrai et ce qui ne l’est pas. En effet, cela ressemble plutôt au type de gouvernance autoritaire qu'on retrouve dans un roman orwellien. Je ne crois pas que je serais à l'aise d'être la personne responsable de cela ou de vivre dans un régime où le gouvernement a ce pouvoir, mais si le gouvernement n’a pas ce pouvoir, on peut se demander à qui il revient. De plus, je ne suis pas à l'aise avec le fait que des plateformes ont le pouvoir de décider ce qui est vrai et ce qui est faux.

(1645)

L'hon. Peter Kent:

Si cela devait se produire en période d'élections, quelle serait votre réponse?

Mme Ellen Weintraub:

Dans les cycles électoraux, nous avons divers règlements qui régissent la publicité, s'il s'agit de publicité payée et si cette publicité mentionne le nom des candidats. Tous les membres de la Chambre des représentants doivent se faire réélire tous les deux ans. Je présume que les membres de la Chambre des représentants sont toujours au milieu d'un cycle, mais nous avons des règlements plus sévères qui régissent cela lorsque nous approchons d'une élection. En effet, dans les 30 jours précédant une élection primaire et dans les 60 jours précédant une élection générale, encore une fois, des règlements encadrent la divulgation. Toutefois, aucun règlement n'autorise mon organisme à ordonner à une plateforme de retirer une publicité.

L'hon. Peter Kent:

Merci.

Le président:

Merci, madame Weintraub.

Certains des membres du Comité ne poseront pas de questions, et nous avons donc un peu plus de temps que nous le pensions. Si vous souhaitez poser une autre question, veuillez en aviser le président, et j'ajouterai votre nom à la fin de la série de questions.

Nous entendrons maintenant la représentante de l'Estonie.

Allez-y.

Mme Keit Pentus-Rosimannus (vice-présidente, Parti réformateur, Parlement de la République d'Estonie (Riigikogu)):

Merci.

Madame Weintraub, j'aimerais vous poser une question.

La désinformation fait officiellement partie de la doctrine militaire de la Russie depuis un certain temps. On l'utilise essentiellement comme stratégie pour diviser l'Occident. On sait également que les Russes investissent 1,1 milliard d'euros par année dans la propagande et la diffusion de leur version des faits.

Vous êtes sur le point d'avoir des élections présidentielles. En sachant ce que nous savons au sujet de la dernière période électorale, êtes-vous prête maintenant? Si les événements de la dernière campagne électorale devaient se reproduire, pensez-vous que vous seriez maintenant en mesure de régler ces problèmes?

Mme Ellen Weintraub:

Je ne prétendrai pas que je peux personnellement résoudre le problème de la désinformation dans nos élections. Comme je l'ai dit plus tôt, je crois que des lois et des règlements ont été rédigés et qu'ils seront adoptés pour renforcer notre position.

Je crois également que, dans l'ensemble, nous devons accorder plus d'attention aux compétences numériques. En effet, un grand nombre de personnes croient toutes sortes de choses qu'elles voient en ligne et qu'elles ne devraient vraiment pas croire. Ma fille me dit que c'est une question de génération, car les gens de sa génération sont beaucoup plus sceptiques à l'égard de ce qu'ils lisent en ligne et que ce sont seulement les gens de ma génération, qui sont un peu crédules, qui considèrent qu'Internet est une nouveauté et qui présument que tout ce qu’ils lisent est vrai.

Je ne sais pas si je suis tout à fait d'accord avec elle sur le fait que cet enjeu se résume à une question de génération, mais je crois que dans l'ensemble, la communauté des démocraties doit réellement déterminer quelle est sa résilience face à la désinformation qui, nous le savons, sera diffusée un peu partout.

Comme je l'ai dit, nous menons toujours la dernière bataille, et nous pouvons donc rédiger des lois pour encadrer ce qui s'est produit la dernière fois, mais je suis certaine que lors des prochaines élections, de nouvelles techniques auxquelles personne n'a encore pensé seront mises au point.

Mme Keit Pentus-Rosimannus:

Pouvez-vous nommer les deux principales menaces contre lesquelles vous vous préparez?

Mme Ellen Weintraub:

Mon organisme s'occupe de réglementer les fonds dans la sphère politique. C'est notre priorité, et nous essayons de déterminer d'où proviennent ces fonds. C'est ce que nous surveillons en tout temps. Nous tentons de mettre en œuvre des mesures plus efficaces en matière de transparence, afin que nos électeurs comprennent mieux d'où viennent les fonds et qu'ils connaissent l'identité des intervenants qui tentent de les influencer. C'est réellement ma priorité.

Mme Keit Pentus-Rosimannus:

Nous venons tout juste d'avoir les élections parlementaires européennes. Selon vous, avons-nous fait face à certains enjeux que vous pourriez utiliser pour vous préparer à votre prochaine élection? Dans quelle mesure coopérez-vous avec vos collègues européens?

Mme Ellen Weintraub:

Je suis toujours heureuse d'obtenir des renseignements de n'importe quelle source. C'est la raison pour laquelle je suis ici. En effet, c'est un événement très enrichissant pour moi. De plus, je serai heureuse de répondre à toutes vos questions.

(1650)

Mme Keit Pentus-Rosimannus:

Observez-vous déjà certaines choses liées aux élections parlementaires européennes que vous trouvez utiles?

Mme Ellen Weintraub:

Nous n'avons pas encore étudié le déroulement des élections parlementaires européennes.

Mme Keit Pentus-Rosimannus: D'accord.

Le président:

Avez-vous terminé? Merci.

À titre d'information, nous allons recommencer le cycle. Nous entendrons d’abord M. Erskine-Smith, et nous donnerons ensuite la parole au parlementaire suivant. Nous entendrons donc M. Erskine-Smith, M. Lucas et M. Lawless.

Allez-y, monsieur Erskine-Smith.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Merci beaucoup.

Je suis récemment allé à Bruxelles, où j'ai rencontré le contrôleur européen de la protection des données. Il y a une excellente coopération entre les commissaires à la protection de la vie privée au sein de l'Union européenne. En effet, des conférences sont organisées pour leur permettre de se rencontrer et de discuter de ces enjeux, afin de favoriser la coopération entre les organismes de réglementation.

Madame Weintraub, le même niveau de coopération a-t-il été observé dans le cadre des élections?

Mme Ellen Weintraub:

Nos élections sont régies par nos propres règlements. Comme je l'ai dit plus tôt, je suis heureuse d'obtenir des renseignements de toutes les sources, mais étant donné que nos règlements diffèrent de ceux d'autres pays, surtout lorsqu'il s'agit de la transparence en matière de fonds et de politique et de la façon dont nous finançons nos élections, nous utilisons notre propre processus.

M. Nathaniel Erskine-Smith:

Lorsque j'ai laissé entendre à un ami du Colorado et à un autre ami du Mississippi que je voulais faire de la politique et que je leur ai dit que le plafond de mon district local était de 100 000 $ canadiens, ils ont ri un bon coup.

Des voix: Oh, oh!

Mme Ellen Weintraub:

C'est très différent.

M. Nathaniel Erskine-Smith:

Avant de m'adresser à M. Therrien, je tiens à préciser que je respecte absolument le fait que les règlements américains en matière de liberté d'expression sont beaucoup plus stricts que les règlements canadiens en la matière. Toutefois, lorsque vous parlez des gens responsables « de discerner le vrai du faux », il y a tout de même des conseils sur les normes et il y a toujours, dans le cas des radiodiffuseurs… Certainement, un radiodiffuseur, lors d'une élection… Je me trompe peut-être, mais je m'attends à ce qu'il y ait des conseils sur les normes et des lignes directrices en matière d'éthique et certains principes fondamentaux qu'ils seraient tenus de respecter, et qu'ils ne diffuseraient pas n'importe quoi.

Mme Ellen Weintraub:

Je crois que c'est vrai dans le cas des radiodiffuseurs, surtout pour des raisons de responsabilité professionnelle. Je pense que c'est l'un des dilemmes auxquels nous faisons tous face. Lorsque nous vivions dans un monde où il y avait moins de radiodiffuseurs et qu’ils étaient tous des journalistes professionnels, qu'ils avaient reçu la formation appropriée, qu'ils exerçaient un contrôle rédactionnel sur le contenu qu’ils diffusaient et qu’ils vérifiaient plus souvent les faits, ce monde était complètement différent de celui des renseignements que nous obtenons en ligne, où tout le monde est radiodiffuseur et même producteur de contenu, et…

M. Nathaniel Erskine-Smith:

Donc, c'est un peu…? Car c'est une chose que nous soyons amis sur Facebook et que vous publiez quelque chose et que je voie cette publication. Toutefois, c'est très différent si mon fil d'actualité, c'est-à-dire l'algorithme employé par Facebook, s’assure que je voie cette publication en raison de mes habitudes précédentes en ligne, ou si le système de recommandations de YouTube veille à ce que je voie une vidéo que je n'aurais pas vue autrement, car je ne l'aurais pas cherchée. Ces plateformes n'agissent-elles pas grandement comme des radiodiffuseurs lorsqu'elles utilisent des algorithmes pour veiller à ce que je voie une publication et qu'elles augmentent ainsi leur impact et leur portée?

Mme Ellen Weintraub:

Vous parlez de quelque chose de complètement différent. Je parlais des individus qui publient leur propre contenu. En effet, en raison de la façon dont les plateformes sont régies par les lois en vigueur aux États-Unis, ces gens n'ont pas les mêmes responsabilités que les radiodiffuseurs en vertu de l'article 230 qui…

M. Nathaniel Erskine-Smith:

S’ils prenaient leur responsabilité sociale d'entreprise au sérieux, comme le font les radiodiffuseurs, on peut présumer qu’ils deviendraient membres d'un conseil des normes ou qu'ils créeraient un tel conseil.

En ce qui concerne la transparence en matière de publicité, notre comité a recommandé… En fait, la loi sur les publicités honnêtes serait un bon point de départ, mais je crois que ce serait seulement la première étape.

Mme Ellen Weintraub:

Certainement.

M. Nathaniel Erskine-Smith:

Cela vous semble-t-il logique que si je reçois une publicité en ligne, surtout en période d'élection, je puisse cliquer sur l'annonce pour vérifier qui l'a payée, manifestement, mais également pour vérifier les données démographiques selon lesquelles j'ai été ciblé, ainsi que les critères de sélection choisis par l'annonceur, que ce soit Facebook ou Google ou une autre plateforme, par exemple si la publicité a ciblé un code postal particulier ou si c'est parce que je suis âgé de 25 à 35 ans? Convenez-vous que la transparence devrait être plus détaillée?

Mme Ellen Weintraub:

J'en conviens, mais évidemment, une partie de ce problème est liée au fait que très peu de personnes cliqueraient sur l'annonce pour trouver ces renseignements. L'une de mes préoccupations, c'est que tout le monde affirme que pourvu qu'il soit possible de cliquer sur une annonce et de trouver les renseignements quelque part, cela devrait être suffisant. Toutefois, je crois que certains renseignements devraient être affichés bien en vue sur l'annonce pour expliquer sa provenance.

(1655)

M. Nathaniel Erskine-Smith:

D'accord.

Ma dernière question s'adresse à M. Therrien.

Hier soir et ce matin, nous avons entendu d'excellents témoins qui ont insisté sur le fait que le modèle opérationnel était le problème fondamental dans ce cas-ci, car il encourage cette accumulation sans limites de données.

J'aimerais avoir vos commentaires sur deux idées que je vais vous présenter. Tout d'abord, comment pouvons-nous régler le problème lié au modèle opérationnel qui a été cerné? Deuxièmement, comment pouvons-nous le régler tout en respectant aussi la valeur réelle des données agrégées de différentes façons?

Par exemple, les données agrégées publiées par Statistique Canada sont très utiles pour éclairer la politique publique. Lorsque j'utilise Google Maps chaque jour, comme les renseignements sur les utilisateurs sont intégrés au système, je n'ai pas besoin de savoir où je vais en tout temps; je peux utiliser Google Maps. Ce système utilise des données qui y ont été entrées, mais dans l'intérêt public.

Comment pouvons-nous régler les problèmes posés par le modèle opérationnel tout en protégeant l'utilisation des données agrégées dans l'intérêt public?

M. Daniel Therrien:

Je crois qu'une partie importante de la solution consiste à examiner les raisons pour lesquelles les renseignements sont recueillis et utilisés. C'est une chose qu'un organisme ou une entreprise collecte et utilise des données pour fournir un service direct à une personne. Cette utilisation est tout à fait légitime, et c'est le type de pratique qui devrait être autorisé. Toutefois, c'est une autre chose lorsqu'un organisme collecte autant de renseignements, peut-être sous le couvert d'un certain type de consentement, et que le résultat final ressemble énormément à une surveillance opérationnelle.

Je crois qu'il est important d'établir une distinction entre ces deux situations. Plusieurs règles techniques entrent en jeu, mais l'idée selon laquelle nous devrions définir la confidentialité au-delà des questions mécaniques tels le consentement et d'autres questions semblables, et la définir dans le contexte du droit protégé, c'est-à-dire la liberté de participer à l'économie numérique sans craindre de faire l’objet d'une surveillance, est une partie importante de la solution.

M. Nathaniel Erskine-Smith:

Mon temps est écoulé, mais j'aimerais ajouter une dernière chose. Lorsqu'il s'agit de la confidentialité du point de vue de la protection des consommateurs, il est curieux que lorsque j'achète un téléphone, je n'ai pas besoin de lire les modalités d'utilisation. En effet, je sais que si le téléphone est défectueux, je peux le retourner, car des garanties tacites me protègent. Toutefois, si je veux profiter de la même protection pour chaque application que j'utilise sur ce téléphone, je dois lire les modalités. Je crois que c'est insensé.

Merci beaucoup.

Le président:

Merci, monsieur Erskine-Smith.

J'aimerais parler de l'ordre des questions. Voici la liste des intervenants, dans l'ordre: M. Lucas, M. Lawless, M. de Burgh Graham, Mme Stevens, M. Gourde, M. Angus et M. Kent. Pour terminer, nous entendrons M. Collins, car il aura le mot de la fin. C'est la liste que nous avons pour le moment. Si quelqu'un d’autre souhaite poser une question, veuillez lever la main. Je tenterai d'ajouter votre nom à la liste, mais il ne reste plus beaucoup de temps.

La parole est maintenant à M. Lucas. Il a cinq minutes.

M. Ian Lucas (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

J'ai été frappé par quelque chose qu’a dit M. Balsillie ce matin. En effet, il a dit que le modèle opérationnel des plateformes en ligne « subvertit le libre-choix » — et le libre-choix est essentiellement le fondement de la démocratie. Je me suis souvenu — il se peut que vous trouviez cela très amusant — qu’au Royaume-Uni, les radiodiffuseurs n'ont pas le droit de faire de la publicité politique. Autrement dit, nous n'avons pas les merveilleuses publicités que j'ai vues aux États-Unis, et qui sont également présentes dans d'autres pays, j'en suis sûr.

Croyez-vous qu'il y a lieu d'interdire les publicités politiques payantes en ligne sur ces plateformes?

Mme Ellen Weintraub:

Je ne vois pas du tout comment une telle mesure pourrait résister à un examen constitutionnel de notre Cour suprême.

M. Ian Lucas:

Est-ce aux États-Unis?

Mme Ellen Weintraub:

Oui. C'est mon cadre de référence.

M. Ian Lucas:

Oui.

Monsieur Cannataci, si vous me permettez de vous poser une question, de nos jours, la publicité politique utilise-t-elle la radiodiffusion partout dans le monde? Y a-t-il des pays dans lesquels les radiodiffuseurs n'ont pas le droit de diffuser de telles publicités?

M. Joseph A. Cannataci:

Je vous remercie de votre question, monsieur Lucas.

Je dois répondre que les pratiques varient selon les pays. Certains pays ont adopté un modèle qui ressemble plus à celui des États-Unis. D'autres ont adopté un modèle qui ressemble à celui du Royaume-Uni. Toutefois, nous constatons que dans un grand nombre de pays qui ont des lois plus restrictives, de nombreuses personnes et de nombreux partis politiques utilisent en réalité les médias sociaux pour contourner ces lois d'une façon qui n'a pas été prévue adéquatement dans le cadre de certaines lois.

Avec la permission du président, j'aimerais profiter de l'occasion, puisqu'on m'a posé une question, de mentionner une notion qui, selon moi, touche à tous les enjeux que nous avons abordés ici. Cela revient à la déclaration faite par Mme Weintraub sur les personnes qui seront responsables de discerner le vrai du faux. Dans plusieurs pays, cette valeur est toujours très importante. C'est un droit de la personne fondamental qui se trouve à l'article 17 du Pacte international relatif aux droits civils et politiques, auquel un grand nombre des pays représentés autour de la table, sinon tous, ont adhéré.

Dans le même article qui parle de la confidentialité, il y a une disposition sur la réputation, et les gens [Difficultés techniques] se soucient énormément de leur réputation. Il s'ensuit que dans de nombreux pays, y compris la France — je crois qu'on a également eu cette discussion au Canada —, les gens cherchent essentiellement à nommer une personne responsable d'établir la vérité. Cette personne peut porter le titre de commissaire d'Internet ou d'ombudsman d'Internet — on peut lui donner le nom que l'on veut —, mais en réalité, les gens veulent un recours, et ce recours consiste à s'adresser à une personne qui supprimera les publications qui contiennent de fausses informations.

Mais nous ne devons pas oublier — et cela s'applique également aux préjudices en ligne, notamment la radicalisation — qu'une grande partie des préjudices sur Internet sont causés pendant les 48 heures qui suivent la publication, et la suppression rapide d'une publication est donc le recours concret le plus important. De plus, dans de nombreux cas, même si on devrait respecter la liberté d'expression, on peut mieux respecter la vie privée et la réputation d'une personne si une publication est rapidement supprimée. Ensuite, si la personne responsable dans l'instance concernée juge que la publication a été injustement supprimée, elle pourra être rétablie. Autrement, il nous faut un recours.

Merci.

(1700)

M. Ian Lucas:

Je me rends compte, pour revenir au point que faisait valoir M. Smith, que lorsque j'ai créé un compte sur Facebook, je n'ai pas consenti à recevoir des publicités politiques ciblées, peu importe leur source. Je ne savais pas que cela faisait partie de l'entente. Ce n'est pas la raison pour laquelle les gens créent un compte sur Facebook.

Il me semble qu’au Royaume-Uni, nous avons réussi, à l'exception de quelques mauvais moments, à survivre comme démocratie sans la présence de publicités politiques à la télévision. Je cherche à restreindre un domaine particulier de la publicité, et je suis appuyé par le fait qu'on a insisté, ce matin, sur la façon dont le contrôle des données élimine réellement le libre-choix des gens dans ce processus.

À votre avis, dans quelle mesure les gens comprennent-ils la réglementation de l'information? Selon vous, comprennent-ils que c'est ce qui se passe actuellement?

Mme Ellen Weintraub:

Tout d'abord, permettez-moi de dire que de nombreuses personnes, aux États-Unis, adoreraient avoir un système dans lequel elles ne reçoivent pas de publicités politiques. Les gens n'aiment pas vraiment ce type de publicité.

Je crois que vous avez apporté une nuance très importante, et c'est que ce n'est pas… Notre Cour suprême n'autoriserait jamais une interdiction complète de la publicité politique, mais…

M. Ian Lucas:

D'accord. C'est la position des États-Unis, mais…

Mme Ellen Weintraub:

D'accord, mais vous parlez de l'utilisation des données personnelles des gens pour les microcibler, et il me semble que c'est un problème complètement différent. Je ne suis pas tout à fait certaine que cela ne résisterait pas à un examen constitutionnel.

M. Ian Lucas:

C'est exactement ce qui se produit actuellement avec les publicités payantes.

L'autre problème…

Le président:

Monsieur Lucas, pourriez-vous terminer très rapidement? Je déteste vous interrompre, car vous avez parcouru beaucoup de chemin.

M. Ian Lucas:

Très brièvement, j'aimerais revenir sur un enjeu mentionné par M. Zimmermann. Il a parlé des trolls sur Internet. Les groupes fermés représentent aussi un énorme problème, car nous n'avons pas les renseignements nécessaires, et je pense que nous devons nous concentrer davantage sur ce problème.

Le président:

Merci, monsieur Lucas.

Nous entendrons maintenant M. Lawless, qui représente l'Irlande.

M. James Lawless:

Merci, monsieur le président. J'ai deux ou trois autres questions et observations.

Pour revenir sur quelque chose que disait, je pense, M. Erskine plus tôt, il s'agit souvent de savoir si ces plateformes sont des éditeurs autorisés ou des hôtes passifs qui affichent le contenu qui est placé devant eux. Je crois que l'un des arguments qui appuient le fait qu'il s'agit d'éditeurs et qu'ils ont ainsi une responsabilité juridique plus importante, c'est que ces plateformes ont des modérateurs et des politiques en matière de modération, et des gens prennent donc des décisions en temps réel sur ce qui devrait et ne devrait pas être publié. De plus, il y a manifestement des algorithmes de ciblage. Je crois que c'est une question intéressante, et c'est une observation que je tenais à formuler.

En ce qui concerne l’autre point que je ferai valoir, nous parlions plus tôt d’Etats-nations et de différents actes d'hostilité. Je présume que le sujet qui fait actuellement les manchettes, c'est la révélation la plus récente sur le gouvernement chinois et l’interdiction qui frappe Huawei, et le fait qu'au cours des derniers jours, Google a annoncé, je crois, une interdiction d'appuyer les combinés téléphoniques d’Huawei. Mais je trouve cela frappant, car je pense que Google nous suit dans nos déplacements par l'entremise de Google Maps et de toutes les autres applications grâce à nos téléphones. Je crois que j'ai lu quelque part qu'une personne qui marche en ville avec son téléphone dans la main ou dans la poche consomme habituellement, chaque année, 72 millions différents points de données. La différence réside peut-être dans le fait que Google a des modalités que nous sommes censés accepter, et que ce n'est pas le cas pour Huawei, mais les deux entreprises font la même chose, au bout du compte. Je tenais seulement à faire cette réflexion.

En ce qui concerne le cadre législatif, encore une fois, comme je l'ai mentionné plus tôt, j'ai tenté de rédiger des mesures législatives et de faire un suivi de certains de ces enjeux, et je suis arrivé à la loi sur les publicités honnêtes. L'un des enjeux et l'un des défis auxquels nous faisons face consiste à atteindre un équilibre entre la liberté d'expression et, je présume, la protection des électeurs et de la démocratie. Je déteste toujours criminaliser certains comportements, mais je me demande à quel moment il est nécessaire de le faire.

Je suppose qu'au départ, lorsque j'ai rédigé cette mesure, j'ai tenu compte du fait que selon moi, on peut publier ce que l'on souhaite, pourvu qu'on fasse preuve de transparence au sujet de l’auteur des paroles publiées, et des entités qui soutiennent, gèrent ou paient la publication, surtout s'il s'agit d'une publication commerciale payante. En ce qui concerne les robots Web et les faux comptes, et ce que j'appellerais les faux comptes à l'échelle industrielle, où de nombreux robots Web ou plusieurs centaines ou milliers d'utilisateurs sont manipulés par un seul utilisateur ou une seule entité pour ses propres fins, je crois qu'il s'agit probablement d'activités criminelles.

C'est donc une question pour Mme Weintraub.

Je suppose qu’une question connexe concerne un problème avec lequel nous sommes aux prises en Irlande et avec lequel sont aux prises de nombreux autres pays, je présume. Qui est responsable de maintenir l'ordre dans ce domaine? Est-ce la responsabilité d'une commission électorale? Si oui, cette commission électorale dispose-t-elle des pouvoirs nécessaires pour appliquer la loi et mener des enquêtes? Avez-vous des ressources en matière d'application de la loi à votre disposition? S’agit-il simplement des services de police de l’État? Ajoute-t-on à cela un commissaire à la protection des données? Nous avons différents types d'organismes de réglementation, mais cela peut devenir une véritable soupe à l'alphabet, et il peut être difficile de déterminer avec précision les personnes responsables. De plus, même si nous avons une personne responsable, cela peut être difficile, car cette personne n’a pas toujours les ressources nécessaires pour prendre les mesures qui s'imposent.

Ma première question est donc la suivante: la criminalisation est-elle un pas de trop? Où établit-on les limites? Deuxièmement, s'il y a criminalisation et qu'une enquête est exigée, quels types de ressources avez-vous à votre disposition ou quels types de ressources sont nécessaires, à votre avis?

(1705)

Mme Ellen Weintraub:

Je répète que je me spécialise dans le système américain; je peux donc me prononcer en ce sens. Nous sommes un organisme d'application de la loi. Nos champs de compétences sont l'argent et la politique, et nous avons des pouvoirs d'exécution civile. Nous avons le pouvoir d'envoyer une assignation à témoigner. Nous pouvons mener des enquêtes. J'estime que certains de nos outils d'application de la loi pourraient être renforcés, mais nous avons aussi la capacité de saisir d'un dossier le département américain de la Justice si nous pensons qu'il y a des infractions criminelles, qui sont en gros des violations de la loi commises de manière délibérée et en connaissance de cause.

Pour revenir à quelque chose que vous avez dit plus tôt, en ce qui concerne notre système de réglementation, je ne crois pas que les droits garantis par le premier amendement s'appliquent aux robots. Ce ne sont pas des personnes. Je n'ai donc aucun problème avec... Je ne comprends pas pourquoi ces entreprises axées sur les technologies intelligentes ne sont pas en mesure de détecter les robots et de les retirer de leurs plateformes. Je ne crois pas que cela soulèverait d'inquiétudes par rapport au premier amendement, parce que ce ne sont pas des personnes.

M. James Lawless:

En fait, c'est un bon point. Je vais le retenir pour l'utiliser plus tard.

Je crois que j'ai le temps de poser ma prochaine question. Il y a une autre facette de la question que nous voyons en Irlande et partout dans le monde, je présume. Nous l'avons aussi entendu aujourd'hui. En raison du raz-de-marée de fausses nouvelles et de désinformation, nous avons encore plus la responsabilité de soutenir — j'ose dire — les plateformes traditionnelles et les médias d'information, soit ceux que nous pourrions qualifier de médias d'information indépendants et de qualité.

Il y a un problème concernant la manière d'établir ceux qui décident ce qu'est un média indépendant et ce qu'est la qualité, mais je crois avoir entendu parler au Parlement canadien lorsque nous avons regardé la période des questions il y a quelques heures de l'une des approches que nous examinons. J'ai entendu des échanges similaires. L'une des solutions que nous envisageons, c'est que l'État subventionne ou parraine les médias indépendants. Cela ne viserait pas un média d'information en particulier, mais cela pourrait servir à un comité de diffuseurs ou à la création d'un fonds pour soutenir la couverture des affaires qui touchent les Autochtones ou une couverture médiatique indépendante.

Il peut s'agir de médias en ligne, de médias radiotélévisés ou de la presse écrite. C'est une manière d'assurer la présence et la promotion du quatrième pouvoir traditionnel et des freins et des contrepoids traditionnels de la démocratie, mais j'estime que cela permettra de le faire de manière intègre et soutenue, de nous demander à tous des comptes et de faire contrepoids aux fausses nouvelles qui nous inondent. Toutefois, c'est difficile à mettre en place, parce qu'il faut établir ceux qui déterminent si un média mérite d'être parrainé et subventionné ou s'il ne le mérite pas. Si vous pouvez démontrer que vous avez une véritable plateforme locale et légitime, je présume que vous y serez admissible. C'est une approche que nous examinons; cette option a fonctionné ailleurs, et elle semble fonctionner dans d'autres endroits dans le monde.

(1710)

Le président:

Merci, monsieur Lawless.

La parole est maintenant à M. Graham.

Vous avez cinq minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci.

Madame Weintraub, pour donner suite à votre commentaire, si les droits garantis par le premier amendement ne s'appliquent pas aux robots, pourquoi est-ce le cas pour l'argent?

Mme Ellen Weintraub:

Eh bien, l'argent n'a pas de droits garantis par le premier amendement. Ce sont les gens qui dépensent cet argent qui ont des droits garantis par le premier amendement.

J'aimerais qu'une chose soit bien claire. Je n'aime pas vraiment la jurisprudence de la Cour suprême des États-Unis. J'adopterais volontiers la jurisprudence canadienne à cet égard, si je le pouvais, mais ce n'est pas du tout de mon ressort.

M. David de Burgh Graham:

D'accord. Bref, dois-je comprendre que vous n'êtes pas nécessairement d'avis que l'arrêt Citizens United était une bonne décision?

Mme Ellen Weintraub:

Je crois qu'il serait juste de dire que je ne suis pas folle de l'arrêt Citizens United.

M. David de Burgh Graham:

D'accord.

Comme vous l'avez mentionné, le travail d'une commission électorale est de surveiller le financement des élections. Si une entreprise permet délibérément l'utilisation de son algorithme ou de sa plateforme pour influer sur les résultats des élections, considérerez-vous cela comme une contribution non monétaire réglementée?

Mme Ellen Weintraub:

Je crois qu'il pourrait s'agir d'une contribution en nature.

M. David de Burgh Graham:

C'est intéressant. Ma prochaine question est liée à cela.

Le PDG de Facebook détient la majorité des actions avec droit de vote de la société. Il détient donc les pouvoirs absolus au sein de cette entreprise. Sur le plan juridique ou réglementaire, qu'est-ce qui empêche cette entreprise de décider d'accorder son soutien ou d'intervenir comme elle l'entend lors d'élections?

Mme Ellen Weintraub:

Une société ne peut pas directement faire de contributions à un candidat, et cela inclut les contributions en nature.

Je m'excuse, mais je ne me rappelle plus la personne qui a lancé cette hypothèse. Une question a été soulevée plus tôt concernant la possibilité que Mark Zuckerberg brigue la présidence américaine et qu'il utilise tous les renseignements qu'a accumulés Facebook pour l'aider dans sa campagne. Ce serait une terrible infraction aux lois encadrant le financement électoral, parce que ces renseignements ne lui appartiennent pas. C'est à la société Facebook qu'appartiennent ces renseignements.

Le problème à cet égard est qu'en raison d'un jugement de la Cour suprême des États-Unis les sociétés peuvent faire des contributions à des supercomités d'action politique, ou les Super PAC, qui sont censés agir de manière indépendante des campagnes électorales. Si un Super PAC servait les intérêts d'un certain candidat, une société, comme Facebook, pourrait faire des contributions illimitées à ce supercomité pour l'aider dans son travail.

M. David de Burgh Graham:

Je vois.

Je n'ai pas beaucoup de temps. J'aimerais poser une petite question à M. Therrien.

Par rapport au point soulevé plus tôt par M. Lucas, dans le monde des médias sociaux, sommes-nous des clients ou sommes-nous le produit?

M. Daniel Therrien:

Nous entendons souvent dire que, si c'est gratuit, vous êtes le produit, et cet adage a certainement un bon fond de vérité.

M. David de Burgh Graham:

Lorsqu'une entreprise de surveillance ajoute des balises à un site qui ne lui appartient pas, avec le consentement du propriétaire du site — par exemple, Google Analytics est omniprésent sur Internet et a le consentement du propriétaire du site, mais pas celui des utilisateurs finaux —, considérez-vous que l'entreprise a le consentement implicite de recueillir ces données?

M. Daniel Therrien:

Je m'excuse; je n'ai pas compris la fin.

M. David de Burgh Graham:

Si j'ai un site Web et que j'utilise Google Analytics, je consens à ce que Google utilise mon site Web pour recueillir des données, mais les utilisateurs de mon site Web ne savent pas que Google recueille des données sur mon site Web. Y a-t-il un consentement implicite ou est-ce illégal de ce point de vue?

M. Daniel Therrien:

C'est probablement l'une des lacunes du consentement; les conditions d'utilisation font en sorte que l'utilisateur y consente. Voilà pourquoi je dis que la protection de la vie privée ne se limite pas aux règles encadrant le consentement; cela vise aussi l'utilisation des renseignements et le respect des droits. Nous ne devrions pas considérer le consentement comme la panacée de la protection de la vie privée et des données.

Le président:

Nous avons M. Picard, qui partagera le reste du temps avec...

M. Michel Picard (Montarville, Lib.):

Madame Weintraub, vous avez dit quelque chose de très intéressant, et je ne sais pas si nous avons déjà établi cette notion auparavant.

Dans l'hypothèse où M. Zuckerberg briguerait la présidence américaine, Facebook ne pourrait pas lui donner accès aux renseignements, parce que ce serait une immense contribution en nature. Avons-nous établi qui est le propriétaire de ces renseignements? Personne n'a consenti à la diffusion de ces renseignements, et je me demande donc si ces renseignements appartiennent à Facebook.

(1715)

Mme Ellen Weintraub:

C'est une question très intéressante, mais je ne suis pas certaine que ce soit lié au financement des campagnes. Cela dépasse peut-être mon expertise.

M. Michel Picard:

Qu'en serait-il si cela se passait au Canada, monsieur Therrien?

M. Daniel Therrien:

Les règles concernant la propriété des renseignements ne sont pas très claires.

Du point de vue de la protection de la vie privée et des données, je crois que cela vise le contrôle et le consentement, mais la question de la propriété de ces renseignements n'est pas très claire au Canada.

Le président:

Merci.

Les trois derniers intervenants sont Mme Stevens, M. Gourde et M. Angus, puis nous pourrons conclure la réunion.

Mme Jo Stevens (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

Madame Weintraub, comme vous avez évidemment une expertise et un intérêt professionnels dans ce domaine, croyez-vous que les habitants du Royaume-Uni auraient davantage confiance en l'intégrité de nos élections et de nos référendums si nous avions une enquête, comme celle réalisée par M. Mueller, concernant le référendum de 2016 sur l'Union européenne?

Mme Ellen Weintraub:

Vous connaissez vos compatriotes mieux que moi. Je crois que vous êtes bien placée pour juger de ce qui contribuerait à renforcer leur confiance.

Ce sont des événements particuliers qui ont mené au déclenchement de l'enquête Mueller.

Mme Jo Stevens:

Voyez-vous des chevauchements entre ces événements ou des tendances qui se dégagent concernant ce qui s'est passé aux États-Unis et ce que vous savez du référendum sur l'Union européenne?

Mme Ellen Weintraub:

Je n'ai pas examiné suffisamment soigneusement la question pour donner mon opinion.

Mme Jo Stevens:

D'accord. Merci.

Nous aurons peut-être dans un avenir proche un deuxième référendum ici. Nous aurons peut-être un autre vote. Nous aurons peut-être même très bientôt des élections générales.

Quelles seraient vos recommandations concernant l'ingérence étrangère au Royaume-Uni et au gouvernement par le biais de contributions financières? À l'heure actuelle, je crois que nous reconnaissons de manière générale que nos lois électorales ne sont pas adaptées au monde numérique.

Mme Ellen Weintraub:

Comme je l'ai mentionné, je crois que cela concerne en grande partie la transparence. Avez-vous la capacité de savoir ceux qui se cachent derrière l'information que vous voyez en ligne et dans les autres médias?

Mme Jo Stevens:

Y a-t-il des endroits dans le monde où vous estimez que les lois électorales sont actuellement vraiment bonnes et adaptées aux fins voulues, compte tenu de tout ce dont nous avons parlé aujourd'hui par rapport à l'ingérence numérique? Y a-t-il un pays dans le monde qui serait un vrai bon modèle?

Mme Ellen Weintraub:

Je continue de chercher. J'assiste à des conférences à l'étranger, et j'espère y trouver quelqu'un qui aura la solution parfaite. Toutefois, je dois dire que je ne l'ai pas encore trouvée.

Si vous la trouvez, faites-le-moi savoir, parce que je serais aux anges de trouver enfin un pays qui a trouvé une solution.

Mme Jo Stevens:

J'aimerais poser la même question à M. Cannataci.

Connaissez-vous un endroit dans le monde que nous pourrions examiner pour en tirer des pratiques exemplaires en matière de lois électorales adaptées au monde numérique?

M. Joseph A. Cannataci:

La réponse courte est non.

Je suis dans le même bateau que Mme Weintraub. Je cherche toujours la solution parfaite, mais je trouve seulement, au mieux, des demi-mesures.

Madame Stevens, nous resterons en contact à ce sujet, et je serai très heureux de vous communiquer l'information dès que nous trouverons quelque chose.

Mme Jo Stevens:

Merci.

Le président:

Vous avez deux minutes, madame Stevens.

Mme Jo Stevens: Ce sera tout.

Le président: D'accord.

La parole est maintenant à M. Gourde.

Vous avez cinq minutes. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Ma question va porter sur un mot qui m'a semblé important tout à l'heure, soit le mot « responsabilité ».

Ce matin, nous avons reçu des représentants de plateformes numériques. Ils semblaient balayer du revers de la main une grande part de leur responsabilité.

Cela m'a choqué. Je pense qu'ils ont une responsabilité quant à leurs plateformes et aux services qu'ils offrent. Ils n'ont pas été capables de prouver, malgré des questions très précises, qu'ils ont le contrôle de leurs plateformes, dans le cas de diffusion par les utilisateurs de fausses nouvelles ou propagande haineuse qui peuvent vraiment changer le cours des choses et influencer énormément de personnes.

Les utilisateurs, ceux qui achètent une publicité, ont aussi une responsabilité. Quand on achète de la publicité, il faut que celle-ci soit juste et correcte, surtout en campagne électorale, mais également en tout temps.

Si, un jour, il y a une réglementation internationale, comment devrait-on déterminer la responsabilité des deux parties, soit celle des plateformes numériques et celle des utilisateurs, pour bien les encadrer?

Je pose la question à quiconque veut répondre.

(1720)

M. Daniel Therrien:

Pour ce qui est de la protection des données ou de la vie privée, vous mettez le doigt sur un concept qui, à mon avis, est fondamental, soit celui de la responsabilité ou de la responsabilisation. Nous vivons dans un monde où la collecte de renseignements est massive et où les renseignements sont utilisés par les compagnies dans plusieurs buts autres que le but premier pour lequel ils ont été obtenus.

Les compagnies nous disent souvent, en partie avec raison, que le modèle de consentement ne protège pas efficacement la vie privée des citoyens ou des consommateurs. Leur suggestion consiste à remplacer le consentement, lorsqu'il est inefficace, par une responsabilisation accrue des entreprises. Je pense que cette proposition doit être accompagnée d'une véritable démonstration du fait que les entreprises sont responsables et qu'elles ne font pas simplement prétendre l'être. C'est pourquoi il est important que les organismes de réglementation s'assurent que les compagnies sont véritablement responsables. [Traduction]

Mme Ellen Weintraub:

J'ai l'impression que ces plateformes occupent un secteur hybride. Ces entreprises affirment ne pas être des diffuseurs. Elles affirment qu'elles offrent seulement la plateforme et qu'elles ne sont pas responsables du contenu. Or, elles semblent croire qu'elles ont une certaine responsabilité, parce qu'elles prennent des mesures. Certains peuvent se dire que ces mesures sont inadéquates, mais ces entreprises prennent des mesures pour assurer une meilleure transparence.

Pourquoi le font-elles? Je crois que c'est parce qu'elles savent qu'elles ne peuvent pas s'en tirer en faisant tout simplement fi de ce problème. Ces entreprises ont une certaine part de responsabilité dans un sens plus général, voire dans un sens juridique, indépendamment du pays. Nous pouvons nous demander si ces entreprises auraient une plus grande part de responsabilité si des endroits dans le monde, individuellement ou globalement, décidaient que ces entreprises sont véritablement des diffuseurs et qu'elles doivent maintenant se comporter comme des diffuseurs. C'est une question pour les législateurs et non les organismes de réglementation. [Français]

M. Jacques Gourde:

Existe-t-il dans ce monde...

Monsieur Cannataci, vouliez-vous ajouter un commentaire?

M. Joseph A. Cannataci:

Oui, merci.

Je partage tout à fait l'avis de M. Therrien, mais j'aimerais ajouter quelque chose.[Traduction]

Si je devais dire une chose par rapport à cet aspect, je dirais que, indépendamment du groupe qui décidera si quelque chose doit être retiré ou pas ou si c'est vrai ou faux, cela demandera de l'énergie et des ressources. Par ailleurs, ces ressources ne sont pas gratuites, et je regarde qui reçoit l'argent. Ce sont en grande partie les entreprises.

Il y aura bien entendu des cas où nous pourrons facilement dire que c'était le parti ou le commanditaire ou un autre qui a acheté cette publicité. Autrement, au bout du compte, je crois qu'un nombre croissant d'endroits dans le monde s'entendront pour dire qu'ils estiment que ce sont les entreprises qui reçoivent l'argent et qu'elles ont donc les moyens d'assurer un certain contrôle. Nous l'avons vu lorsque, par exemple, Facebook a eu besoin de personnes parlant la langue du Myanmar pour assurer un contrôle sur les propos haineux dans ce pays. Je crois que nous verrons de plus en plus d'endroits dans le monde et peut-être d'ententes internationales qui attribueront la responsabilité et l'obligation financière par rapport à ce qui se passe sur les plateformes aux individus qui reçoivent l'argent, soit normalement les plateformes elles-mêmes dans une large mesure.

Merci, monsieur le président.

Le président:

Merci.

La parole est à vous, monsieur Angus. Vous avez cinq minutes, et nous entendrons ensuite M. Collins, et je prendrai aussi la parole.

M. Charlie Angus:

Merci, monsieur le président.

Nous avons entendu une déclaration extraordinaire de Google aujourd'hui. Nous avons appris que la société a décidé de manière volontaire en 2017 de cesser d'espionner nos boîtes courriel. Elle a fait tout un geste magnanime, mais elle n'était pas prête à s'engager à ne plus nous espionner dans l'avenir, parce qu'elle peut s'en servir pour faire toute sorte de choses.

Je ne me souviens même plus de 2016; c'est très loin, mais l'année 2018 a changé nos vies à jamais. Je me rappelle que le Comité étudiait le consentement et que nous nous demandions si le consentement devrait être clair ou s'il devrait être renforcé et inclure moins de charabia.

Je ne me rappelle pas avoir donné mon consentement à Google pour espionner ma boîte courriel ou celle de mes jeunes filles. Je ne me rappelle pas avoir reçu une quelconque notification sur mon téléphone pour m'expliquer que, si j'activais la localisation sur mon appareil pour trouver une adresse, Google pourrait me suivre en permanence partout où j'irais et que l'entreprise serait au courant de tout ce que j'ai fait. Je ne me souviens pas d'avoir consenti à ce que Google ou tout autre moteur de recherche surveille tout ce que je fais. Or, à mon avis, à titre de législateurs, nous nous sommes fait embobiner par Zuckerberg pendant que nous débattions du consentement et des choses auxquelles les consommateurs peuvent consentir et que nous faisions valoir qu'il suffit de ne pas utiliser un service si vous ne l'aimez pas.

Monsieur Therrien, vous avez dit quelque chose de très profond la dernière fois que vous avez témoigné devant le Comité au sujet du droit des citoyens de mener leur vie sans être surveillés. C'est de cet aspect dont nous devons discuter. Je crois que les échanges sur le consentement ne sont plus à propos depuis 2016, je crois que nous devons affirmer que nous ne consentons pas à le donner aux entreprises. S'il n’y a aucune raison pour ce faire, elles ne peuvent pas l'avoir. Il faut que ce soit le modèle d'affaires de l'avenir: la protection de la vie privée et de nos droits.

Pour ce qui est de la question d'inclusion ou d'exclusion, je ne fais aucunement confiance à ces entreprises à cet égard.

Nous avons entendu M. Balsillie, Mme Zuboff et d'autres spécialistes aujourd'hui et hier. Est-ce possible au Canada, avec notre petit pays de 30 millions d'habitants, d'adopter une loi claire qui prévoit qu'une entreprise ne peut pas recueillir de renseignements personnels à moins d'avoir une raison claire et expresse de le faire? J'ai l'impression que c'est en partie ce que prévoit déjà la LPRPDE, soit notre loi sur la protection des renseignements personnels, mais je me demande si nous pouvons adopter de très graves conséquences financières pour les entreprises qui dérogent à cette règle. Pouvons-nous prendre des décisions au nom de nos citoyens et des droits privés?

(1725)

M. Daniel Therrien:

Bien sûr, la réponse à cette question est oui. Je pense que le consentement a sa place dans certaines circonstances où la relation est bilatérale entre un fournisseur de services et un consommateur, où le consommateur comprend l'information nécessaire pour que le service soit offert. Dans le contexte de l'économie numérique actuelle, nous sommes allés bien plus loin. L'information est alors utilisée à bien des fins, souvent avec le consentement réputé du consommateur.

Bien que le consentement ait sa place, il a ses limites, et c'est pourquoi je dis qu'il est important que la loi sur la protection des renseignements personnels définisse la protection des renseignements personnels pour ce qu'elle est. Elle n'est pas du tout limitée à la question de forme du consentement. C'est un droit fondamental lié à d'autres droits fondamentaux. Quand, malgré le consentement réputé, la pratique d'une entreprise a pour effet de traquer le consommateur en vue de connaître la localisation de ses données ou le contenu des messages qu'il envoie, je pense que la loi devrait stipuler qu'il est sans importance qu'il y ait ou non consentement. Ce qui est en jeu est le non-respect de la vie privée des gens, soit la surveillance de la personne en question, et c'est une violation en tant que telle qui devrait entraîner des sanctions importantes. C'est possible de le faire.

M. Charlie Angus:

Merci.

Ma dernière question porte sur la technologie de reconnaissance faciale. Un article publié dans le Toronto Star aujourd'hui rapporte que les services de police utilisent cette technologie. San Francisco a essayé de l'interdire, et d'autres administrations essaient au moins de la mettre en veilleuse.

La technologie de reconnaissance faciale vient enfreindre le droit d'un citoyen de pouvoir se rendre dans un lieu public sans être surveillé et sans devoir apporter une carte d'identité avec photo. Elle a, évidemment, des utilisations légitimes. Par exemple, si quelqu'un dont l'image est captée par une caméra de surveillance a commis un crime et qu'il y a une base de données, les tribunaux détermineraient peut-être qu'il s'agit d'une utilisation équitable; cependant, qu'arrive-t-il quand on se retrouve simplement au milieu d'une foule avec un certain nombre de personnes? Je suis sûr que Facebook et Google seraient plus qu'utiles, car ils ont des bases de données de reconnaissance faciale tellement importantes sur nous.

Vous qui travaillez au sein d'un organisme de réglementation canadien, croyez-vous que nous devions mettre en veilleuse la technologie de reconnaissance faciale? Comment faire pour appliquer les règles afin de protéger les droits des citoyens avec des garanties claires en matière d'utilisations policière et commerciale avant que des violations ne soient commises?

(1730)

M. Daniel Therrien:

Je pense qu'en ce qui concerne les moratoires ou les strictes interdictions, je ferais la distinction entre l'utilisation d'une technologie — la technologie de reconnaissance faciale — et les utilisations qu'on en fait. Je pense qu'il est plus probable qu'une interdiction ou un moratoire soit judicieux pour des utilisations précises de la technologie plutôt que pour la technologie en tant que telle, car la reconnaissance faciale pourrait être utile à des fins publiques, y compris au chapitre de l'application de loi dans lequel, malgré les restrictions relatives à la protection des renseignements personnels concernant la reconnaissance faciale, on estime généralement que l'utilisation de cette technologie est pour le bien du public. J'envisagerais la question, encore une fois, en fait d'utilisations précises de la technologie. À cet égard, oui, il y aurait lieu d'interdire certaines utilisations.

Le président:

Merci, monsieur Angus.

Notre dernier intervenant est M. Collins. Allez-y, je vous prie.

M. Damian Collins:

Merci beaucoup.

Ellen Weintraub, compte tenu de ce dont nous avons parlé cet après-midi, de l'argent douteux en politique et de la difficulté d'assurer un quelconque type de surveillance adéquate de ce qui se passe sur des plateformes comme Facebook, est-ce que la nouvelle selon laquelle Facebook va lancer sa propre cryptomonnaie vous effraie?

Mme Ellen Weintraub:

Oui.

M. Damian Collins:

Vous avez peur. Cette perspective vous effraie.

Je pense que vous avez raison d'être effrayée par cette perspective. Compte tenu de tous les autres problèmes dont nous avons discuté, cela semble une sorte de charte du blanchiment d'argent politique.

Ne pensez-vous pas que les gens repenseront un jour à cette période et diront que nous avions des démocraties et des sociétés avancées qui avaient élaboré, pendant des décennies, des règles et des règlements sur le financement électoral, la loi électorale, les droits individuels concernant les données et les renseignements personnels, la surveillance des médias et des médias d'information et d'autres sources d'informations, et que nous étions préparés à laisser une société comme Facebook contourner toutes ces décennies d'expérience, simplement parce que c'est ainsi que fonctionne son modèle d'affaires, et que notre position actuelle n'est pas viable?

Mme Ellen Weintraub:

La question de savoir si notre position est viable ou si elle doit être réglementée davantage est, selon moi, la raison précise pour laquelle vous êtes assis autour de cette table aujourd'hui.

M. Damian Collins:

Mais, de certaines façons, si on en juge par la discussion qu'on a tenue au cours de cette dernière séance, nous cherchons par tous les moyens à résoudre un problème causé par une société. En fait, il se pourrait que, au lieu de devoir abandonner bien des choses auxquelles nous attachons de l'importance parce qu'elles ont été mises en place pour protéger les citoyens et leurs droits, la solution soit de vraiment dire à ces sociétés ce que nous attendons d'elles et que nous allons le leur imposer si nous n'arrivons pas à être convaincus qu'il y a une autre façon de procéder. Et d'affirmer que nous ne sommes pas prêts à tolérer que les gens soient exposés à des chapeaux noirs, à l'ingérence d'acteurs malveillants dans les élections, à la désinformation, à la propagation non contrôlée du discours haineux, et qu'en fait, ce ne sont pas les normes auxquelles nous nous attendons dans une société décente. Nous le disons en reconnaissant que des plateformes comme Facebook sont devenues les principaux médias par lesquels les gens — soit entre le tiers et la moitié des Européens et des Américains — obtiennent des nouvelles et des informations.

Mme Ellen Weintraub:

Je crois qu'il est réellement risqué de prendre une série de règles qui ont évolué au cours du XXe siècle et de présumer qu'elles conviendront autant aux technologies du XXIe siècle.

M. Damian Collins:

Mon dernier commentaire est que je pense que c'est juste. Ces règles se sont révélées être dépassées en raison des nouvelles technologies et de la façon dont les gens dans le monde utilisent le contenu de l'information. Il devrait sûrement nous rester les valeurs qui ont justifié l'adoption de ces règles au départ. C'est une chose de dire qu'il faut modifier les règles pour les adapter aux changements technologiques. Nous ne devrions cependant pas dire que nous devrions abandonner ces valeurs simplement parce qu'elles sont devenues plus difficiles à appliquer.

Mme Ellen Weintraub:

Je suis tout à fait d'accord avec cela.

Le président:

Monsieur Therrien, je vous prie.

M. Daniel Therrien:

Je suis entièrement d'accord.

Le président:

J'aimerais terminer en soulevant un point. Nous parlons de la citation à comparaître de Mark Zuckerberg et Sheryl Sandberg depuis un certain temps et, à titre de président de ce comité, j'affirme que nous avons fait tout ce qui était en notre pouvoir pour nous assurer qu'ils soient présents aujourd'hui. Nous sommes limités par ce qui se trouve dans ce livre et les lois de notre pays, alors que les plateformes semblent exister dans leur propre bulle sans restriction dans nos administrations, et c'est frustrant pour nous, les législateurs.

Encore une fois, merci d'être venus témoigner aujourd'hui et merci de nous avoir aidés, surtout le commissaire Therrien. Merci d'avoir aidé le Comité, monsieur le commissaire. Nous nous réjouissons à la perspective de poursuivre ces discussions.

J'ai des questions administratives concernant l'horaire de ce soir. Le repas sera à 19 heures, en bas, dans la pièce 035. Nous sommes dans la pièce 225, alors le souper aura lieu deux étages plus bas, à 19 heures.

Pour être bien clair, chaque délégation doit donner un bref exposé sur ce que son pays a fait et compte faire pour régler ce problème. Je vais m'entretenir avec mes vice-présidents sur la façon dont nous allons présenter les mesures que nous prenons au Canada, mais je vous mets au défi de les préparer à l'avance. Encore une fois, l'exposé sera bref et peut être informel. Nul besoin d'un grand exposé écrit. Je vois des expressions très sérieuses, des gens qui semblent se dire « Dans quoi nous sommes-nous embarqués? »

Plus important encore, je vois beaucoup de visages fatigués. Je pense que nous sommes tous prêts à retourner à l'hôtel pour nous reposer pendant environ une heure avant de nous réunir à nouveau à 19 heures. Je pense que c'est tout ce que j'ai à dire pour l'instant, mais encore une fois, nous nous reverrons à 19 heures.

(1735)

M. Charlie Angus:

J'invoque le Règlement, monsieur le président, avant que vous tentiez de tous nous faire taire.

Je tiens à féliciter le personnel pour son excellent travail, nos analystes qui ont tout organisé, et M. Collins pour les travaux qui ont été réalisés en Angleterre. Vous vous êtes surpassés. Je pense que nous avons vraiment établi une norme. J'espère que dans le cadre de la prochaine législature, et peut-être dans d'autres administrations, nous pourrons poursuivre cette discussion. Vous avez accompli un travail extraordinaire dans ce dossier. Nous vous en félicitons sincèrement.

[Applaudissements]

Le président:

Merci beaucoup. Je précise que nous demanderons aux autres plateformes de rendre des comptes demain matin à 8 h 30.

À ce soir, 19 heures.

Hansard Hansard

committee ethi hansard 37857 words - whole entry and permanent link. Posted at 22:44 on May 28, 2019

2019-05-28 ETHI 153

Standing Committee on Access to Information, Privacy and Ethics

(1040)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

We'll bring to order meeting 153 of the Standing Committee on Access to Information, Privacy and Ethics and by extension the international grand committee on big data, privacy and democracy. We will have countries' representatives speak as well. We'll start off with my co-chair, Mr. Damian Collins from the U.K.

The way it will work structurally is that we'll go through the delegations, one representative per country initially and then the second representative. You each should have your own five-minute time slot exclusive to yourself.

Before we begin, Mr. Angus has a comment.

Mr. Charlie Angus (Timmins—James Bay, NDP):

Mr. Chair, just as a point of order for our committee, we are very surprised, I think, that Mr. Zuckerberg decided—and Ms. Sandberg—to ignore the summons of a parliamentary committee, particularly as we have international representatives here. As far as I know, we were not even informed that he wasn't showing up. I have never seen a situation where a corporate head ignores a legal summons.

In light of that, I would like to bring notice of a motion to vote on: That the Standing Committee on Access to Information, Privacy and Ethics, on account of the refusal of Mr. Mark Zuckerberg and Ms. Sheryl Sandberg to appear before it on May 28th, direct the Chair to serve either or both with a formal summons should they arrive in Canada for any purpose to appear before the Committee at the date of the next meeting from the date of their summons, and should they be served with a summons when the House is not sitting, that the Chair reconvene the Committee for a special meeting as soon as practicable for the purpose of obtaining evidence from them.

Mr. Chair, I don't know if we've ever used an open summons in Parliament—we've checked and we haven't found one—but I believe you'll find that this is in order. If Mr. Zuckerberg or Ms. Sandberg decide to come here for a tech conference or to go fishing, Parliament will be able serve that summons and have them brought here.

The Chair:

Thank you, Mr. Angus.

For the ex officio members of the committee, we have a motion before our committee that we will have to vote on, so there will be some discussion.

Is there any discussion from any other members about the motion?

Mr. Kent.

Hon. Peter Kent (Thornhill, CPC):

Thank you, Chair.

Yes, the official opposition, the Conservative Party, is fully willing to support Mr. Angus's motion. As we heard in some of the previous testimony, Facebook, among others of the large platforms, has shown extreme disrespect and disregard for sovereign governments and for committees representing sovereign governments, with regard to their concerns and the search for explanations as to why meaningful action has not been taken to date and for a clear and explicit explanation of their response to the concerns from around the world and certainly within democracies and the members of this international grand committee.

We will support this motion. Thank you.

The Chair:

There was a discussion previously about no substantive motions being brought before the committee. That said, with all agreement at the table here, I think we can agree to have that heard—and we are hearing it today—and voted on.

Do we have...? I see all in favour of having that motion moved before us.

Are there any other comments about the motion?

Mr. Lucas.

Mr. Ian Lucas (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

This is a case of recidivism by Mr. Zuckerberg. This has happened previously, and it is a matter of deep concern. It's particularly of great concern to me, because unfortunately governments are continuing to meet with Mr. Zuckerberg, and I think it important that we should communicate, as parliamentarians, our concern about the disrespect that Mr. Zuckerberg is showing to parliamentarians from across the world. They should consider the access they give Mr. Zuckerberg, access to governments and to ministers, operated in private, without respect to us as parliamentarians and without respect to our constituents, who are excluded from the confidential discussions that are happening on these crucial matters.

The Chair:

Thank you, Mr. Lucas.

Mr. Erskine-Smith.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

I would just note that it's funny that less than two months ago, on March 30, Mark Zuckerberg wrote an op-ed in the Wall Street Journal. He wrote that he believes Facebook has a responsibility to address harmful content, protecting elections, privacy and data protection and data portability—the very issues we're discussing today—and that he was looking forward to discussing them with lawmakers around the world. Those were his words less than two months ago. If he were an honest individual in writing those words, he'd be sitting in that chair today.

The Chair:

Thank you, Mr. Erskine-Smith.

Are there any further comments on the motion?

Frankly, to answer your question, being the chair of this committee on both levels, the international and our ethics committee, it's abhorrent that he's not here today and that Ms. Sandberg is not here today. It was very clearly communicated to them that they were to appear today before us. A summons was issued, which is already an unusual act for a committee. I think it's only fitting that there be an ongoing summons. As soon as either Mr. Zuckerberg or Ms. Sandberg step foot into our country, they will be served and expected to appear before our committee. If they choose not to, then the next step will be to hold them in contempt.

I think the words are strong, Mr. Angus, and I applaud you for your motion.

If there is not any further discussion on the motion, we'll go to the vote.

(Motion agreed to)

The Chair: Thank you, Mr. Angus.

Next, we'll go to the platforms. We'll start with Facebook, go to Google, and then....

I'll mention the names. With Facebook Inc., we have Kevin Chan, Global Policy Director for Canada, and Neil Potts, Global Policy Director. With Google LLC, we have Derek Slater, Global Director of Information Policy; and with Google Canada, Colin McKay, Head, Government Affairs and Public Policy. From Twitter Inc., we have Carlos Monje, Director of Public Policy, and Michele Austin, Head, Government and Public Policy, Twitter Canada.

I would like to say that it wasn't just the CEOs of Facebook who were invited today. The CEOs of Google were invited. The CEO of Twitter was invited. We are more than disappointed that they as well chose not to show up.

We'll start off with Mr. Chan, for seven minutes.

Thank you.

(1045)

Mr. Kevin Chan (Global Policy Director, Facebook Inc.):

Thank you very much, Mr. Chair.

My name is Kevin Chan, and I am here today with my colleague Neil Potts. We are both global policy directors at Facebook.

The Internet has transformed how billions of people live, work and connect with each other. Companies such as Facebook have immense responsibilities to keep people safe on their services. Every day we are tasked with the challenge of making decisions about what speech is harmful, what constitutes political advertising and how to prevent sophisticated cyber-attacks. This is vital work to keeping our community safe, and we recognize this work is not something that companies like ours should do alone.[Translation]

New rules for the Internet should preserve what is best about the Internet and the digital economy—fostering innovation, supporting growth for small businesses, and enabling freedom of expression—while simultaneously protecting society from broader harms. These are incredibly complex issues to get right, and we want to work with governments, academics and civil society around the world to ensure new regulations are effective.[English]

We are pleased to share with you today some of our emerging thinking in four areas of possible regulatory action: harmful content, privacy, data portability and election integrity.

With that, I will turn it over to my colleague Neil, who would love to engage with you about harmful content.

Mr. Neil Potts (Global Policy Director, Facebook Inc.):

Chair, members of the committee, thank you for the opportunity to be here today.

I'm Neil Potts. I'm a Director with oversight of the development and implementation of Facebook's community standards. Those are our guidelines for what types of content are allowed on our platform.

Before I continue, though, I'd just like to point out that Kevin and I are global directors, subject matter area experts, ready to engage with you on these issues. Mark and Sheryl, our CEO and COO, are committed to working with government in a responsible manner. They feel that we have their mandate to be here today before you to engage on these topics, and we are happy to do so.

As you know, Facebook's mission is to give people the power to build community and to bring the world closer together. More than two billion people come to our platform every month to connect with family and friends, to find out what's going on in the world, to build their businesses and to help those in need.

As we give people a voice, we want to make sure that they're not using that voice to hurt others. Facebook embraces the responsibility of making sure that the tools we build are used for good and that we keep people safe. We take those responsibilities very seriously.

Early this month, Facebook signed the Christchurch Call to Eliminate Terrorist and Violent Extremist Content Online, and we have taken immediate action on live streaming. Specifically, people who have broken certain rules on Facebook, which include our “dangerous organizations and individuals” policy, will be restricted from using Facebook Live.

We are also investing $7.5 million in new research partnerships with leading academics to address the adversarial media manipulation that we saw after Christchurch—for example, when some people modified the video to avoid detection in order to repost it after it had already been taken down.

As the number of users on Facebook has grown, and as the challenge of balancing freedom of expression and safety has increased, we have come to realize that Facebook should not be making so many of these difficult decisions alone. That's why we will create an external oversight board to help govern speech on Facebook by the end of 2019. The oversight board will be independent from Facebook, and it will be a final level of appeal for what stays up and what comes down on our platform.

Even with the oversight board in place, we know that people will use many different online platforms and services to communicate, and we'd all be better off if there were clear baseline standards for all platforms. This is why we would like to work with governments to establish clear frameworks related to harmful online content.

We have been working with President Macron of France on exactly this kind of project, and we welcome the opportunity to engage with more countries going forward.

Kevin.

(1050)

Mr. Kevin Chan:

In terms of privacy we very clearly understand our important responsibility as custodians of people's data and the need for us to do better. That is why, since 2014, we have taken significant measures to drastically reduce the amount of data that third party applications can access on Facebook and why we're putting together a much bigger and muscular privacy function within the company. We've also made significant advancements to give people more transparency and control over their data.

We recognize that, while we're doing much more on privacy, we're all better off when there are overarching frameworks to govern the collection and use of data. Such frameworks should protect your right to choose how your information is used, while enabling innovation. They should hold companies such as Facebook accountable by imposing penalties when we make mistakes and should clarify new areas of inquiry, including when data can be used for the public good and how this should be applied to artificial intelligence.

There are already some good models to emulate, including the European Union's General Data Protection Regulation and Canada's Personal Information Protection and Electronic Documents Act. Achieving some degree of harmonization around the world would be desirable and would facilitate economic growth.

We also believe that the principle of data portability is hugely important for consumer choice and for ensuring a dynamic and competitive marketplace for digital services. People should be able to take the data they have put on one service and move it to another service. The question becomes how data portability can be done in a way that is secure and privacy-protective. Data portability can only be meaningful if there are common standards in place, which is why we support a standard data transfer format and the open source data transfer project.

Finally, Facebook is doing its utmost to protect elections on our platform around the world by investing significantly in people, technology and partnerships. We have tripled the number of people working on security matters worldwide from 10,000 to 30,000 people. We have developed cutting-edge AI technology that allows us to detect and remove fake accounts en masse.

Of course, we cannot achieve success working only on our own, so we've partnered with a wide range of organizations. In Canada we are proud to be working with Agence France-Presse on third party fact checking, MediaSmarts on digital literacy and Equal Voice to keep candidates, in particular women candidates, safe online.

Facebook is a strong supporter of regulations promoting the transparency of online political advertising. We think it is important that citizens should be able to see all the political ads that are running online, especially those that are not targeted at them. That is why we support and will comply with Bill C-76, Canada's Elections Modernization Act, which this Parliament passed, and will be engaging in the weeks ahead with Canadian political advertisers, including the federal political parties represented here today, on important changes for political advertising that will come to the platform by the end of June.

Finally, Mr. Chair, if I may, as you will know, Facebook is part of the Canada declaration on electoral integrity online, which sets out 12 commitments that the Government of Canada and certain online platforms agree to undertake together in the lead up to the October federal election. This is a strong expression of the degree to which we are taking our responsibilities seriously in Canada, and we look forward to working in lockstep with officials to guard against foreign interference.

Thank you for the opportunity.[Translation]

We look forward to taking your questions. [English]

The Chair:

Thank you, Mr. Chan.

Next up, we'll go to Mr. Slater, with Google.

Mr. Derek Slater (Global Director, Information Policy, Google LLC):

Thank you for the opportunity to appear before you today.

My name is Derek Slater, and at Google I help shape the company's approach to information policy and content regulation. I'm joined here by my colleague Colin McKay, who's the head of public policy for Google in Canada.

We appreciate your leadership and welcome the opportunity to discuss Google's approach to addressing our many shared issues.

For nearly two decades, we have built tools that help users access, create and share information like never before, giving them more choice, opportunity and exposure to a diversity of resources and opinions. We know, though, that the very platforms that have enabled these societal benefits may also be abused, and this abuse ranges from spam to violent extremism and beyond. The scrutiny of lawmakers and our users informs and improves our products as well as the policies that govern them.

We have not waited for government regulation to address today's challenges. Addressing illegal and problematic content online is a shared responsibility that requires collaboration across government, civil society and industry, and we are doing and will continue to do our part.

I will highlight a few of the things we're doing today. On YouTube, we use a combination of automated and human review to identify and remove violative content. Over time we have improved, removing more of this content faster and before it's even viewed. Between January and March 2019, YouTube removed nearly 8.3 million videos for violating its community guidelines, and 76% of these were first flagged by machines rather than people. Of those detected by machines, over 75% had never received a single view.

When it comes to combatting disinformation, we have invested in our ranking systems to make quality count in developing policies, threat monitoring and enforcement mechanisms to tackle malicious behaviours and in features that provide users with more context, such as fact check or information panels on Google Search and YouTube.

Relatedly, in the context of election integrity, we've been building products for over a decade that provide timely and authoritative information about elections around the world. In addition, we have devoted significant resources to help campaigns, candidates and election officials improve their cybersecurity posture in light of existing and emerging threats. Our Protect Your Election website offers free resources like advanced protection, which provides Google's strongest account security, and Project Shield, a free service designed to mitigate the risk of distributed denial of service attacks that inundate sites with traffic in an effort to shut them down.

While industry needs to do its part, policy-makers, of course, have a fundamental role to play in ensuring everyone reaps the personal and economic benefits of modern technologies while addressing social costs and respecting fundamental rights. The governments and legislatures of the nearly 200 countries and territories in which we operate have come to different conclusions about how to deal with issues such as data protection, defamation and hate speech. Today's legal and regulatory frameworks are the product of deliberative processes, and as technology and society's expectations evolve, we need to stay attuned to how best to improve those rules.

In some cases, laws do need updates, for instance, in the case of data protection and law enforcement access to data. In other cases, new collaboration among industry, government and civil society may lead to complementary institutions and tools. The recent Christchurch call to action on violent extremism is just one example of this sort of pragmatic, effective collaboration.

Similarly, we have worked with the European Union on its hate speech code of conduct, which includes an audit process to monitor how platforms are meeting their commitments, and on the recent EU Code of Practice on Disinformation. We agreed to help researchers study this topic and to provide a regular audit of our next steps in this fight.

New approaches like these need to recognize relevant differences between services of different purpose and function. Oversight of content policies should naturally focus on content sharing platforms. Social media, video sharing sites and other services that have the principle purpose of helping people to create content and share it with a broad audience should be distinguished from other types of services like search, enterprise services, file storage and email, which require different sets of rules.

With that in mind, we want to highlight today four key elements to consider as part of evolving oversight and discussion around content sharing platforms.

First is to set clear definitions.

While platforms have a responsibility to set clear rules of the road for what is or is not permissible, so too, do governments have a responsibility to set out the rules around what they consider to be unlawful speech. Restrictions should be necessary and proportionate, based on clear definitions and evidence-based risks and developed in consultation with relevant stakeholders. These clear definitions, combined with clear notices about specific pieces of content, are essential for platforms to take action.

(1055)



Second, develop standards for transparency and best practice.

Transparency is the basis for an informed discussion and helps build effective practices across the industry. Governments should take a flexible approach that fosters research and supports responsible innovation. Overly restrictive requirements like one-size-fits-all removal times, mandated use of specific technologies or disproportionate penalties will ultimately reduce the public's access to legitimate information.

Third, focus on systemic recurring failures rather than one-offs.

Identifying and responding to problematic content is similar, in a way, to having information security. There will always be bad actors and bugs and mistakes. Improvement depends on collaboration across many players using data-driven approaches to understand whether particular cases are outliers or representative of a more significant recurring systemic problem.

Fourth and finally, foster international co-operation.

As today's meeting demonstrates, these concerns and issues are global. Countries should share best practices with one another and avoid conflicting approaches that impose undue compliance burdens and create confusion for customers. That said, individual countries will make different choices about permissible speech based on their legal traditions, history and values consistent with international human rights obligations. Content that is unlawful in one country may be lawful in another.

These principles are meant to contribute to a conversation today about how legislators and governments address the issues we are likely to discuss, including hate speech, disinformation and election integrity.

In closing, I will say that the Internet poses challenges to the traditional institutions that help society organize, curate and share information. For our part, we are committed to minimizing that content that detracts from the meaningful things our platforms have to offer. We look forward to working with the members of this committee and governments around the world to address these challenges as we continue to provide services that promote and deliver trusted and useful information.

Thank you.

(1100)

The Chair:

Thank you.

Next up we'll go to Twitter. I believe Mr. Monje is going to be speaking.

Go ahead.

Mr. Carlos Monje (Director, Public Policy, Twitter Inc.):

Thank you very much.

Chairman Zimmer, Chairman Collins and members of the committee, my name is Carlos Monje. I'm Director of Public Policy for Twitter. I'm joined by Michele Austin, who's our Head of Public Policy for Canada.

On behalf of Twitter, I would like to acknowledge the hard work of all the committee members on the issues before you. We appreciate your dedication and willingness to work with us.

Twitter's purpose is to serve the public conversation. Any attempts to undermine the integrity of our service erodes the core tenets of freedom of expression online. This is the value upon which our company is based.

The issues before this committee are ones that we care about deeply as individuals. We want people to feel safe on Twitter and to understand our approach to health and safety of the service. There will always be more to do, but we've made meaningful progress.

I would like to briefly touch upon our approach to privacy and disinformation and I look forward to your questions.

Twitter strives to protect the privacy of the people who use our service. We believe that privacy is a fundamental human right. Twitter is public by default. This differentiates our service from other Internet sites. When an individual creates a Twitter account and begins tweeting, their tweets are immediately viewable and searchable by anyone around the world. People understand the default public nature of Twitter and they come to Twitter expecting to see and join in a public conversation. They alone control the content that they share on Twitter, including how personal or private that content might be.

We believe that when people trust us with their data, we should be transparent about how we provide meaningful control over what data is being collected, how it is used and when it is shared. These settings are easily accessible and built with user friendliness front of mind. Our most significant personalization in data settings are located on a single page.

Twitter also makes available the “your Twitter data” toolset. Your Twitter data provides individuals with insight on the types of data stored by us, such as username, email address, phone numbers associated with the account, account creation details and information about the inferences we may have drawn. From this toolset, people can do things like edit their inferred interests, download their information and understand what we have.

Twitter is also working proactively to address spam, malicious automation, disinformation and platform manipulation by improving policies and expanding enforcement measures, providing more context for users, strengthening partnerships with governments and experts, and providing greater transparency. All of this is designed to foster the health of the service and protect the people who use Twitter.

We continue to promote the health of the public conversation by countering all forms of platform manipulation. We define platform manipulation as using Twitter to disrupt the conversation by engaging in bulk aggressive or deceptive activity. We've made significant progress. In fact, in 2018, we identified and challenged more than 425 million accounts suspected of engaging in platform manipulation. Of these, approximately 75% were ultimately suspended. We are increasingly using automated and proactive detection methods to find abuse and manipulation on our service before they impact anyone's experience. More than half the accounts we suspend are removed within one week of registration—many within hours.

We will continue to improve our ability to fight manipulative content before it affects the experience of people who use Twitter. Twitter cares greatly about disinformation in all contexts, but improving the health of the conversation around elections is of utmost importance. A key piece of our election strategy is expanding partnerships with civil society to increase our ability to understand, identify and stop disinformation efforts.

Here in Canada, we're working with Elections Canada, the commissioner of Canada Elections, the Canadian centre for cybersecurity, the Privy Council Office, democratic institutions and civil society partners such as the Samara Centre for Democracy and The Democracy Project.

In addition to our efforts to safeguard the service, we believe that transparency is a proven and powerful tool in the fight against misinformation. We have taken a number of actions to disrupt foreign operations and limit voter suppression and have significantly increased transparency around these actions. We released to the public and to researchers the world's largest archive of information operations. We've pervaded data and information on more than 9,600 accounts including accounts originating in Russia, Iran and Venezuela, totalling more than 25 million tweets.

It is our fundamental belief that these accounts and their content should be available and searchable, so that members of the public, governments and researchers can investigate, learn and build media literacy capabilities for the future. They also help us be better.

(1105)



I want to highlight one specific example of our efforts to combat disinformation here in Canada.

Earlier this spring we launched a new tool to direct individuals to credible public health resources when they searched Twitter for key words associated with vaccines. Here we partnered with the Public Health Agency of Canada. This new investment builds on our existing work to guard against the artificial amplification of non-credible content about the safety and effectiveness of vaccines. Moreover, we already ensure that advertising content does not contain misleading claims about the cure, treatment, diagnosis or prevention of any disease, including vaccines.

In closing, Twitter will continue to work on developing new ways to maintain our commitment to privacy, to fight disinformation on our service and to remain accountable and transparent to people across the globe. We have made strong and consistent progress, but our work will never be done.

Once again, thank you for the opportunity to be here. We look forward to your questions.

The Chair:

Thank you.

First of all, we will go to my co-chair, Damian Collins, and then the sequence will follow.

You each have five minutes. Try to keep it as crisp as you possibly can.

Mr. Collins.

Mr. Damian Collins (Chair, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Mr. Chairman.

I'm going to direct my first question to the Facebook representatives. I'm sure you're aware that one of the principal concerns of members of this committee has been that deceptive information, deliberately and maliciously spread through the tools created by social media companies, are a harm to democracy, and this disinformation is used to undermine senior politicians and public figures, public institutions and the political process.

With that in mind, could Facebook explain why it has decided not to remove the video of Nancy Pelosi that presents a distorted impression of her to undermine her public reputation? The reason I think this is so important is that we're all aware that new technology is going to make the creation of these sorts of fake or manipulated films much easier. Perhaps you could explain why Facebook is not going to take this film down.

Mr. Neil Potts:

Thank you, Mr. Collins.

I'm happy to explain our approach to misinformation a bit more clearly for this committee.

First, I want to be clear that we are taking action against that video—

Mr. Damian Collins:

I'm sorry, Mr. Potts, we haven't got much time. I'd like you to answer the question you've been asked, not give a statement about Facebook's policies on misinformation or what else you might have done. I want you to answer the question as to why you, unlike YouTube, are not taking this film down?

Mr. Neil Potts:

We are aggressively down ranking that—

Mr. Damian Collins:

I know you're down ranking it. Why aren't you taking the film down?

Mr. Neil Potts:

It is our policy to inform people when we have information on the platform that may be false, so they can make their own decisions about that content.

Mr. Damian Collins:

But this is content that I think is widely accepted as being fake. YouTube has taken it down. The fact-checkers that work with Facebook are saying it's fake, yet the video is allowed to remain and that video being there is far more powerful than any legal disclaimer that may be written under or over it.

Why won't you say that films that are clearly fake and are independently verified as being fake, that are there to deceive people about some of the most senior politicians in your country, will be taken down?

Mr. Neil Potts:

We are conducting research on our inform treatments. That is the treatment that shows that something is fake. For example, if someone wanted to share this video with their friends or if they have already shared it or when they see it in a newsfeed, they receive a message that says it's false.

Mr. Damian Collins:

Facebook accepts that this film is a distortion, doesn't it?

Mr. Kevin Chan:

Neil, you're closer to this, but my understanding is that the video in question has been slowed down. Is that what this is?

Mr. Neil Potts:

That's correct. I think this is manipulated—

Mr. Damian Collins:

It's manipulated film to create the distorted impression that Nancy Pelosi was somehow impaired when she was speaking. That's what has happened and that's why YouTube has taken the film down and that's why there has been a general recognition, including by independent fact-checkers who work for Facebook, that this film is distorted and creates a distorted impression of the third most senior politician in America.

(1110)

Mr. Neil Potts:

As you mentioned the fact-checkers, we work with over 50 fact-checkers internationally that are—

Mr. Damian Collins:

This is not in question. The fact-checkers recognize it's fake. You're saying it can stay there. Do you not see that what Facebook is doing is giving a green light to anyone in the world who wants to make a distorted or fake film about a senior politician, or maybe in the future use deepfake technologies to do it, and know that whatever happens Facebook won't remove the film?

Mr. Neil Potts:

I think you're asking a philosophical question, sir. Should we remove or should we inform people that it is fake? We have taken the approach to inform people that it's fake, so they can understand why that video is on the platform and what other independent parties have considered this to be. They have considered it to be false and now they see this on our platform if they go to share it. All these questions, I think are very thorough questions, but it allows people to make their own decision and it allows them to tell others it is false.

You mentioned that the video is slowed down, which by all accounts and the fact-checkers have said it is, but I think there are many different cases where videos are slowed down and that would perhaps not be a warrant for this committee.

Mr. Damian Collins:

The issue here is to say that if someone is making a film, or slowing down a film or manipulating a film, to try to create the false impression that a senior public figure is not fit for office, then that is an attempt to undermine them and the office they hold.

This is not a question of opinion. This is not a question of free speech. This is a question of people manipulating content in order to undermine public figures, and my concern is that to leave that sort of content up there, when it is indisputably fake, indisputably false and distorted, and to allow permission for this content to be shared with and promoted by other users is irresponsible.

YouTube has removed this content. I don't understand why Facebook doesn't do the same.

Mr. Neil Potts:

Sir, I understand your concerns, but I think your questions are the right ones and that they show the complexity of this issue and also show perhaps that the approach we are taking is working. You don't hear people—

Mr. Damian Collins:

Sorry, but with all respect, what it shows is the simplicity of these issues, the simplicity that another company has taken, recognizing the same issues, the simple action to say that this is clearly fake, it's clearly distorted, it's there to undermine senior public figures and it actually shouldn't have a place on the platform. It shouldn't be part of your community.

Mr. Neil Potts:

Your opinion is right, and I obviously respect the opinion of YouTube as an independent company, but we're not hearing people talk about this video as if it were real. We're hearing people discuss the fact that it is fake and that it is on the platform, so on the question of whether we have informed people that this is a fake video, yes, we have. I think that is the predominant speech right now. Whether it's the conversation we're having right now, whether it's on the news or others, people understand that this video is fake and they can make further decisions from there.

Mr. Damian Collins:

My concern about this is that it sets a very dangerous precedent. Your colleague Monika Bickert said last week to CNN that basically Facebook's policy is that any political content, any disinformation content in relation to politics will not be taken down, that there would be notes put up for users so they could see that the facts are disputed, but it will never be removed.

If you're going to allow your platform to be abused in this way by people producing disinformation films targeted at users to try to interfere with democracy and the best you're going to do is just put a flag on it to say some people dispute this film, I think that is a very dangerous precedent.

The Chair:

Thank you, Mr. Collins.

We'll go next to Mr. Erskine-Smith.

Go ahead, for five minutes.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

You speak to Mr. Zuckerberg often enough, because you're here on his behalf. Remind me why he isn't here today.

Mr. Neil Potts:

I'm sorry, sir. I can't see your name.

Mr. Nathaniel Erskine-Smith:

It is Mr. Erskine-Smith.

Mr. Neil Potts:

Mr. Erskine-Smith, Mr. Zuckerberg and Ms. Sandberg have entrusted us to represent the company here today. We are subject matter experts in these areas, and we're more than happy for the opportunity to be here, but I do want to make—

Mr. Nathaniel Erskine-Smith:

He said, “I'm looking forward to discussing these issues with lawmakers around the world” less than two months ago. He just didn't mean these lawmakers. He meant other lawmakers, I'm sure.

I'm going to talk about privacy. In his most recent report, our Privacy Commissioner has said that Facebook's privacy protection framework was “empty”. Then on May 7 before this committee, our Privacy Commissioner said that finding still applies, that it is empty. If Facebook takes privacy seriously, and I heard Mr. Chan say that it does—these aren't my words; these are the Privacy Commissioner's words—why had it “outright rejected, or refused to implement” the Privacy Commissioner's recommendations?

Mr. Kevin Chan:

Given that the commissioner has indicated that he will be taking this to Federal Court, we're somewhat limited in what we can say, but what I can share with you is that—

Mr. Nathaniel Erskine-Smith:

You're not limited in what you can say at all, Mr. Chan.

Mr. Kevin Chan:

I'm going to continue with what I can share with you, which is that we actually have been working quite hard in the last few months to arrive at a resolution and a path forward with the Privacy Commissioner of Canada—

Mr. Nathaniel Erskine-Smith:

So you didn't outright reject or refuse to implement the recommendations.

Mr. Kevin Chan:

I think we were in a conversation about how we could get to the objectives that we all seek.

(1115)

Mr. Nathaniel Erskine-Smith:

When the Privacy Commissioner wrote those specific words in his specific report, he was incorrect, in your view.

Mr. Kevin Chan:

I don't.... If I may, I just want to share a bit more, because I am limited in what I can say—

The Chair:

Actually, Mr. Chan....

Mr. Chan, the priority goes to members of the committee, so if you wish to keep speaking, you need to hear.

Mr. Nathaniel Erskine-Smith:

Mark Zuckerberg has also said the future is private. Interestingly, of course though, it used to be Facebook privacy policy in 2004 that it did not and would not use cookies to collect private information from any user. That changed in 2007. Initially Facebook gave users the ability to prohibit the collection of their personal information from third parties, and that was again changed.

When Mr. Zuckerberg says the future is private, does he mean the future is going back to our past, when we cared about privacy before profits?

Mr. Kevin Chan:

I think we are undertaking a significant effort to reimagine what communications services will look like online. I think there have been a lot of interesting things written, not just by folks at the company but around the world. We do see a trend line such that people are increasingly focused on one-to-one communications. Those are, by definition, private, but what it does raise, sir, in terms of public policy questions is a very interesting balance between privacy and lawful access to information and questions of encryption. These are tight tensions. I think they've been raised previously, including in previous parliaments of Canada, and we look forward to engaging on those questions.

Mr. Nathaniel Erskine-Smith:

With regard to engaging on those questions, GDPR has been adopted by the EU. We've recommended, at this committee, that Canada go further initially.

Facebook made $22 billion last year. Alphabet made $30 billion last year. Previously, you've used millions of those dollars to lobby against GDPR. Now you agree that's a standard that ought to be in place or that similar standards ought to be in place.

I'd like a simple yes-or-no answer, Mr. Chan and Mr. Slater.

Mr. Kevin Chan:

Yes, we fully support GDPR.

Mr. Nathaniel Erskine-Smith:

Mr. Slater.

Mr. Colin McKay (Head, Government Affairs and Public Policy, Google Canada):

If you don't mind, Mr. Erskine-Smith, I'll respond as the privacy expert.

Mr. Nathaniel Erskine-Smith:

Sure.

Mr. Colin McKay:

Yes.

Mr. Nathaniel Erskine-Smith:

Mr. McNamee was here and he suggested that perhaps consent shouldn't be the only rule in play and that in certain instances we should simply ban certain practices. He used web tracking.

When was the last time that Google read my emails to target me with ads? How many years ago was it?

Mr. Colin McKay:

We stopped using your Gmail content for advertising in 2017. That was specific to you. That information was never shared externally.

Mr. Nathaniel Erskine-Smith:

Is that something that we could consider banning so that individuals could never consent to having their emails read to be targeted for advertising? Would you be comfortable with that?

Mr. Kevin Chan:

It's certainly the practice that we have now. I hesitate at the word “ban” because there's a broad range of services that might be used in that specific context that make sense.

Mr. Nathaniel Erskine-Smith:

The German competition authority, in February of this year, said: In view of Facebook’s superior market power, an obligatory tick on the box to agree to the company’s terms of use is not an adequate basis for such intensive data processing. The only choice the user has is...to accept the comprehensive combination of data or to refrain from using the social network. In such a difficult situation the user’s choice cannot be referred to as voluntary consent.

Mr. Chan and Mr. Slater, do you think that privacy is a key consideration in competition and merger decisions, and should competition authorities around the world take privacy issues into account?

Mr. Kevin Chan:

I'm sorry. Could you repeat the question just to make sure I understand?

Mr. Nathaniel Erskine-Smith:

Do you agree that competition authorities around the world should be looking at privacy—just as they currently look at price—and data collection of our personal information as a key consideration in competition law and when looking at mergers and acquisitions?

Mr. Kevin Chan:

That's a very interesting question of public policy. I think, presumably, certain—

Mr. Nathaniel Erskine-Smith:

It could just be a yes or no.

Mr. Kevin Chan:

These are complex issues, sir, as you can appreciate, and if you would allow me, I would just like to say a few more words with regard to this because it is complicated.

I think it's clear that competition policies and privacy policies are quite different. I suspect that data protection authorities around the world would have very different views about whether or not it is appropriate to pour concepts from other realms into data protection law.

Mr. Nathaniel Erskine-Smith:

I'm not suggesting that. I'm suggesting that since we currently protect consumers on price, shouldn't we protect consumers on privacy? We have a German competition authority suggesting that we should do so.

Mr. Kevin Chan:

I see. I'm sorry. I understand more clearly what you're saying.

(1120)

Mr. Nathaniel Erskine-Smith:

I did read a quote directly from the German competition authority.

Mr. Kevin Chan:

You're absolutely right that data protection...that we should treat privacy as a foundational cornerstone of the digital economy.

Mr. Nathaniel Erskine-Smith:

Of competition law....

Mr. Kevin Chan:

I believe that these are two very distinct and separate things. It wouldn't just be me. I think that if you talk to competition authorities and data protection authorities, they might very much arrive at similar views.

Mr. Nathaniel Erskine-Smith:

That's not the one that I read to you.

Mr. Kevin Chan:

We are aware of this. I have spoken to some of my colleagues in Germany with respect to this. Our understanding is that the GDPR needs to, obviously, be enforced and interpreted by data protection authorities in Europe.

The Chair:

Thanks.

We need to move on.

We will go next to Monsieur Gourde for five minutes. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

Over the years, the digital platforms you represent have developed very powerful, even overly powerful, tools. You are in the midst of a frantic race for performance. However, it isn't necessarily for the well-being of humanity, but rather for the personal interests of your companies.

Let me make an analogy. You have designed cars that can travel up to 250 kilometres an hour, but you rent them to drivers who travel at that speed in school zones. You have developed tools that have become dangerous, that have become weapons.

As a legislator, I do not accept that you rejected out of hand your responsibility in this regard. These tools belong to you, you have equipped them with functions, but you don't necessarily choose the users. So you rent your tools commercially to people who misuse them.

In the election we'll have in Canada in a few months, will you have the technical ability to immediately stop any fake news, any form of hate advertising or any form of advertising that would undermine our democracy? Will you be able to act very quickly? At the very least, can you stop all advertising during elections in Canada and other countries, if you cannot guarantee us absolute control over the ads that can be placed on your platforms?

We'll start with the representatives from Facebook, then I'd like to hear from Google and Twitter.

Mr. Kevin Chan:

Thank you very much, Mr. Gourde.

I'll start by saying that we'll do everything we can to protect the election in October 2019.

As you know, we are working closely with the Conservative Party, the New Democratic Party and the Liberal Party. The other parties should be mentioned, including the Green Party, the People's Party, the Bloc Québécois—

Mr. Jacques Gourde:

Excuse me, Mr. Chan, but it isn't about parties. It's about people who will have to make a choice based on the information we will provide to them, not on fake information.

Do you have the ability to quickly stop the spread of fake information or even to stop altogether any advertising that can be placed on your platforms, if you don't have control over it?

Mr. Kevin Chan:

Thank you for the question.

Here, in Canada, we have a team that works on each election. We have done this in Ontario, British Columbia, Prince Edward Island, New Brunswick—

Mr. Jacques Gourde:

Please don't list all the provinces.

I want to know if you have the ability to stop the spread of any hate advertising or any fake information at any time during the next election.

Mr. Kevin Chan:

For the time being, in all the other elections, there have been no problems that we haven't been able to resolve quickly.

Mr. Jacques Gourde:

Thank you.

I have the same question for the representatives from Google. [English]

Mr. Derek Slater:

Getting this right is absolutely essential. We do invest heavily in efforts to both anticipate and prevent efforts that would interfere with election integrity. That's by making useful information available in search or dealing with actors who might deceive or misrepresent themselves in ads.

Mr. Carlos Monje:

Twitter has spent a significant amount of time improving our internal ability to spot this type of disinformation. We've learned from elections around the globe. We've actively engaged with civil society here, most recently in the Alberta elections, and we believe we are very prepared. However, we cannot take our eye off the prize. It's going to be the people who want to manipulate the conversation who will continue to innovate and we will continue to innovate to stay ahead of them.

(1125)

[Translation]

Mr. Jacques Gourde:

Based on your answers, I remain doubtful and concerned.

You cars can drive 250 kilometres and hour, but the speed limit on the highway is 100 kilometres an hour. Are you able to reduce the capacity of your tools so that it is fair and equitable for everyone?

What is the point of having such powerful tools if it is to do evil, when a lesser performance could serve the good of humanity?

Mr. Kevin Chan:

If I may, I will speak in English to be clearer, since it's my mother tongue.[English]

I just want to say, Mr. Gourde, that's exactly what we're going to do. Next month, as your party and other parties in Canada are aware, we're introducing a very friction-intensive process for anybody who wants to run political ads. We are going to require them to authorize, to demonstrate that they're Canadian. We will need to independently validate the fact that they're Canadian, and then we're going to have to give them a code—or a key, if you will—where they're going to authenticate before they can run an ad.

This is not going to be a thing that happens in an hour. It's not going to be a thing that happens in a day. It's going to be a multi-day process. You have my assurance that we'll be reaching out and working in strict collaboration with all political parties in Canada to take them through this process. Precisely to your point about speed bumps or brakes, I would say this is going to be significant friction in the system, but we think this is the right thing to do in order to get ad transparency right, it's the right thing to do to get regulated political advertising right and it's an important thing to do to guard against foreign interference.

The Chair:

Thank you, Monsieur Gourde.

Next up is Mr. Angus.

Mr. Charlie Angus:

Thank you, Mr. Chair.

Thank you so much for these presentations. They're very helpful.

Mr. Chan, we know that Mr. Zuckerberg and Ms. Sandberg are very important people. Are they busy today?

Mr. Kevin Chan:

I am not aware of their schedules today, but I think that's right. They unfortunately had to send their regrets.

Mr. Charlie Angus:

Okay.

I'm trying to get a sense of corporate governance with Facebook. You come from Canadian politics. You worked for the Liberal Party. We're kind of meek and mild here in Canada. I don't ever remember a summons being issued against the head of a corporation. I don't know of anybody who has ever decided to ignore a summons.

Surely to God they have something really pressing to keep them busy. When Mr. Zuckerberg recently spoke, as my colleague pointed out, about his willingness, his desire to talk with legislators. Was that a joke?

This is for Mr. Chan. I'm interested in Mr. Chan because he represents us in Canada.

Mr. Kevin Chan:

Well, sir, I have to say that we do desire very much to collaborate with the Parliament of Canada and the Government of Canada. The election that's before us is going to be an important one, and an important one for us to get right at Facebook. We want to ensure a free and fair election. That's why we have done all the things that we have done.

We're complying with Bill C-76. To my knowledge, we may be the only company represented on this panel that is moving forward with an architectured system to do this. We have moved quickly on hate figures and hate organizations in Canada, and we have signed on to the Canada declaration on electoral integrity. I would—

Mr. Charlie Angus:

Yes, thank you for that. Sorry, I only have a few minutes.

I appreciate that work. I'm a big fan of Facebook.

Mr. Kevin Chan: Thank you, sir.

Mr. Charlie Angus: I've spoken greatly about the powerful tools it has in the indigenous communities I represent.

My concern is this idea of opt-in, opt-out that Facebook has when it comes to national law. First of all, you ignored a summons by Parliament because Mr. Zuckerberg may be busy. It may be his day off. I don't know.

You were recently found guilty by our regulator in the Cambridge Analytica breach. Our regulator, Mr. Therrien, said: Canadians using Facebook are at high risk that their personal information will be used in ways they may not be aware of, for purposes that they did not agree to and which may be contrary to their interests and expectations. This could result in real harms, including political...surveillance.

What was striking was that Facebook didn't concede that we have jurisdiction over our own citizens. If you're saying you're willing to work with parliamentarians, I don't get this opt-in when it works for Facebook and opt-out when....

Can you give me an example of any company saying that they just don't recognize whether or not we have jurisdiction over our citizens?

(1130)

Mr. Kevin Chan:

Sir, my eyebrows were also raised when I saw those reports, so I did read it carefully and I did talk to legal counsel about it.

My understanding is that this was in reference to the fact that, to our knowledge, based on the available evidence around the world and based on documented evidence, not only in terms of contracts and things like that, but also witnesses who have first-hand accounts, there was no Canadian, or indeed, no non-U.S. user data that was ever transferred to Cambridge Analytica. I believe, if I may—

Mr. Charlie Angus:

Okay, but on that point—I only have a short period of time—622,000 Canadians had their data taken. Facebook became aware of it in 2015, and Facebook said nothing until it was exposed internationally because of the Cambridge Analytica breach. That is a breach of Canadian law under PIPEDA.

You know that law, yet to tell Canadian legislators that we had to prove individual harm before Facebook would concede jurisdiction, that to me would be like an international auto company saying, “Yes, there were mass deaths in Brazil; yes, there were mass deaths in the United States; yes, there were mass deaths all over Europe; but since nobody died in a car accident in Canada, we are not going to comply with Canadian law.”

How do you get to decide what laws you respect and what laws you figure don't apply to you? Why do you think that?

Mr. Kevin Chan:

Mr. Angus, with all due respect, we actually go over and above the law—

Mr. Charlie Angus:

No you don't. You don't recognize that we have jurisdiction.

Mr. Kevin Chan:

—as the Parliament of Canada knows.

Mr. Charlie Angus:

How can you say that to us with a straight face, Mr. Chan? How can you?

Mr. Kevin Chan:

Because it is the truth, sir.

Mr. Charlie Angus:

So we have to take you to court to get you to recognize that we have jurisdiction to protect our citizens, after you sat on a breach that you knew about for three years and did nothing to tell us about because you didn't want to up-end your business model.

Mr. Kevin Chan:

With respect to election integrity, we are going over and above the law—

Mr. Charlie Angus:

I'm talking about the privacy rights of Canadians and the breach of our law that you were found guilty of. That's the question.

Mr. Kevin Chan:

We can talk about that as well, sir, in the time remaining, if you will permit me.

As I said, we wanted to get to a resolution with the commissioner. He has decided to take us to court, which is of course the framework that's prescribed for him—

Mr. Charlie Angus:

He had to take you to court, because you wouldn't concede that we as legislators even have jurisdiction over our own citizens. That's not coming to a resolution. That's like, “Hey, Facebook, is it okay if we come and see, and if it's okay, we'll all work things out?” That is not how law works. Maybe that's how it works for Mr. Zuckerberg, but that's not how it works internationally, which is why we are here. It's because we have international legislators who are frustrated—

Mr. Kevin Chan:

We have nothing but the utmost respect for—

Mr. Charlie Angus:

—by the lack of respect for international law.

Mr. Kevin Chan:

We have the utmost respect for the law in Canada and for legal authority around the world.

The Chair:

Thank you.

We'll go on next to Mr. Tong from Singapore.

Mr. Edwin Tong (Senior Minister of State, Ministry of Law and Ministry of Health, Parliament of Singapore):

I have limited time, so I would appreciate it if you just focus on my questions and give the answers directly.

We've heard a lot about what you wish to do, who you are engaged with, who you wish to see and how you're going to work on your policies, but let's just see what actually appears and continues to appear on your platforms.

To do that and to save some time, I have put together a little handout that summarizes several cases, which I have no doubt you're familiar with. Just thumb through them quickly. These are all cases that were sensational. They all went viral quickly. They were probably amplified by trolls and bots—fake accounts. They incite fear, they cause disaffection and tensions, and they prey on divisive social fault lines: race, religion, immigration.

One key fact is that they're all false information as well, and all resulted in real world harm: physical injuries, deaths, riots, accentuating divisions and fault lines between religions and races, causing fear.

Just go to the very last page of the handout and look at Sri Lanka, April 2019. The leader of the Easter terrorist bombings in Sri Lanka had posted videos that were on your platforms—Facebook and YouTube—for at least six months prior to the bombing itself. In the videos, he says, “Non-Muslims and people who don't accept Muslims can be killed, along with women and children.” Separately, he says, “We can kill women and children with bombs. It is right.”

This is clear hate speech, is it not?

Mr. Neil Potts:

It is hate speech.

Mr. Edwin Tong:

And it's a breach of your own policies, isn't that correct?

Mr. Neil Potts:

That would be a breach of our policies. That is correct, sir.

Mr. Edwin Tong:

These passages, posted months prior to the Easter bombings, portend what was to come, and it happened, horrifically, in April, in the same fashion as this alleged priest, Mr. Zahran Hashim, said it would—by bombs, killing women and children—on your platforms.

Why? Why was it not removed?

Mr. Neil Potts:

Thank you, Mr. Tong.

Just to quickly—

(1135)

Mr. Edwin Tong:

No. Please answer my question. Why was it not removed? You say it's a breach of your own policies. Why was it not removed in September 2018?

Mr. Neil Potts:

When we're made aware of that content, we do remove it. If it is not reported or if we have not proactively identified it, then we would not remove it, because honestly we would not know that it exists.

I want to say that our hearts go out to those people in Sri Lanka and everywhere that you've mentioned here in your handout. Intercommunal ethnic violence is a horrific thing. We don't want our platform to be co-opted and used for these activities. In fact, we have taken aggressive action to combat this. We now have more than 30,000 people working in safety and security—

Mr. Edwin Tong:

Mr. Potts, I don't need a speech on what you will be doing.

Mr. Neil Potts:

I apologize.

Mr. Edwin Tong:

How difficult is it to work out that the phrase, “We can kill women and children with bombs. It is right”, is hate speech? How difficult is it?

Mr. Neil Potts:

That question is not hard, Mr. Tong. The question would be one of identifying the content. If we are not made aware that the content exists, either through a user report or our own proactive measures, then we would not know that this content is on the platform.

Mr. Edwin Tong:

So none of the AI, or the technology, or the fact-checkers or the army of people you have scrutinizing your platforms picked this up eight months prior to the event, and you are asking us to trust the processes that you intend to put in place, trust that the AI that you now have will do so in the future.

Mr. Neil Potts:

Artificial intelligence is a great lever to help us identify this. It is not perfect. It is not salient where it will get 100% of the activity right, just as humans we will not get 100% of the activity right. I would have to check on this video specifically, but if we were made aware of this video, we would remove it. This is a very straightforward call.

Mr. Edwin Tong:

Mr. Potts, if you do some homework and check, local Muslim leaders flagged it to Facebook, and Facebook did not take it down despite being aware of it, despite it being, as you say, a clear breach of your own policies. I'd like to know why.

Mr. Neil Potts:

Sir, I would have to see how the content was shared. The way that you have—

Mr. Edwin Tong:

You said, Mr. Potts and Mr. Chan, that both of you are content specialists. You are domain specialists. You're here in place of Mr. Zuckerberg and Ms. Sandberg, and you should know. This happened a few months ago, so why was it not taken down despite Facebook being aware of it? Can you explain?

Mr. Neil Potts:

I'm trying to explain that I don't know that premise. I'd have to check to make sure that we were actually aware. I do not believe that we were aware of that video at the time.

Mr. Edwin Tong:

Let me suggest to you that you didn't remove it because such content is sensational. It incites fear, violence, hatred and conspiracy theories. As Mr. McNamee explained to us earlier, that is what drives eyeballs to your platforms. It's what drives users to your platforms and that is the engine room of your profit mechanism.

Mr. Neil Potts:

Mr. Tong, I reject the premise. I reject that wholeheartedly. If we know that something is hate speech, if we know that it is causing violence, we actually move more swiftly.

We had a discussion earlier about misinformation. If we know that misinformation is actually leading to physical harm and violence, we work with trusted partners on the ground, civil society and others, to flag that for us—law enforcement even—and then we will actually remove that content.

Mr. Edwin Tong:

Mr. Potts, Facebook was told about this. You can check. Facebook was also told about the problems in Sri Lanka on March 2018 by the Sri Lankan government. It refused to take it down on the basis that it didn't infringe on your own policies. Mr. McNamee says that as a result, governments in Sri Lanka, in Indonesia and in India have had to take proactive action to shut down social media such as Facebook and WhatsApp. Is that how you want this play out?

Can we trust the policies you have in place? Can we trust that what you do and put in place, checks to seek out and remove such content, will actually work?

The Chair:

Thank you, Mr. Tong. We'll have to go on to the next question.

We'd like to welcome our delegation from Ireland. They just landed this morning.

Welcome to our committee.

We'll start off our first five minutes with Hildegarde Naughton.

Ms. Hildegarde Naughton (Chair, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Thank you, Mr. Chairman. We're delighted to be here this afternoon.

I'll start by listing out my questions for you, and the social media companies can answer afterwards. I have about three questions here. The first is in relation to data protection.

It's very clear that you're all scrambling to figure out how to make privacy rules clear and how to protect users' data. The inception of GDPR has been a sea change in European data protection. The Irish data protection commissioner now has the job of effectively regulating Europe, given the number of social media companies who have their headquarters based in Ireland.

In the 11 months since GDPR came into force, the commissioner has received almost 6,000 complaints. She has said that her concentration on Facebook is because she didn't think that there would be so many significant data breaches by one company, and at one point, there were breaches notified to her under GDPR every fortnight, so she opened a consolidated investigation to look at that. I want to ask Facebook if you can comment on her remarks and why you're having such difficulty protecting users' data.

Also, for this next question, I might ask Google and Facebook to comment. I and my colleague James Lawless and deputy Eamon Ryan met earlier this year with Mark Zuckerberg in Ireland, and he said that he would like to see GDPR rolled out globally. Some of Facebook's biggest markets are in the developing world, such as in Asia and Africa, and out of the top 10 countries, there are only two in the developed world, the United States and the United Kingdom. Some experts are saying that a one-size-fits-all approach won't work with GDPR, because some regions have different interpretations of the importance of data privacy.

I would like to get Google's viewpoint on that—What is your view is in relation to the rollout of GDPR globally? How would that work? Should it be in place globally?—and in relation to the concerns around the different interpretations of data privacy.

Finally, due to the work of our communications committee in the Oireachtas—the Irish parliament—the Irish government is now going to introduce a digital safety commissioner who will have legal takedown powers in relation to harmful communication online. Given that Ireland is the international and European headquarters for many social media companies, do you think that this legislation will effectively see Ireland regulating content for Europe and possibly beyond?

Whoever would like to come in first, please comment on that if you could.

(1140)

Mr. Kevin Chan:

Thank you, ma'am. I want to indicate that Neil and I spent some time with our Irish counterparts, and they have nothing but complimentary things to say about you, so it's nice to meet you.

With respect to the question of breaches that you mention, obviously we are not aware of the specifics that would have been sent to the Irish data protection authority, so I wouldn't be able to comment specifically on that, but I would say our general posture is to be as transparent as we can.

You—and various members at this committee—will probably know that we are quite forward-leaning in terms of publicly revealing where there have been bugs, where there has been some information we have found where we need to pursue investigations, where we're made aware of certain things. That's our commitment to you but also to users around the world, and I think you will continue to hear about these things as we discover them. That is an important posture for us to take, because we do want to do what is right, which is to inform our users but also to inform the public and legislators as much as possible whenever we are made aware of some of these instances.

We want to be very transparent, which is why you will hear more from us. Again, unfortunately, I cannot speak to the specifics that the DPA was referring to.

Ms. Hildegarde Naughton:

Google, can I have your comments, please?

Mr. Colin McKay:

As we outlined in our opening remarks, we look for international standards that are applicable across a variety of social, cultural and economic frameworks. We look for principle-driven frameworks, particularly in data protection. That has been the history with GDPR as well as the previous OECD principles.

The extension of GDPR beyond its current boundaries is something that is preferable. The question is, how does it adapt to the particular jurisdictions within which it has to operate, considering that the European environment and the history of data protection in Europe is very different from elsewhere in the world, especially the portions of the world, whether Africa or Asia, that you identified?

We're in agreement there. We have been applying the protections that are given to Europeans on a global basis. The question is, what does that look like within a domestic jurisdiction?

On your second question around a digital safety commissioner, I'll turn it over to my colleague Derek.

The Chair:

Thank you, Ms. Naughton. We are actually at time, so we have to move on to the next delegate. My apologies. Time is short.

For the next question, we go to the Republic of Germany.

Mr. Jens Zimmermann (Social Democratic Party, Parliament of the Federal Republic of Germany):

Thank you very much.

I will also focus first on Facebook. It's great to get to know the Canadian public policy team. I know the German public policy team.

First, I would like to comment on what my colleague from Singapore asked. From my experience in Germany, I have a relatively simple answer. It is simply that many companies, also present today, do not have enough staff to work on all these issues and all these complaints. As has already been mentioned, AI is not always sufficient to work on this. What we've learned in Germany, after the introduction of the NetzDG, is that a massive increase in staff, which is needed to handle complaints, also increases the number of complaints that are handled. I don't know the situation in other countries, but this is definitely an important aspect.

I want to ask about the antitrust ruling in Germany on the question of whether the data from Facebook, WhatsApp and Instagram should be combined without the consent of the users. You are working against that ruling in Germany, so obviously you don't agree, but maybe you can be a bit clearer on your position.

(1145)

Mr. Kevin Chan:

Thank you very much, sir. I understand from one of my colleagues in Canada that she spent some time with you yesterday at a round table. Thank you very much for the invitation.

With respect to the various platforms, our terms of service and our user data policy does underline the fact that we will share data infrastructure between various services, as you know. A big part of it, to be quite frank, is to ensure that we are able to provide some degree of security measures across platforms.

Facebook is a platform where you have your authentic identity. We want to make sure people are who they say they are, but there are lots of good reasons why you will want to have similar kinds of measures on the Instagram platform, for example. There are many instances where—and you would have heard of these in terms of even some of our coordinated inauthentic behaviour takedowns—to be able to do adequate investigations across the system, we actually have to have some ability to understand the provenance of certain content and certain accounts. Having a common infrastructure allows us to very effectively deal with those sorts of challenges.

Mr. Jens Zimmermann:

Yes, and it allows you to very effectively aggregate the data, increase the knowledge of the user and also increase the profit. Isn't that the reason behind it?

It would be possible to, again, give all the users the ability to decide on that. That would be very easy, but I think it would also be very costly for you.

Mr. Kevin Chan:

I think, sir, what you're touching on in terms of the broader arc of where we're going is correct. We do want to give people more control. We want people to be able to—

Mr. Jens Zimmermann:

Okay, but why then are you working against that ruling in Germany?

Mr. Kevin Chan:

I think the nub of this is again the question that Mr. Erskine-Smith raised: Where do the limits of competition policy start and end versus the limits of privacy?

Mr. Jens Zimmermann:

Okay. Thank you.

I also want to go to Google. You mentioned that you need clear definitions of unlawful speech. I looked into Germany's transparency report and it turns out that of 167,000 complaints in Germany, it was only in 145 cases that your colleagues needed to turn to specialists to determine whether or not this was unlawful speech. Why, then, do you think this is really a problem? Is it really a problem of definition or is it really a problem of handling the number of complaints and the massive amount of hate speech online?

Mr. Derek Slater:

That's a very important question. The NetzDG is a complex law, but one of the pieces that is relevant here is that it calls out, I believe, 22 specific statutes that it governs.

Mr. Jens Zimmermann:

Actually, the NetzDG basically says that in Germany, you need to comply with German law—full stop.

Mr. Derek Slater:

I understand that, and it says, with respect to these 22 statutes, “Here is your turnaround time and your transparency reporting requirements, leading to the data you had.” I think part of what is important there is that it refers specifically to clear statutory definitions. These definitions allow us to then act on clear notices in an expeditious manner as set within the framework of the law.

(1150)

The Chair:

Next we will go to the Republic of Estonia.

Go ahead, for five minutes.

Ms. Keit Pentus-Rosimannus (Vice-Chairwoman, Reform Party, Parliament of the Republic of Estonia (Riigikogu)):

Thank you.

I come from Europe, from Estonia. It is true that, two days after the European election, one can say that you actually have made progress in removing the fake accounts, but it is also true that those fake accounts should not have been there in the first place.

My first question is the following: What kinds of changes are you planning to use to identify your users in the beginning?

Mr. Kevin Chan:

Thank you for that. I think we are cautiously pleased with the results in terms of the way the platform has performed in Europe. However, with respect to fake accounts, I would say—and I think my colleague Neil has mentioned—that this is a bit of an arms race with our adversaries, with bad actors trying to put inauthentic accounts and content onto the platform.

I think we want to constantly get better and to constantly evolve—

Ms. Keit Pentus-Rosimannus:

How do you improve the identification process in the first place?

Mr. Kevin Chan:

One of the things I can share with you, again in terms of the political advertising piece that we are trying to do, is that we are trying to get a very good certainty as to the identity of the individuals when they run an ad.

In Canada, as I mentioned earlier, we will do this and it will be not without pain. For political advertisers in Canada, it's very much that we will need to get some kind of ID from you. We will need to independently verify that ID, and then we're going to send you some kind of key—a digital key if you will—that you're going to have to use to authenticate yourself before you can even run a political ad.

This is a very costly and significant investment. It is also not without friction. I personally worry that there will be instances where people want to run an ad, don't know about this requirement and then find it's going to take many days to do.

I also worry that there may be false positives, but I think this is the right thing to do to protect elections around the world and here in Canada in October. We're prepared to put in the time, the investment and potentially some of the friction to get it right.

Ms. Keit Pentus-Rosimannus:

All right. Thank you.

My second question will be about fake news or fake videos. What is your policy towards fake news, for example, deepfake? Will they be removed or will they just be marked as deepfake videos?

Mr. Derek Slater:

The issue of deepfakes.... Thanks for that question. It's a really important emerging issue. We have clear guidelines today about what content should be removed. If a deepfake were to fall under those guidelines, we would certainly remove it.

We also understand this needs further research. We've been working actively with civil society and academics on that.

Ms. Keit Pentus-Rosimannus:

What about Facebook?

Mr. Neil Potts:

Thank you.

We are also investigating and doing research on this policy, to make sure we are in the right place. Currently, we would identify it as being fake and then inform our users, but we constantly—

Ms. Keit Pentus-Rosimannus:

The deepfake will stay on.

Mr. Neil Potts:

We constantly iterate our policies, and we may update those policies in the future, as they evolve. We are working with research agencies and people on the ground to understand how these videos could manifest. As I mentioned before, if these videos, or any type of misinformation, led to real world harm—or off-line harm, I should say—we would remove that content.

Ms. Keit Pentus-Rosimannus:

What about Twitter?

Mr. Carlos Monje:

We also share concerns about deepfakes. If we see the use of deepfakes to spread misinformation in a way that violates our rules, we'll take down that content.

Ms. Keit Pentus-Rosimannus:

My last question will come back to what Mr. Collins asked in the beginning, about the fake video of Nancy Pelosi. Let's say a similar video were to appear, only the person there was Mr. Zuckerberg. Would that video be taken down, or just marked as a fake one?

Voices: Oh, oh!

Mr. Neil Potts:

I'm sorry, the laughter.... I didn't hear the name?

Ms. Keit Pentus-Rosimannus:

Sorry for the loud laughter. If a video similar to what has been airing, picturing Nancy Pelosi, appeared with Mark Zuckerberg, would you remove that fake video, or would you just mark it as fake news?

Mr. Neil Potts:

If it was the same video, inserting Mr. Zuckerberg for Speaker Pelosi, it would get the same treatment.

The Chair:

Thank you.

I want to give a brief explanation of what's going on behind me. Your chairs have elected to have a working lunch. Feel free to come up and grab something to eat, and we'll continue with testimony all the way through our lunch.

Next up, we have Mexico. Go ahead for five minutes.

(1155)

Hon. Antares Guadalupe Vázquez Alatorre (Senator):

[Delegate spoke in Spanish, interpreted as follows:]

Thank you. I'm going to speak in Spanish.

I have several questions. In the case of Google, what do you do to protect people's privacy? I know many cases of sexting videos that are still there in the world, and when the victims of those videos go specifically to your office in Mexico—and I have known about several cases—the Google office tells them to go to the United States to complain. These are videos that are violently attacking somebody and cannot be downloaded. What do you do in those cases?

Mr. Derek Slater:

I'm not familiar with the particular cases you're talking about, but we do have strict guidelines about things like incitement to violence, or invasion of privacy and the like. If notified, and if we become aware of it, we would take action, if it's in violation of those guidelines. I'm not familiar with the specific cases, but would be happy to inquire further.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

I have information about very specific cases, but we don't know who to turn to in Mexico because they reject people. We hope you will take over this case, because the people have to wait for years to withdraw those things.

I'd like to ask Twitter about the creation of trends with robots. It's very common in Mexico. Every day, we have trends created with robots—the so-called bot farms. I don't know what the policy is at Twitter, because you seem to allow the artificial trends, or hashtags, when they are harming somebody. Why don't you allow trends to happen organically? I agree with having trends, things becoming viral and respecting freedom of expression, but why are robots allowed? If anybody can detect them, why is it Twitter cannot?

Mr. Carlos Monje:

Trends measure the conversation in real time and try to distinguish conversations that are always having a high level of engagement, English Premier League or the Mexican election writ large. What trends are trying to identify is acceleration above the normal. When that happens organically, like you mentioned, it has a different pattern from when it happens augmented by bots.

Since 2014, which for us is a lifetime, we've had the ability to protect trends from that kind of inorganic automated activity. Kevin mentioned an arms race. I think that's a good term for the battle against malicious automation. Right now we're challenging 450 million accounts a year for being inauthentic, and our tools are very subtle, very creative. They look at signals like instant retweets or activity that's so fast that it's impossible to be human.

Despite that, 75% is what ultimately gets kicked off the service, so 25% of the people who we thought were acting in an inauthentic way were able to pass the challenge. We are over-indexing to try to stop this inauthentic activity. This is a place where there is no delta between the societal values of trusting online activity and our imperatives as a company, which is that we want people when they come to Twitter to believe in what they see, to know that they are not getting messed about with Russian bots or whatever, so we work very hard to get this right and we're continuing to make improvements on a weekly basis.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:] But this happens normally every day, not during elections. It's happening every time that a trend is inflated with bots. There's been no adequate response to this. There are things that are aggressive.

This is for Twitter and for Facebook. When a user reports something that has been published, very commonly they report that they are not breaching their policy but they are aggressive against the person. They tell us that it's not breaching the policy, but it's somebody who is lying, who is attacking, and the person feels vulnerable. Many a time nothing happens because it's not breaching your policies.

Also, with this thing about the authentication, when the accounts are authenticated with blue arrows, even the other accounts can be blocked. Some people say identify yourself and they block all the accounts. Meanwhile, there are thousands of fake accounts and nothing happens, even if they are reported. There are users who are constantly reporting these fake accounts. Why do you have a different policy?

(1200)

The Chair:

Give a short answer, please.

Mr. Carlos Monje:

We are working to adjust our policies. We have things that are against our rules and we have things that aren't against our rules but that people don't like. We call it, internally, the gap. What we've been doing and what our teams have been doing is trying to break those issues down, portion by portion, and understand where the expectations of our users don't match the experience they're getting.

Our approach is, again, very consistent. We want people to feel comfortable, to feel safe to come online. We also don't want to squelch public expression, and these are issues that we care about deeply and take very personally.

The Chair:

Thank you.

Next up, we'll go to the Kingdom of Morocco for five minutes. [Translation]

Mr. Mohammed Ouzzine (Deputy Speaker, Committee of Education and Culture and Communication, House of Representatives of the Kingdom of Morocco):

Thank you, Mr. Chair.

I would also like to thank the kind team doing us the honour of being here today: Kevin Chan, Derek Slater, Neil Potts, Carlos Moje and Michele Austin. We would have liked Mark Zuckerberg to be with us, but he let us down. We hope he will return some other time.

I have been very attentive to two proposals from Mr. Chan. I would like to make a linguistic clarification for interpreters: when I use the word “proposition”, in English, it refers to the term “proposition”, and not “proposal”.

In presenting the issues raised by his company, Mr. Chan said that it was not just Facebook's responsibility to resolve them. We fully agree on this point.

And then, again on these issues, he added that society must be protected from the consequences. Of course, these platforms have social advantages. However, today we are talking about the social unrest they cause; this is what challenges us more than ever.

Facebook, Twitter and YouTube were initially intended to be a digital evolution, but it has turned into a digital revolution. Indeed, it has led to a revolution in systems, a revolution against systems, a revolution in behaviour, and even a revolution in our perception of the world.

It is true that today, artificial intelligence depends on the massive accumulation of personal data. However, this accumulation puts other fundamental rights at risk, as it is based on data that can be distorted.

Beyond the commercial and profit aspect, wouldn't it be opportune for you today to try a moral leap, or even a moral revolution? After allowing this dazzling success, why not now focus much more on people than on the algorithm, provided that you impose strict restrictions beforehand, in order to promote accountability and transparency?

We sometimes wonders if you are as interested when misinformation or hate speech occurs in countries other than China or in places other than Europe or North America, among others.

It isn't always easy to explain why young people, or even children, can upload staged videos that contain obscene scenes, insulting comments or swear words. We find this unacceptable. Sometimes, this is found to deviate from the purpose of these tools, the common rule and the accepted social norm.

We aren't here to judge you or to conduct your trial, but much more to implore you to take our remarks into consideration.

Thank you.

(1205)

Mr. Kevin Chan:

Thank you very much, Mr. Ouzzine.

Again, please allow me to answer in English. It isn't because I can't answer your question in French, but I think I'll be clearer in English.[English]

I'm happy to take the first question with respect to what you were talking about—humans versus machines or humans versus algorithms. I think the honest truth on that is that we need both, because we have a huge amount of scale, obviously. There are over two billion people on the platform, so in order to get at some of the concerns that members here have raised, we do need to have automated systems that can proactively find some of these things.

I think to go back to Mr. Collins's first question, it is also equally important that we have humans that are part of this, because context is ultimately going to help inform whether or not this is malicious, so context is super important.

If I may say so, sir, on the human questions, I do think you are hitting on something very important, and I had mentioned it a bit earlier. There is this need, I think, for companies such as Facebook not to make all of these kinds of decisions. We understand that. I think people want more transparency and they want to have a degree of understanding as to why decisions were arrived at in the way they were in terms of what stays up and what goes down.

I can tell you that in the last few months, including in Canada, we have embarked on global consultation with experts around the world to get input on how to create an external appeals board at Facebook, which would be independent of Facebook and would make decisions on these very difficult content questions. We think there is—at least as our current thinking in terms of what we put out there—this question of whether they should be publicly binding on Facebook. That is sort of the way we have imagined it and we are receiving input and we will continue to consult with experts. Our commitment is to get this done by 2019.

Certainly, on our platform, we understand that this is challenging. We want a combination of humans and algorithms, if you will, but we also understand that people will have better confidence in the decisions if there is a final board of appeal, and we're going to build that by 2019.

Of course, we're all here today to discuss the broader question of regulatory frameworks that should apply to all services online. There, once again obviously, the human piece of it will be incredibly important. So thank you, sir, for raising that, because that's the nub, I think, of what we're trying to get at—the right balance and the right framework per platform but also across all services online.

The Chair:

Thank you, Mr. Chan.

Next up, we will go to Ecuador for five minutes.

Ms. Elizabeth Cabezas (President, National Assembly of the Republic of Ecuador):

[Delegate spoke in Spanish, interpreted as follows:]

Thank you very much.

I want to talk about some of the concerns that have already been mentioned at this meeting, and also express great concern regarding tweets and Twitter, on which there is a proliferation in the creation of false accounts that are not detected. They definitely remain active for a very long time on social networks and generate, in most cases, messages and trends that are negative and against different groups, both political and those that are linked to businesses or unions in many different areas.

I don't know what mechanisms you have decided to choose to verify the creation of these, because these are accounts that have to do with troll centres or troll farms, which in the case of Ecuador have really cropped up very frequently and which continue to. They have been spreading messages on a massive scale, malicious messages that counteract real information and true information and really twist the points of view.

More than continuing to mention the issues that have already been mentioned, I would urge you to think about fact-checking mechanisms that can detect these accounts in a timely manner, because definitely you do not do it quickly enough or as quickly as is necessary. This allows damaging messages to proliferate and generate different thoughts, and they distort the truth about a lot of subjects.

I don't know what the options are, in practice, or what you're going to be doing in practice to avoid this or prevent this, and to prevent the existence of these troll centres and the creation of accounts that are false, of which there are many.

(1210)

Mr. Carlos Monje:

Thank you. That is exactly the right question to ask, and one that we work on every day.

I'll just note that our ability to identify, disrupt and stop malicious automation improves every day. We are now catching—I misspoke earlier—425 million accounts, which we challenged in 2018.

Number one is stopping the coordinated bad activity that we see on the platform. Number two is working to raise credible voices—journalists, politicians, experts and civil society. Across Latin America we work with civil society, especially in the context of elections, to understand when major events are happening, to be able to focus our enforcement efforts on those events, and to be able to give people more context about people they don't understand.

I'll give you one example because I know time is short. If you go onto Twitter now, you can see the source of the tweet, meaning, whether it is coming from an iPhone, an Android device, or from TweetDeck or Hootsuite, or the other ways that people coordinate their Twitter activities.

The last piece of information or the way to think about this is transparency. We believe our approach is to quietly do our work to keep the health of the platform strong. When we find particularly state-sponsored information operations, we capture that information and put it out into the public domain. We have an extremely transparent public API that anybody can reach. We learn and get better because of the work that researchers have undertaken and that governments have undertaken to delve into that dataset.

It is an incredibly challenging issue, I think. One of the things you mentioned is that it's easy for us to identify instantaneous retweets and things that are automated like that. It is harder to understand when people are paid to tweet, or what we saw in the Venezuelan context with troll prompts, those kinds of things.

We will continue to invest in research and invest in our trolling to get better.

The Chair:

We'll move on to the last on our list and then we'll start the sequence all over again.

To Saint Lucia, please go ahead for five minutes.

Mr. Andy Daniel (Speaker, House of Assembly of Saint Lucia):

Thank you, Mr. Co-chair.

My questions are to Neil Potts, Global Policy Director. I have two questions.

The first one is that I would like to understand and to know from him and from Facebook, generally, whether or not they understand the principle of “equal arms of government”. It would appear, based on what he said earlier in his opening remarks, that he is prepared and he is willing to speak to us here, and Mr. Zuckerberg will speak to the governments. It shows a.... I do not understand...not realizing the very significant role that we play as parliamentarians in this situation.

My next question is with reference to Speaker Nancy Pelosi's video, as well as to statements made by him with reference to Sri Lanka. He said that the videos would only be taken down if there were physical violence.

Let me just make a statement here. The Prime Minister of Saint Lucia's Facebook accounts have been, whether you want to say “hacked” or “replicated”, and he is now struggling out there to try to inform persons that this is a fake video or a fake account. Why should this be? If it is highlighted as fake, it is fake and it should not be....

Let me read something out of the fake...and here is what it is saying, referring to a grant. I quote: It's a United Nation grant money for those who need assistance with paying for bills, starting a new project, building homes, school sponsorship, starting a new business and completing an existing ones. the United nation democratic funds and human service are helping the youth, old, retired and also the disable in the society....

When you put a statement out there like this, this is violence against a certain vulnerable section of our society. It must be taken down. You can't wait until there is physical violence. It's not only physical violence that's violence. If that is the case, then there is no need for abuse when it is gender relations, or otherwise. Violence is violence, whether it is mental or physical.

That is my question to you, sir. Shouldn't these videos, these pages, be taken down right away once it is flagged as fake?

(1215)

Mr. Neil Potts:

If it is the case that someone is misrepresenting a member of government, we would remove that if it is flagged. I will follow up with you after this hearing and make sure that we have that information and get it back to the team so that we can act swiftly.

Maybe perhaps to address a few of the other conversations here, there's been this kind of running theme that Mr. Zuckerberg and Ms. Sandberg are not here because they are eschewing their duty in some way. They have mandated and authorized Mr. Chan and me to appear before this committee to work with you all. We want to do that in a very co-operative way. They understand their responsibility. They understand the idea of coequal branches of government, whether that's the legislative branch, the executive branch or the judicial branch. They understand those concepts and they are willing to work. We happen to be here now to work on—

The Chair:

With respect, Mr. Potts, I'm going to step in here.

With respect, it is not your decision to select whether you're going to come or not. The committee has asked Mr. Zuckerberg and Ms. Sandberg to come, plain and simple, to appear before our international grand committee. We represent 400 million people, so when we ask those two individuals to come, that's exactly what we expect. It shows a little bit of distain from Mark Zuckerberg and Ms. Sandberg to simply choose not to come. It just shows there's a lack of an understanding about what we do, as legislators, as the member from Saint Lucia mentioned. The term “blowing us off”, I think, can be brought up again, but it needs to be stated that they were invited to appear and they were expected to appear and they're choosing not to. To use you two individuals in their stead is simply not acceptable.

I'll go back to Mr. Daniel from Saint Lucia.

Mr. Neil Potts:

Thank you, Mr. Zimmer. I want to be clear. I'm not familiar with the procedures of Canadian Parliament and what requires appearance. I respect that, but I do want to get on record that they are committed to working with government, as well as being responsible toward these issues.

Additionally—

The Chair:

I would argue, Mr. Potts, if that were the case, they would be seated in those two chairs right there.

Continue on.

Mr. Neil Potts:

Additionally, just to address another question that I think is permeating, about how we go about removing content and identifying it, we do remove content for a number of various abuse types. It's not just violence. In that specific case, where we're talking about misinformation, the appearance of some of these tropes that appeared in Sri Lanka and other countries, we removed that on the cause that it would lead to violence. But we have policies that cover things like hate speech, where violence may not be imminent. We have things like personal identifiable information, bullying, which we take very seriously, that may not lead directly to violence but we do enforce those policies directly and we try to enforce them as swiftly as possible.

We now have 30,000 people globally working on these issues. There was a comment earlier about having people with the right amount of context to really weigh in. For all the countries that are represented here, I just want to say that, within that 30,000 people, we have 15,000 content moderators who speak more than 50 languages. They work 24 hours a day, seven days a week. Some of them are located in countries that are here before us today. We take that very seriously.

Additionally, we do have a commitment to working with our partners—government, civil society and academics—so that we are arriving at the answers that we think are correct on these issues. I think we all recognize that these are very complex issues to get right. Everyone here, I think, shares the idea of ensuring the safety of our community, all of whom are your constituents. I think we share those same goals. It's just making sure that we are transparent in our discussion and that we come to a place where we can agree on the best steps forward. Thank you.

The Chair:

Thank you.

It was just brought to my attention, too, the inconsistency in your testimony, Mr. Potts.

On one hand, Mr. Collins had asked you about the Pelosi video, which you're not going to pull down. Then within 30 minutes or within an hour you just answered the member from Saint Lucia that it would come down immediately. I just would like you to be completely aware that it's expected that you completely tell the truth to this committee at this time and not to be inconsistent in your testimony.

(1220)

Mr. Neil Potts:

Mr. Zimmer, if I was inconsistent, I apologize, but I don't believe that I answered the question differently. If I had a transcript, obviously I would flag where my discrepancy was and correct it immediately.

Again, on misinformation that is not leading to immediate harm, we take an approach to reduce that information, inform users that it is perhaps false, as well as remove inauthentic accounts. If someone is being inauthentic, representing that they are someone else, we would remove that. Authenticity is core to our principles, authentic individuals on our platform. That's why we require real names.

The question that I believe Mr. Collins was asking was about the video, the video itself. It's not that the user was inauthentic in his sharing of the video. The user is a real person or there's a real person behind the page. It's not a troll account or a bot or something like that. We would remove that.

If I misspoke, I apologize, but I want to be clear that I don't think my—

The Chair:

I don't think it's any clearer to any of us in the room, but I'll move on to the next person.

We'll go to Mr. Baylis, for five minutes.

Mr. Frank Baylis (Pierrefonds—Dollard, Lib.):

Thank you. I'll start off with Mr. Slater.

A couple of weeks ago, we had another one of your gentlemen in, telling us that Google would not comply with Bill C-76, our new election campaign law. I asked, “Why not?” He said, “Well, we can't get the programming done in six months' time.”

I pointed out that Facebook can, and he said, “Well, our systems are more difficult and it's more complicated.”

He said, “We can't do it in six months”, so I asked him, “Okay, how much time do you need? When can you get it done?” He said he didn't know.

Can you explain that?

Mr. Derek Slater:

They've given you extensive information on this front, but just to add a bit, yes, we are a different service, and while we knew regrettably that we would not be in a position to offer election advertising in this time, we would look to it in the future.

Mr. Frank Baylis:

If you can say you can't do it in six months' time but you don't know how long it will take, how do you know you can't do it in six months, when Facebook can do it in six months?

Mr. Derek Slater:

We are very different services with different features of various types.

Mr. Frank Baylis:

How do you not know how long it will take?

Mr. Derek Slater:

In part, it's because things continue to change over time. It's a rapidly evolving space, both legally and in terms of our services. Therefore, in terms of exactly when it will be ready, we wouldn't want to put—

Mr. Frank Baylis:

You know you can't do it in six months.

Mr. Derek Slater:

Yes.

Mr. Frank Baylis:

However, you don't know how long it would take.

Mr. Derek Slater:

Correct.

Mr. Frank Baylis:

I was worried about that, so I asked, “What happens, then, if someone puts up an ad that they're not allowed to?” He said not to worry about that, and do you know why? He said they'll find it instantaneously; they can pick it off.

I asked, “How do you do that?” and he said they have this artificial intelligence and they have a team of people.

Now it says you can find the ad instantaneously, but our law says once you have the ad, you have to put it up. You have 24 hours to put it in a database. That, you can't do.

Can you explain that to me? How is it possible that you have all this technology, you can identify any ad from any platform instantaneously, but you can't have your programmers put it up in 24 hours on a database, and it will take more than six months to do so?

Mr. Derek Slater:

If I understand the question correctly, it is simpler to take a more conservative approach, an approach that is more broadly restrictive than one that says, yes, we're going to validate that this is an election ad operating under the law, and so on and so forth.

Mr. Frank Baylis:

You're already making a decision. You're validating it because you're blocking it. He told me that. You're doing that.

Mr. Derek Slater:

Yes, we may be blocking it for a variety of reasons if it violates our policies.

Mr. Frank Baylis:

No, not your policies; he said “political ads”. My question was very specific.

You can stop it, but you can't put it on a database. I want to understand the difference.

Mr. Derek Slater:

There is a big difference between saying we're going to take, in general, a conservative approach here and saying, on the other hand, “I'm going to say clearly this is a legitimate election ad”, taking that further step.

Mr. Frank Baylis:

Once you see that it's an ad, you're not letting it go up. You're blocking it. You can instantaneously decide it's an ad, but once you've decided it's an ad, it's too much work to program it to put it in a database. That's what our law asks: Just put it in a database.

You're saying, “That, we can't do.”

Mr. Derek Slater:

The needs of implementing the law in the specific way it was written were prohibitive for us in this period of time to get it right, and if we're going to have election ads in the country, we absolutely need to and want to get it right.

That was the decision we had to make here, regrettably, but we look forward to working on it in the future.

Mr. Frank Baylis:

You could decide that you couldn't do it in six months' time, even though someone else could do it, and you decided you can instantaneously capture any ad from anywhere at any time, but you don't have the technological capability at Google to put it in a database within 24 hours. You just don't have that capability to program that in six months.

Mr. Derek Slater:

We do not have the capability at this time to comply in fullness with that law.

(1225)

Mr. Frank Baylis:

You don't have the capability. Are you serious when you say that?

Are you serious when you say that you can identify any ad from any platform anywhere, but you can't get your programmers to put it in a database? It will take too long for you to program moving it from being identified to just putting it in a database.

Mr. Derek Slater:

I can't speak to everybody's services everywhere. To be clear, we use machines and people to monitor ads that are submitted through our systems to make sure they are in compliance with our rules.

In terms of the additional obligations, no, we were not able to meet them in this case.

Mr. Frank Baylis:

Okay. I have another question for Google and Facebook, a simple question.

I don't like your terms of use. What can I do about it?

Mr. Kevin Chan:

Sir, if you could explain to me, perhaps give me a bit more colour about what you don't like about it....

Mr. Frank Baylis:

I don't like being spied on.

Mr. Kevin Chan:

Oh, well, we don't do that, sir.

Mr. Frank Baylis:

You collect data on me that I don't want you to collect.

Mr. Kevin Chan:

As you know, I do spend a lot of time on digital literacy space. What is appropriate is for people to not put as much as they do not wish to put on the service.

Sir, if I may, to get to a different point on this, we are, as you know I think, going to be releasing a very different type of product experience in the next little while, where you're going to be able to remove not only information we have that you've put onto the service, but you're going to be able to remove also information that would have been on the service because of integrations with other services across the Internet. We are going to give you that functionality, so again, to the extent that is not desirable for you, we do want to give you that control.

The Chair:

Thank you, Mr. Baylis. Unfortunately, we have to move on.

Next up for five minutes is Mr. Kent.

Hon. Peter Kent:

Thank you, Chair.

This is a question for Mr. Chan.

If a Canadian employer came to Facebook and wanted to place an employment ad microtargeting by age and sex and excluding other demographic groups, would Facebook accept that ad?

Mr. Kevin Chan:

Sir, thank you for the question. Again, I want to also thank you for extending an invitation to us to be part of your recent round table in Oshawa. It was greatly appreciated.

That would be a violation of our policies, so it would not be accepted.

We have a couple of things and I think I understand what you're getting at—

Hon. Peter Kent:

If I can, because time is short.... Would it shock you to learn that we in the official opposition of Parliament have received an answer to an Order Paper question today that says that several Government of Canada departments have placed ads with exactly those microtargeted conditions and that your company is named a number of times.

Mr. Kevin Chan:

Sir, that is, as you know, through the incredibly thorough reporting of Elizabeth Thompson from the CBC, also out in the public domain, because I read it there first.

You should know that this is a violation of our policy, sir. We have actually moved quite aggressively in the last little while to remove a whole bunch of different targeting abilities for these types of ads. We have also—for housing, employment and credit ads, to be clear—required all advertisers on a go-forward basis to certify that they are not running housing and credit and employment ads.

Hon. Peter Kent:

Have you informed the Government of Canada that this sort of microtargeting practice by the Liberal Government of Canada will no longer be accepted? Just give a yes or no.

Mr. Kevin Chan:

We have sent out emails to all admins telling them that they cannot do this.

Hon. Peter Kent:

Coming back to Mr. Collins' original question about the manipulated, sexist, politically hostile video that has been allowed to stay on your Facebook platform, I understand that after The Washington Post contacted Facebook, a statement was issued saying, “We don't have a policy...that the info you post on Facebook must be true”.

From your earlier answers, it would seem that Facebook is refusing to remove this politically hostile video, claiming a sort of perverted defence claim of free speech, and that in the 24 hours after The Washington Post made that notification to you, they report that there was a viewership, on a single Facebook page, of more than 2.5 million views and that it was multiplied many times on other Facebook pages.

If that were to happen in the Canadian election—a similar video of a Canadian politician, perhaps the leader of one or another of the parties were to be posted and manipulated in the same way to give the impression of mental incapacity or intoxication—would Facebook remove that video, or would you do what you maintained in your answers to Mr. Collins, simply say that it's not true, despite those who would continue to exploit the falseness of the video?

(1230)

Mr. Kevin Chan:

Sir, just leaving aside the specific video in question that is originating from the United States, we have been at this and I have been at this personally for the last two-plus years, trying to find ways to better secure the platform for the upcoming election.

I can tell you that when we receive requests from various sectors and people and parties, 99% of the time when we find something that has been reported to us, we actually go beyond what the content is. We're not looking for the content. We're looking for the behaviour.

Hon. Peter Kent:

But would you take it down?

Mr. Kevin Chan:

If it originates from a fake account or if it's deemed to be spam, or if it is a violation otherwise of a community's standards, absolutely we would.

I can assure you that in almost every instance that I—

Hon. Peter Kent:

But it is false. It's not the truth. Does Facebook still defend the concept that it doesn't have to be truthful to be on your platform?

Mr. Kevin Chan:

Sir, I understand what you're getting at. I think that, if you'll permit me, the way I would like to maybe talk about it a bit is—

Hon. Peter Kent:

Yes or no would work.

Mr. Kevin Chan:

That's why we're here. We would welcome basic—

Hon. Peter Kent:

So is this a learning experience for you?

Voices: Oh, oh!

Mr. Kevin Chan:

Mr. Kent....

Hon. Peter Kent:

I ask that with respect and civility.

Mr. Kevin Chan:

We would welcome basic standards that lawmakers can impose on the platform about what should go up and what should come down. If lawmakers, in their wisdom, want to draw the line somewhere north or south of censorship, we would, obviously, oblige the local law.

Hon. Peter Kent:

Perhaps I will close by commenting.

Chris Hughes, a disillusioned co-founder of Facebook who has become something of a whistle-blower again for some, says that “Facebook isn’t afraid of a few more rules. [Facebook is] afraid of an antitrust case”.

Are you aware that, in democracies around the world, you are coming closer and closer to facing antitrust action?

Mr. Kevin Chan:

I am aware of multiple questions with respect to regulation around the world, yes, sir.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Mr. Kent.

Just so that you're aware, I want to remind you all about the sequence of questioning. We're going one question per delegation first, through the countries. You can see how the pattern has been established. Then there are going to be different rounds until all the members have had a chance to ask a question. For example, the next member in the delegation would ask the next question, etc.

Right now we have the second member of the delegation for the U.K., Mr. Lucas. He will be asking the next five-minute question, or maybe Jo Stevens.

Prepare yourself for that. I might look to different countries. If you have a second delegate, he or she will be given the opportunity to ask a question as well.

Go ahead, Ms. Stevens, for five minutes.

Ms. Jo Stevens (Member, Digital, Culture, Media and Sport Committee, United Kingdom House of Commons):

Thank you, Mr. Chair.

Mr. Potts and Mr. Chan, I want to say thank you for coming today, but my colleagues and I from the U.K. Parliament wanted to ask Mark Zuckerberg our questions. He wouldn't come to answer our questions in London at our Parliament, so we have come across the Atlantic to make it easier for him. We can only conclude that he's frightened of scrutiny. For the avoidance of doubt, I am sick to death of sitting through hours of platitudes from Facebook and avoidance tactics with regard to answering questions. I want the boss here to take responsibility, so please take that message back to Mr. Zuckerberg.

I'd like to ask the Google representatives a question.

In any other sector, your company's monopolistic position would have been dismantled by now. What are you doing at the moment to prepare yourselves for that eventuality?

Mr. Colin McKay:

I think we're working very hard to demonstrate to our users and to regulators that we bring value to the marketplace and to our users. They have a clear understanding—whether they're using our maps in signed-in or incognito mode, whether they're using Gmail, or whether they're using our infrastructure services—that there is a value for them and that we're playing a positive role in the marketplace not only by providing value for them in terms of computing services, but also by providing products and services that help businesses grow around the world.

We think regulators have a right and, certainly, a duty to scrutinize our business and to examine it within the framework that they have that's been set up through their local jurisdictions. We will participate in that process and try to explain how we think we're providing that value when we're meeting the obligations of the regulations as they have interpreted them.

(1235)

Ms. Jo Stevens:

However, you're not taking any steps at the moment to prepare yourself for cases.

Mr. Colin McKay:

At the moment, we're focusing on providing services that both fulfill and anticipate the needs of our users.

Mr. Ian Lucas:

Perhaps I could ask about a specific hearing that Facebook gave evidence at in February 2018. When we asked Facebook about Cambridge Analytica in Washington, we were not informed of the data incident involving Cambridge Analytica and Aleksandr Kogan.

Mr. Potts, with regard to transparency, which you raised, why were we not informed about the Cambridge Analytica incident, which we specifically raised on that day?

Mr. Neil Potts:

Thank you, Mr. Lucas.

I'm sorry, but I'm not quite clear on what happened during that hearing. I can try to find out exactly what was presented and what evidence was given, but I, unfortunately, don't recall what was given.

Mr. Ian Lucas:

It's a matter of public record. The reason we want Mark Zuckerberg here is that we want clear evidence from Facebook executives about specific questions that we've asked.

Mr. Chan, can you answer the question for me?

Mr. Kevin Chan:

Sir, I'm afraid that I don't want to speak out of turn, but we're not familiar with the transcript of what happened in, I think you said, February 2018. Certainly we would undertake to find out.

Mr. Ian Lucas:

I can tell you exactly what happened. I could read the position. We raised the issue of Cambridge Analytica, the data incident and the issue related to Cambridge Analytica. We were not told that there had been a data incident involving Aleksandr Kogan, which came out subsequently in the newspapers within two months. You're aware of that incident, I assume.

Mr. Neil Potts:

We are aware of Cambridge Analytica. Again, we don't know, I guess, what attestations were made.

Mr. Ian Lucas:

Did you regard that incident as a serious matter, the Cambridge Analytica incident?

Mr. Neil Potts:

Yes, Mr. Lucas.

Mr. Ian Lucas:

Do you know what steps were taken within Facebook when the Cambridge Analytica incident involving Aleksandr Kogan...? What steps were taken? Do you know?

Mr. Kevin Chan:

If I understand your question, since 2014 we have significantly reduced—

Mr. Ian Lucas:

I asked you a specific question. What steps were taken within Facebook when you became aware of the Cambridge Analytica incident? I'm choosing my words very carefully, more sympathetically than most would. Some people would call this a data breach, but on the incident involving Aleksandr Kogan, what steps were taken by Facebook?

Mr. Kevin Chan:

Specifically with Aleksandr Kogan's app, that app is banned from the platform, sir.

Mr. Ian Lucas:

Who made that decision?

Mr. Kevin Chan:

The company.... I couldn't tell you. If you were looking for a specific individual, I really couldn't tell you, but the company—

Mr. Ian Lucas:

The specific individual I'd like to be asking this question of is Mark Zuckerberg because I want to know if he knew about this incident then. Did he know?

I've asked Mike Schroepfer this question and he told me he'd get back to me. That was last summer. Did Mark Zuckerberg know about that breach in 2015?

Mr. Kevin Chan:

Sir, we are very happy to get you an answer to that. To the extent that you haven't had it, which seems to be what you are saying, we apologize. We obviously want to always co-operate with questioning—

Mr. Ian Lucas:

Can I just stop you there?

You said, Mr. Potts, that the incident was serious. Can you give me an example of a business or an individual who has been taken off the Facebook platform for the type of incident or breach that happened involving Aleksandr Kogan, the sharing of information?

Mr. Neil Potts:

I think that you just named one. Mr. Lucas, I don't work on those issues directly, the privacy issues. Those go through a separate team.

I do want to say that we are committed, as Mr. Chan said, to getting back to you. I've had the pleasure of giving testimony in evidence before a committee recently and—

(1240)

Mr. Ian Lucas:

I'm sorry, Mr. Potts. We want basic honesty, which is a universal value, and you have people from around the world at this table. We all understand honesty. We've got different legal systems—

Mr. Neil Potts:

I fully—

Mr. Ian Lucas:

—and I want straight answers. I've heard from you four times in evidence.

Mr. Neil Potts:

Mr. Lucas, I fully agree with you about honesty and—

The Chair:

I'm sorry Mr. Potts—

Mr. Neil Potts:

—and to impugn somebody's integrity, it is a strong action.

The Chair:

Mr. Potts, the priority is given to members of the committee, and Mr. Lucas has the floor.

Go ahead, Mr. Lucas.

Mr. Ian Lucas:

I have not had a straight answer from your company. You've been sent here by Mr. Zuckerberg to speak on behalf of Facebook. He's had plenty of notice of these questions.

Mr. Kevin Chan:

I'm sorry, sir, let me just.... If I understand correctly, your question was: Are there other apps that have been banned from the platform for inappropriate use or abuse of the platform? The answer is yes.

Mr. Ian Lucas:

For transferring data....

The Chair:

We're at time, so I have to move on to the next questioner, who is Mr. Lawless from Ireland.

Mr. James Lawless (Member, Joint Committee on Communications, Climate Action and Environment, Houses of the Oireachtas):

Mr. Chair, thanks for including us here today. I'm glad to be here.

We've had engagement, obviously, at our Irish committee with the companies and we met Mr. Zuckerberg in Dublin recently.

I have to say that I welcome the engagement of the representatives from the tech companies that are here, but I do find extraordinary some of the statements that have been made, such as the statement made by Mr. Potts a few minutes ago that he wasn't familiar with the parliamentary procedure, and that was maybe to explain some gap in the evidence.

I also find it extraordinary that some of the witnesses are unfamiliar with previous hearings and previous discourse on these matters in all of our parliaments. I would have thought that was a basic prerequisite before you entered the room, if you were qualified to do the job. I caveat my questions with that. It is disappointing. I want to put that on record.

Moving on to the specifics, we've heard a lot of words, some positive words, some words that are quite encouraging if we were to believe them, both today and previously, from the executive down. However, I suppose actions speak louder than words—that's my philosophy. We heard a lot today already about the Cambridge Analytica-Kogan scandal. It's worth, again, putting on record that the Irish data protection commissioner actually identified that in 2014 and put Facebook on notice. However, I understand that it wasn't actually followed up. I think it was some two or three years, certainly, before anything was actually done. All that unfolded since could have been avoided, potentially, had that actually been taken and followed up on at the time.

I'm following that again to just, I suppose, test the mettle of actions rather than words. These first few questions are targeted to Facebook.

We heard Mr. Zuckerberg say in public, and we heard again from witnesses here today, that the GDPR is a potential gold standard, that the GDPR would be a good model data management framework and could potentially be rolled out worldwide. I think that makes a lot of sense. I agree. I was on the committee that implemented that in Irish law, and I can see the benefits.

If that is so, why is it that Facebook repatriated 1.5 billion datasets out of the Irish data servers the night before the GDPR went live? Effectively, we have a situation where a huge tranche of Facebook's data worldwide was housed within the Irish jurisdiction because that's the EU jurisdiction, and on the eve of the enactment of GDPR—when, of course, GDPR would have become applicable—1.5 billion datasets were taken out of that loop and repatriated back to the States. It doesn't seem to be a gesture of good faith.

Perhaps we'll start with that question, and then we'll move on if we have time.

Mr. Kevin Chan:

Thank you very much, sir.

I very much agree with you that actions speak louder than words. I think that, to the degree that we need to demonstrate that, we will be working in the coming months and in the coming years through our actions to demonstrate that we intend to keep our service secure and the privacy of individuals safe, and that we intend to do the right thing.

In terms of what you mentioned with respect to the transfer.... Again—full declaration—I am not a lawyer, but I understand that's consistent with our terms of service.

Mr. James Lawless:

It's consistent, but it's also incredibly convenient that it was on the night before the GDPR became effective.

I'll ask another question in the same vein. My understanding is that Facebook is continuing to appeal a number of decisions. The U.K. information commissioner had a negative finding against Facebook recently, which Facebook is appealing. My colleague, Hildegarde Naughton, has talked about the Irish data protection commissioner's findings.

If you're putting your hands up and saying, “We got some things wrong”, and demonstrating good faith, which I would welcome if that were the case, why are you continuing to appeal many of these decisions?

(1245)

Mr. Kevin Chan:

There are instances.... Because they are subject to court processes, there are limits to what I think we can say today. As you are probably aware, we are trying very hard to arrive at resolutions on other open matters. I think that I would urge you to observe our actions as we can make them public through these processes and make a determination at that time.

Mr. James Lawless:

I just have a very quick question for Google.

I understand that Google's approach has been to not run political advertising at all, certainly in the Canadian context. We saw a similar decision in Ireland during the abortion referendum a year ago. I have concerns about that decision because I think that it allows malevolent actors to take the stage in terms of misinformation that's not targeted. I think that perhaps it's actually more bona fide to have political actors be transparent and run ads in a legitimate, verified context.

I'm just concerned about that, and I hope that's not going to be long term. Maybe that's an interim move.

Mr. Colin McKay:

With the few seconds we have left, I have an observation. Both in Ireland and in Canada, we found ourselves in a position where we were seeing uncertainty in what we could guarantee to the electorate. We wanted to make sure we had a strict framework around how we were serving advertising and recognizing our responsibilities. As my colleague mentioned earlier, a goal of ours moving forward is that we have the tools in place so that, whether it's a question of ambiguity or malevolent actors, there is transparency for users and it's done in a clear and consistent way across all our products.

The Chair:

Thank you, Mr. Lawless.

We'll go into our next round now.

Go ahead, Singapore.

Ms. Sun Xueling (Senior Parliamentary Secretary, Ministry of Home Affairs and Ministry of National Development, Parliament of Singapore):

I would like to come back to the example of Sri Lanka, with Mr. Neil Potts.

Mr. Potts said earlier that he was not aware that the incendiary videos had been sent up to Facebook. I would like to highlight that in an article in The Wall Street Journal, Mr. Hilmy Ahamed, Vice-President of the Muslim Council of Sri Lanka, said that Muslim leaders had flagged Hashim's inflammatory videos to Facebook and YouTube using the services that were built into your reporting system.

Can I just confirm with Mr. Potts that if you were aware of these videos, Facebook would have removed them?

Mr. Neil Potts:

Yes, ma'am. That's correct. If we are aware, we would remove the videos. With this specific case, I don't have the data in front of me to ensure we were put on notice, but if we were aware, these videos would have been removed.

Ms. Sun Xueling:

Thank you.

Similarly, can I then confirm in the same spirit that if Facebook were aware of a video being falsified—and we discussed the case of Nancy Pelosi earlier—Facebook would then carry a clarification that they are aware the video is falsified?

Mr. Neil Potts:

When one of our third party, fact-checking partners.... We have over 50 now who are international, global and that adhere to the Poynter principles. They would rate that as being false. We would then put up the disclaimer. We would also aggressively reduce that type of information and also signal to users who are not only engaging with it but trying to share, or have shared, that it has been rated false.

Ms. Sun Xueling:

Your disclaimer would actually say that you understand that the information contained is false.

Mr. Neil Potts:

It would have a link or a header to the article from one of the fact-checkers that disputes and claims it is false.

Ms. Sun Xueling:

This would be circulated to all who would have seen the original video.

Mr. Neil Potts:

If you are engaging with it currently, you would see it, whether at the bottom in your newsfeed or perhaps on the side if you are on desktop. If you have shared it, you would be informed that there has been an action disputing the validity of the content.

Ms. Sun Xueling:

Mr. Chan, previously you had talked about Facebook putting friction into the system. Can I then confirm with you that Facebook is committed to cutting out foreign interference in political activities and elections, and that you would actively put friction into the system to ensure that such foreign interference is weeded out?

Mr. Kevin Chan:

I suspect you're asking about potential legislation in Singapore. You would be well served to look at the Elections Modernization Act that Canada put in place—

Ms. Sun Xueling:

My question was quite specific. I wanted you to confirm what you said earlier, that you are putting “friction” into the system. You specifically used that term.

Mr. Kevin Chan:

Parliament has given us great guidance and we have decided to put friction into the system. We would recommend that the Canadian model be something that you consider as you develop legislation elsewhere.

(1250)

Ms. Sun Xueling:

Thank you.

The Chair:

We've gone through just about all the delegates. We're going to go back to the U.K. for another kick. You didn't have to share your time, so we're going to give you some more time.

We're going to go to Mr. Erskine-Smith, and I think Mr. Angus has another question. Ms. Stevens...again, and then I think we've completed everybody.

As chair, I'm going to try to give everybody a five-minute turn. Once we have gone through everybody, we have David to follow the sequence. Then we'll look at second questions in second five-minute times, so if you wish to ask another question, please let the chair know, and I'll try to put them in priority.

Next up, we have Mr. Erskine-Smith.

Mr. Nathaniel Erskine-Smith:

Thank you very much.

I just want to pick up where I left off with Google. Would you support a competition framework that includes privacy in the competition commissioner's purview?

Mr. Colin McKay:

We have two regulatory mechanisms in Canada, one for competition and one for data protection. This was highlighted in the government's recent digital charter. They've both been identified for review over the next year and that's a process where I think we can discuss that balance.

Mr. Nathaniel Erskine-Smith:

So Google doesn't have a view right now. Okay.

To Twitter...and I ask this partly because our competition commissioner, unbeknownst to Facebook in particular, on Thursday is engaged in this very conversation. It's not just the German regulator. They're holding a data forum at the National Arts Centre.

Does Twitter have a view of competition policy and privacy?

Mr. Carlos Monje:

Thank you for the question, and thank you also for distinguishing the platforms that are on here. Twitter has a single-digit share of the advertising market. We have 130-odd million daily users. We treasure them all. We work to keep their trust and to keep them engaged, and are closely watching these antitrust and competition—

Mr. Nathaniel Erskine-Smith:

Do you agree that privacy should play a central role in competition law?

Mr. Carlos Monje:

I'd have to examine that a little bit more closely.

Ms. Michele Austin (Head, Government and Public Policy, Twitter Canada, Twitter Inc.):

We would echo the same comments said by Google. We would look forward—

Mr. Nathaniel Erskine-Smith:

So you have no view right now.

Ms. Michele Austin:

—to working on the marketplace framework, which is the basis of competition law.

Mr. Nathaniel Erskine-Smith:

Right. Okay, so none of you have a view on a really important issue of our day.

In terms of algorithmic accountability, the Government of Canada now has algorithmic impact assessments. Have any of your companies conducted algorithmic impact assessments? Facebook for News Feed, Google for the recommendation function on YouTube, and Twitter, have you conducted internal algorithmic impact assessments, yes or no?

Mr. Kevin Chan:

I think broadly, yes. I don't know exactly what you mean, but if you're asking if we have a work stream to understand the implications of algorithms—

Mr. Nathaniel Erskine-Smith:

To understand a risk assessment of positive and negative outcomes of the algorithms that you're currently employing on millions of people....

Mr. Kevin Chan:

Sir, not only do we have a team on it internally. We also have an international working group of experts on algorithmic bias that we convene on a regular basis to discuss these matters.

Mr. Nathaniel Erskine-Smith:

Your company has never had analysts look at the News Feed, and the algorithms that are employed on that News Feed, and said here are the positive and negative outcomes that we should be considering.

Mr. Kevin Chan:

I thought I just answered in the positive.

Mr. Nathaniel Erskine-Smith:

So you have. Okay.

Google, with respect to the YouTube recommendation function...?

Mr. Derek Slater:

Similarly, we're constantly assessing and looking to improve.

Mr. Nathaniel Erskine-Smith:

You have internal documentation that says these are the positive outcomes, these are the negative outcomes, and this is the risk assessment with respect to the algorithms we employ. Is it fair to say you have that?

Mr. Derek Slater:

We constantly do that sort of assessment, yes.

Mr. Nathaniel Erskine-Smith:

Great.

And Twitter, is it the same?

Mr. Carlos Monje:

We are assessing it. I'd also note that Twitter's use of algorithms is substantially different. People can turn it off at any point.

Mr. Nathaniel Erskine-Smith:

Would you provide the internal risk assessments to this committee?

Mr. Derek Slater:

Speaking for ourselves and the YouTube recommendation algorithm, we continue to try to improve the transparency that we have.

Mr. Nathaniel Erskine-Smith:

Would you provide those internal risk assessments? They ought to be public, frankly, as far as I'm concerned, in the same way the Government of Canada has an algorithmic impact assessment and any departmental agency that wants to employ an algorithm has to be transparent about it. None of you billion-dollar companies have to be, and I think you should be.

Would you provide to this committee the algorithmic impact assessments, which you've said you have done, and engage in some transparency?

Mr. Kevin Chan:

I thank you for that. I think we're going to go further than that. We are in the process, as I've mentioned, of providing more transparency on a number of things that you will see on the platform. We have actually introduced in some markets already, as a test, something called WAIST, which is “Why Am I Seeing This?” That gives you a very good sense of how things are being ranked and sorted by News Feed.

Mr. Nathaniel Erskine-Smith:

Because you're going to go further, I assume that it's, yes, you will provide that internal documentation to this committee.

Mr. Kevin Chan:

I think we're going to do better. We're going to speak by our actions, as we talked about earlier, sir.

Mr. Nathaniel Erskine-Smith:

I can't tell if it's a yes or a no.

Google...?

Mr. Derek Slater:

We will continue to communicate on how we're doing.

Mr. Nathaniel Erskine-Smith:

I take that as a no.

Twitter...?

Mr. Carlos Monje:

We believe transparency is key. I think there are a couple of points to consider. One is that each of these algorithms is proprietary. It's important to think about those things.

Mr. Nathaniel Erskine-Smith: I understand, yes.

Mr. Carlos Monje: The other is understandable. We often talk very different languages. Bad actors, and their understanding of how we do our things...and also to judge us on the outcomes and not necessarily the inputs.

(1255)

Mr. Nathaniel Erskine-Smith:

Okay.

I'm running out of time, so I want to talk about liability and the responsibility for content on your platforms. I understand that for very harmful content...and we can talk about the nature of the content itself. If it's very harmful, if it's child porn or terrorism, you will take it down. If it's clearly criminal hate speech, you take it down, because these are harmful just by the nature of the content. There would be liability in Germany, certainly, and we've recommended at this committee that there be liability. If it's obviously hateful content, if it's obviously illegal content, there should be liability on social media platforms if they don't take it down in a timely way. That makes sense to me.

The second question, though, is not about the nature of the content. It's about your active participation in increasing the audience for that content. Where an algorithm is employed by your companies and used to increase views or impressions of that content, do you acknowledge responsibility for the content? I'm looking for a simple yes or no.

Let's go around, starting with Google.

Mr. Derek Slater:

We have a responsibility for what we recommend, yes.

A voice: For sure.

A voice: Yes.

Mr. Carlos Monje:

Yes, we take that responsibility extremely seriously.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

The Chair:

We'll go back to the U.K. delegation for another five-minute slot.

Just so it's clear, Estonia has asked for a second question. Germany, Mexico and members of our committee have as well. There's Singapore, whose hand I've seen just now, Charlie Angus, Damian Collins and then I'll finish.

Mr. Lucas or Ms. Stevens, go ahead.

Mr. Ian Lucas:

To all the platforms, do you have a satisfactory age verification process in place for your platform?

Mr. Monje.

Mr. Carlos Monje:

We do. We implement the GDPR age gating procedures and are trying to figure out ways to do that in a way that protects the privacy of our users. Often you have to collect more information from minors in order to verify they are who they say they are.

Mr. Ian Lucas:

Facebook, do you have a satisfactory age verification process in place?

Mr. Kevin Chan:

I thought Carlos's answer was quite good. That's exactly the tension we're looking at.

Having said that, I understand the spirit of your question. We can always get better. I have to tell you—and I think you've heard it from colleagues of mine who recently appeared in the U.K.—

Mr. Ian Lucas:

You do read transcripts of evidence, then.

Mr. Kevin Chan:

Actually, I didn't. I spent time with a colleague, Karina Newton, whom members may know. She's a lovely lady and she spent some of her time briefing me on how she thought it went. She thought it went really well. There were really deep and piercing questions, sir, with respect to age verification.

Unfortunately, though, the technology is not quite there yet.

Mr. Ian Lucas:

Google...?

Mr. Derek Slater:

Yes, we have requirements in place and broadly agree with what was said.

Mr. Ian Lucas:

You may have requirements in place, but I've actually been able to join Instagram as a 10-year-old, I think, during the course of a committee meeting. It seems to me, from the evidence I've heard and from what I hear from my constituents in the U.K., people are extremely concerned and don't believe there are satisfactory age verification processes in place. Indeed, the evidence I received was that the platforms themselves in the U.K. seemed to be suggesting there weren't satisfactory age verification procedures in place.

Do you disagree with that? Do you think the position is okay? That is basically what most of us have been asking.

Mr. Kevin Chan:

Sir, what I said earlier was that we can always do better. The technology is not where we'd like it to be.

Mr. Ian Lucas:

Okay.

For Facebook, I'm a little confused about the relationship you have with WhatsApp and Instagram, and the transfer of data. If I give information to Facebook, is it freely transferable to Instagram and to WhatsApp?

Mr. Kevin Chan:

As you know—I believe, because Karina mentioned that you had an exchange on this in the U.K.—Facebook and Instagram are governed by one set of terms of service, and WhatsApp is governed by another.

(1300)

Mr. Ian Lucas:

That means information is shared between Instagram and Facebook.

Mr. Kevin Chan:

Correct. As we discussed earlier, it is important for us to be able to leverage infrastructure in order to do a lot of the things we do to try to keep people safe. Karina kind of mentioned this, although she said she didn't know if it was completely clear. Having real world identities on Facebook actually allows us to do some of the things we wouldn't be able to do with Instagram on its own to ensure we're able to get greater certainty on these questions of age, real world identity and so on. Facebook enables us to leverage some of the security systems and apply them to Instagram, because Instagram, as you obviously know, functions quite differently and has a very different set of practices in terms of how people use the service.

Mr. Ian Lucas:

Finally, to all the platforms, if you were legally responsible for the content of your platforms, would you be able to function as businesses?

Mr. Derek Slater:

There are existing legal frameworks with respect to our responsibility for illegal content, which we abide by.

Mr. Ian Lucas:

If it were possible to conduct legal actions against the separate platforms because of information that you circulated, which we knew could cause harm in the future, do you think you would be able to continue to trade or do you think that would put you out of business?

Mr. Carlos Monje:

I'm most familiar with the American context where we do have a degree of immunity. It was under the Communications Decency Act, and it was designed to give us the flexibility to implement our terms of service so that we wouldn't get sued. America is a very litigious society, as you know, and that protection has enabled us to create and maintain a much safer platform than it otherwise would be.

What you've seen across this table and across the world are many different regimes trying different mechanisms to do that. There has been independent research about the implications of that, including places where accusations were that the platforms overcorrect and squelch good speech. In the U.S. we don't often get criticisms from government to take things down because it is a violation of our hate speech or hateful conduct policy, but rather because it is a violation of copyright law, because the copyright rules in the United States are very strict, and we have to take it down within a certain period of time.

Rather than taking somebody who is critical of the government and asking them to take it down because of other terms of service, they go to the strictest regime, and that has a very negative impact on free expression.

The Chair:

Thank you.

We have to move on. I want to highlight what's going to happen in the next 30 minutes. We have two members of the Canadian committee who haven't spoken yet. We're going to give them five minutes each. That gives us, with the people who have asked for second questions, about 20 minutes, approximately three minutes per individual.

Again, we'll go to Mr. Graham first and Mr. Saini, and then we'll go by country.

Go ahead, Mr. Graham.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you very much.

I want to get straight into this. I'm going to focus on Google and Facebook for a minute.

Do you accept the term “surveillance capitalism”, Google?

Mr. Colin McKay:

I think it's an exaggeration of the situation, but it reflects social pressures and a recognition that there is an increasing worry about the data that's collected about individuals.

Mr. David de Burgh Graham:

Facebook...?

Mr. Kevin Chan:

I cringed, I think, when I read it the first time.

Mr. David de Burgh Graham:

You track individuals on the Internet in any way, shape or form without their knowledge or explicit consent at any time for any reason, and you do so for profit.

Mr. Colin McKay:

We have a pretty clear relationship with our users about what information we collect and what we use it for. We secure consent for the information that we use.

Mr. David de Burgh Graham:

But you don't only track information on users. You track information on anybody on the Internet. If you look at Google Analytics and any of these other services that track anybody passing through another website that has nothing to do with Google, you're collecting vastly more data than what is provided voluntarily by users. My question is, again, are you collecting data on people for profit and, if so, is that not surveillance capitalism?

Mr. Colin McKay:

I think in the broad circumstance you just described around people using the Internet, we're not collecting information about people. We're measuring behaviour and we're measuring.... Sorry, that's the wrong term. I can hear the chuckle.

We're measuring how people act on the Internet and providing data around that, but it's not around an individual. It's around an actor.

(1305)

Mr. David de Burgh Graham:

Or it's around a type of individual, an IP address or this type of information. You are collecting data that can be annexed to people. My point, and I want to take it further than that, is that governments have a tremendous surveillance capacity, as we all know. At least in this country and a lot of other countries around this table, we now have a committee of parliamentarians to oversee our security apparatus, and they go in a classified setting. They dive deeply into the intelligence agencies, what they do, how they do it and why, and they report it back.

If these committees were either created to just focus on social media companies or this committee was applied to it, what surprises would they find?

Mr. Kevin Chan:

Sir, as I've indicated, we want to do more than that by our actions. We're going to make all of that available and then people can...including things that are off platform. If there's a site that uses, let's say, a plug-in or something like that from Facebook, you have available all that information and you can do whatever it is you want with it. You can remove things. You can delete things. You can transfer it. You can download it. That is our commitment and we will be moving fast to get it done.

Mr. David de Burgh Graham:

I appreciate that, but if you go into Facebook and ask it to download your data, the data that it gives you is not a comprehensive collection of what Facebook has on you as a user.

Mr. Kevin Chan:

Right. I think you're referring to when you download your information you get things like the photos and the videos.

Mr. David de Burgh Graham:

You get a handful of your pictures, a handful of your updates and have a nice day.

Mr. Kevin Chan:

That's right. What we want to do is build...and it takes a bit of time. If you can bear with me, it takes a little bit more time to build something that's much more ambitious, which is to then give you actual control over not just the things that you put on Facebook but all the activity that you may have done with social plugs-ins elsewhere, where we can give you the ability to control and remove stuff if you so choose.

Mr. David de Burgh Graham:

If Mark Zuckerberg were to run for president of the United States, for example, what limits his ability to use Facebook's data, machines, algorithms and collection to feed his campaign?

Mr. Kevin Chan:

Sir, if I may, that is a very good question, and that's precisely why we have the policies that we have in place and why we hold so steadfastly to them. It's not...and I think the question kind of came about in a different way. It was, “What if there was a photo of Mark Zuckerberg or a video of Mark Zuckerberg?” The treatment would be the same. That's because these policies have to hold regardless of the direction the wind blows.

As I said before, we understand that people may not be comfortable with the degree of transparency and the degree to which Facebook is able to make these decisions about what happens on our service, which is why we're building this external oversight board, so that these decisions, so that many of these hard precedential decisions, will not be made by Facebook alone. There will be an ability to appeal to an independent body that can make these decisions that would govern the speech on a platform.

Mr. David de Burgh Graham:

I only have seconds, and I want to come back to the independent body in a second.

My point is, if Neil Potts runs for president of the United States and Mark Zuckerberg runs for president of the United States, I suspect that the support from Facebook and the data usage from Facebook would not be the same. On that basis, it would be very hard to say that having Mark Zuckerberg and Neil Potts here is equivalent.

Mr. Kevin Chan:

Again, our policies are for everyone. We would not make any exceptions for anybody, which is in fact why we have these kinds of robust conversations.

Mr. David de Burgh Graham:

Does Mr. Zuckerberg have a—

The Chair:

We're actually out of time. Sorry, Mr. Graham.

We'll go to Mr. Saini for five minutes.

Mr. Raj Saini (Kitchener Centre, Lib.):

Good afternoon.

One of the things we've heard from many experts is that a lot of the issues that have happened with data were when the machine learning really came into force. There was an inflection point. Many experts agree that self-regulation is not viable anymore. Rules have to be in place. The business model just can't regulate itself, and it doesn't align with the public interest.

I have two points. My concern is that right now, we're a mature democracy. A lot of the countries represented around this table are mature democracies. My worry is for nascent democracies that are trying to elevate themselves but don't have the proper structure, regulation, education and efficiency in place, or a free or advanced press. There has been some suggestion that maybe this self-regulation should be internationalized, as with other products. Even though some countries may not have the ability to effectively regulate certain industries, the mature democracies could set a standard worldwide.

Would that be something that would be accepted, either through a WTO mechanism or some other international institution that's maybe set apart? Part of the conversation has been around the GDPR, but the GDPR is only for Europe. There are the American rules, the Canadian rules, the South Asian rules.... If there were one institution that governed everybody, there would be no confusion, wherever the platforms were doing business, because they would accede to one standard worldwide.

(1310)

Mr. Kevin Chan:

You are correct. Where we can have harmonization of standards across the world, that's helpful. We've called for that in multiple realms, including in the privacy realm.

I would say that's actually one of the key challenges. It's a vigorous debate that we have when we talk about the oversight board. In the consultations we've had around the world, including in Canada, the big question that's come up is, “How can you have a global board make decisions that have local impact?” It's come up, and I can say we've had some interesting conversations with the Assembly of First Nations. Obviously they have some unique questions about what the right governing framework is for content online and how we marry the international with the local.

I absolutely agree with you, sir. That's a very good and astute question, and one that we wrestle with.

Mr. Raj Saini:

Google...?

Mr. Colin McKay:

This is a challenge we've recognized since the early days of implementing machine learning in our products, and it's one of the reasons we came out over a year ago with a very clear set of principles around how we will use artificial intelligence in our products.

We certainly underline that there needs to be an active conversation between industry and governments around the world. In the past, this sort of principles-based development of regulation that was led by the OECD around data protection has served us well for developments according to region and in levels of sophistication.

I agree with you that this sort of principles-based global collaboration, especially in concert with the companies that will have to execute on it, will result in a fairer regulatory system that's as broadly applicable as possible, whether in this room or globally.

Mr. Raj Saini:

Thank you for that. Obviously you're going to take in the local effect of any country you work in, but there are some basic principles that I think can be agreed upon worldwide.

My final question is a bit philosophical but also a bit practical. In certain countries in which you operate, you know there are no standards and no regulation. The rule of law is lacking, a free press is lacking and the government structure is not that advanced. The content could be exploited in a much more heinous or worse way in those countries than in other parts of the world.

Is there no moral incumbency on the platforms to make sure that when they go into those jurisdictions they are helping to elevate the governance structure, so that when they're doing business in those countries, it's done in a more equitable manner?

Mr. Colin McKay:

I have a twofold response to that.

First, as my colleague, Mr. Slater, mentioned, we work very hard to make sure the policies and guidelines around all of our products apply to circumstances in those countries as well as what we might describe as more developed or more stable countries.

However, that's also why people like me work at the company. We work on teams that focus on AI and on privacy and data protection. We have those engagements, whether in the country itself or at international organization meetings, so that we can have an ongoing conversation and share information about how we're seeing these policies and technologies develop internationally. We can provide a comparison with how they're seeing that develop within their own jurisdiction.

It's an honest and forthright exchange, recognizing that we're on the forefront of a technology that is having a significant impact on our products and a significant benefit for our users.

Mr. Raj Saini:

Thank you very much.

The Chair:

Thank you, Mr. Saini.

Now, we'll go into the countries again. We're at about two minutes each. If it can be quick that would be great. We have Estonia, Germany, Mexico, Singapore, Ireland and then we have some closing statements from us.

Go ahead, Estonia.

Ms. Keit Pentus-Rosimannus:

Thank you.

It has been pointed out that the disinformation phenomenon is becoming more complex and cross-channel or cross-platforms, meaning that the different phases or different stages of the disinformation campaigns happen often on different channels.

How do you co-operate? How do you see what could be the model for co-operation between the different platforms in order to fight the disinformation problem?

Mr. Derek Slater:

We do our own threat assessments to prevent and anticipate new trends, and then we work collaboratively among the industry, and where appropriate with law enforcement and others, to make sure information and indicators are shared. We actively want to be a participant in that sort of process.

Mr. Carlos Monje:

I'll just say that the companies do work together on these issues and work closely with governments. In Mr. Saini's comments, I was thinking about the role of government and how forward-leaning Estonia has been, under the thumb of Russian disinformation for a long time, in working to improve media literacy and working with the platforms in a way that it makes our jobs easier.

Everyone has a role and the companies do work together to try to address common threats.

(1315)

Mr. Neil Potts:

A good place to perhaps look is the work that we do as the Global Internet Forum to Counter Terrorism. All of our companies are members of that forum, where we have shared responsibilities of information sharing, technological co-operation and then support for research.

The Chair:

Next up is Germany.

Go ahead.

Mr. Jens Zimmermann:

Thank you, Mr. Chairman.

I would like to ask a few questions of Twitter.

During the recent European elections you introduced several measures, especially concerning fake news about the electoral process as such. That sounded like a good idea in the first place, but we ended up having elected officials in Germany being blocked for tweets that obviously didn't have any failed information in them.

Obviously, the complaint mechanism from Twitter was used by right-wing activists to flag completely legal posts by members of Parliament, for example. It was really the problem that you did it that way, and it took quite some time until everything was solved.

Have you monitored these developments? What are your lessons learned, and how will that evolve during upcoming elections?

Mr. Carlos Monje:

Thank you for that question.

I followed that as well from the U.S., the disinformation reporting flow that we launched in the EU and in India. I think this is one of the challenges and blessings of being a global platform—every time you turn around there's another election. We have Argentina coming up. We have the U.S. 2020 elections to follow, and Canada, of course, in October.

What we learned is that, as always, when you create a rule and create a system to implement that rule, people try to game the system. What we saw in Germany was a question of how and whether you sign a ballot. That was one of the issues that arose. We are going to learn from that and try to get better at it.

What we found—and Neil mentioned the GIFCT—was that our contribution to the effort, or what Twitter does, is to look at behavioural items first, which is not looking at the content but how are different accounts reacting to one another. That way we don't have to read the variety of contexts that make those decisions more complicated.

The Chair:

Thank you.

We'll go to Singapore for two minutes.

Mr. Edwin Tong:

Mr. Potts, earlier you had said in answer to my colleague's question that you were not aware of being told prior to or after the bombings in Sri Lanka that it, in fact, had been flagged to Facebook prior to that. Do you recall that?

Mr. Neil Potts:

Yes, sir.

Mr. Edwin Tong:

This was a serious and horrific massacre where videos were carried on Facebook for some time and, as you said, it's hate speech in clear breach of your policies. The alleged bomber himself, in fact, had a Facebook account, which I'm sure you know. I'm surprised that you didn't check, because that's something that I would have thought Facebook would want to know.

They would have wanted to know how it is that, with videos having been spread on Facebook, this was something that Facebook had missed, if at all you had missed it. I'm surprised you are not aware today as to whether or not this was something flagged to Facebook. Can you confirm that?

Mr. Neil Potts:

For the specific video, sir, I'm happy to follow up after this hearing, and to come back to show you exactly that timeline. When we were made aware of the attack of the individual, we quickly removed—

Mr. Edwin Tong:

I know. That's not my focus. Why it is that today, about two months after the event, you still don't know if, prior to the attack, Facebook had been made aware of the existence of the videos? I would have thought that, if you were to have us believe that the policies you now have in place—AIs and other mechanisms for the future.... If I were Facebook, I would have wanted to know how this was missed. I'm surprised that you don't know, even today.

Mr. Neil Potts:

That is correct. We do a formal after-action process where we review these incidents to make sure that our policies—

(1320)

Mr. Edwin Tong:

It didn't come up.

Mr. Neil Potts:

I would just have to get the information back for you. I don't want to speak out of turn.

Mr. Edwin Tong:

You, yourself, Mr. Potts, just last month, gave evidence to the U.K. Parliament, where this issue came up in that session. Was that not correct?

Mr. Neil Potts:

I believe the attack happened on Easter Sunday. We gave evidence, I believe, on that Tuesday. It was very much in the nascent stages when we gave evidence.

Mr. Edwin Tong:

Fair enough, but I would like to say that I'm surprised Facebook didn't see fit to check whether something had been missed.

Mr. Kevin Chan:

If I may say, sir, there is one thing I want to assure—

Mr. Edwin Tong:

If it's an answer to my question, then, yes, please explain, but otherwise—

Mr. Kevin Chan:

It's about our security posture, sir.

The Chair:

I'm sorry. If it's not an answer directly to Mr. Tong, we don't have the time.

I'm sorry, Mr. Tong. We're out of time.

We have to move on to Ireland for two minutes, and then we will make some closing remarks.

I apologize. I wish we had more time. We just don't.

Go ahead.

Ms. Hildegarde Naughton:

Thank you, Mr. Chair.

I didn't have a chance to get the answer to my first question in relation to Google's viewpoint on the GDPR. Many of the social media companies are based in Ireland. Effectively, our data protection commissioner is regulating for Europe, and Facebook's Mark Zuckerberg has called on a GDPR-type approach to be rolled out globally.

What is your view on that? Will it work?

Mr. Colin McKay:

We think the GDPR provides a strong framework for a conversation around the world on what extended privacy protections would look like. The question is how it adapts to local jurisdictions, and also reflects the political and social background of each of those jurisdictions.

Ms. Hildegarde Naughton:

You can't be definitive about whether it would work.

Are you in agreement with Mr. Zuckerberg in relation to the rollout of GDPR globally?

Mr. Colin McKay:

We've already made a broad and detailed statement about the need for increased work on privacy regulation. It was last fall. It builds on a lot of the work around the development of GDPR.

I'm just being careful, because I recognize that, around the table, there are many different types of data protection regulations in place right now.

Ms. Hildegarde Naughton:

In different countries....

In relation to Ireland yet again, because it's the base of a lot of the social media companies.... You're all based, your European international headquarters are based in Ireland. We're working on digital safety commissioner legislation, which will effectively mean that Ireland will be legislating in relation to takedown online content moderation for Europe, and potentially beyond that.

Is that how you would see it? What is your viewpoint on that, very briefly?

Mr. Derek Slater:

Consistent with what we said at the outset, clear definitions by government of what's illegal, combined with clear notices, are critical to platforms acting expeditiously. We welcome that sort of collaboration in the context of illegal content.

Ms. Hildegarde Naughton:

Can you see that being rolled out, maybe beyond Europe, because of the legislation in Ireland.

Mr. Derek Slater:

Whether or not it's that specific law, I think the basics of notice and take down of illegal content, speaking broadly, is something there is increasing consensus around.

Ms. Hildegarde Naughton:

Facebook, do you want to come in on this?

Mr. Kevin Chan:

I think what Mr. Slater said is absolutely right. We do want to work with you. I understand our team is, in fact, working with the Irish public authorities on this.

We are also working with President Macron and the Government of France on what he's calling smart regulation. We would welcome, I think, the opportunity to discuss with you and others in Ireland how that is evolving. I think it's worth having additional conversations on it.

Mr. Carlos Monje:

In addition to the importance of having precise terminology, I think accountability is important, beyond the regulatory agency to the Parliament and the people who can be held accountable by their constituents.

I would also note that it's important, especially on these issues of content moderation, which we take extremely seriously, to recognize how those tools can be used in the hands of autocratic regimes. I was listening to the testimony yesterday about pre-Nazi Germany. The tools used there to protect democracy in one case were then used to squelch it on the back end. I think they are difficult questions and I'm glad that this committee is taking it so seriously.

The Chair:

Thank you, Ms. Naughton.

We appreciate all the testimony today.

We have some closing statements, starting with Mr. Angus....

My apologies to Mexico, you did put up your hand, so we'll give you a quick two minutes. Go ahead.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

I just briefly would like to ask you, what is the path that a victim must follow when the controls fail that are going against [Technical difficulty—Editor] and Google in particular.

Mr. Derek Slater:

If I understand correctly, before you were asking about content that violates our community guidelines on YouTube. We have flagging systems where a user can click and say, “This violates your guidelines in this particular way.” That notice is then sent and put into a queue for review. They can do that right under the video there.

(1325)

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

What happens when they are told that there is no breach in the policies, and there is a video with a person who is naked and everybody can see that?

Mr. Derek Slater:

From the context, if it violates our guidelines, we would remove it. If we don't, there are appeal mechanisms, and so on and so forth.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

I know of cases, many cases, that have followed all the routes online and always the answer has been, “This is not against our policies,” on the three platforms. What does the victim do? How do they appeal to anybody?

As I told you, in a particular case, when they went to the Google office in Mexico, they were told to go to Google in the United States. Therefore, what does a victim do when the images against that person still appear? They are up there.

Mr. Derek Slater:

I'm not familiar with the particular cases you're talking about, but we'd be happy to follow up.

Hon. Antares Guadalupe Vázquez Alatorre:

[Delegate spoke in Spanish, interpreted as follows:]

In any case, what's next?

Mr. Derek Slater:

In general, if something were to violate someone's privacy or be defamatory or incite violence, and so on and so forth, against our guidelines, we would take it down. The case you're describing is something I'm not familiar with, but we'd be happy to receive more information and take it back to our teams.

The Chair:

We'd better move on.

We'll go to Mr. Angus for just a couple of minutes, and then Mr. Collins and me.

Go ahead, Mr. Angus.

Mr. Charlie Angus:

Thank you, Mr. Chair.

I want to make a confession. I'm a recovering digital utopian. I came here as a young democratic socialist and I fought hard against regulation. Imagine that, because we saw all the start-ups and we saw a great digital future. That was 2006. Now in 2019, I have conservative chairs here who are pushing for government regulation. That's the world we're in with you folks.

It's because we're talking about democratic rights of citizens, re-establishing the rights of citizens within the realm that you control. We're talking about the power of these platforms to up-end our democratic systems around the world, which is unprecedented. We're talking about the power of these platforms to self-radicalize people in every one of our constituencies, which has led to mass murder around the world. These are serious issues. We are just beginning to confront the issues of AI and facial recognition technologies and what that will mean for our citizens.

It's what our Privacy Commissioner has called the right of citizens to live free of surveillance, which goes to the heart of the business model, particularly of Facebook and Google, and it came up yesterday and today from some of the best experts in the world that the front line of this fight over the public spaces and the private lives of citizens will be fought in the city of Toronto with the Google project.

Mr. McKay, we asked you questions on Sidewalk Labs before, but you said you didn't speak for Sidewalk Labs, that it was somehow a different company.

Mr. Slater, we had experts say this is a threat to the rights of our citizens. Mr. McNamee said he wouldn't let Google within 100 miles of Toronto.

How is it that the citizens of our country should trust this business model to decide the development of some of the best urban lands in our biggest city?

Mr. Derek Slater:

I, too, do not work for Sidewalk Labs. You're right. We want your trust, but we have to earn your trust, through transparency, through development of best practices with you and accountability. I think then different sites will make different choices. That is in general the case, but I can't speak to that specific company because I'm not a part of it.

The Chair:

Thank you, Mr. Angus.

Mr. Collins.

Mr. Damian Collins:

Thank you.

I would just like to pick up on a couple of things that were touched on in this session.

Mr. Potts, you mentioned briefly the changes to the Facebook Live policy as a result of the Christchurch attack. I understand that as a restriction on people who have broadcast the most serious footage through Facebook Live, and who would then have their accounts automatically suspended. Is that correct?

Mr. Neil Potts:

That part is correct, but also, I think, more broadly, if you have a community standards violation for specific types of actions, you would lose your access for a period of time—30 days, 60 days, 90 days—to enable yourself to go on the live product.

(1330)

Mr. Damian Collins:

You wouldn't be able to use the live product.

Mr. Neil Potts:

Correct.

Mr. Damian Collins:

Would that be at a maximum of 90 days suspension?

Mr. Neil Potts:

I think for egregious violations of our community standards, we also reserve the right to disable your account.

Mr. Damian Collins:

Okay.

What about people who have shared serious content that has been broadcast through Facebook Live? They're not the broadcaster themselves, but they've shared that footage with others on the platform. Is there any action taken against them?

Mr. Neil Potts:

We try to look at the intent of the sharer. I think that in the Christchurch example, we had many people just sharing for awareness purposes. We had some, definitely, who were sharing for malicious purposes, to subvert our policies, to subvert our AI. Those would be actioned against. If we knew that you were sharing—even media companies shared the video—we would try to read in some context and try to understand the intent of why you were sharing.

Mr. Damian Collins:

Did people who you believe maliciously shared the footage have their accounts cancelled?

Mr. Neil Potts:

In some cases there have been individuals who had their accounts disabled. In other cases they received penalties.

Mr. Damian Collins:

Would you be able to write to us to tell us how many accounts have been disabled as a consequence of this?

Mr. Neil Potts:

I'd be happy to follow up after the hearing.

Mr. Damian Collins:

These changes obviously take retrospective action against people who have done it. Is there anything Facebook has done to stop something like Christchurch from happening again, in terms of the way it is broadcast and shared through your systems?

Mr. Neil Potts:

We are continuing to invest in the AI.

In the Christchurch case, the use of the first-person video from the GoPro is very difficult for AI to recognize. We're continuing to invest to try to get better, to try to give training data to the machine learning so that we can identify and prevent. We have introduced new protocols for routing those types of videos to human reviewers in the moment, but it's important to note that the actual video was never reported while it was live.

Mr. Damian Collins:

Okay. I'm not sure I'm clear on that, but there are a couple of more things.

You've said quite a lot about the deletion of inauthentic accounts. Facebook, I believe, said that there were 3.3 billion inauthentic accounts deleted over the previous six months. That is considerably greater than the active user base of the company. Based on that, how confident can you be that there are only about 5% of accounts at any one time that are inauthentic?

Mr. Neil Potts:

We have data science teams that study this closely, so I defer to their expertise and analysis on that.

Mr. Damian Collins:

Monika Bickert said that the inauthentic accounts are far more likely to be sharing disinformation, so of those 3.3 billion accounts, how many of those were actively sharing disinformation?

Mr. Neil Potts:

I do not have that figure. I believe she said that they are more likely to...a combination of abusive behaviour, so not only disinformation but hate speech. Your point is taken and I can follow up.

Mr. Damian Collins:

Would Facebook be able to write to the committee with the answer to that question?

Mr. Kevin Chan:

Well, sir, I should clarify. I think it is the case, if you look at the transparency report—

Mr. Damian Collins:

So sorry, sir, we're running out of time.

I just want to say, if you don't have the answer to that question now—

Mr. Kevin Chan:

We do have the answer, sir.

Mr. Damian Collins:

—the company can write to us with it.

Mr. Kevin Chan:

The vast majority of accounts are actually disabled before a human can even interact with them.

Mr. Damian Collins:

Okay.

Could Facebook commit to the write to the committee to say—

Mr. Neil Potts:

We will write.

Mr. Damian Collins:

—how many of those accounts that were deleted, those 3.3 billion, were sharing disinformation? The company is saying that they're more likely to be sharing disinformation than other sorts of accounts.

Mr. Neil Potts:

If we have [Inaudible—Editor].

Mr. Damian Collins:

Finally, in the wake of the Cambridge Analytica scandal last year, Facebook announced that there would be a new feature for users to be able to clear their browser history. I understand that Facebook announced that this will launch later this year. This does seem to be a long period of time. If this were a product launch that Facebook would be making money out of, one sort of feels it would have come on quicker. This doesn't seem to be a case of moving fast and breaking things, but of moving slowly.

Is Facebook able to commit to a date when the “clear browser history” function will be live?

Mr. Kevin Chan:

Sir, I think I've mentioned it a few times, including, I think, with various members about this new feature. It would probably be inadvisable for me to commit to a date, obviously, at this time. I don't want to get out ahead of my skis, but I could just say that even with the transparency measures we're putting in place in Canada, we are working down to the wire to get this right. We're going to try to roll this other product out globally. That will take—

Mr. Damian Collins:

I would just say, these sorts of functions are pretty widespread across the web. I think the fact that it's now been over a year since this was announced and that you can't even give a date this year when it will come into force is really poor.

Mr. Kevin Chan:

I appreciate that.

The Chair:

I want to thank everybody for your testimony today.

I applaud Mr. Chan on some of the changes that you say are coming. We've heard this story many times, so I guess we will wait to see what we get at the end of the day.

It goes to what we were asking for in the first place. In good faith we asked your CEO and your COO to come before us today to work together for a solution to what these problems are that a whole bunch of countries and a whole bunch of people around the globe see as common issues. To me, it's shameful that they are not here today to answer those specific questions that you could not fully answer.

That's what's troubling. We're trying to work with you, and you're saying you are trying to work with us. We just had a message today that was forwarded to me by my vice-chair. It says, “Facebook will be testifying at the International Grand Committee this morning. Neil Potts and Kevin Chan will be testifying. Neither of whom are listed in this leadership chart of the policy team's 35 most senior officials”.

Then we're told you're not even in the top 100. No offence to you individuals, you're taking it for the team for Facebook, so I appreciate your appearance here today, but my last words to say before the committee is shame on Mark Zuckerberg and shame on Sheryl Sandberg for not showing up today.

That said, we have media availability immediately following this meeting to answer questions. We're going to be signing the Ottawa declaration just over here so we're going to have a member from each delegation sitting here as representatives.

After that, all the members of Parliament visiting from around the world are invited to attend our question period today. I'm going to point out my chief of staff, Cindy Bourbonnais. She will help you get the passes you need to sit in the House if you wish to come to QP today.

Thank you again for coming as witnesses. We will move right into the Ottawa declaration.

The meeting is adjourned.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1040)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

Je déclare ouverte la 153e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, et, par conséquent, le Grand Comité international sur les mégadonnées, la protection des renseignements personnels et la démocratie. Des représentants des pays prendront aussi la parole. Nous allons commencer par mon coprésident, M. Damian Collins, du Royaume-Uni.

Voici le fonctionnement structurel: nous ferons passer les délégations, à commencer par un représentant par pays, suivi du deuxième représentant. Vous devriez tous avoir votre propre période de cinq minutes.

Avant de commencer, M. Angus veut dire quelque chose.

M. Charlie Angus (Timmins—Baie James, NPD):

Monsieur le président, permettez-moi d'invoquer le Règlement à l'intention de notre comité; nous sommes très surpris, je crois, que M. Zuckerberg ait décidé — ainsi que Mme Sandberg — de faire fi de l'assignation d'un comité parlementaire, particulièrement à la lumière du fait que nous avons ici des représentants internationaux. À ma connaissance, nous n'avons même pas été informés de son absence. Je n'ai jamais vu de situation où un dirigeant d'entreprise fait fi d'une assignation légale.

À la lumière de ce fait, j'aimerais donner un avis de motion à mettre aux voix: Que le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, en raison du refus de M. Mark Zuckerberg et de Mme Sheryl Sandberg d'y comparaître le 28 mai, dirige le président à livrer une assignation s'ils arrivent au Canada pour quelconque raison pour comparaître devant le Comité à la prochaine réunion après la date de l'assignation, et s'ils sont convoqués pendant que la Chambre ne siège pas, que le Comité dirige le président de convenir une réunion extraordinaire aussi tôt que possible en raison d'obtenir leur témoignage.

Monsieur le président, j'ignore si nous avons déjà utilisé une assignation ouverte au Parlement — nous avons vérifié et n'en avons pas trouvé —, mais je crois que vous jugerez que c'est en règle. Si M. Zuckerberg ou Mme Sandberg décidaient de venir ici pour une conférence sur les technologies ou pour aller pêcher, le Parlement pourrait signifier cette assignation et les faire venir ici.

Le président:

Merci, monsieur Angus.

Pour les membres d'office du Comité, nous sommes saisis d'une motion sur laquelle nous devrons voter, et il y aura donc un certain débat.

D'autres membres souhaitent-ils débattre de la motion?

Monsieur Kent, allez-y.

L'hon. Peter Kent (Thornhill, PCC):

Merci, monsieur le président.

Oui, l'opposition officielle, le Parti conservateur, est tout à fait disposée à appuyer la motion de M. Angus. Comme nous l'avons entendu dans certains des témoignages précédents, Facebook, parmi d'autres grandes plateformes, a manifesté un manque de respect et un mépris extrêmes devant les gouvernements étrangers et les comités qui les représentent, à l'égard de leurs préoccupations et de leur recherche d'explications quant à la raison pour laquelle des mesures utiles n'ont pas été prises à ce jour et n'a pas fourni d'explication claire et explicite concernant sa réponse aux préoccupations du monde entier, et certainement des démocraties et des membres du grand comité international.

Nous appuierons cette motion. Merci.

Le président:

Nous avons déjà discuté du fait qu'aucune motion de fond n'avait été présentée au Comité. Cela dit, avec l'assentiment de tout le monde ici, je crois que nous pourrions convenir de l'entendre — et nous l'entendons aujourd'hui — et de voter sur celle-ci.

Avons-nous...? Je vois que tout le monde est en faveur du dépôt de la motion dont nous sommes saisis.

Y a-t-il d'autres commentaires au sujet de la motion?

Monsieur Lucas, allez-y.

M. Ian Lucas (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

C'est un cas de récidive de la part de M. Zuckerberg. C'est une situation qui s'est déjà produite et qui nous préoccupe vivement. C'est une préoccupation particulièrement grande pour moi, car malheureusement, les gouvernements continuent de rencontrer M. Zuckerberg, et je crois qu'il est important que nous témoignions, en tant que parlementaires, de notre préoccupation au sujet du manque de respect dont fait preuve M. Zuckerberg à l'égard des parlementaires du monde entier. Ils devraient examiner l'accès qu'ils donnent à M. Zuckerberg, l'accès aux gouvernements et aux ministres, en privé, sans nous respecter nous, en tant que parlementaires, et sans respecter nos électeurs, qui sont exclus des discussions confidentielles qui ont lieu sur ces affaires cruciales.

Le président:

Merci, monsieur Lucas.

Monsieur Erskine-Smith, vous avez la parole.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

J'aimerais juste dire que je trouve comique que le 30 mars, soit il y a moins de deux mois, Mark Zuckerberg ait écrit un article dans le Wall Street Journal. Il a écrit qu'il croit que Facebook a une responsabilité pour réagir au contenu préjudiciable, protéger les élections, protéger les renseignements personnels et les données ainsi que la portabilité des données — les questions mêmes dont nous discutons aujourd'hui — et qu'il était impatient d'en parler avec les législateurs du monde entier. C'était ses mots il y a moins de deux mois. S'il avait été honnête en les écrivant, il serait assis dans ce fauteuil aujourd'hui.

Le président:

Merci, monsieur Erskine-Smith.

Y a-t-il d'autres commentaires sur la motion?

Bien franchement, pour répondre à votre question, en tant que président des deux comités, le comité international et notre comité de l'éthique, je trouve odieux qu'il ne soit pas ici aujourd'hui et que Mme Sandberg ne soit pas là non plus. On leur a fait savoir très clairement qu'ils devaient comparaître devant nous aujourd'hui. Une assignation a été délivrée, ce qui est déjà un geste inhabituel pour un comité. Je crois qu'il est donc tout naturel que l'on prépare un mandat de comparution. Dès que M. Zuckerberg ou Mme Sandberg mettront les pieds dans notre pays, ils se verront signifier une assignation et devront comparaître devant notre comité. S'ils décident de ne pas le faire, la prochaine étape consistera à les reconnaître coupables d'outrage.

Je crois que les mots sont forts, monsieur Angus, et je vous félicite de votre motion.

S'il n'y a pas d'autres interventions relativement à la motion, nous passerons au vote.

(La motion est adoptée.)

Le président: Merci, monsieur Angus.

Nous passons maintenant aux plateformes, en commençant par Facebook, puis Google, puis...

Je vais mentionner les noms. Nous recevons Kevin Chan, directeur des politiques mondiales pour le Canada, et Neil Potts, directeur des politiques mondiales, de Facebook Inc. Nous accueillons Derek Slater, directeur mondial, Politique de l'information, de Google LLC; et Colin McKay, chef, Relations gouvernementales et politiques publiques, de Google Canada. Nous recevons Carlos Monje, directeur, Politique publique, et Michele Austin, chef, gouvernement, Politique publique, Twitter Canada, de Twitter Inc.

Je tiens à dire que ce ne sont pas juste les PDG de Facebook qui ont été invités aujourd'hui. Les PDG de Google ont été invités, tout comme le PDG de Twitter. Nous sommes plus que déçus qu'ils aient décidé eux aussi de ne pas se présenter.

Nous allons commencer par M. Chan, pour sept minutes.

Merci.

(1045)

M. Kevin Chan (directeur des politiques mondiales, Facebook Inc.):

Merci beaucoup, monsieur le président.

Je m'appelle Kevin Chan, et je suis accompagné aujourd'hui de mon collègue Neil Potts. Nous sommes tous les deux directeurs des politiques mondiales chez Facebook.

Internet a transformé la façon dont des milliards de personnes vivent, travaillent et communiquent ensemble. Des entreprises comme Facebook ont d'immenses responsabilités pour assurer la sécurité des personnes sur leurs services. Chaque jour, nous avons comme défi de prendre des décisions pour savoir quels discours sont préjudiciables, ce qui constitue des publicités politiques et comment prévenir des cyberattaques élaborées. Il s'agit d'un travail essentiel pour assurer la sécurité de nos collectivités, et nous reconnaissons que ce travail n'est pas quelque chose que des entreprises comme la nôtre devraient faire seules. [Français]

De nouvelles règles pour Internet devraient permettre de préserver ce qu'il y a de mieux en matière d'économie numérique et d'Internet, encourager l'innovation, soutenir la croissance des petites entreprises et permettre la liberté d'expression, tout en protégeant la société contre des dommages plus graves. Ce sont des enjeux très complexes à résoudre, et nous souhaitons travailler avec les gouvernements, les universitaires et la société civile pour garantir l'efficacité de la nouvelle réglementation.[Traduction]

Nous sommes ravis de vous faire part aujourd'hui de certaines de nos nouvelles réflexions dans quatre domaines d'action réglementaire possibles: le contenu préjudiciable, la protection de la vie privée, la portabilité des données et l'intégrité électorale.

Cela dit, je vais céder la parole à mon collègue Neil, qui aimerait échanger avec vous au sujet du contenu préjudiciable.

M. Neil Potts (directeur des politiques mondiales, Facebook Inc.):

Monsieur le président, mesdames et messieurs, merci de me fournir l'occasion d'être ici aujourd'hui.

Je m'appelle Neil Potts, et je suis le directeur chargé de la surveillance de l'élaboration et de la mise en œuvre des normes communautaires de Facebook. Voici nos lignes directrices concernant les types de contenus qui sont autorisés sur notre plateforme.

Toutefois, avant de continuer, j'aimerais juste signaler que M. Chan et moi sommes des directeurs des politiques mondiales, des experts en la matière, qui sommes prêts à échanger avec vous sur ces questions. M. Zuckerberg et Mme Sandberg, notre PDG et notre directrice des opérations, sont déterminés à travailler avec le gouvernement de façon responsable. Ils estiment qu'ils nous ont mandatés pour comparaître devant vous aujourd'hui afin de discuter de ces sujets, et nous sommes heureux de le faire.

Comme vous le savez, la mission de Facebook est de donner aux gens le pouvoir de bâtir une communauté et de rapprocher le monde. Plus de deux milliards de personnes utilisent notre plateforme chaque mois pour communiquer avec des membres de la famille et des amis, découvrir ce qui se passe dans le monde, créer leur entreprise et aider ceux dans le besoin.

Quand nous donnons une voix aux gens, nous voulons nous assurer qu'ils ne l'utilisent pas pour blesser d'autres personnes. Facebook assume pleinement la responsabilité de s'assurer que les outils que nous créons sont utilisés pour faire le bien et que nous assurons la sécurité des gens. Nous prenons ces responsabilités très au sérieux.

Plus tôt ce mois-ci, Facebook a signé l'Appel à l'action de Christchurch visant à éliminer les contenus terroristes et extrémistes violents en ligne, et nous avons pris des mesures immédiates touchant la diffusion en direct. Concrètement, les gens qui ont enfreint certaines règles sur Facebook, ce qui comprend notre politique « Individus et organismes dangereux », se verront interdire l'utilisation de Facebook Live.

Nous investissons aussi 7,5 millions de dollars dans de nouveaux partenariats de recherche avec d'éminents universitaires pour composer avec la manipulation médiatique contradictoire que nous avons vue après l'événement de Christchurch — par exemple, quand certaines personnes ont modifié la vidéo pour éviter d'être repérées afin de pouvoir la republier après son retrait.

Puisque le nombre d'utilisateurs de Facebook a augmenté et que la difficulté liée au fait de trouver le juste milieu entre la liberté d'expression et la sécurité s'est accrue, nous sommes parvenus à la conclusion que Facebook ne devrait pas prendre seule un si grand nombre de ces décisions difficiles. C'est pourquoi nous allons créer un comité de surveillance externe pour aider à régir les discours sur Facebook d'ici la fin de 2019. Le comité de surveillance sera indépendant de Facebook, et il s'agira d'un dernier niveau d'appel pour le contenu qui reste sur notre plateforme et celui qui est retiré.

Malgré la mis en place du comité de surveillance, nous savons que des gens utiliseront une panoplie de plateformes et de services en ligne différents pour communiquer, et nous nous en porterions tous mieux s'il existait des normes de base claires pour toutes les plateformes. C'est pourquoi nous aimerions travailler avec les gouvernements à établir des cadres clairs liés au contenu préjudiciable en ligne.

Nous avons collaboré avec le président Macron de la France sur exactement ce type de projet et nous sommes ouverts à la possibilité de dialoguer avec un plus grand nombre de pays dans l'avenir.

Monsieur Chan, voulez-vous prendre le relais?

(1050)

M. Kevin Chan:

Pour ce qui est de la protection de la vie privée, nous comprenons très clairement notre responsabilité importante en tant que gardiens des données des gens et de la nécessité pour nous de faire mieux. C'est pourquoi, depuis 2014, nous avons pris des mesures importantes pour réduire de façon radicale la quantité de données auxquelles des applications tierces peuvent accéder sur Facebook et ce pourquoi nous mettons sur pied une fonction en matière de protection de la vie privée beaucoup plus importante et vigoureuse au sein de l'entreprise. Nous avons aussi réalisé des progrès considérables afin de donner aux gens plus de transparence et de contrôle sur leurs données.

Nous reconnaissons que, même si nous menons beaucoup plus d'activités sur la protection de la vie privée, nous nous portons tous mieux lorsque des cadres généraux régissent la collecte et l'utilisation des données. De tels cadres devraient protéger votre droit de choisir la façon dont votre information est utilisée, tout en permettant l'innovation. On devrait tenir des entreprises comme Facebook responsables en imposant des sanctions lorsque nous commettons des erreurs et l'on devrait clarifier les nouveaux sujets d'étude, y compris le moment où les données peuvent être utilisées pour le bien public et la façon dont cela devrait s'appliquer à l'intelligence artificielle.

Il existe déjà certains bons modèles que l'on peut reproduire, y compris le Règlement général sur la protection des données de l'Union européenne et la Loi sur la protection des renseignements personnels et les documents électroniques du Canada. L'atteinte d'un certain degré d'harmonisation autour du monde serait souhaitable et faciliterait la croissance économique.

Nous croyons aussi que le principe de la portabilité des données est suprêmement important pour le choix des consommateurs et pour assurer un marché dynamique et compétitif en matière de services numériques. Les gens devraient être en mesure de prendre les données qu'ils ont mises sur un service et de les déplacer vers un autre service. On doit ensuite se demander comment la portabilité des données peut se faire d'une façon sécuritaire qui protège la vie privée. La portabilité des données n'est utile que s'il y a en place des normes communes, et c'est pourquoi nous soutenons un format standard pour le transfert des données et le projet de transfert des données ouvertes.

Enfin, Facebook fait tout son possible pour protéger les élections sur sa plateforme dans le monde entier en investissant considérablement dans les gens, la technologie et les partenariats. Nous avons triplé le nombre de personnes qui travaillent sur des questions de sécurité dans le monde, le faisant passer de 10 000 à 30 000 personnes. Nous avons mis au point une technologie d'intelligence artificielle de pointe qui nous permet de déceler et de retirer de faux comptes en masse.

Bien sûr, nous ne pouvons pas réussir si nous faisons cavalier seul, et nous nous sommes donc associés à un vaste éventail d'organisations. Au Canada, nous sommes fiers de travailler avec l'Agence France-Presse sur la vérification de faits par des tiers, HabiloMédias sur la littéracie numérique et l'organisme À voix égales pour assurer la sécurité des candidats, plus particulièrement des candidates, en ligne.

Facebook est une ardente défenseure des règlements qui font la promotion de la transparence des publicités politiques en ligne. Nous croyons qu'il est important que les citoyens puissent voir toutes les publicités politiques qui sont offertes en ligne, particulièrement celles qui ne leur sont pas destinées. C'est pourquoi nous appuyons et respecterons le projet de loi C-76, la Loi sur la modernisation des élections du Canada, que le Parlement a adoptée, et nous dialoguerons au cours des prochaines semaines avec des publicitaires politiques canadiens, y compris les partis politiques fédéraux représentés ici aujourd'hui, sur des changements importants au chapitre des publicités politiques qui seront apportés sur la plateforme d'ici la fin juin.

Enfin, monsieur le président, comme vous le savez, Facebook est partie à la Déclaration du Canada sur l'intégrité électorale en ligne, qui énonce 12 engagements que le gouvernement du Canada et certaines plateformes en ligne acceptent d'entreprendre ensemble en prévision des élections fédérales d'octobre. Il s'agit d'une expression forte de la mesure dans laquelle nous prenons au sérieux nos responsabilités au Canada, et nous sommes impatients de travailler de pair avec des représentants pour nous prémunir contre l'ingérence étrangère.

Merci de m'avoir donné l'occasion d'être ici. [Français]

Nous avons hâte de répondre à vos questions. [Traduction]

Le président:

Merci, monsieur Chan.

Nous passons maintenant à M. Slater, de Google.

M. Derek Slater (directeur mondial, Politique de l'information, Google LLC):

Merci de me donner l'occasion de comparaître devant vous aujourd'hui.

Je m'appelle Derek Slater, et mon rôle chez Google est d'aider à façonner l'approche de l'entreprise à l'égard des politiques d'information et de la réglementation du contenu. Je suis accompagné de mon collègue Colin McKay, chef des politiques publiques pour Google au Canada.

Nous reconnaissons votre leadership et sommes heureux d'avoir l'occasion de discuter de l'approche de Google afin d'examiner nos nombreux enjeux en commun.

Pendant près de 20 ans, nous avons conçu des outils pour aider les utilisateurs à accéder à de l'information, à en créer et à en partager comme jamais auparavant, en leur donnant plus de choix, de possibilités et d'exposition à une diversité de ressources et d'opinions. Toutefois, nous savons que les plateformes mêmes qui ont procuré ces avantages sociétaux peuvent aussi faire l'objet d'abus, et cela va du hameçonnage à l'extrémisme violent et plus encore. L'examen attentif des législateurs et de nos utilisateurs guide et améliore nos produits ainsi que les politiques qui les régissent.

Nous n'avons pas attendu la réglementation du gouvernement pour nous attaquer aux défis d'aujourd'hui. Le fait de réagir au contenu illégal et problématique en ligne est une responsabilité partagée qui nécessite la collaboration entre les gouvernements, la société civile et l'industrie, et nous faisons notre part et continuerons de la faire.

Je vais faire ressortir certaines de nos activités en ce moment. Sur YouTube, nous combinons des examens automatisés et humains pour repérer et retirer le contenu qui contrevient aux règlements. Nous nous sommes améliorés au fil du temps et avons éliminé plus rapidement une partie de ce contenu, et ce, même avant qu'il soit consulté. Entre janvier et mars 2019, YouTube a retiré près de 8,3 millions de vidéos qui violaient ses lignes directrices communautaires, et 76 % de celles-ci ont été signalées par des machines plutôt que par des gens. Parmi les vidéos repérées par des machines, plus de 75 % n'avaient jamais été visionnées une seule fois.

Lorsqu'il s'agit de lutter contre la désinformation, nous avons investi dans nos systèmes de classement pour nous assurer que la qualité compte dans l'élaboration de politiques, la surveillance de menaces et les mécanismes d'application de la loi afin de nous attaquer à des comportements malveillants, de même que dans des outils qui fournissent aux utilisateurs plus de contexte, comme la vérification des faits ou les panneaux d'information sur la recherche Google et YouTube.

De plus, dans le contexte de l'intégrité électorale, nous concevons depuis plus de 10 ans des produits qui fournissent des renseignements en temps opportun et faisant autorité au sujet des élections du monde entier. En outre, nous avons consacré des ressources importantes pour aider les campagnes, les candidats et les représentants électoraux à améliorer leur posture en matière de cybersécurité à la lumière des menaces existantes et émergentes. Notre site Web Protection Élections offre des ressources gratuites comme la protection avancée, qui offre le compte de sécurité optimal de Google, et Project Shield, un service gratuit conçu pour atténuer le risque d'attaques de déni de service distribué qui inondent les sites de trafic dans le but de les fermer.

Même si l'industrie doit faire sa part, les décideurs, bien sûr, ont un rôle fondamental à jouer pour faire en sorte que tout le monde récolte les avantages personnels et économiques des technologies modernes tout en tenant compte des coûts sociaux et en respectant les droits fondamentaux. Les gouvernements et les assemblées législatives de près de 200 pays et territoires dans lesquels nous exerçons des activités sont parvenus à des conclusions différentes quant à la façon de régler des problèmes comme la protection des données, la diffamation et les discours haineux. Les cadres juridiques et réglementaires d'aujourd'hui sont le produit de processus délibératifs, et à mesure que la technologie et les attentes de la société évoluent, nous devons rester attentifs à la façon de mieux améliorer ces règles.

Dans certains cas, les lois doivent être modernisées, par exemple, dans le cas de la protection des données et de l'accès des organismes d'application de la loi aux données. Dans d'autres cas, une nouvelle collaboration entre l'industrie, le gouvernement et la société civile peut se traduire par des institutions et des outils complémentaires. Le récent Appel à l'action de Christchurch sur l'extrémisme violent n'est qu'un exemple de ce type de collaboration pragmatique et efficace.

De même, nous avons travaillé avec l'Union européenne sur le récent code de conduite contre les discours haineux, ce qui renferme un processus de vérification pour surveiller la façon dont les plateformes respectent leurs engagements, et sur le récent code de bonnes pratiques de l'Union européenne contre la désinformation. Nous avons convenu d'aider des chercheurs à étudier ce sujet et d'assurer la vérification régulière de nos prochaines étapes associées à cette lutte.

De nouvelles approches comme celles-là doivent reconnaître les différences pertinentes entre des services aux fonctions et aux fins différentes. La surveillance des politiques sur le contenu devrait naturellement se focaliser sur les plateformes de partage de contenu. Les médias sociaux, les sites d'échange de vidéos et d'autres services dont le but principal est d'aider des gens à créer du contenu et à le communiquer à un vaste public devraient être différenciés d'autres types de services comme des services de recherche, des services d'entreprise, et des services de stockage de dossiers et de courriels, qui nécessitent des ensembles de règles différents.

Cela dit, nous voulons faire ressortir aujourd'hui quatre éléments clés à prendre en considération dans le cadre de l'évolution de la surveillance et de la discussion concernant les plateformes de partage de contenu.

Premièrement, il fait établir des définitions claires.

Les plateformes sont responsables d'établir des règles du jeu claires pour ce qui est ou non permissible, et les gouvernements ont aussi la responsabilité d'établir les règles par rapport à ce qu'ils estiment être des discours illégaux. Les restrictions devraient être nécessaires et proportionnelles, établies à partir de définitions claires et de risques fondés sur les données probantes et élaborées en consultation avec les parties prenantes pertinentes. Ces définitions claires, combinées à des avis clairs au sujet d'éléments de contenu particuliers, sont essentielles pour que les plateformes puissent agir.

(1055)



Deuxièmement, on doit élaborer des normes concernant la transparence et les pratiques exemplaires.

La transparence est le fondement d'une discussion éclairée et elle aide à établir les pratiques efficaces dans l'ensemble de l'industrie. Les gouvernements devraient adopter une approche souple qui renforce la recherche et soutient l'innovation responsable. Des exigences trop restrictives comme des délais de retrait universels, l'utilisation obligatoire de technologies particulières ou des sanctions disproportionnées réduiront au bout du compte l'accès du public à de l'information légitime.

Troisièmement, on doit miser sur des défaillances systémiques récurrentes plutôt que sur des cas isolés.

La détermination du contenu problématique et la réaction par rapport à celui-ci est semblable, d'une certaine façon, à la sécurité de l'information. Il y aura toujours de mauvais acteurs, des bogues et des erreurs. L'amélioration dépend de la collaboration entre de nombreux joueurs qui utilisent des approches axées sur les données pour comprendre si des cas particuliers sont exceptionnels ou représentatifs de problèmes systémiques récurrents plus importants.

Quatrièmement et finalement, on doit renforcer la coopération internationale.

Comme le démontre la réunion d'aujourd'hui, ces préoccupations et ces enjeux sont mondiaux. Les pays devraient s'échanger leurs pratiques exemplaires et éviter des approches conflictuelles qui imposent des fardeaux de conformité indus et créent de la confusion pour les clients. Cela dit, des pays individuels feront des choix différents au sujet des discours permissibles en fonction de leurs traditions juridiques, de leur histoire et de leurs valeurs, conformément aux obligations internationales en matière de droits de la personne. Un contenu illégal dans un pays pourrait être légal dans un autre.

Ces principes ont pour but de contribuer à une conversation aujourd'hui sur la façon dont les législateurs et les gouvernements devraient s'attaquer aux enjeux que nous sommes susceptibles d'aborder, y compris les discours haineux, la désinformation et l'intégrité électorale.

Pour terminer, je dirai qu'Internet présente des défis pour les institutions traditionnelles qui aident la société à organiser, à conserver et à communiquer de l'information. Quant à nous, nous sommes déterminés à réduire au minimum le contenu qui s'éloigne des éléments utiles que nos plateformes ont à offrir. Nous espérons travailler avec les membres du Comité et des gouvernements du monde entier pour surmonter ces difficultés à mesure que nous continuons d'offrir des services qui préconisent et diffusent des renseignements fiables et utiles.

Merci.

(1100)

Le président:

Merci.

Nous allons maintenant passer à Twitter. Je crois que M. Monje prendra la parole.

Allez-y.

M. Carlos Monje (directeur, Politique publique, Twitter inc.):

Merci beaucoup.

Monsieur le président Zimmer, monsieur le président Collins et chers membres du Comité, je m'appelle Carlos Monje, et je suis directeur des politiques publiques pour Twitter. Je suis accompagné de Michele Austin, qui est notre chef des politiques publiques pour le Canada.

Au nom de Twitter, j'aimerais reconnaître le travail acharné de tous les membres du Comité par rapport aux questions qui vous sont présentées. Nous vous remercions de votre dévouement et de votre volonté de travailler avec nous.

Twitter a pour objectif de servir la conversation publique. Toute tentative pour miner l'intégrité de notre service érode les principes mêmes de la liberté d'expression en ligne. C'est la valeur sur laquelle repose notre entreprise.

Les questions soulevées au Comité nous préoccupent profondément en tant que personnes. Nous voulons que les gens se sentent en sécurité sur Twitter et qu'ils comprennent notre approche à l'égard de la santé et de la sécurité du service. Il y aura toujours plus de choses à faire, mais nous avons réalisé des progrès considérables.

J'aimerais aborder brièvement notre approche à l'égard de la protection de la vie privée des gens, et j'ai hâte d'entendre vos questions.

Twitter s'efforce de protéger la vie privée des gens qui utilisent notre service. Nous croyons que la protection de la vie privée est un droit de la personne fondamental. Twitter est publique par défaut. Cela distingue notre service d'autres sites Internet. Quand un particulier crée un compte Twitter et commence à envoyer des gazouillis, ceux-ci sont immédiatement visibles et consultables par n'importe qui dans le monde. Les gens comprennent la nature publique par défaut de Twitter et ils vont sur le site en s'attendant à voir une conversation publique et à s'y joindre. Eux seuls contrôlent le contenu qu'ils partagent sur Twitter, y compris la mesure dans laquelle ce contenu peut être personnel ou privé.

Nous croyons que lorsque des gens nous confient leurs données, nous devrions nous montrer transparents dans notre façon de fournir un contrôle utile quant aux données qui sont recueillies, à la façon dont elles sont utilisées et au moment où elles sont communiquées. Ces paramètres sont facilement accessibles et conçus dans un esprit de convivialité. Nos paramètres de données qui permettent la plus grande personnalisation sont situés sur une seule page.

Twitter rend aussi accessible la trousse à outils « Vos données Twitter », qui offre aux personnes un instantané des types de données stockées par nous, comme le nom d'utilisateur, l'adresse de courriel, le numéro de téléphone associés au compte, des détails sur la création du compte et de l'information au sujet des inférences que nous pourrions avoir tirées. À partir de cet ensemble d'outils, les gens peuvent faire des choses comme modifier les intérêts présumés, télécharger leurs renseignements et comprendre ce que nous offrons.

Twitter cherche aussi de manière proactive à contrer les pourriels, l'automatisation malveillante, la désinformation et la manipulation des plateformes en améliorant les politiques et en élargissant les mesures d'application de la loi, en fournissant un plus grand contexte aux utilisateurs, en renforçant les partenariats avec les gouvernements et les experts et en assurant une plus grande transparence. Tout cela vise à renforcer la santé du service et à protéger les gens qui utilisent Twitter.

Nous continuons de promouvoir la santé de la conversation publique en contrant toutes les formes de manipulation des plateformes. Nous définissons la manipulation des plateformes comme l'utilisation de Twitter pour perturber la conversation en participant à une activité agressive ou trompeuse en bloc. Nous avons réalisé des progrès considérables. De fait, en 2018, nous avons repéré et remis en question plus de 425 millions de comptes que l'on a soupçonné avoir participé à la manipulation des plateformes. De ceux-là, environ 75 % ont fini par être suspendus. De plus en plus, nous utilisons des méthodes de détection automatisées et proactives pour trouver les abus et les manipulations sur notre service avant qu'ils n'aient une incidence sur l'expérience de qui que ce soit. Plus de la moitié des comptes que nous suspendons sont retirés dans la semaine suivant leur enregistrement — et bon nombre, au bout de quelques heures à peine.

Nous continuerons d'améliorer notre capacité de lutter contre le contenu manipulatif avant qu'il n'influence l'expérience des gens qui utilisent Twitter. Twitter se préoccupe beaucoup de la désinformation dans tous les contextes, mais l'amélioration de la santé de la conversation au sujet des élections revêt la plus grande importance. Un aspect clé de notre stratégie électorale est l'élargissement des partenariats avec la société civile pour accroître notre capacité de comprendre, de repérer et de faire cesser les tentatives de désinformation.

Ici, au Canada, nous travaillons avec Élections Canada, le commissaire aux élections fédérales, le Centre canadien pour la cybersécurité, le Bureau du Conseil privé, des institutions démocratiques et des partenaires de la société civile, comme le Centre Samara pour la démocratie et le Projet Démocratie.

En plus de déployer des efforts pour protéger le service, nous estimons que la transparence est un outil éprouvé et puissant dans la lutte contre la désinformation. Nous avons pris un certain nombre de mesures pour perturber les activités étrangères et limiter la suppression d'électeurs et avons augmenté de manière considérable la transparence au sujet de ces mesures. Nous avons mis à la disposition du public et des chercheurs les plus grandes archives sur les activités d'information au monde. Nous avons parcouru des données et des renseignements sur plus de 9 600 comptes, y compris des comptes en provenance de la Russie, de l'Iran et du Venezuela, pour un total de plus de 25 millions de gazouillis.

Nous croyons fondamentalement que ces comptes et leur contenu devraient être accessibles et consultables, de sorte que les membres du public, les gouvernements et les chercheurs puissent mener des enquêtes, tirer des apprentissages et acquérir des capacités en matière de littératie médiatique pour l'avenir. Ils nous aident aussi à nous améliorer.

(1105)



J'aimerais souligner un exemple particulier dans le cadre de nos efforts pour lutter contre la désinformation ici, au Canada.

Plus tôt ce printemps, nous avons lancé un nouvel outil pour diriger les personnes vers des ressources de santé publique crédibles lorsqu'elles cherchaient des mots clés associés aux vaccins sur Twitter. Dans ce cas-ci, nous nous sommes associés à l'Agence de la santé publique du Canada. Ce nouvel investissement s'appuie sur notre travail existant pour nous protéger contre l'amplification artificielle de contenu non crédible au sujet de la sécurité et de l'efficacité des vaccins. De plus, nous nous assurons déjà que le contenu publicitaire ne contient pas d'affirmations trompeuses au sujet du remède, du traitement, du diagnostic ou de la prévention de toute maladie, y compris des vaccins.

Pour terminer, Twitter continuera d'imaginer de nouveaux moyens de maintenir son engagement à l'égard de la protection de la vie privée, de lutter contre la désinformation sur son service et de demeurer responsable et transparente à l'égard des gens du monde entier. Nous avons réalisé des progrès notables et constants, mais notre travail ne sera jamais terminé.

Encore une fois, merci de nous avoir donné l'occasion d'être ici. Nous sommes impatients de répondre à vos questions.

Le président:

Merci.

Tout d'abord, nous allons nous tourner vers mon coprésident, Damian Collins, puis nous observerons la séquence.

Vous aurez chacun cinq minutes. Essayez d'être aussi succincts que vous le pouvez.

Monsieur Collins, c'est à vous.

M. Damian Collins (président, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

Je vais adresser ma première question aux représentants de Facebook. Je suis sûr que vous savez que l'une des principales préoccupations des membres du Comité a été que des renseignements trompeurs, communiqués de manière délibérée et malveillante par l'intermédiaire des outils créés par les entreprises de médias sociaux, portent préjudice à la démocratie, et cette désinformation est utilisée pour nuire à des politiciens chevronnés et à des personnalités publiques, à des institutions publiques et au processus politique.

Cela dit, Facebook pourrait-elle expliquer pourquoi elle a choisi de ne pas retirer la vidéo de Nancy Pelosi qui donne une fausse impression d'elle pour miner sa réputation publique? La raison pour laquelle je crois que c'est très important, c'est que nous savons tous très bien que la nouvelle technologie va faciliter la création de ces sortes de documents faux ou manipulés. Vous pourriez peut-être expliquer pourquoi Facebook ne va pas retirer ce film.

M. Neil Potts:

Merci, monsieur Collins.

Je suis heureux d'expliquer de façon un peu plus claire notre approche à l'égard de la désinformation pour le Comité.

D'abord, je tiens à exprimer clairement que nous prenons des mesures contre cette vidéo...

M. Damian Collins:

Je suis désolé, monsieur Potts, mais nous n'avons pas beaucoup de temps. J'aimerais que vous répondiez à la question qui vous a été posée, plutôt que de faire une déclaration au sujet des politiques de Facebook sur la désinformation ou ce que vous auriez pu faire d'autre. J'aimerais que vous répondiez à la question: pourquoi vous, contrairement à YouTube, ne retirez pas ce film?

M. Neil Potts:

Nous prenons des mesures dynamiques pour déclasser ce...

M. Damian Collins:

Je sais que vous êtes en train de le déclasser. Pourquoi ne retirez-vous pas le film?

M. Neil Potts:

Nous avons pour politique d'informer les gens lorsque nous détenons des renseignements sur la plateforme qui pourraient être faux, pour qu'ils puissent prendre leurs propres décisions au sujet de ce contenu.

M. Damian Collins:

Mais il s'agit de contenu qui est largement considéré, à mon avis, comme étant faux. YouTube l'a retiré. Les vérificateurs des faits qui travaillent auprès de Facebook disent que c'est un faux; pourtant, on permet que la vidéo reste en ligne, et sa présence est beaucoup plus puissante que toute clause de non-responsabilité qui pourrait être écrite en dessous ou au-dessus.

Pourquoi ne dites-vous pas que les films qui sont clairement faux et sont désignés de façon indépendante comme étant faux, qui sont là pour tromper les gens par rapport à certains des politiciens les plus chevronnés de notre pays, seront retirés?

M. Neil Potts:

Nous effectuons des recherches sur nos traitements de l'information. C'est le traitement qui révèle que quelque chose est faux. Par exemple, si quelqu'un souhaitait partager cette vidéo avec ses amis ou qu'il l'avait déjà partagée ou la voyait dans un fil de nouvelles, il recevrait un message disant que c'est faux.

M. Damian Collins:

Facebook accepte que ce film soit une déformation des faits, n'est-ce pas?

M. Kevin Chan:

Monsieur Potts, vous êtes plus près de cela, mais je crois comprendre que la vidéo en question a été ralentie. Est-ce bien le cas?

M. Neil Potts:

C'est exact. Je crois que c'est manipulé...

M. Damian Collins:

C'est un film qui a été manipulé pour créer l'impression déformée que Nancy Pelosi était en quelque sorte en état d'ébriété lorsqu'elle parlait. C'est ce qui s'est produit et c'est pourquoi YouTube a retiré le film et pourquoi il y a eu une reconnaissance générale, y compris par les vérificateurs des faits indépendants qui travaillent pour Facebook, que ce film est déformé et qu'il crée une impression déformée de la personne qui vient au troisième rang des politiciens les plus expérimentés aux États-Unis.

(1110)

M. Neil Potts:

Puisque vous avez mentionné les vérificateurs des faits, nous travaillons avec plus de 50 vérificateurs des faits à l'échelle internationale qui sont...

M. Damian Collins:

Ce n'est pas remis en question. Les vérificateurs des faits reconnaissent que c'est faux. Vous dites que la vidéo peut rester là. Ne voyez-vous pas que ce que Facebook fait donne le feu vert à quiconque dans le monde veut faire un film déformé ou un faux documentaire au sujet d'un politicien d'expérience, ou peut-être utiliser dans l'avenir la technologie des hypertrucages pour le faire, en sachant que, peu importe ce qui se passe, Facebook ne va pas retirer le film?

M. Neil Potts:

Je crois que vous posez une question philosophique, monsieur. Devrions-nous retirer le film ou aviser les gens qu'il est faux? Nous avons choisi d'aviser les gens que c'est faux, de manière à ce qu'ils comprennent pourquoi la vidéo se trouve sur la plateforme et quelles autres parties indépendantes ont jugé qu'elles l'étaient. Elles ont considéré qu'elle était fausse et elles voient maintenant cela sur notre plateforme si elles y vont pour la partager. À mon avis, toutes ces questions sont très complexes, mais cela permet aux gens de prendre leurs propres décisions et de dire aux autres qu'elle est fausse.

Vous avez mentionné que la vidéo est ralentie, ce que tout le monde et les vérificateurs des faits ont dit, mais je crois qu'il existe de nombreux cas différents où les vidéos sont ralenties et ne seraient peut-être pas une justification pour le Comité...

M. Damian Collins:

La question ici, c'est de dire que si quelqu'un fait un film, ralentit un film ou le manipule, il essaie de créer la fausse impression qu'une personnalité publique d'expérience n'est pas apte à assumer ses fonctions, c'est donc une tentative de lui nuire, ainsi que nuire à sa charge publique.

Ce n'est pas une question d'opinion ni de liberté de parole. C'est une question de gens qui manipulent du contenu pour nuire à des personnalités publiques, et ma préoccupation, c'est que le fait de laisser ce type de contenu en ligne, que l'on sait faux et déformé de manière indiscutable, et de permettre le partage de ce contenu et la promotion par d'autres utilisateurs est irresponsable.

YouTube a retiré ce contenu. Je ne comprends pas pourquoi Facebook ne fait pas la même chose.

M. Neil Potts:

Monsieur, je comprends vos préoccupations, mais je crois que vos questions sont les bonnes et qu'elles révèlent la complexité de cet enjeu et aussi peut-être le fait que l'approche que nous adoptons fonctionne. Vous n'entendez pas les gens...

M. Damian Collins:

Désolé, mais avec tout le respect que je vous dois, ce que cela montre, c'est la simplicité de ces enjeux, la solution de simplicité qu'a choisie une autre entreprise, reconnaissant les mêmes enjeux. Il s'agit simplement de dire que c'est clairement faux et déformé, que c'est fait pour nuire à des personnalités publiques d'expérience et que cela ne devrait en fait pas avoir sa place sur la plateforme ni faire partie de votre communauté.

M. Neil Potts:

Vous avez raison, et je respecte évidemment l'opinion de YouTube comme entreprise indépendante, mais nous n'entendons pas des gens parler de cette vidéo comme si elle était réelle. Nous les entendons plutôt discuter du fait qu'elle est fausse et qu'elle se trouve sur la plateforme; donc, par rapport à la question de savoir si nous avons informé les gens du fait que la vidéo était fausse, oui, nous l'avons fait. Je crois que c'est le discours prédominant en ce moment. Que ce soit dans la conversation que nous tenons en ce moment, que ce soit dans les nouvelles ou ailleurs, les gens comprennent que cette vidéo est fausse, et ils peuvent prendre d'autres décisions à partir de là.

M. Damian Collins:

Mon inquiétude à ce sujet, c'est que cela établit un précédent très dangereux. Votre collègue Monika Bickert a dit la semaine dernière à CNN que, essentiellement, Facebook a pour politique de ne pas retirer tout contenu politique, tout contenu de désinformation lié aux politiques: on mettrait des notes pour les utilisateurs afin qu'ils voient que les faits sont contestés, mais le contenu ne sera jamais retiré.

Si vous acceptez que des gens qui produisent des films de désinformation ciblant des utilisateurs dans le but de miner la démocratie abusent ainsi de votre plateforme, et que la meilleure solution, que vous ayez trouvée, c'est simplement de les signaler pour dire que certaines personnes contestent ce film, je crois que vous créez un précédent très dangereux.

Le président:

Merci, monsieur Collins.

Nous allons maintenant passer à M. Erskine-Smith.

Allez-y, pour cinq minutes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Vous parlez assez souvent à M. Zuckerberg, parce que vous êtes ici en son nom. Rappelez-moi pourquoi il n'est pas ici aujourd'hui.

M. Neil Potts:

Je suis désolé, monsieur. Je n'arrive pas à voir votre nom.

M. Nathaniel Erskine-Smith:

C'est M. Erskine-Smith.

M. Neil Potts:

Monsieur Erskine-Smith, M. Zuckerberg et Mme Sandberg nous ont chargés de représenter l'entreprise ici aujourd'hui. Nous sommes des experts en la matière dans ces domaines et sommes plus qu'heureux d'avoir l'occasion d'être ici, mais je veux...

M. Nathaniel Erskine-Smith:

Il a dit: « J'ai hâte de discuter de ces problèmes avec les législateurs du monde entier » il y a moins de deux mois. Il ne voulait pas juste dire ces législateurs-là, mais aussi d'autres législateurs, j'en suis sûr.

Je vais parler de la protection de la vie privée. Dans son plus récent rapport, notre commissaire à la protection de la vie privée a dit que le cadre de protection de la vie privée de Facebook était « une coquille vide ». Puis, le 7 mai, devant le Comité, notre commissaire à la protection de la vie privée a dit que les conclusions s'appliquent toujours, soit que c'est une coquille vide. Si Facebook prend au sérieux la protection de la vie privée, et j'entends M. Chan dire qu'il le fait — ce ne sont pas mes mots; ce sont ceux du commissaire à la protection de la vie privée — pourquoi avait-il « rejeté d'emblée ou refusé de mettre en œuvre » les recommandations du commissaire à la protection de la vie privée?

M. Kevin Chan:

Vu que le commissaire a annoncé qu'il allait porter l'affaire devant la Cour fédérale, nous sommes en quelque sorte limités dans ce que nous pouvons dire, mais ce que je peux vous raconter, c'est que...

M. Nathaniel Erskine-Smith:

Vous n'êtes pas du tout limité dans ce que vous pouvez dire, monsieur Chan.

M. Kevin Chan:

Je vais continuer avec ce que je peux vous raconter, c'est-à-dire que nous avons en fait travaillé très dur au cours des derniers mois pour parvenir à une résolution et à une marche à suivre avec le commissaire à la protection de la vie privée du Canada...

M. Nathaniel Erskine-Smith:

Donc vous n'avez pas rejeté d'emblée ou refusé de mettre en œuvre les recommandations.

M. Kevin Chan:

Je crois que nous avons entamé une conversation sur la façon dont nous pourrions atteindre les objectifs que nous recherchons tous.

(1115)

M. Nathaniel Erskine-Smith:

Lorsque le commissaire à la protection de la vie privée a écrit ces mots précis dans son rapport particulier, il avait tort, à votre avis.

M. Kevin Chan:

Je ne... Si je peux me permettre, j'aimerais juste expliquer un peu plus, parce que je suis limité dans ce que je peux dire...

Le président:

En fait, monsieur Chan...

Monsieur Chan, la priorité est donnée aux membres du Comité, donc si vous voulez continuer de parler, vous devez entendre.

M. Nathaniel Erskine-Smith:

Mark Zuckerberg a aussi dit que l'avenir est privé. Fait intéressant, cependant, selon la politique sur la protection de la vie privée de Facebook en 2004, l'entreprise n'avait pas et n'utiliserait pas de témoins pour recueillir des renseignements privés auprès de tout utilisateur. Cela a changé en 2007. Au départ, Facebook a donné aux utilisateurs la capacité d'empêcher la collecte de leurs renseignements personnels par des tiers, et cela a aussi été changé.

Quand M. Zuckerberg a dit que l'avenir est privé, veut-il dire que l'avenir retourne à notre passé, lorsqu'on se souciait davantage de la protection de la vie privée que des profits?

M. Kevin Chan:

Je crois que nous faisons des pieds et des mains pour repenser ce à quoi les services de communications en ligne vont ressembler. Je pense que beaucoup de choses intéressantes ont été écrites, pas juste par des gens de l'entreprise, mais dans le monde entier. Nous voyons une ligne de tendance où les gens se concentrent de plus en plus sur les communications individuelles. Elles sont privées, par définition, mais ce que cela soulève, monsieur, en matière de questions de politiques publiques, c'est un équilibre très intéressant entre la protection de la vie privée et l'accès légitime à de l'information ainsi que des questions d'encryptage. Ce sont de fortes tensions. Je crois qu'elles ont été soulevées plus tôt, y compris dans des législatures précédentes au Canada, mais nous espérons dialoguer sur ces questions.

M. Nathaniel Erskine-Smith:

Pour ce qui est de dialoguer sur ces questions, le RGPD a été adopté par l'Union européenne. Nous avons déjà recommandé, au Comité, que le Canada aille plus loin.

L'an dernier, Facebook a fait 22 milliards de dollars, et Alphabet, 30 milliards de dollars. Dans le passé, vous avez utilisé des millions de ces dollars pour des activités de lobbyisme contre le RGPD. Maintenant, vous convenez que c'est une norme qui devrait être en place ou que des normes semblables devraient être en place.

J'aimerais une réponse simple par oui ou non, monsieur Chan et monsieur Slater.

M. Kevin Chan:

Oui, nous appuyons pleinement le RGPD.

M. Nathaniel Erskine-Smith:

Et vous, monsieur Slater?

M. Colin McKay (chef, Relations gouvernementales et politiques publiques, Google Canada):

Si vous n'y voyez pas d'inconvénient, monsieur Erskine-Smith, je vais répondre en tant qu'expert en matière de protection de la vie privée.

M. Nathaniel Erskine-Smith:

Bien sûr.

M. Colin McKay:

Oui.

M. Nathaniel Erskine-Smith:

M. McNamee était ici et il a dit que le consentement ne devrait peut-être pas être la seule règle en jeu et que, dans certains cas, nous devrions simplement interdire certaines pratiques. Il a utilisé le suivi sur le Web.

À quand remonte la dernière fois que Google a lu mes courriels pour me cibler au moyen de publicités? C'était il y a combien d'années?

M. Colin McKay:

Nous avons cessé d'utiliser votre contenu Gmail pour faire de la publicité en 2017. Ce contenu était propre à vous. Cette information n'a jamais été communiquée à l'externe.

M. Nathaniel Erskine-Smith:

Est-ce quelque chose que nous devrions songer à interdire, de sorte que les personnes ne pourraient jamais consentir à ce que leurs courriels soient lus afin qu'on puisse les cibler au moyen de publicités? Seriez-vous à l'aise avec cette idée?

M. Kevin Chan:

C'est certainement la pratique en ce moment. J'hésite à utiliser le mot « interdiction », parce qu'un vaste éventail de services qui pourraient être utilisés dans ce contexte particulier sont raisonnables.

M. Nathaniel Erskine-Smith:

L'autorité de la concurrence allemande a dit ceci en février dernier: En raison de la position de l’entreprise sur le marché, une acceptation obligatoire des conditions générales d’utilisation n’est pas une base suffisante pour un traitement des données aussi intensif. Le seul choix qui s'offre à l'utilisateur est d'accepter la combinaison complète des données ou de s'abstenir d'utiliser le réseau social. Dans une situation aussi difficile, le choix de l'utilisateur ne peut être considéré comme un consentement volontaire.

Messieurs Chan et Slater, croyez-vous que la protection de la vie privée est une considération clé dans les décisions relatives à la concurrence et aux fusions, et les autorités de la concurrence du monde entier devraient-elles tenir compte des questions sur la protection de la vie privée?

M. Kevin Chan:

Je suis désolé. Pourriez-vous répéter la question, juste pour que je m'assure que je la comprends?

M. Nathaniel Erskine-Smith:

Êtes-vous d'accord pour dire que les autorités de la concurrence du monde entier devraient examiner la protection de la vie privée — tout comme elles examinent actuellement les prix — et la collecte de données de nos renseignements personnels comme considération clé dans le droit de la concurrence et au moment d'examiner des fusions et des acquisitions?

M. Kevin Chan:

C'est une question de politiques publiques très intéressante. On peut supposer que certains...

M. Nathaniel Erskine-Smith:

Vous pouvez juste répondre par oui ou non.

M. Kevin Chan:

Ce sont des questions complexes, monsieur, comme vous pouvez le comprendre, et si vous me le permettez, j'aimerais juste dire quelques mots de plus par rapport à cette question, car je crois que c'est compliqué.

Je crois qu'il est clair que les politiques en matière de concurrence et celles sur la protection de la vie privée sont assez différentes. Je soupçonne que les autorités responsables de la protection des données dans le monde entier auraient des points de vue très différents par rapport au fait de savoir si c'est ou non approprié de déverser des concepts propres à d'autres domaines dans la loi sur la protection des données.

M. Nathaniel Erskine-Smith:

Ce n'est pas ce que je dis. Je demande si, puisque nous protégeons actuellement les consommateurs par rapport au prix, nous ne devrions pas les protéger par rapport à la vie privée? Nous avons une autorité de la concurrence allemande qui laisse entendre que nous devrions le faire.

M. Kevin Chan:

Je vois, je suis désolé. Je comprends mieux ce que vous dites.

(1120)

M. Nathaniel Erskine-Smith:

J'ai lu directement une citation de l'autorité de la concurrence allemande.

M. Kevin Chan:

Vous avez tout à fait raison de dire que la protection des données... que nous devrions traiter la protection de la vie privée comme le pilier fondamental de l'économie numérique.

M. Nathaniel Erskine-Smith:

Du droit de la concurrence.

M. Kevin Chan:

Je crois que ce sont deux choses très distinctes. Je ne suis pas le seul à le croire. Je pense que si vous parlez aux autorités de la concurrence et aux autorités de la protection des données, elles pourraient très bien arriver à des points de vue semblables.

M. Nathaniel Erskine-Smith:

Ce n'est pas l'extrait que je vous ai lu.

M. Kevin Chan:

Nous sommes bien au courant de cela. J'ai parlé de cette question avec certains de mes collègues en Allemagne. Selon notre compréhension, le RGPD doit évidemment être appliqué et interprété par les autorités responsables de la protection des données en Europe.

Le président:

Merci.

Nous allons continuer.

Nous passons maintenant à M. Gourde, pour cinq minutes. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Les plateformes numériques que vous représentez ont mis au point, au fil des années, des outils très performants, même excessivement performants. Vous êtes en train de mener une course effrénée à la performance. Or, ce n'est pas nécessairement pour le bien-être de l'humanité, mais plutôt pour les intérêts personnels de vos compagnies.

Je vais faire une analogie. Vous avez conçu des automobiles qui peuvent rouler jusqu'à 250 kilomètres à l'heure, mais vous les louez à des utilisateurs qui roulent à cette vitesse dans des zones scolaires. Vous avez mis au point des outils qui sont devenus dangereux, qui sont devenus des armes.

En tant que législateur, je n'accepte pas que vous rejetiez du revers de la main la responsabilité que vous avez à cet égard. Ces outils vous appartiennent, vous les avez dotés de fonctions, mais vous ne choisissez pas nécessairement les utilisateurs. Vous louez donc vos outils de façon commerciale à des gens qui les utilisent à mauvais escient.

Au cours de l'élection que nous allons vivre dans quelques mois au Canada, aurez-vous la capacité technique d'arrêter immédiatement toute fausse nouvelle, toute forme de publicité haineuse ou toute forme de publicité qui porterait atteinte à notre démocratie? Pourrez-vous agir de façon très rapide? À la rigueur, pourrez-vous enrayer toute publicité pendant les élections au Canada et dans les autres pays, si vous ne pouvez pas nous garantir le contrôle absolu des publicités qui peuvent être placées sur vos plateformes?

Nous allons commencer par les représentants de Facebook, puis j'aimerais entendre ceux de Google et de Twitter.

M. Kevin Chan:

Merci beaucoup, monsieur Gourde.

Je vais commencer par dire que c'est sûr que nous voulons faire tout ce que nous pouvons pour protéger l'élection d'octobre 2019.

Comme vous le savez, nous travaillons en étroite collaboration avec le Parti conservateur, le Nouveau Parti démocratique et le Parti libéral. Il faut mentionner aussi les autres partis, comme le Parti vert, le Parti populaire, le Bloc québécois...

M. Jacques Gourde:

Excusez-moi, monsieur Chan, mais ce n'est pas une question de partis. Il est question de la population qui devra faire un choix en s'appuyant sur des informations que nous allons lui communiquer, et non pas sur de fausses informations.

Avez-vous la capacité d'arrêter rapidement la diffusion de fausses informations ou même d'enrayer carrément toute publicité qui peut être mise sur vos plateformes, si vous n'en avez pas le contrôle?

M. Kevin Chan:

Merci de la question.

Ici, au Canada, nous avons une équipe qui travaille sur chaque élection. Nous avons fait cela en Ontario, au Québec, en Colombie-Britannique, à l'Île-du-Prince-Édouard, au Nouveau-Brunswick...

M. Jacques Gourde:

Ne me nommez pas toutes les provinces.

Je veux savoir si vous avez la capacité d'enrayer en tout temps toute publicité haineuse ou toute fausse information durant la prochaine élection.

M. Kevin Chan:

Pour le moment, au cours de toutes les autres élections, il n'y a pas eu de problèmes que nous n'ayons pu résoudre rapidement.

M. Jacques Gourde:

Merci.

Je pose la même question aux représentants de Google. [Traduction]

M. Derek Slater:

Il est absolument essentiel de bien faire les choses. Nous investissons fortement dans des activités visant à prévoir et à prévenir les tentatives de miner l'intégrité électorale. Pour ce faire, nous rendons des renseignements utiles accessibles dans des recherches ou nous traitons avec les acteurs qui pourraient faire des déclarations trompeuses ou donner d'eux-mêmes une image inexacte dans des publicités.

M. Carlos Monje:

Twitter a consacré beaucoup de temps à l'amélioration de notre capacité interne de repérer ce type de désinformation. Nous avons tiré des apprentissages des élections dans le monde entier. Nous avons activement dialogué avec la société civile ici, et récemment durant les élections en Alberta, et nous estimons être très bien préparés. Toutefois, nous ne pouvons pas perdre de vue le prix. Ce sont les gens qui veulent manipuler la conversation qui continueront d'innover, et nous continuerons d'innover afin d'avoir une longueur d'avance sur eux.

(1125)

[Français]

M. Jacques Gourde:

À la suite de vos réponses, je reste dans le doute et dans l'inquiétude.

Vos véhicules peuvent rouler à 250 kilomètres à l'heure, mais la limite sur l'autoroute est de 100 kilomètres à l'heure. Êtes-vous capables de réduire la capacité de vos outils, pour que ce soit juste et équitable envers tout le monde?

Qu'est-ce que cela donne d'avoir des outils si performants, si c'est pour faire le mal, alors qu'une moins grande performance pourrait servir le bien de l'humanité?

M. Kevin Chan:

Si vous me le permettez, je vais m'exprimer en anglais pour être plus clair, puisque c'est ma langue maternelle.[Traduction]

J'aimerais juste dire, monsieur Gourde, que c'est exactement ce que nous allons faire. Le mois prochain, comme votre parti et d'autres partis au Canada le savent, nous présenterons un processus très intensif pour quiconque veut publier des publicités politiques. Nous obligerons ces gens à obtenir une autorisation ou à démontrer qu'ils sont Canadiens. Nous devrons valider indépendamment le fait qu'ils sont Canadiens, puis nous leur donnerons un code — ou une clé, si vous le voulez — avec quoi ils devront s'authentifier avant de pouvoir diffuser une publicité.

Ce processus ne se fera pas dans une heure ou une journée, mais sur plusieurs jours. Je vous garantis que nous dialoguerons et travaillerons en étroite collaboration avec tous les partis politiques du Canada pour les guider dans le cadre de ce processus. Concernant les ralentisseurs ou les freins, je dirais que ce sera un mécanisme de ralentissement important dans le système, mais je crois que c'est ce qu'il faut faire pour assurer la transparence des publicités, pour réglementer le droit de faire des publicités politiques et pour se prémunir contre l'ingérence étrangère.

Le président:

Merci, monsieur Gourde.

Le prochain est M. Angus.

M. Charlie Angus:

Merci, monsieur le président.

Merci beaucoup de ces exposés. Ils sont très utiles.

Monsieur Chan, nous savons que M. Zuckerberg et Mme Sandberg sont des personnes très importantes. Sont-elles occupées aujourd'hui?

M. Kevin Chan:

Je ne suis pas au courant de leur horaire aujourd'hui, mais je crois que c'est exact. Elles ont malheureusement dû transmettre leurs excuses.

M. Charlie Angus:

D'accord.

Je vais essayer de comprendre la gouvernance d'entreprise de Facebook. Vous venez du milieu politique canadien. Vous avez travaillé pour le Parti libéral. Nous sommes en quelque sorte doux et dociles ici, au Canada. Je n'ai même pas souvenir qu'on ait délivré une assignation au chef d'une société. Je ne connais personne qui ait déjà décidé de faire fi d'une assignation.

J'ose croire qu'ils ont quelque chose de vraiment pressant qui les garde occupés. Quand M. Zuckerberg a parlé récemment, comme mon collègue l'a souligné, au sujet de sa volonté, de son désir de parler avec les législateurs, est-ce que c'était une blague?

Ma question s'adresse à M. Chan. J'aimerais savoir ce qu'il en pense, parce qu'il nous représente au Canada.

M. Kevin Chan:

Eh bien, monsieur, je dois dire que nous souhaitons beaucoup collaborer avec le Parlement et le gouvernement du Canada. L'élection qui s'en vient sera importante, et elle sera importante pour nous afin que nous fassions bien les choses à Facebook. Nous voulons assurer une élection libre et juste. C'est pourquoi nous avons fait tout ce que nous avons fait.

Nous nous conformons au projet de loi C-76. À ma connaissance, nous pourrions être la seule entreprise représentée ici qui va de l'avant avec un système d'architecture pour le faire. Nous avons réagi rapidement aux promoteurs de haine au Canada, autant les organisations que les particuliers, et nous avons signé la Déclaration du Canada sur l'intégrité électorale. J'aimerais...

M. Charlie Angus:

Oui, et je vous en remercie. Désolé, je n'ai que quelques minutes.

Je reconnais ce travail. Je suis un grand admirateur de Facebook.

M. Kevin Chan: Merci, monsieur.

M. Charlie Angus: J'ai beaucoup parlé des outils puissants qu'il offre dans les collectivités autochtones que je représente.

Mon inquiétude a trait à cette idée d'adhésion et de retrait de Facebook quand il s'agit de la législation nationale. Tout d'abord, vous avez fait fi d'une assignation du Parlement, parce que M. Zuckerberg pourrait être occupé. C'est peut-être son jour de congé. Je ne sais pas.

Vous avez récemment été reconnu coupable par notre organisme de réglementation de la violation par Cambridge Analytica. M. Therrien a dit ceci: Le risque est élevé pour les Canadiens qui utilisent Facebook de voir leurs renseignements personnels utilisés à des fins qui leur sont inconnues pour lesquelles ils n'ont pas consenti et qui peuvent être contraires à leurs intérêts ou à leurs attentes. Les préjudices peuvent être très réels, notamment le [...] politique et la surveillance.

Ce qui était frappant, c'est que Facebook n'a pas reconnu que nous avons compétence sur nos propres citoyens. Si vous dites que vous êtes prêts à travailler avec les parlementaires, je ne comprends pas cette adhésion quand cela fonctionne pour Facebook et ce retrait quand...

Pourriez-vous me donner un exemple d'une entreprise qui dit qu'elle ne reconnaît juste pas si oui ou non nous avons compétence sur nos citoyens?

(1130)

M. Kevin Chan:

Monsieur, j'ai aussi été surpris quand j'ai vu ces rapports, et j'ai donc lu l'affaire avec attention et j'en ai parlé à un conseiller juridique.

Ce que je comprends, c'est que cela faisait allusion au fait que, à notre connaissance, selon les données probantes disponibles dans le monde et les preuves documentées, pas seulement en ce qui concerne des contrats et des choses du genre, mais aussi selon des témoins qui ont des récits de première main, aucune donnée de Canadiens ou, en fait, d'utilisateurs non américains n'a jamais été transférée à Cambridge Analytica. Je crois, si je peux...

M. Charlie Angus:

D'accord, mais sur ce point — je n'ai que peu de temps — 622 000 Canadiens se sont vu prendre leurs données. Facebook en a eu connaissance en 2015, et l'entreprise n'a rien dit jusqu'à ce qu'elle ait été exposée à l'échelle internationale, en raison de la violation dont s'est rendue coupable Cambridge Analytica. Il s'agissait d'une violation du droit canadien en contravention de la LPRPDE.

Vous connaissez cette loi; pourtant, le fait de dire aux législateurs canadiens que nous devions prouver les préjudices individuels avant que Facebook puisse reconnaître la compétence, pour moi, ce serait la même chose qu'une entreprise automobile internationale qui dit: « Oui, il y a eu de nombreux décès au Brésil; oui, il y a eu des morts en masse aux États-Unis; oui, il y a eu des morts en masse dans toute l'Europe; mais puisque personne n'est mort dans un accident automobile au Canada, nous n'allons pas nous conformer à la loi canadienne ».

Comment décidez-vous quelles lois vous respectez et quelles lois ne s'appliquent pas à vous? Pourquoi pensez-vous cela?

M. Kevin Chan:

Monsieur Angus, avec tout le respect que je vous dois, nous respectons entièrement la loi...

M. Charlie Angus:

Non, vous ne le faites pas. Vous ne reconnaissez pas notre compétence.

M. Kevin Chan:

... comme le sait le Parlement du Canada.

M. Charlie Angus:

Comment pouvez-vous nous dire cela sans broncher, monsieur Chan? Comment est-ce possible?

M. Kevin Chan:

Parce que c'est la vérité, monsieur.

M. Charlie Angus:

Donc nous devons vous traduire devant les tribunaux pour que vous reconnaissiez que nous avons la compétence de protéger nos citoyens, après que vous avez caché une violation dont vous étiez au courant depuis trois ans et n'avez rien fait pour nous le dire, car vous ne vouliez pas mettre fin à votre modèle opérationnel.

M. Kevin Chan:

Pour ce qui est de l'intégrité des élections, nous respectons la loi...

M. Charlie Angus:

Je parle du droit à la vie privée des Canadiens et de la violation de notre loi dont vous avez été reconnu coupable. C'est la question.

M. Kevin Chan:

Nous pouvons aussi en parler, monsieur, dans le temps qu'il nous reste, si vous me le permettez.

Comme je l'ai dit, nous voulions parvenir à une résolution avec le commissaire. Il a décidé de nous amener devant les tribunaux, ce qui est bien sûr le cadre qui est prescrit pour lui...

M. Charlie Angus:

Il devait vous traduire en justice, parce que vous ne vouliez pas reconnaître que nous, en tant que législateurs, avions même compétence sur nos propres citoyens. Il ne s'agit pas de parvenir à une résolution. C'est comme dire: « Hé, Facebook, est-ce que cela vous va si nous venons jeter un coup d'œil et que nous arrangeons les choses? » Ce n'est pas ainsi que la loi fonctionne. Peut-être que c'est ainsi que cela fonctionne pour M. Zuckerberg, mais sur la scène internationale, ce n'est pas comme ça, et c'est pourquoi nous sommes ici. C'est parce que nous avons des législateurs internationaux qui sont frustrés...

M. Kevin Chan:

Nous avons le plus grand respect pour...

M. Charlie Angus:

... par le manque de respect du droit international.

M. Kevin Chan:

Nous avons le plus grand respect pour le droit au Canada et pour l'autorité juridique dans le monde.

Le président:

Merci.

Nous allons maintenant passer à M. Tong, de Singapour.

M. Edwin Tong (ministre d'État principal, Ministère de la justice et Ministère de la santé, Parlement de Singapour):

Mon temps est limité, donc je vous serais reconnaissant si vous vous en teniez à mes questions et donniez directement les réponses.

Nous avons beaucoup entendu parler de ce que vous souhaitez faire, des gens avec qui vous avez noué un dialogue, des gens que vous souhaitez voir et de la façon dont vous allez travailler sur vos politiques, mais voyons juste ce qui se passe dans la réalité et ce qui continue d'apparaître sur vos plateformes.

Pour ce faire et pour gagner du temps, j'ai préparé un petit document qui résume plusieurs cas, et je suis certain que vous les connaissez. Veuillez juste les parcourir rapidement. Ce sont tous des cas qui ont été sensationnels. Ils sont tous devenus viraux rapidement. Ils ont probablement été amplifiés par des trolls et des bots — de faux comptes. Ils incitent à la peur, ils causent une désaffection et des tensions et ils s'attaquent à des lignes de faille sociales qui divisent: la race, la religion et l'immigration.

Un fait essentiel, c'est que ce sont tous de faux renseignements également, et tout cela a entraîné des préjudices dans le monde réel: des blessures physiques, des décès, des soulèvements, l'accentuation des divisions et des lignes de faille entre les religions et les races, qui ont causé de la peur.

Si vous pouvez juste aller à la dernière page du document et regarder le Sri Lanka, en avril 2019. Le chef des terroristes ayant fait exploser des bombes à Pâques au Sri Lanka avait publié des vidéos qui se trouvaient sur vos plateformes — Facebook et YouTube — pendant au moins six mois avant les attentats à la bombe proprement dits. Dans les vidéos, il dit: « les non-musulmans et les gens qui n'acceptent pas les musulmans peuvent être tués, en plus des femmes et des enfants ». Ailleurs, il dit: « Nous pouvons tuer des femmes et des enfants avec des bombes. C'est juste. »

Il s'agit clairement d'un discours haineux, n'est-ce pas?

M. Neil Potts:

C'est un discours haineux.

M. Edwin Tong:

Et c'est une violation de vos propres politiques, est-ce exact?

M. Neil Potts:

Ce serait une violation de nos politiques. C'est exact, monsieur.

M. Edwin Tong:

Ces passages, publiés des mois avant les attentats de Pâques, prédisent ce qu'il va se passer, et c'est arrivé, horriblement, en avril, de la même manière que ce prêtre allégué, M. Zahran Hashim, a dit que cela arriverait — des bombes ont tué des femmes et des enfants — sur vos plateformes.

Pourquoi? Pourquoi est-ce que cela n'a pas été retiré?

M. Neil Potts:

Merci, monsieur Tong.

Rapidement, juste pour...

(1135)

M. Edwin Tong:

Non, veuillez répondre à ma question. Pourquoi cela n'a-t-il pas été retiré? Vous dites que c'est une violation de vos propres politiques. Pourquoi la vidéo n'a-t-elle pas été retirée en septembre 2018?

M. Neil Potts:

Quand nous prenons connaissance de ce contenu, nous le retirons. Si ce n'est pas signalé ou si nous ne l'avons pas repéré de manière proactive, alors nous ne le retirons pas, car honnêtement, nous ne savons pas que ça existe.

J'aimerais dire que nos pensées vont aux gens du Sri Lanka et d'ailleurs que vous avez mentionnés ici, dans votre document. La violence ethnique intercommunautaire est une chose horrible. Nous ne voulons pas que nos plateformes soient entraînées dans ces activités et utilisées à ces fins. En fait, nous avons pris des mesures vigoureuses pour nous y attaquer. Nous avons maintenant plus de 30 000 personnes qui travaillent à la sécurité...

M. Edwin Tong:

Monsieur Potts, je n'ai pas besoin de discours sur ce que vous allez faire.

M. Neil Potts:

Je m'excuse.

M. Edwin Tong:

Quelle est la difficulté de comprendre que les phrases: « Nous pouvons tuer des femmes et des enfants avec des bombes. C'est juste » est un discours haineux? Quelle est la difficulté là-dedans?

M. Neil Potts:

La question n'est pas difficile, monsieur Tong. Il s'agit plutôt de repérer le contenu. Si nous ne sommes pas mis au courant de l'existence du contenu, que ce soit au moyen d'un rapport d'utilisateur ou de nos propres mesures proactives, alors nous ne savons pas que ce contenu se trouve sur la plateforme.

M. Edwin Tong:

Donc rien, ni l'intelligence artificielle ou la technologie, ni les vérificateurs des faits ou l'armée de gens qui ont scruté vos plateformes n'a repéré cela huit mois avant l'événement, et vous nous demandez de faire confiance aux processus que vous avez l'intention de mettre en place, d'avoir confiance, car l'intelligence artificielle que vous détenez maintenant le fera dans l'avenir.

M. Neil Potts:

L'intelligence artificielle est un excellent levier pour nous aider à repérer cela. Ce n'est pas parfait. Il n'est pas évident qu'elle permettra de découvrir 100 % des activités, tout comme les humains ne découvriront pas 100 % des activités. Il me faudrait vérifier précisément cette vidéo, mais si nous en avions eu connaissance, nous l'aurions retirée. C'est une décision très directe.

M. Edwin Tong:

Monsieur Potts, si vous faites vos devoirs et vos vérifications, les dirigeants musulmans locaux l'ont signalée sur Facebook, et Facebook ne l'a pas retirée même si l'entreprise était au courant, même s'il s'agissait, comme vous le dites, d'une violation claire de vos propres politiques. J'aimerais savoir pourquoi.

M. Neil Potts:

Monsieur, il me faudrait voir comment le contenu a été partagé. La façon dont vous avez...

M. Edwin Tong:

Vous avez dit, messieurs Potts et Chan, que vous êtes tous deux des spécialistes du contenu. Vous êtes des spécialistes du domaine. Vous êtes ici pour remplacer M. Zuckerberg et Mme Sandberg, et vous devriez le savoir. Cela s'est produit il y a quelques mois, donc pourquoi la vidéo n'a-t-elle pas été retirée, même si Facebook était au courant? Pourriez-vous expliquer pourquoi?

M. Neil Potts:

J'essaie d'expliquer que je ne connais pas la situation. Il faudrait que je vérifie pour m'assurer que nous le savions. Je ne crois pas que nous étions au fait de cette vidéo à ce moment-là.

M. Edwin Tong:

Je dirais que vous n'avez pas retiré la vidéo parce que son contenu était sensationnel, à même de susciter la peur, la violence, la haine et les théories du complot. Comme M. McNamee nous l'a expliqué précédemment, c'est ce qui attire les gens sur vos plateformes. C'est ce qui attire les utilisateurs vers vos plateformes et c'est ainsi que vous générez des profits.

M. Neil Potts:

Monsieur Tong, je rejette cette affirmation. Je la rejette sans réserve. Si nous sommes au fait d'un cas de discours haineux, si nous savons que cela suscite la violence, nous agissons plus rapidement.

Nous avons eu une discussion précédemment sur la mésinformation. Si nous savons qu'un cas de mésinformation peut mener à des préjudices physiques et à de la violence, nous travaillons avec des partenaires dignes de confiance sur le terrain, la société civile et d'autres intervenants, pour qu'ils nous le disent — et même les représentants de l'application de la loi —, puis, en fait, nous retirons le contenu en question.

M. Edwin Tong:

Monsieur Potts, Facebook a été informée de tout cela. Vous pouvez vérifier. Facebook a aussi été informée des problèmes au Sri Lanka en 2018 par le gouvernement sri lankais. L'entreprise a refusé de retirer le contenu parce qu'il ne violait pas ses propres politiques. M. McNamee affirme que, en conséquence, les gouvernements au Sri Lanka, en Indonésie et en Inde ont pris des mesures proactives pour interdire l'accès aux médias sociaux comme Facebook et WhatsApp. Est-ce ainsi que vous voulez que les choses se passent?

Pouvons-nous faire confiance aux politiques que vous mettez en place? Pouvons-nous être sûrs que ce que vous faites et ce que vous mettez en place — les vérifications pour trouver et retirer de tels éléments de contenu — fonctionneront?

Le président:

Merci, monsieur Tong. Il faut passer au prochain intervenant.

Nous tenons à souhaiter la bienvenue à la délégation d'Irlande. Les représentants viennent d'arriver ce matin par avion.

Bienvenue.

Nous allons donner les cinq premières minutes à Hildegarde Naughton.

Mme Hildegarde Naughton (présidente, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Merci, monsieur le président. Nous sommes heureux d'être ici cet après-midi.

Je vais commencer par formuler mes questions, puis les entreprises des médias sociaux pourront répondre. J'ai environ trois questions. La première est liée à la protection des données.

Il est évident que vous vous efforcez tous de trouver une façon de rendre les règles claires en matière de protection de la vie privée et de protéger les données des utilisateurs. La mise en place du RGPD a changé complètement la donne en ce qui a trait à la protection des données en Europe. En fait, la commissaire irlandaise à la protection des données a maintenant la tâche de réglementer l'Europe, vu le nombre d'entreprises des médias sociaux dont les sièges sociaux sont situés en Irlande.

Dans les 11 mois qui ont suivi l'entrée en vigueur du RGPD, la commissaire a reçu près de 6 000 plaintes. Elle a dit s'être concentrée sur Facebook parce qu'elle ne pensait pas qu'il pouvait y avoir autant de violations importantes touchant les données associées à une seule entreprise. En outre, à un moment donné, elle était informée de manquements en vertu du RGPD aux deux semaines, alors elle a mis en place une enquête conjointe pour se pencher sur la situation. J'aimerais demander à Facebook de formuler des commentaires sur ses remarques et d'expliquer pourquoi l'entreprise a tellement de difficultés à protéger les données des utilisateurs.

Pour ce qui est de la prochaine question, je vais peut-être demander à Google et Facebook de répondre. Mon collègue James Lawless, le sous-ministre Eamon Ryan et moi avons rencontré plus tôt cette année Mark Zuckerberg, en Irlande, et il a dit qu'il aimerait que le RGPD soit adopté à l'échelle internationale. Certains des plus gros marchés de Facebook se trouvent dans des pays en développement, comme l'Asie et l'Afrique et, parmi les 10 principaux pays, il y en a seulement deux du monde industrialisé, soit les États-Unis et le Royaume-Uni. Certains experts affirment qu'une approche universelle ne fonctionnera pas en ce qui a trait au RGPD, parce que certaines régions ont des interprétations différentes de l'importance de la protection des renseignements personnels.

J'aimerais obtenir le point de vue de Google là-dessus: que pensez-vous de la mise en place d'un RGPD à l'échelle internationale? De quelle façon cela fonctionnerait-il? Devrait-on mettre un tel règlement en place à l'échelle internationale? Et j'aimerais aussi connaître vos préoccupations quant aux différentes interprétations faites de la protection des renseignements personnels.

Et pour terminer, en raison du travail de notre comité responsable des communications dans l'Oireachtas — le Parlement irlandais — le gouvernement irlandais est sur le point de créer un commissaire à la sécurité numérique qui aura le pouvoir juridique de demander le retrait de communications néfastes en ligne. Vu que l'Irlande accueille les sièges sociaux internationaux et européens de nombreuses entreprises des médias sociaux, croyez-vous qu'une telle loi permettra réellement à l'Irlande de réglementer le contenu en Europe et, possiblement, au-delà des frontières européennes?

Quiconque le désire peut répondre en premier.

(1140)

M. Kevin Chan:

Merci, madame. Je tiens à souligner que Neil et moi avons passé du temps avec nos homologues irlandais et qu'ils n'ont que de bonnes choses à dire à votre sujet, alors je suis heureux de vous rencontrer.

En ce qui concerne la question des violations que vous avez mentionnées, évidemment, nous ne sommes pas au courant des renseignements précis qui auraient été envoyés à l'autorité irlandaise responsable de la protection des données, alors je ne peux pas vous parler précisément de cela, mais je peux dire que notre position générale, c'est d'être le plus transparents possible.

Vous — et divers membres du Comité — savez probablement que nous sommes assez francs en ce qui a trait à la communication publique de nos failles, des situations où nous avons trouvé des renseignements justifiant des enquêtes, des situations où nous avons été mis au fait de certaines choses. C'est notre engagement à votre égard, mais aussi à l'égard des utilisateurs partout dans le monde, et je crois que vous continuerez d'entendre parler de ces choses à mesure que nous les découvrons. C'est une position importante pour nous, parce que nous voulons faire la bonne chose, soit informer nos utilisateurs, mais aussi informer le public et les législateurs le plus possible lorsque nous découvrons de telles situations.

Nous voulons être très transparents, et c'est la raison pour laquelle vous entendrez de plus en plus parler de nous. Encore une fois, malheureusement, je ne peux pas vous parler précisément de ce à quoi faisait référence l'autorité responsable de la protection des données.

Mme Hildegarde Naughton:

Google, puis-je, s'il vous plaît, connaître vos points de vue à ce sujet?

M. Colin McKay:

Comme nous l'avons décrit dans notre déclaration préliminaire, nous cherchons des normes internationales applicables à une diversité de cadres sociaux, culturels et économiques. Nous misons sur des cadres fondés sur les principes, particulièrement lorsqu'il est question de protection des données. C'est ce qu'on a pu voir relativement au RGPD et aussi au sujet des principes antérieurs de l'OCDE.

Le fait d'élargir la portée du RGPD au-delà des frontières actuelles est quelque chose que nous jugeons souhaitable. La question est la suivante: de quelle façon peut-on l'adapter dans des administrations précises où il faudra l'appliquer, vu que l'environnement européen et l'histoire européenne en matière de protection des données sont très différents de ce qu'on retrouve ailleurs dans le monde, surtout dans certaines régions du globe, qu'on parle de l'Afrique, ou de l'Asie, que vous avez mentionnées?

Nous sommes d'accord là-dessus. Nous avons même appliqué les mesures de protection accordées aux Européens à l'échelle internationale, mais il faut se demander à quoi cela peut ressembler au sein d'un pays.

Pour ce qui est de votre deuxième question sur le commissaire responsable de la sécurité numérique, je vais céder la parole à M. Slater.

Le président:

Merci, madame Naughton. En fait, le temps est écoulé, alors nous devons passer au prochain délégué. Toutes mes excuses. Nous avons peu de temps.

Pour la prochaine question, nous nous tournons vers la République d'Allemagne.

M. Jens Zimmermann (Parti social-démocrate, Parlement de la République fédérale d'Allemagne):

Merci beaucoup.

Je vais aussi commencer par Facebook. Je suis heureux de rencontrer l'équipe canadienne responsable des politiques publiques. Je connais l'équipe allemande.

Pour commencer, j'aimerais revenir sur ce que mon collègue de Singapour a demandé. À la lumière de l'expérience en Allemagne, j'ai une réponse relativement simple. C'est tout simplement que de nombreuses entreprises — aussi présentes aujourd'hui — n'ont pas assez d'employés pour s'occuper de tous ces problèmes et traiter toutes ces plaintes. Comme cela a déjà été mentionné, l'intelligence artificielle n'est pas toujours suffisante pour faire ce travail. Après l'adoption de la NetzDG en Allemagne, nous avons constaté qu'une augmentation massive du nombre d'employés était nécessaire pour gérer toutes les plaintes et qu'elle permettait aussi d'accroître le nombre de plaintes traitées. Je ne connais pas la situation dans d'autres pays, mais c'est assurément un aspect important.

Je veux poser une question sur une décision antitrust en Allemagne concernant le fait de savoir si les données de Facebook, WhatsApp et Instagram devraient être combinées sans le consentement des utilisateurs. Vous allez à l'encontre de la décision allemande, alors, évidemment, vous n'êtes pas d'accord, mais vous pourriez peut-être décrire un peu plus clairement votre position.

(1145)

M. Kevin Chan:

Merci beaucoup, monsieur. Une de mes collègues au Canada m'a dit avoir passé du temps avec vous, hier, dans le cadre d'une table ronde. Merci beaucoup de l'invitation.

En ce qui a trait aux diverses plateformes, comme vous le savez, nos conditions de service et notre politique sur les données des utilisateurs soulignent le fait que nous allons communiquer l'infrastructure de données entre les divers services. C'est en grande partie, franchement, pour nous assurer de pouvoir offrir un certain niveau de sécurité d'une plateforme à l'autre.

Facebook est une plateforme qui exige la vraie identité des utilisateurs. Nous voulons nous assurer que les gens sont bien qui ils disent être, mais il y a beaucoup de bonnes raisons pour lesquelles on voudra mettre ce même genre de mesures en place sur la plateforme Instagram, par exemple. Il y a de nombreuses situations où — et vous avez entendu parler de tout ce qui concernait même notre lutte coordonnée contre les comportements inauthentiques — pour pouvoir réaliser des enquêtes adéquates à l'échelle du système, nous devons avoir une certaine capacité de comprendre la provenance de certains éléments de contenu et de certains comptes. Le fait d'avoir une infrastructure commune nous permet de relever ce genre de défi de façon très efficace.

M. Jens Zimmermann:

Oui, et cela vous permet aussi de regrouper très efficacement des données et d'accroître votre connaissance des utilisateurs et vos profits. N'est-ce pas là la raison sous-jacente?

Il serait possible, encore une fois, de donner à tous les utilisateurs la capacité de prendre ces décisions. Ce serait très facile, mais je crois que ce serait aussi très coûteux pour vous.

M. Kevin Chan:

Monsieur, je crois que, lorsque vous parlez de notre objectif plus général et de la situation vers laquelle nous nous dirigeons, c'est exact. Nous voulons donner aux gens plus de contrôle. Nous voulons que les gens puissent...

M. Jens Zimmermann:

D'accord, mais alors pourquoi allez-vous à l'encontre de la décision rendue en Allemagne?

M. Kevin Chan:

Je crois que le nœud du problème, encore une fois, tient à la question posée par M. Erskine-Smith: où commence et où se termine la politique sur la concurrence relativement aux limites du droit à la vie privée?

M. Jens Zimmermann:

D'accord. Merci.

Je veux aussi m'adresser à Google. Vous avez mentionné avoir besoin de définitions claires de la notion de « discours illicites ». Je me suis penché sur le rapport allemand sur la transparence, et il s'avère que, des 167 000 plaintes en Allemagne, seulement 145 cas ont exigé que vos collègues se tournent vers des spécialistes pour déterminer si, oui ou non, il était question de discours illicites. Pourquoi, alors, croyez-vous que c'est vraiment problématique? Est-ce vraiment un problème de définition ou est-ce plutôt un problème lié à la gestion du nombre de plaintes et à l'immense quantité de discours haineux en ligne?

M. Derek Slater:

C'est une question très importante. La NetzDG est une loi complexe, mais l'une des composantes pertinentes, ici, c'est qu'elle cerne, si je ne m'abuse, 22 lois précises qu'elle régit.

M. Jens Zimmermann:

En fait, la NetzDG dit essentiellement que, en Allemagne, il faut respecter les lois allemandes, un point c'est tout.

M. Derek Slater:

Je comprends, et ce qui a été dit au sujet de ces 22 lois, c'est: « Voici les exigences en matière de délai de traitement et de rapport sur la transparence ayant mené aux données que vous aviez. » Selon moi, une des choses importantes dans ce cas-ci, c'est qu'on parle précisément de définitions législatives claires. Ces définitions nous permettent ensuite d'agir en fonction d'avis clairs de façon rapide et conformément au cadre législatif.

(1150)

Le président:

Nous allons maintenant passer à la République d'Estonie.

Allez-y, vous avez cinq minutes.

Mme Keit Pentus-Rosimannus (vice-présidente, Parti réformateur, Parlement de la République d'Estonie (Riigikogu)):

Merci.

Je viens d'Europe, de l'Estonie. C'est vrai que, deux jours après les élections européennes, on pourrait dire que vous avez fait des progrès en ce qui a trait au retrait de faux comptes, mais c'est aussi vrai que ces faux comptes n'auraient jamais dû exister d'entrée de jeu.

Ma première question est la suivante: quel genre de changements prévoyez-vous mettre en place pour identifier vos utilisateurs dès le départ?

M. Kevin Chan:

Merci de la question. Je crois que nous sommes prudents, mais heureux des résultats en ce qui a trait au rendement de la plateforme en Europe. Cependant, pour ce qui est des faux comptes, je dirais — et je crois que mon collègue M. Potts l'a mentionné — qu'il y a un genre de course à l'armement entre nous et nos adversaires, les délinquants qui essaient de créer des comptes et du contenu inauthentiques sur la plateforme.

Je crois que nous devons constamment nous améliorer et évoluer...

Mme Keit Pentus-Rosimannus:

De quelle façon pouvez-vous améliorer le processus d'identification initial?

M. Kevin Chan:

L'une des choses que je peux vous dire — et encore là il est question de la publicité politique que nous tentons de gérer —, c'est que nous voulons être assez sûrs de l'identité des personnes qui font de la publicité.

Au Canada, comme je l'ai mentionné précédemment, nous le ferons, et ce ne sera pas facile. Les annonceurs politiques au Canada devront obtenir une preuve d'identité quelconque. Il faudra vérifier de façon indépendante cette preuve d'identité, puis nous enverrons à la personne une clé quelconque — une clé numérique, si vous voulez — qu'elle utilisera pour s'authentifier avant de pouvoir faire de la publicité politique.

C'est très coûteux, et il s'agit d'un investissement important. Ce n'est pas non plus quelque chose qui se fera sans créer certaines frictions. Personnellement, je crains qu'il y ait des situations où les gens voudront publier une publicité sans connaître l'exigence, pour ensuite constater qu'il leur faudra plusieurs jours avant de pouvoir le faire.

Je crains aussi qu'il y ait de faux positifs, mais je crois que c'est la bonne chose à faire pour protéger les élections partout dans le monde et ici même, au Canada, en octobre. Nous sommes prêts à y consacrer le temps et l'argent et, possiblement, à composer avec certaines des frictions pour bien faire les choses.

Mme Keit Pentus-Rosimannus:

D'accord. Merci.

Ma deuxième question concerne les fausses nouvelles et les fausses vidéos. Quelle est votre politique en matière de fausses nouvelles, par exemple, les vidéos truquées? Seront-elles retirées ou indiquera-t-on tout simplement qu'il s'agit de vidéos truquées?

M. Derek Slater:

La question des vidéos truquées... Merci de la question. C'est un nouvel enjeu très important. Nous avons des lignes directrices claires aujourd'hui au sujet du contenu qu'il faut retirer. Si une vidéo truquée est visée par nos lignes directrices, nous la retirerons.

Nous comprenons aussi qu'il faut faire plus de recherches. Nous avons travaillé activement avec la société civile et le milieu universitaire à cet égard.

Mme Keit Pentus-Rosimannus:

Et qu'en est-il de Facebook?

M. Neil Potts:

Merci.

Nous menons aussi des enquêtes et réalisons des recherches sur cette politique pour nous assurer de faire la bonne chose. Actuellement, nous indiquerions que c'est un faux, nous informerions les utilisateurs, mais nous tentons constamment...

Mme Keit Pentus-Rosimannus:

Les vidéos truquées ne seront pas retirées.

M. Neil Potts:

Nous mettons constamment à jour nos politiques, et nous pourrons les mettre à jour à l'avenir, à mesure que les choses évoluent. Nous travaillons avec des organismes de recherche et des gens sur le terrain pour comprendre de quelle façon ces vidéos pourraient se manifester. Comme je l'ai déjà mentionné, si ces vidéos — ou tout type de mésinformation — peuvent mener à des préjudices dans le vrai monde — à des préjudices hors ligne, en fait — nous retirerons le contenu.

Mme Keit Pentus-Rosimannus:

Et du côté de Twitter?

M. Carlos Monje:

Nous partageons la même préoccupation au sujet des vidéos truquées. Si nous constatons que des vidéos truquées sont utilisées pour transmettre de faux renseignements en contravention de nos règles, nous retirerons le contenu.

Mme Keit Pentus-Rosimannus:

Ma dernière question sera à nouveau adressée à M. Collins. C'est la question qui a été posée au début, au sujet de la fausse vidéo de Nancy Pelosi. Disons qu'une vidéo similaire devait être produite, mais qu'elle mettait en scène M. Zuckerberg, serait-elle retirée ou indiqueriez-vous seulement que c'est une fausse vidéo?

Des voix: Ha, ha!

M. Neil Potts:

Je suis désolé, à cause des rires... Je n'ai pas entendu le nom.

Mme Keit Pentus-Rosimannus:

Désolée pour les éclats de rire. Si une vidéo similaire à ce qui a été présenté — la vidéo de Nancy Pelosi — était affichée, mais qu'elle mettait en vedette Mark Zuckerberg, la retireriez-vous ou indiqueriez-vous simplement qu'il s'agit d'une fausse nouvelle?

M. Neil Potts:

Si c'était la même vidéo, mais qu'il s'agissait de M. Zuckerberg plutôt que de la présidente Pelosi, le traitement serait le même.

Le président:

Merci.

Je veux expliquer rapidement ce qui se passe derrière moi. Vos présidents ont décidé de continuer de travailler durant le dîner, alors n'hésitez pas à aller chercher quelque chose. Nous continuerons les témoignages durant le dîner.

Nous passons maintenant au Mexique. Allez-y. Vous avez cinq minutes.

(1155)

L’hon. Antares Guadalupe Vázquez Alatorre (sénatrice):

[Le témoin s'exprime en espagnol et l'interprétation en anglais de ses propos est traduite ainsi:]

Merci. Je vais parler dans ma langue.

J'ai plusieurs questions. Dans le cas de Google, que faites-vous pour protéger les renseignements personnels des gens? Je sais qu'il y a beaucoup de cas de vidéos liés à du sextage qui sont encore accessibles, et quand les victimes de ces vidéos se tournent vers vos bureaux à Mexico — et je suis au fait de plusieurs cas — Google leur dit de présenter la plainte aux États-Unis. On parle de vidéos qui constituent une attaque violente contre une personne et ne peuvent pas être téléchargées. Que faites-vous dans de tels cas?

M. Derek Slater:

Je ne connais pas les cas précis dont vous parlez, mais nous avons des lignes directrices strictes lorsqu'on parle de choses qui peuvent inciter à la violence ou qui constituent des violations de la vie privée, par exemple. Si nous sommes informés et que nous sommes mis au fait de quelque chose du genre, nous passons à l'action, s'il s'agit d'une violation des lignes directrices en question. Je ne suis pas au fait des cas précis, mais je serais heureux de faire un suivi.

L’hon. Antares Guadalupe Vázquez Alatorre:

[Le témoin s'exprime en espagnol et l'interprétation en anglais de ses propos est traduite ainsi:]

J'ai des renseignements sur des cas très précis, mais nous ne savons pas vers qui nous tourner au Mexique, parce que les représentants ne font rien. Nous espérons que vous vous occuperez de ce dossier, parce que les gens doivent attendre des années avant que ces choses soient retirées.

J'aimerais poser une question à Twitter sur la création de tendances au moyen de robots. C'est très courant au Mexique. Chaque jour, il y a des tendances créées par des robots, ce qu'on appelle les fermes de robots. Je ne sais pas quelle est la politique de Twitter, parce que vous semblez permettre les tendances artificielles — ou les mots-clics — lorsqu'ils sont préjudiciables pour quelqu'un. Pourquoi ne laissez-vous pas les tendances se produire de façon organique? Je suis d'accord avec les tendances, des choses deviennent virales et il faut respecter la liberté d'expression, mais pourquoi permettre l'utilisation de robots? Si tout le monde peut détecter ces choses, pourquoi Twitter n'y arrive-t-elle pas?

M. Carlos Monje:

Les tendances mesurent la conversation en temps réel et essaient de distinguer les conversations qui suscitent toujours un haut niveau d'engagement, le Championnat d'Angleterre de football, par exemple, ou les élections mexicaines. Ce que les tendances tentent de cerner, c'est une accélération au-dessus de la moyenne. Lorsque cela se produit de façon organique, comme vous l'avez mentionné, la tendance est différente de ce que l'on constate lorsque le processus est accéléré par des robots.

Depuis 2014, ce qui est il y a très longtemps pour nous, nous avons la capacité de protéger les tendances de ce genre d'activités automatisées non organiques. M. Chan a mentionné une course à l'armement. Je crois que c'est une bonne expression pour exprimer la lutte contre l'automatisation à des fins malicieuses. Actuellement, nous vérifions 450 millions de comptes par année que nous croyons être inauthentiques, et nos outils sont très subtils, très créatifs. On regarde des choses comme les gazouillis partagés ou les activités qui se passent si vite que c'est impossible que ce soit le fait d'un humain.

Et malgré cela, on en a éliminé 75 %, et il y a donc 25 % des comptes que nous estimions être inauthentiques qui ont subi le test avec succès. Nous ratissons plus large que nécessaire pour essayer de mettre fin à ces activités inauthentiques. C'est un contexte où il n'y a pas d'écart entre les valeurs sociétales de confiance à l'égard des activités en ligne et nos impératifs en tant qu'entreprise, soit le fait que nous voulons que les gens se tournent vers Twitter pour croire ce qu'ils voient, en sachant que les robots russes ou peu importe ne leur jouent pas des tours, alors nous travaillons très dur pour bien faire les choses et nous continuons d'apporter des améliorations chaque semaine.

L’hon. Antares Guadalupe Vázquez Alatorre:

[Le témoin s'exprime en espagnol et l'interprétation en anglais de ses propos est traduite ainsi:] Mais c'est quelque chose qui se passe normalement chaque jour, pas seulement durant les élections. C'est quelque chose qui se passe chaque fois qu'une tendance est gonflée par des robots. La réaction à tout cela a été inadéquate. Il y a des choses qui sont agressives.

J'ai une question pour Twitter et Facebook. Lorsqu'un utilisateur signale une publication, très souvent, on précise que la chose reprochée n'enfreint pas la politique, mais c'est tout de même quelque chose d'agressif aux yeux de l'utilisateur. On nous dit que la publication n'enfreint pas la politique, mais c'est tout de même quelqu'un qui ment, qui attaque, et la personne visée se sent vulnérable. Très souvent, il ne se passe rien parce que vos politiques ne sont pas enfreintes.

De plus, pour ce qui est de toute la question de l'authentification, lorsque les comptes sont authentifiés grâce à des crochets bleus, même les autres comptes peuvent être bloqués. Certaines personnes disent « identifiez-vous » et bloquent tous les comptes. Parallèlement, il y a des milliers de faux comptes, et rien ne se fait, même si on les signale. Il y a des utilisateurs qui signalent constamment ces faux comptes. Pourquoi avez-vous une politique différente?

(1200)

Le président:

Donnez une réponse brève, s'il vous plaît.

M. Carlos Monje:

Nous nous efforçons de rajuster nos politiques. Il y a des choses qui vont à l'encontre de nos règles, et d'autres qui ne constituent pas des infractions, même si les gens ne les aiment pas. C'est ce que nous appelons, à l'interne, l'écart. Ce que nous avons fait et ce que nos équipes font, c'est essayer d'éliminer ces problèmes, morceau par morceau, et de comprendre quelles sont les attentes de nos utilisateurs qui ne correspondent pas à leur expérience.

Notre approche est, encore une fois, très cohérente. Nous voulons que les gens se sentent à l'aise et en sécurité en ligne. Nous ne voulons pas miner l'expression publique, et ce sont des enjeux que nous avons beaucoup à cœur et relativement auxquels nous nous sentons visés personnellement.

Le président:

Merci.

Nous allons maintenant passer au Royaume du Maroc pour cinq minutes. [Français]

M. Mohammed Ouzzine (vice-président, Commission de l'enseignement, de la culture et de la communication, Chambre des représentants du Royaume du Maroc):

Merci, monsieur le président.

Je remercie également l'équipe sympathique qui nous fait l'honneur d'être ici aujourd'hui: Kevin Chan, Derek Slater, Neil Potts, Carlos Monje et Michele Austin. Nous aurions souhaité que M. Mark Zuckerberg soit des nôtres, mais il nous a fait faux bond. Nous espérons le revoir à une autre occasion.

J'ai été très attentif à deux propositions de M. Chan. Je tiens ici à faire une précision de nature linguistique, à l'intention des interprètes: quand j'utilise le terme « proposition », en anglais, cela renvoie au terme « proposition », et non « proposal ».

En présentant les enjeux que soulève sa compagnie, M. Chan disait qu'il n'appartenait pas qu'à Facebook de les résoudre. Nous sommes tout à fait d'accord sur ce point.

Ensuite, toujours au sujet de ces enjeux, il a ajouté qu'il fallait protéger la société des conséquences. Bien sûr, ces plateformes présentent des avantages sur le plan social. Cependant, nous parlons aujourd'hui des troubles sociaux qu'elles engendrent; c'est ce qui nous interpelle plus que jamais.

Facebook, Twitter et YouTube se voulaient, dans un premier temps, une évolution numérique, mais cela s'est transformé en révolution numérique. En effet, cela a mené à une révolution des systèmes, à une révolution contre les systèmes, à une révolution du comportement, et même à une révolution de notre perception du monde.

Il est vrai qu'aujourd'hui, l'intelligence artificielle dépend de l'accumulation massive de données personnelles. Cela étant, cette accumulation met à risque d'autres droits fondamentaux, car cela repose sur des données qui peuvent être faussées.

Au-delà de l'aspect commercial et du profit, ne serait-il pas opportun pour vous aujourd'hui de tenter un sursaut moral, voire une révolution morale? Après avoir permis ce succès fulgurant, pourquoi ne pas désormais mettre l'accent beaucoup plus sur l'homme que sur l'algorithme, moyennant que vous imposiez au préalable des restrictions strictes, dans un souci de promouvoir la responsabilité et la transparence?

On se demande parfois si vous manifestez autant d'intérêt quand la désinformation ou les discours haineux surviennent dans des pays autres que la Chine ou situés ailleurs qu'en Europe ou en Amérique du Nord, entre autres.

On ne s'explique pas toujours que des jeunes, voire des enfants, puissent mettre en ligne des vidéos montées de toutes pièces qui contiennent des scènes obscènes, des commentaires insultants ou des gros mots. On trouve cela inacceptable. Parfois, on trouve que cela s'écarte de la finalité de ces outils, de la règle commune et de la norme sociale admise.

Nous ne sommes pas là pour vous juger ni pour faire votre procès, mais beaucoup plus pour vous implorer de prendre nos remarques en considération.

Merci.

(1205)

M. Kevin Chan:

Merci beaucoup, monsieur Ouzzine.

Encore une fois, permettez-moi de vous répondre en anglais. Ce n'est pas parce que je ne veux pas vous répondre en français, mais je pense que je serai plus clair en anglais.[Traduction]

Je serai heureux de répondre à la première question liée à ce dont vous parlez, les humains contre les machines ou les humains contre les algorithmes. Honnêtement, je crois qu'on a besoin des deux, parce que, évidemment, on parle de quantités astronomiques. Il y a plus de 2 milliards de personnes sur la plateforme. Par conséquent, pour dissiper certaines des préoccupations soulevées ici par les membres, nous avons besoin de systèmes automatisés qui peuvent cerner de façon proactive certains des problèmes.

Pour revenir à la première question de M. Collins, je crois qu'il est tout aussi important d'inclure des humains dans tout ça, parce que, au bout du compte, le contexte aidera à déterminer si, oui ou non, quelque chose est malveillant. Le contexte est donc extrêmement important.

Si vous me le permettez, monsieur, en ce qui concerne les enjeux humains, je crois que vous mettez le doigt sur quelque chose de très important. C'est quelque chose que j'avais déjà mentionné. Selon moi, il ne faut pas que les entreprises comme Facebook prennent toutes les décisions de ce genre. Nous le comprenons. Je crois que les gens veulent plus de transparence et qu'ils veulent mieux comprendre de quelle façon nous prenons nos décisions en ce qui concerne les choses qui restent, et celles qu'on retire.

Je peux vous dire que, au cours des derniers mois, y compris au Canada, nous avons entrepris un processus de consultation international auprès d'experts de partout dans le monde pour obtenir des commentaires sur la façon de créer un comité d'appel externe de Facebook, une entité qui serait indépendante de Facebook et qui prendrait des décisions sur les questions très difficiles liées au contenu. Selon nous, il y a une question qui se pose — du moins là où nous en sommes dans notre réflexion quant à ce que nous proposerons —, et c'est celle de savoir si les décisions d'un tel comité seraient publiques et contraignantes pour Facebook. C'est un peu ainsi que nous avons imaginé tout ça. En outre, nous recevons des commentaires et nous continuerons de consulter les experts. Notre engagement, c'est que ça soit prêt d'ici la fin de 2019.

Assurément, nous comprenons que c'est difficile sur notre plateforme. Nous voulons miser à la fois sur des humains et sur des algorithmes, si vous voulez, mais nous comprenons aussi que les gens feront plus confiance aux décisions s'il y a un comité d'appel, au bout du compte, et c'est ce que nous mettrons en place d'ici la fin de 2019.

Bien sûr, nous sommes ici aujourd'hui pour discuter de la question plus générale des cadres réglementaires qui devraient s'appliquer à tous les services en ligne. De ce côté-là, encore une fois, évidemment, l'aspect humain sera incroyablement important. Je vous remercie donc, monsieur, d'avoir soulevé cet enjeu, parce que c'est exactement ce que, selon moi, nous tentons de faire, soit de trouver le juste équilibre et de mettre en place le bon cadre pour la plateforme, mais aussi à l'échelle de tous les services en ligne.

Le président:

Merci, monsieur Chan.

Nous allons maintenant passer à l'Équateur pour cinq minutes.

Mme Elizabeth Cabezas (présidente, Assemblée nationale de la République de l'Équateur):

[La déléguée s'exprime en espagnol. Traduction de l'interprétation.]

Merci beaucoup.

Je veux revenir sur certaines des préoccupations qui ont déjà été soulevées durant la réunion et aussi exprimer une grande préoccupation au sujet des gazouillis et de Twitter et de la prolifération de faux comptes non détectés. Ces comptes restent de toute évidence actifs très longtemps sur les médias sociaux et génèrent, dans la plupart des cas, des messages et des tendances de nature négative contre différents groupes, tant des groupes politiques que des entreprises et des syndicats de différents secteurs.

Je ne sais pas quels mécanismes vous avez décidé d'adopter pour authentifier ces comptes, parce que ce sont des comptes qui sont liés à des centres de trolls ou des usines à trolls, qui, en Équateur, apparaissent vraiment souvent, et la tendance se maintient. Ces centres disséminent des messages à grande échelle, des messages malveillants qui vont à l'encontre de l'information réelle et véridique et qui déforment vraiment les points de vue.

Plutôt que de continuer à souligner les problèmes qui ont déjà été mentionnés, je vous prie de réfléchir à des mécanismes de vérification des faits pouvant détecter ces comptes rapidement, parce qu'il est évident que vous ne le faites pas aussi rapidement qu'il le faut, ce qui permet à des messages nuisibles de proliférer et de générer différentes pensées en plus de déformer la vérité sur beaucoup de sujets.

Je ne sais pas quelles sont les options, en pratique, ni ce que vous faites concrètement pour éviter ou prévenir ce genre de choses et pour prévenir l'existence de ces centres de trolls et la création de faux comptes, qui sont extrêmement nombreux.

(1210)

M. Carlos Monje:

Merci. C'est exactement la bonne question à poser, et c'est un sujet sur lequel nous travaillons chaque jour.

Je tiens à souligner que notre capacité de cerner, de perturber et d'éliminer les activités d'automatisation malveillantes s'améliore chaque jour. Nous cernons — je me suis trompé précédemment — 425 millions de comptes, c'est le nombre de comptes que nous avons contestés en 2018.

Premièrement, il faut mettre fin aux mauvaises activités coordonnées constatées sur la plateforme. Deuxièmement, nous devons travailler pour soutenir des personnes dont les messages sont crédibles, comme les journalistes, les politiciens, les experts et la société civile. Partout en Amérique latine, nous travaillons avec la société civile — surtout dans le contexte des élections —, pour comprendre quand les principaux événements se produisent, afin de pouvoir cibler nos efforts d'application de la loi en conséquence et de donner plus de renseignements contextuels aux gens sur les personnes qu'ils ne comprennent pas.

Je vais vous donner un exemple, parce qu'on a peu de temps. Si vous allez sur Twitter actuellement, vous pouvez voir la source du gazouillis, ce qui signifie que vous pouvez savoir si le message vient d'un iPhone, d'un appareil Android, de TweetDeck ou de Hootsuite ou d'une des autres façons utilisées par les gens pour coordonner leurs activités sur Twitter.

Le dernier élément d'information — ou la façon de penser à tout ça — concerne la transparence. Selon nous, notre approche doit consister à faire silencieusement notre travail pour nous assurer que la plateforme reste saine et solide. Lorsque nous cernons des activités d'information précises parrainées par un État, nous communiquons publiquement notre découverte. Nous avons une interface de programmation d'applications publiques très transparente que tout le monde peut consulter. Nous apprenons et nous nous améliorons en raison des travaux que des chercheurs ont réalisés — tout comme les gouvernements — dans cet ensemble de données.

Selon moi, c'est un enjeu extrêmement complexe. L'une des choses que vous avez mentionnées, c'est qu'il est facile pour nous d'identifier les gazouillis partagés instantanés et les choses automatisées du genre. C'est plus difficile de le faire lorsque les gens sont payés pour gazouiller, ou, comme on l'a vu dans le contexte vénézuélien, s'il est question de messages de trolls et de ce genre de choses.

Nous allons continuer d'investir dans la recherche et dans la lutte contre les trolls afin de nous améliorer.

Le président:

Nous allons passer au dernier intervenant sur notre liste, puis nous recommencerons la séquence au début.

Nous passons à Sainte-Lucie. Vous avez cinq minutes, s'il vous plaît.

M. Andy Daniel (président, Assemblée de Sainte-Lucie):

Merci, monsieur le coprésident.

Mes questions sont destinées à Neil Potts, directeur des politiques mondiales. J'ai deux questions.

La première est la suivante: j'aimerais que lui et Facebook m'aident à comprendre et à savoir, de façon générale, s'ils comprennent le principe des « branches égales de gouvernement ». Il semble, à la lumière de ce qu'il a dit précédemment dans sa déclaration préliminaire qu'il est prêt à nous parler, ici, et qu'il accepte de le faire et que M. Zuckerberg parlera aux gouvernements. Cela montre un... Je ne comprends pas... Il ne se rend pas compte du rôle très important que nous jouons en tant que parlementaires dans cette situation.

Ma question suivante concerne la référence à la vidéo de Nancy Pelosi et à la déclaration qu'il a faite relativement au Sri Lanka. Il a dit que les vidéos seraient seulement retirées en cas de violence physique.

Permettez-moi de formuler une déclaration, ici. Les comptes Facebook du premier ministre de Sainte-Lucie ont été « piratés » ou « répliqués » — peu importe comment vous voulez le dire — et il s'efforce maintenant d'informer les gens qu'il s'agit d'une fausse vidéo ou d'un faux compte. Pourquoi est-ce que cela se produit? Si on mentionne que c'est un faux, c'est un faux et ça ne devrait pas...

Permettez-moi de lire un extrait du faux... Voici ce qui est dit au sujet d'une subvention. Je cite: C'est une subvention des Nations unies pour les gens qui ont besoin d'aide pour payer leurs factures, commencer un nouveau projet, bâtir des maisons, parrainer des écoles, lancer une nouvelle entreprise ou soutenir une entreprise qui existe déjà. Les fonds démocratiques et les services humains des Nations unies aident les jeunes, les personnes âgées, les retraités ainsi que les personnes handicapées de la société...

Lorsqu'on publie une telle déclaration, c'est un acte de violence contre certaines populations vulnérables de notre société. Il faut retirer le message. On ne peut pas attendre qu'il y ait de la violence physique. Ce n'est pas seulement la violence physique qui est de la violence. Si c'est le cas, il n'est pas nécessaire qu'il y ait de la violence lorsqu'on parle de relations entre les sexes ou peu importe. De la violence, c'est de la violence, qu'elle soit psychologique ou physique.

C'est la question que je vous pose, monsieur. Ne faudrait-il pas que ces vidéos, ces pages, soient retirées immédiatement une fois qu'elles sont identifiées comme étant fausses?

(1215)

M. Neil Potts:

Si quelqu'un se fait passer pour un membre du gouvernement, nous allons retirer tout ça si nous en sommes informés. Je ferai un suivi auprès de vous après l'audience pour m'assurer que nous avons l'information nécessaire et que nous pourrons la transmettre à notre équipe afin d'agir rapidement.

Si vous me permettez, peut-être, de revenir sur quelques-unes des autres conversations que nous avons ici, un thème qui semble revenir, c'est l'idée que M. Zuckerberg et Mme Sandberg ne sont pas ici parce qu'ils fuient leurs obligations d'une façon ou d'une autre. Ils ont demandé à M. Chan et à moi-même — et ils nous ont autorisés — de comparaître devant le Comité pour travailler avec vous tous. Nous voulons le faire en misant vraiment sur la coopération. Ils comprennent leurs responsabilités. Ils comprennent l'idée des branches égales du gouvernement, qu'il s'agisse de la branche législative, de la branche exécutive ou de la branche judiciaire. Ils comprennent ces notions et sont prêts à travailler. Nous sommes ici maintenant pour travailler sur...

Le président:

Avec tout le respect que je vous dois, monsieur Potts, permettez-moi de vous interrompre un instant.

À cet égard, ce n'est pas votre décision de déterminer si vous allez venir ou non. Le Comité a demandé à M. Zuckerberg et Mme Sandberg de venir, c'est très simple, pour comparaître devant notre Grand Comité international. Nous représentons 400 millions de personnes, alors quand nous demandons à ces deux personnes de venir, c'est exactement ce à quoi nous nous attendons. C'est un peu un manque de respect de Mark Zuckerberg et de Mme Sandberg de tout simplement choisir de ne pas venir. Cela montre tout simplement qu'ils ne comprennent pas bien ce que nous faisons, en tant que législateurs, comme le représentant de Sainte-Lucie l'a souligné. L'expression « nous faire faux bond », eh bien je crois qu'on peut la répéter, mais il faut souligner qu'ils ont été invités à comparaître et qu'on s'attendait à ce qu'ils comparaissent et qu'ils ont choisi de ne pas le faire. Vous envoyer vous deux en tant que remplaçants n'est tout simplement pas acceptable.

Je vais revenir à M. Daniel, de Sainte-Lucie.

M. Neil Potts:

Merci, monsieur Zimmer. Je veux que ce soit clair. Je ne connais pas les procédures du Parlement canadien et les exigences en matière de comparution. Je respecte tout ça, mais je tiens à dire à nouveau pour le compte rendu que nous sommes déterminés à travailler avec le gouvernement et à être responsables relativement à ces enjeux.

De plus...

Le président:

Je dirais, monsieur Potts, que si c'était le cas, les personnes demandées seraient assises à votre place actuellement.

Poursuivez.

M. Neil Potts:

De plus, pour répondre à une autre question qui, selon moi, revient souvent et qui concerne la façon dont nous identifions et retirons certains éléments de contenu, nous pouvons retirer du contenu pour une diversité de types d'abus. Ce n'est pas seulement en cas de violence. Dans ce cas précis, lorsqu'on parle de mésinformation, la diffusion de certaines images, comme on l'a vu au Sri Lanka et dans d'autres pays, nous avons retiré les images parce qu'elles pouvaient mener à de la violence. Cependant, nous avons des politiques qui concernent des choses comme le discours haineux, où la violence n'est pas nécessairement imminente. Il peut y avoir des choses comme des renseignements personnels qui permettent d'identifier les gens, l'intimidation — que nous prenons très au sérieux — et d'autres choses qui ne mènent pas nécessairement à la violence, mais nous appliquons quand même ces politiques directement et nous essayons de le faire le plus rapidement possible.

Nous avons maintenant 30 000 personnes à l'échelle internationale qui s'en occupent. Quelqu'un a dit précédemment qu'il fallait compter sur des gens qui ont les renseignements contextuels nécessaires pour faire le travail. Dans le cas de tous les pays qui sont représentés ici, je tiens à dire que, parmi ces 30 000 personnes, il y a 15 000 modérateurs de contenu qui parlent plus de 50 langues. Ils travaillent 24 heures sur 24 et 7 jours sur 7. Certains travaillent dans les pays qui sont représentés ici aujourd'hui. Nous prenons ces choses très au sérieux.

De plus, nous sommes déterminés à travailler avec nos partenaires — les gouvernements, la société civile et les universités — afin de trouver des réponses qui, selon nous, sont adaptées à de tels enjeux. Je crois que nous reconnaissons tous que ce sont des enjeux très complexes et qu'il faut faire la bonne chose. Tout le monde ici, selon moi, veut assurer la sécurité des membres de notre communauté, qui comptent tous parmi vos électeurs. Selon moi, nous partageons les mêmes objectifs. Il faut tout simplement s'assurer de le faire de façon transparente dans le cadre de nos discussions et d'en venir à une situation où nous pouvons nous entendre sur la meilleure marche à suivre. Merci.

Le président:

Merci.

On vient de porter à mon attention une incohérence dans votre témoignage, monsieur Potts.

D'un côté, M. Collins a posé une question au sujet de la vidéo de Mme Pelosi, et vous avez dit que vous n'alliez pas la retirer. Puis, 30 minutes ou une heure plus tard, vous venez de répondre au représentant de Sainte-Lucie et affirmer que vous la retireriez immédiatement. Je tiens à ce que vous compreniez très bien qu'on s'attend de vous que vous disiez toute la vérité au Comité en ce moment, et ce, sans incohérence dans votre témoignage.

(1220)

M. Neil Potts:

Monsieur Zimmer, si j'ai été incohérent, je m'en excuse, mais je ne crois pas avoir répondu à cette question différemment. Si j'avais la transcription, évidemment, je pourrais vous dire où j'ai fait une erreur et je pourrais corriger le tir immédiatement.

Encore une fois, lorsqu'il est question de mésinformation qui ne mène pas immédiatement à des préjudices, notre approche consiste à atténuer la portée de l'information, à informer les utilisateurs de la fausseté de l'information et à éliminer les comptes inauthentiques. Si quelqu'un agit de façon inauthentique et fait semblant d'être quelqu'un d'autre, ce sera retiré. L'authenticité est au centre de nos principes; nous voulons des personnes authentiques sur notre plateforme. C'est la raison pour laquelle nous exigeons les vrais noms des gens.

La question que, selon moi, M. Collins posait concernait la vidéo en tant que telle. L'utilisateur ne communiquait pas la vidéo de façon inauthentique. Il s'agissait d'une vraie personne, et il y avait une vraie personne derrière la page. Ce n'est pas un compte de troll ou un robot ou quelque chose du genre. Ce genre de choses, nous les éliminerions.

Si je me suis mal exprimé, je m'en excuse, mais je veux que ce soit clair que je ne crois pas que mon...

Le président:

Je ne crois pas que ce soit plus clair pour quiconque dans la salle, mais je vais passer au prochain intervenant.

Nous allons passer à M. Baylis, pour cinq minutes.

M. Frank Baylis (Pierrefonds—Dollard, Lib.):

Merci. Je vais commencer par M. Slater.

Il y a deux ou trois semaines, nous avons accueilli un de vos collègues qui nous a dit que Google n'allait pas se conformer au projet de loi C-76, notre nouvelle loi sur la campagne électorale. Je lui ai demandé pourquoi, et il a répondu: « Eh bien, nous ne pouvons pas faire le travail de programmation en six mois ».

Je lui ai souligné que Facebook pouvait le faire, et il a dit: « Eh bien, nos systèmes sont plus difficiles et plus complexes ».

Il a dit: « Nous ne pouvons pas le faire en six mois », alors je lui ait demandé: « D'accord, de combien de temps aurez-vous besoin? Quand cela pourra-t-il être fait? » Il m'a répondu ne pas le savoir.

Pouvez-vous m'expliquer tout ça?

M. Derek Slater:

Les représentants vous ont donné beaucoup de renseignements à cet égard, mais, si je peux ajouter mon grain de sel, oui, nous sommes un service différent, et même si nous savons que, malheureusement, nous ne pouvons pas permettre de la publicité électorale à ce moment-ci, nous aimerions pouvoir le faire à l'avenir.

M. Frank Baylis:

Si vous pouvez dire que vous ne pouvez pas le faire en six mois, sans pour autant savoir de combien de temps vous auriez besoin, comment pouvez-vous être vraiment sûr de ne pas pouvoir le faire en six mois alors que Facebook peut y arriver?

M. Derek Slater:

Nos services sont très différents et sont assortis de caractéristiques différentes à plusieurs égards.

M. Frank Baylis:

Comment pouvez-vous ne pas savoir combien de temps sera nécessaire?

M. Derek Slater:

C'est en partie parce que les choses continuent d'évoluer au fil du temps. C'est un espace qui évolue rapidement, tant du point de vue juridique que du point de vue de nos services. Par conséquent, pour ce qui est de savoir exactement quand cela pourrait être prêt, nous ne voulons pas mettre...

M. Frank Baylis:

Vous savez que vous ne pouvez pas le faire en six mois.

M. Derek Slater:

Oui.

M. Frank Baylis:

Cependant, vous ne savez pas combien de temps cela peut prendre.

M. Derek Slater:

C'est exact.

M. Frank Baylis:

La situation m'inquiétait, alors j'ai demandé: « Qu'arrivera-t-il, alors, si quelqu'un fait paraître une annonce sans avoir le droit de le faire? » Il a dit que je n'avais pas à m'en inquiéter, et vous savez pourquoi? Il a dit que l'entreprise allait trouver la publicité instantanément et la retirer.

J'ai demandé: « Comment pouvez-vous faire ça? » Et il m'a répondu que l'entreprise mise sur l'intelligence artificielle et qu'une équipe est là pour s'en occuper.

Donc, vous dites pouvoir identifier la publicité instantanément, et notre loi dit que, une fois la publicité trouvée, il faut le déclarer. Vous avez 24 heures pour la mettre dans une base de données, mais ça, vous ne pouvez pas le faire.

Pouvez-vous m'expliquer la situation? Comment pouvez-vous avoir toute cette technologie qui vous permet d'identifier n'importe quelle publicité sur n'importe quelle plateforme instantanément, mais ne pas pouvoir demander à vos développeurs de la transférer dans les 24 heures dans une base de données? En outre, vous dites qu'il vous faudra plus de six mois pour y arriver.

M. Derek Slater:

Si j'ai bien compris la question, il est plus simple d'adopter une approche plus conservatrice, une approche générale qui est plus restrictive qu'une approche selon laquelle nous allons valider qu'il s'agit d'une publicité électorale qui respecte la loi et ainsi de suite.

M. Frank Baylis:

Vous avez déjà pris une décision. Vous avez procédé à la validation, parce que vous la bloquez. C'est ce qu'il m'a dit. Vous le faites déjà.

M. Derek Slater:

Oui. Nous pouvons bloquer quelque chose pour une diversité de raisons en cas de violation de nos politiques.

M. Frank Baylis:

Non. Pas vos politiques. Il parlait de « publicité politique ». Ma question était très précise.

Vous pouvez enlever la politique, mais vous ne pouvez pas la transférer dans une base de données. J'aimerais comprendre la différence.

M. Derek Slater:

Il y a une grande différence entre le fait de dire que nous allons adopter, de façon générale, une approche conservatrice, et dire, d'un autre côté: « Je vais dire clairement qu'il s'agit d'une publicité électorale légitime », et faire ce pas de plus.

M. Frank Baylis:

Une fois que vous constatez que c'est une publicité, vous ne permettez pas son affichage. Vous la bloquez. Vous pouvez décider instantanément que c'est une publicité, mais, une fois que vous avez décidé que c'était une publicité, c'est trop de travail de programmer votre système afin de la transférer dans une base de données. C'est ce que notre loi demande: de tout simplement mettre ça dans une base de données.

Vous dites: « Ça, c'est quelque chose que nous ne pouvons pas faire ».

M. Derek Slater:

Le besoin d'appliquer la loi précisément comme elle a été rédigée n'était pas possible pour nous dans la période qui était prévue si nous voulions bien faire les choses. En outre, si nous devons permettre des publicités électorales au pays, nous voulons être sûrs de bien faire les choses.

C'est la décision que nous avons prise ici, malheureusement, mais nous serons heureux de travailler là-dessus à l'avenir.

M. Frank Baylis:

Vous pouvez affirmer ne pas pouvoir le faire en six mois — même si quelqu'un d'autre peut le faire — et affirmer être en mesure d'identifier immédiatement toute publicité n'importe où et n'importe quand, sans pour autant avoir les capacités technologiques chez Google de mettre la publicité cernée dans une base de données en 24 heures. Vous n'avez tout simplement pas la capacité de programmer une telle chose en six mois.

M. Derek Slater:

Nous n'avons pas la capacité en ce moment de respecter totalement la nouvelle loi.

(1225)

M. Frank Baylis:

Vous n'avez pas la capacité. Vous êtes sérieux lorsque vous dites ça?

Dites-vous sérieusement que vous pouvez identifier n'importe quelle publicité sur n'importe quelle plateforme, mais vous ne pouvez pas demander à vos développeurs de transférer cette information dans une base de données? Il vous faut trop de temps pour tout simplement programmer le système de façon à ce que les publicités cernées soient transférées dans une base de données.

M. Derek Slater:

Je ne peux pas parler des services fournis par n'importe qui, n'importe où. Pour être clair, nous utilisons des machines et des gens pour surveiller les publicités qui sont présentées par l'intermédiaire de nos systèmes et nous assurer qu'elles respectent nos règles.

Pour ce qui est des obligations supplémentaires, non, nous ne pouvions pas les respecter dans ce cas-ci.

M. Frank Baylis:

D'accord. J'ai une autre question pour Google et Facebook, une question simple.

Je n'aime pas vos conditions d'utilisation. Qu'est-ce que je peux faire?

M. Kevin Chan:

Monsieur, si vous pouviez me fournir un peu plus d'explications, peut-être m'en dire un peu plus sur ce que vous n'aimez pas...

M. Frank Baylis:

Je n'aime pas qu'on m'espionne.

M. Kevin Chan:

Oh, eh bien, nous ne faisons rien de tel, monsieur.

M. Frank Baylis:

Vous recueillez des données à mon sujet que je ne veux pas que vous recueilliez.

M. Kevin Chan:

Comme vous le savez, je consacre beaucoup de temps à l'alphabétisation numérique. Ce qui est approprié, c'est que les gens ne doivent pas mettre plus d'information sur notre service qu'ils ne le souhaitent.

Monsieur, si vous me permettez, j'aimerais fournir un point de vue un peu différent sur tout ça. Comme vous le savez, je crois, nous allons offrir un type d'expérience très différente relativement à nos produits très bientôt et les utilisateurs pourront retirer non seulement les renseignements qu'ils ont communiqués sur le service, mais aussi les renseignements qui s'y trouveraient en raison de l'intégration avec d'autres services d'Internet. Nous allons donner aux gens cette fonctionnalité, alors, encore une fois, dans la mesure où une personne jugerait que ce n'est pas souhaitable, nous voulons lui donner ce contrôle.

Le président:

Merci, monsieur Baylis. Malheureusement, nous devons poursuivre.

Les cinq prochaines minutes reviennent à M. Kent.

L'hon. Peter Kent:

Merci, monsieur le président.

J'ai une question pour M. Chan.

Si un employeur canadien se tourne vers Facebook et veut mettre en place une publicité liée à l'emploi misant sur un microciblage en fonction de l'âge et du sexe en excluant d'autres groupes démographiques, Facebook accepterait-elle de faire une telle publicité?

M. Kevin Chan:

Monsieur, merci de la question. Encore une fois, je tiens aussi à vous remercier de nous avoir invités à participer à votre récente table ronde à Oshawa. C'est quelque chose dont nous sommes très reconnaissants.

Ce serait une violation de nos politiques, alors ce ne serait pas accepté.

Nous avons deux ou trois choses, et je crois comprendre là où vous voulez en venir...

L'hon. Peter Kent:

Si vous me le permettez, parce que j'ai peu de temps... Serez-vous surpris d'apprendre que l'opposition officielle au Parlement a reçu une réponse à une question inscrite au Feuilleton aujourd'hui selon laquelle plusieurs ministères du gouvernement du Canada ont placé des publicités assorties de ces mêmes conditions de microciblage et que le nom de votre entreprise revient plusieurs fois?

M. Kevin Chan:

Monsieur, comme vous le savez, cette information a été dévoilée grâce aux reportages incroyablement détaillés d'Elizabeth Thompson de CBC; cette information appartient également au domaine public, car c'est là que j'ai lu la nouvelle en premier.

Vous devriez savoir que cela constitue une violation de notre politique, monsieur. Ces derniers temps, nous avons pris des mesures assez énergiques pour éliminer toute une série de pratiques de ciblage différentes à l'égard de ces types d'annonces. Pour ce qui est des annonces concernant le logement, l'emploi et le crédit, pour être précis, nous avons également exigé de tous les annonceurs qu'ils garantissent à l'avenir qu'ils ne diffuseront pas d'annonces relatives au logement ni au crédit.

L'hon. Peter Kent:

Avez-vous informé le gouvernement libéral du Canada du fait que cette pratique de microciblage qu'il emploie ne sera plus acceptée à l'avenir? Répondez simplement par oui ou non.

M. Kevin Chan:

Nous avons envoyé des courriels à tous les administrateurs pour leur dire qu'ils ne peuvent pas utiliser cette pratique.

L'hon. Peter Kent:

Pour en revenir à la question originale de M. Collins au sujet de la vidéo manipulée, sexiste et politiquement hostile dont on a autorisé la diffusion continue sur votre plateforme Facebook, je crois comprendre que, après que le Washington Post a communiqué avec Facebook, une déclaration a été publiée disant: « Nous n'avons pas de politique [...] exigeant que les renseignements que vous affichez sur Facebook soient véridiques. »

D'après vos réponses antérieures, il semblerait que Facebook refuse de retirer cette vidéo politiquement hostile, plaidant une défense pervertie de liberté d'expression, et que 24 heures après que le Washington Post vous a informé de la situation, ce même journal a signalé que le nombre de visionnements sur une seule page Facebook a atteint plus de 2,5 millions, chiffre qui se multiplie nombre de fois si on inclut d'autres pages Facebook.

Si un événement du genre se produisait pendant l'élection canadienne — si une vidéo semblable montrant un politicien canadien, peut-être le chef de l'un des partis, était manipulée et publiée de la même manière pour donner l'impression que la personne souffre d'un handicap mental ou qu'il est en état d'ébriété —, est-ce que Facebook retirerait cette vidéo ou est-ce que votre intervention se limiterait à donner des réponses semblables à celles que vous avez fournies à M. Collins, soit de dire simplement que ce n'est pas vrai, malgré le fait que certains continuent d'exploiter la fausseté de la vidéo?

(1230)

M. Kevin Chan:

Monsieur, mettons simplement de côté la vidéo en question qui provient des États-Unis. Nous examinons la question, et depuis plus de deux ans, je me penche personnellement sur la question afin de trouver des façons de mieux sécuriser la plateforme en vue des élections à venir.

Je peux vous dire que, lorsque nous recevons des demandes provenant de diverses personnes et parties et de divers secteurs, dans 99 % des cas où nous trouvons quelque chose qu'on nous a signalé, nous allons en fait au-delà du contenu. Nous ne cherchons pas le contenu. Nous cherchons le comportement.

L'hon. Peter Kent:

Mais supprimeriez-vous la vidéo?

M. Kevin Chan:

Si elle provient d'un faux compte ou que ce semble être un contenu indésirable, ou si la vidéo viole d'une manière ou d'une autre les normes d'une communauté, il est certain que nous la supprimerions.

Je peux vous assurer que dans presque tous les cas, j'ai...

L'hon. Peter Kent:

Mais elle est fausse. Ce n'est pas la vérité. Est-ce que Facebook défend toujours le concept selon lequel le contenu n'a pas à être véridique pour se retrouver sur sa plateforme?

M. Kevin Chan:

Monsieur, je crois comprendre où vous voulez en venir. Si vous me le permettez, la façon dont j'aimerais en parler est la suivante...

L'hon. Peter Kent:

Un oui ou un non suffira.

M. Kevin Chan:

C'est pourquoi nous sommes ici. Nous serions favorables à...

L'hon. Peter Kent:

Donc, tout ceci est une expérience d'apprentissage pour vous?

Des voix: Ha, ha!

M. Kevin Chan:

Monsieur Kent...

L'hon. Peter Kent:

Je pose la question avec respect et courtoisie.

M. Kevin Chan:

Nous accueillerions favorablement des normes de base que les législateurs pourraient imposer à la plateforme à propos de ce qui devrait être publié et de ce qui devrait être supprimé. Si les législateurs, avec leur sagesse, souhaitent établir certaines limites qui pourraient relever ou non de la censure, il est certain que nous appliquerions la loi locale.

L'hon. Peter Kent:

Je vais peut-être terminer par un commentaire.

Chris Hughes, un cofondateur désillusionné de Facebook, qui est devenu en quelque sorte un dénonciateur pour certains, a dit: « Quelques règles de plus ne font pas peur à Facebook. Facebook craint qu'il y ait une action antitrust. »

Étiez-vous au courant que, dans des démocraties du monde entier, vous vous rapprochez de plus en plus d'une action antitrust?

M. Kevin Chan:

Je suis au courant de nombreuses questions qui concernent la réglementation à l'échelle mondiale, oui, monsieur.

L'hon. Peter Kent:

Merci.

Le président:

Merci, monsieur Kent.

Simplement pour que vous soyez au courant, je tiens à rappeler à tous le déroulement de la période de questions. Tout d'abord, il y aura une question par délégation, par pays. Vous pouvez voir comment l'ordre a été établi. Puis, il y aura différentes rondes jusqu'à ce que tous les membres aient eu la chance de poser une question. Par exemple, le prochain membre de la délégation poserait la question suivante, etc.

À l'heure actuelle, nous avons le deuxième membre de la délégation du Royaume-Uni, M. Lucas. Il posera la prochaine question de cinq minutes, ou ce sera peut-être Jo Stevens.

Préparez-vous en conséquence. Je me tournerai peut-être vers différents pays. Si vous avez un deuxième délégué, la personne aura la possibilité de poser une question également.

Allez-y, madame Stevens, vous avez cinq minutes.

Mme Jo Stevens (membre, Comité sur le numérique, la culture, les médias et le sport, Chambre des communes du Royaume-Uni):

Merci, monsieur le président.

Monsieur Potts et monsieur Chan, je tiens à vous remercier d'être présents aujourd'hui, mais mes collègues et moi-même du Parlement du Royaume-Uni souhaitions poser nos questions à Mark Zuckerberg. Il ne voulait pas venir répondre à nos questions à Londres, dans notre Parlement, alors nous avons traversé l'Atlantique pour lui faciliter la tâche. Nous pouvons seulement conclure que l'examen de ses pratiques l'effraie. Pour éviter tout doute, j'en ai assez de passer des heures assise à entendre les représentants de Facebook dire des platitudes et employer des tactiques d'évitement pour ne pas répondre aux questions. Je veux que le patron prenne ses responsabilités, donc je vous prie de transmettre ce message à M. Zuckerberg.

J'aimerais poser une question aux représentants de Google.

Dans tous les autres secteurs, le monopole de votre entreprise aurait été déjà démantelé. Que faites-vous à l'heure actuelle pour vous préparer à cette éventualité?

M. Colin McKay:

Je pense que nous travaillons très fort pour montrer à nos utilisateurs et aux organismes de réglementation que nous apportons de la valeur au marché et à nos utilisateurs. Ils comprennent clairement — que ce soit en utilisant nos cartes à partir de leur compte ou en mode de navigation privée, en utilisant Gmail ou nos services d'infrastructure — que nous leur offrons une certaine valeur et que nous jouons un rôle positif sur le marché en leur offrant non seulement de la valeur en ce qui a trait aux services informatiques, mais aussi des produits et des services qui favorisent la croissance des entreprises dans le monde.

Nous pensons que les organismes de réglementation ont le droit et, certainement, l'obligation de surveiller nos activités et de les examiner à l'intérieur du cadre de leurs compétences locales. Nous participerons à ce processus et essaierons d'expliquer de quelle manière nous offrons cette valeur tout en respectant les obligations prévues par les règlements, d'après leur interprétation.

(1235)

Mme Jo Stevens:

Toutefois, vous ne prenez actuellement aucune mesure pour vous préparer en vue d'actions futures.

M. Colin McKay:

En ce moment, nous nous concentrons sur la prestation de services qui comblent et anticipent les besoins de nos utilisateurs.

M. Ian Lucas:

Je pourrais peut-être poser une question au sujet d'une audience en particulier durant laquelle un représentant de Facebook a témoigné en février 2018. Lorsque nous avons interrogé le représentant de Facebook au sujet de Cambridge Analytica à Washington, on ne nous a pas informés de l'incident de données impliquant Cambridge Analytica et Aleksandr Kogan.

Monsieur Potts, en ce qui a trait à la transparence, dont vous avez parlé, pourquoi n'avons-nous pas été informés de l'incident touchant Cambridge Analytica, que nous avons précisément soulevé ce jour-là?

M. Neil Potts:

Merci, monsieur Lucas.

Je suis désolé, mais je ne suis pas certain de ce qui s'est passé au cours de cette audience. Je peux essayer de trouver précisément ce qui a été présenté et les données fournies, mais malheureusement, je ne m'en souviens pas.

M. Ian Lucas:

C'est dans le domaine public. La raison pour laquelle nous voulons que Mark Zuckerberg vienne ici, c'est parce que nous voulons des réponses claires de dirigeants de Facebook à des questions précises que nous avons posées.

Monsieur Chan, pouvez-vous répondre à la question pour moi?

M. Kevin Chan:

Monsieur, je ne veux pas parler à tort et à travers, mais nous ne sommes pas au courant de ce qui s'est passé en février 2018, si c'est bien le mois dont vous avez parlé. Nous pouvons certainement nous pencher sur la question.

M. Ian Lucas:

Je peux vous dire exactement ce qui s'est passé. Je pourrais lire la réponse. Nous avons soulevé la question de Cambridge Analytica, l'incident lié aux données et le problème relatif à Cambridge Analytica. On ne nous a pas dit qu'il y avait eu un incident lié à des données impliquant Aleksandr Kogan, lequel a fait les manchettes dans les deux mois suivants. Vous êtes au courant de l'incident, je présume.

M. Neil Potts:

Nous sommes au courant de la situation de Cambridge Analytica. Encore une fois, nous ne savons pas ce qui a été dit.

M. Ian Lucas:

Avez-vous considéré l'incident impliquant Cambridge Analytica comme étant grave?

M. Neil Potts:

Oui, monsieur Lucas.

M. Ian Lucas:

Savez-vous quelles mesures ont été prises par les dirigeants de Facebook lorsque l'incident de Cambridge Analytica impliquant Aleksandr Kogan...? Quelles mesures ont été prises? Le savez-vous?

M. Kevin Chan:

Si je comprends bien votre question, depuis 2014, nous avons réduit considérablement...

M. Ian Lucas:

Je vous ai posé une question précise. Quelles mesures ont été prises par les dirigeants de Facebook lorsque vous avez été mis au courant de l'incident impliquant Cambridge Analytica? Je choisis mes mots très soigneusement; la majorité des gens emploieraient des termes moins sympathiques. Certaines personnes qualifieraient cette situation d'atteinte à la sécurité des données, mais en ce qui a trait à l'incident impliquant Aleksandr Kogan, quelles mesures ont été prises par les dirigeants de Facebook?

M. Kevin Chan:

En ce qui concerne précisément l'application d'Aleksandr Kogan, elle a été bannie de la plateforme.

M. Ian Lucas:

Qui a pris la décision?

M. Kevin Chan:

L'entreprise... Je ne saurais vous dire. Si vous cherchez une personne en particulier, je ne peux vraiment pas vous dire, mais l'entreprise...

M. Ian Lucas:

La personne en particulier à qui j'aimerais poser la question, c'est Mark Zuckerberg, car j'aimerais savoir s'il était au courant de l'incident à ce moment-là. Le savait-il?

J'ai posé la question à Mike Schroepfer, et il m'a dit qu'il me reviendrait avec la réponse. C'était l'été dernier. Mark Zuckerberg était-il au courant de cette atteinte à la sécurité des données en 2015?

M. Kevin Chan:

Monsieur, nous serons ravis de vous fournir une réponse. Quant au fait que vous n'avez pas reçu de réponse, ce que vous semblez dire, nous sommes désolés. Il est évident que nous voulons toujours collaborer quant aux questions...

M. Ian Lucas:

Puis-je vous arrêter là?

Monsieur Potts, vous avez dit que l'incident était grave. Pouvez-vous me donner un exemple d'entreprise ou de personne qui a été retirée de la plateforme de Facebook pour le type de brèche ou d'incident survenu impliquant Aleksandr Kogan et touchant la communication de renseignements?

M. Neil Potts:

Je pense que vous venez tout juste d'en nommer une. Monsieur Lucas, je ne m'occupe pas directement des questions de protection des renseignements personnels. Ces questions sont traitées par une équipe distincte.

Je tiens à dire que, comme M. Chan l'a dit, nous nous engageons à vous revenir avec une réponse. J'ai eu le plaisir de témoigner devant un comité récemment et...

(1240)

M. Ian Lucas:

Je suis désolé, monsieur Potts. Nous voulons la simple honnêteté, qui est une valeur universelle, et il y a des gens des quatre coins du monde à cette table. Nous comprenons tous l'honnêteté. Nos systèmes juridiques diffèrent...

M. Neil Potts:

Je suis tout à fait...

M. Ian Lucas:

... et je veux des réponses directes. J'ai entendu quatre témoignages de votre part.

M. Neil Potts:

Monsieur Lucas, je suis tout à fait d'accord avec vous en ce qui a trait à l'honnêteté et...

Le président:

Je suis désolé, monsieur Potts...

M. Neil Potts:

... et ce n'est pas rien que d'attaquer l'intégrité d'une personne.

Le président:

Monsieur Potts, la priorité est accordée aux membres du Comité, et M. Lucas a la parole.

Allez-y, monsieur Lucas.

M. Ian Lucas:

Je n'ai pas reçu de réponse directe de la part de votre entreprise. Vous avez été envoyé ici par M. Zuckerberg pour parler au nom de Facebook. Il a été informé de ces questions suffisamment à l'avance.

M. Kevin Chan:

Je suis désolé, monsieur, laissez-moi simplement... Si je comprends bien, votre question est la suivante: y a-t-il d'autres applications qui ont été bannies de Facebook pour utilisation inappropriée ou abusive de la plateforme? La réponse est oui.

M. Ian Lucas:

Pour le transfert des données...

Le président:

Le temps est écoulé; je vais devoir donner la parole au prochain intervenant. Il s'agit de M. Lawless de l'Irlande.

M. James Lawless (membre, Comité mixte sur les communications, l'action sur le climat et l'environnement, Parlement de la République d'Irlande):

Monsieur le président, merci de nous inviter ici aujourd'hui. Je suis ravi d'être présent.

Au sein de notre comité irlandais, nous avons bien évidemment dialogué avec les entreprises et nous avons rencontré M. Zuckerberg à Dublin récemment.

Je dois dire que je salue la participation des représentants des compagnies technologiques qui sont ici présents, mais je trouve extraordinaires certaines des déclarations qui ont été faites, notamment celle de M. Potts, il y a quelques minutes, selon laquelle il ne connaissait pas la procédure parlementaire, et c'était peut-être pour expliquer certaines lacunes dans son témoignage.

Je trouve également extraordinaire le fait que certains des témoins ne soient pas au courant de ce qui a été dit lors d'audiences ou de discours antérieurs à propos de ces enjeux dans chacun de nos parlements. J'aurais cru que c'était une condition fondamentale pour entrer dans la pièce, si vous vouliez être qualifié pour faire le travail. C'est le bémol que je mets à mes questions. C'est décevant. Je veux que cela figure au compte rendu.

Pour en revenir aux questions spécifiques, nous avons entendu — aujourd'hui et par le passé — beaucoup de choses, dont certaines sont positives et plutôt encourageantes, à supposer que nous les croyons, de la part de représentants de divers échelons. Toutefois, je suppose que les actes sont plus éloquents que les mots; c'est ma philosophie. Aujourd'hui, nous avons beaucoup entendu parler du scandale impliquant Cambridge Analytica et Kogan. Encore une fois, je tiens à dire pour le compte rendu que le commissaire à la protection des données de l'Irlande a relevé ce problème en 2014 et en a avisé les dirigeants de Facebook. Cependant, je crois comprendre qu'il n'y a pas eu de suivi. Je pense qu'il a fallu deux ou trois ans avant qu'on fasse quelque chose. Tout ce qui s'est produit depuis aurait potentiellement pu être évité si des mesures avaient été prises et qu'il y avait eu un suivi à l'époque.

Encore une fois, je reviens là-dessus pour mettre les entreprises à l'épreuve concernant les mesures réellement prises, je suppose. Les premières questions s'adressent aux représentants de Facebook.

Nous avons entendu M. Zuckerberg dire en public, et d'autres témoins l'ont répété ici aujourd'hui, que le RGPD est possiblement une norme d'excellence, qu'il s'agirait d'un bon modèle de gestion de données et qu'il pourrait éventuellement être déployé à l'échelle mondiale. Selon moi, c'est tout à fait logique. J'approuve cette mesure. Je siégeais au comité qui a intégré ce règlement au droit irlandais, et je peux voir les avantages.

Si tel est le cas, pourquoi Facebook a-t-elle rapatrié 1,5 milliard d'ensembles de données des serveurs irlandais la nuit précédant l'entrée en vigueur du RGPD? La situation, c'est qu'une énorme portion des données mondiales de Facebook se trouvait sur le territoire irlandais, car il s'agit du territoire de l'Union européenne, et à la veille de l'adoption du RGPD — moment où, bien évidemment, le règlement serait entré en vigueur —, 1,5 milliard d'ensembles de données ont été retirés des serveurs et rapatriés aux États-Unis. Cela ne semble pas être un geste de bonne foi.

Nous allons peut-être commencer par cette question, puis nous poursuivrons si nous avons le temps.

M. Kevin Chan:

Merci beaucoup, monsieur.

Je suis tout à fait d'accord avec vous pour dire que les actes sont plus éloquents que les mots. Je pense que, dans la mesure où nous devons faire la preuve de nos intentions, dans les mois et les années à venir, nous travaillerons de sorte que nos actes témoignent de notre objectif de préserver la sécurité de notre service et de protéger les renseignements personnels des gens, et du fait que nous voulons faire la bonne chose.

Quant à ce que vous avez dit à propos du transfert... Encore une fois, pour tout dire — déclaration complète —, je ne suis pas avocat, mais je crois comprendre que ce transfert est conforme à nos conditions de service.

M. James Lawless:

Il est conforme, mais c'est tout un hasard qu'il soit survenu la nuit avant l'entrée en vigueur du RGPD.

Je vais poser une autre question du même genre. Je crois comprendre que les dirigeants de Facebook continuent d'interjeter appel d'un certain nombre de décisions. Le commissaire à l'information du Royaume-Uni a récemment rendu une conclusion défavorable à Facebook, laquelle a été portée en appel. Ma collègue, Hildegarde Naughton, a parlé des conclusions du commissaire à la protection des données de l'Irlande.

Si vous levez la main et dites: « Nous avons commis certaines erreurs », et que vous faites preuve de bonne foi — ce que je saluerais si c'était le cas —, pourquoi continuez-vous d'interjeter appel de ces nombreuses décisions?

(1245)

M. Kevin Chan:

Il y a des cas... Comme les appels sont assujettis aux processus judiciaires, je crois qu'il y a des limites à ce que je peux dire aujourd'hui. Comme vous le savez probablement, nous déployons beaucoup d'efforts pour en arriver à un règlement dans d'autres affaires en cours. Je vous exhorte d'examiner nos actions à mesure que nous les rendons publiques dans le cadre de ces processus et de prendre une décision à ce moment-là.

M. James Lawless:

J'ai simplement une petite question pour les représentants de Google.

Je crois comprendre que l'approche de Google consiste à ne diffuser absolument aucune publicité politique, du moins dans le contexte canadien. Nous avons eu une décision semblable en Irlande durant le référendum sur l'avortement il y a un an. Je suis préoccupé par cette décision, car je crois qu'elle permet à des acteurs malveillants de publier des renseignements erronés qui ne sont pas ciblés. En fait, je pense qu'il serait peut-être mieux de permettre aux acteurs politiques d'être transparents et de diffuser des publicités, dans un contexte légitime et vérifié.

C'est tout simplement un aspect qui me préoccupe, et j'espère qu'il ne s'agit pas d'une mesure à long terme. Peut-être s'agit-il d'une mesure provisoire.

M. Colin McKay:

Il me reste quelques secondes, et j'aimerais faire une observation. Tant en Irlande qu'au Canada, nous nous retrouvons dans une position où il y a de l'incertitude quant à ce que nous pouvons garantir aux électeurs. Nous voulons nous assurer de mettre en place un cadre rigoureux quant à la façon dont nous présentons les publicités et reconnaissons nos responsabilités. Comme l'a dit mon collègue plus tôt, l'un de nos objectifs à l'avenir est de mettre en place des outils, qu'il soit question d'ambiguïté ou d'acteurs malveillants, pour assurer aux utilisateurs la transparence des activités ainsi que la clarté et l'uniformité dans l'ensemble de nos produits.

Le président:

Merci, monsieur Lawless.

Nous allons passer à notre prochaine ronde de questions.

C'est au tour des représentants du Parlement de Singapour.

Mme Sun Xueling (secrétaire parlementaire principale, ministère des Affaires intérieures et ministère du Développement national, Parlement de Singapour):

J'aimerais revenir à l'exemple du Sri Lanka, avec M. Neil Potts.

M. Potts a dit plus tôt qu'il n'était pas au courant que les vidéos incendiaires avaient été diffusées sur Facebook. J'aimerais attirer l'attention sur le fait que, dans un article paru dans le Wall Street Journal, M. Hilmy Ahamed, vice-président du conseil musulman du Sri Lanka, a dit que des dirigeants musulmans avaient signalé les vidéos incendiaires de Hashim diffusées sur Facebook et YouTube en utilisant les services intégrés à votre système de signalement.

Puis-je simplement confirmer avec M. Potts que, si Facebook avait été au courant de l'existence de ces vidéos, elles auraient été retirées de la plateforme?

M. Neil Potts:

Oui, madame. C'est exact. Si nous l'avions su, nous aurions retiré les vidéos. Dans ce cas en particulier, je n'ai pas les données avec moi; je ne suis pas certain si nous en avons été informés, mais si cela avait été le cas, ces vidéos auraient été retirées.

Mme Sun Xueling:

Merci.

Par ailleurs, dans la même veine, puis-je confirmer que, si Facebook avait été au courant qu'une vidéo avait été falsifiée —et nous avons discuté du cas de Nancy Pelosi plus tôt —, Facebook aurait précisé qu'elle savait que la vidéo était falsifiée?

M. Neil Potts:

Lorsque l'un de nos tiers, de nos partenaires qui vérifient les faits... Nous avons plus de 50 vérificateurs de faits à l'échelle mondiale qui adhèrent aux principes de Poynter. Ils auraient considéré la vidéo comme fausse. Nous aurions alors publié la mise en garde. Nous aurions pris des mesures dynamiques pour réduire ce type d'information et signaler non seulement aux utilisateurs qui regardent la vidéo, mais aussi à ceux qui tentent de la partager ou qui l'ont déjà fait, qu'il s'agit d'une fausse vidéo.

Mme Sun Xueling:

Votre mise en garde dirait en fait que vous savez que les renseignements contenus sont faux.

M. Neil Potts:

Elle comporterait un lien qui mène à l'article de l'un des vérificateurs de faits qui conteste son authenticité et qui affirme qu'il s'agit d'une fausse vidéo.

Mme Sun Xueling:

Cette mise en garde serait envoyée à tous ceux qui auraient vu la vidéo originale.

M. Neil Potts:

Si vous étiez en train de la visionner, vous verriez la mise en garde apparaître soit dans le bas de votre fil de nouvelles, soit peut-être sur le côté si vous utilisez un ordinateur portable. Si vous aviez partagé la vidéo, vous seriez informé du fait que la validité du contenu est contestée.

Mme Sun Xueling:

Monsieur Chan, vous avez parlé du fait que Facebook intègre des mécanismes de ralentissement au système. Puis-je confirmer avec vous que Facebook s'est engagé à éliminer toute ingérence étrangère dans les activités politiques et les élections et que vous intégrez activement des mécanismes de ralentissement au système pour vous assurer d'éliminer une telle ingérence étrangère?

M. Kevin Chan:

J'imagine que vous parlez d'éventuelles mesures législatives à Singapour. Vous auriez tout intérêt à examiner la Loi sur la modernisation des élections que le Canada a mise en place...

Mme Sun Xueling:

Ma question était assez précise. Je voulais que vous confirmiez ce que vous avez dit plus tôt, que vous intégrez des mécanismes de ralentissement au système. Vous avez précisément utilisé ce terme.

M. Kevin Chan:

Le Parlement nous a bien conseillés, et nous avons décidé d'intégrer des mécanismes de ralentissement au système. Vous pourriez peut-être envisager le modèle canadien au moment d'élaborer des mesures législatives ailleurs.

(1250)

Mme Sun Xueling:

Merci.

Le président:

Nous avons entendu à peu près tous les délégués. Nous allons revenir au Royaume-Uni pour une autre question. Vous n'avez pas eu à partager votre temps; nous allons donc vous en accorder un peu plus.

Nous allons écouter M. Erskine-Smith, et je pense que M. Angus avait une autre question. Madame Stevens, vous avez encore la parole, puis je pense que nous aurons terminé.

À titre de président, je vais essayer d'accorder cinq minutes à tout le monde. Quand tout le monde aura parlé, nous demanderons à M. de Burgh Graham de suivre l'ordre. Puis, nous passerons à la deuxième série de questions de cinq minutes, donc si vous souhaitez poser une autre question, faites-le-moi savoir, et j'essaierai de vous accorder la priorité.

Pour la suite des choses, nous écoutons M. Erskine-Smith.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Je vais simplement reprendre où j'en étais à propos de Google. Appuieriez-vous un cadre de concurrence qui intègre la protection des renseignements personnels au mandat du commissaire à la concurrence?

M. Colin McKay:

Nous avons deux mécanismes de réglementation au Canada: l'un pour la concurrence, et l'autre pour la protection des données. C'est ce qui a été mis de l'avant dans la récente charte numérique du gouvernement. Les deux mécanismes feront l'objet d'un examen au cours de la prochaine année, et je pense que nous pouvons discuter de cet équilibre dans le cadre de ce processus.

M. Nathaniel Erskine-Smith:

Donc les dirigeants de Google n'ont pas d'opinion à l'heure actuelle. D'accord.

Quant à Twitter... Et je pose la question en partie parce que notre commissaire à la concurrence, sans que Facebook, précisément, soit au courant, prendra part à cette même discussion jeudi. Il n'y a pas seulement que l'organisme de réglementation allemand. On organise un forum sur les données au Centre national des Arts.

Est-ce que les dirigeants de Twitter ont une vision de la politique de la concurrence et de la protection des renseignements personnels?

M. Carlos Monje:

Je vous remercie de poser la question, ainsi que d’avoir fait la distinction entre les plateformes qui sont concernées. Twitter possède une part à un seul chiffre du marché publicitaire. Nous comptons quelque 130 millions d’utilisateurs quotidiens. Nous les chérissons tous. Nous travaillons à garder leur confiance et à les tenir mobilisés, et nous surveillons de près les lois antitrust et relatives à la concurrence...

M. Nathaniel Erskine-Smith:

Souscrivez-vous à l’opinion selon laquelle la protection des renseignements personnels devrait jouer un rôle de premier plan dans la loi sur la concurrence?

M. Carlos Monje:

Il faudrait que j’examine cette question d’un peu plus près.

Mme Michele Austin (chef, Gouvernement et politique publique, Twitter Canada, Twitter inc.):

Nous répéterions les commentaires formulés par le représentant de Google. Nous attendons avec impatience...

M. Nathaniel Erskine-Smith:

Alors, vous n’avez aucun point de vue, pour l’instant.

Mme Michele Austin:

... de travailler sur le cadre relatif au marché, qui est le fondement de la loi sur la concurrence.

M. Nathaniel Erskine-Smith:

D’accord, alors aucun d’entre vous n’a de point de vue sur une question réellement importante de notre journée.

En ce qui concerne la responsabilité algorithmique, le gouvernement du Canada dispose maintenant d’évaluations d’impact algorithmiques. Est-ce que l’une de vos entreprises a déjà mené des évaluations d’impact algorithmiques? Facebook pour le fil d’actualités, Google pour la fonction de recommandation sur YouTube et Twitter; avez-vous mené des évaluations d’impact algorithmiques internes, oui ou non?

M. Kevin Chan:

Je pense que, d’une façon générale, oui. Je ne sais pas exactement ce que vous voulez dire, mais, si vous demandez si nous avons un volet de travail visant à comprendre les conséquences des algorithmes...

M. Nathaniel Erskine-Smith:

À réaliser une évaluation des risques associés aux résultats positifs et négatifs des algorithmes que vous employez actuellement sur des millions de personnes...

M. Kevin Chan:

Monsieur, non seulement nous avons affecté une équipe à cette tâche, à l’interne, mais nous avons également mis sur pied un groupe de travail composé d’experts en matière de biais algorithmique qui se réunissent régulièrement afin de discuter de ces questions.

M. Nathaniel Erskine-Smith:

Votre entreprise n’a jamais affecté des analystes à l’étude du fil d’actualités et des algorithmes qui sont employés sur ce fil ni présenté les résultats positifs et négatifs dont nous devrions tenir compte.

M. Kevin Chan:

Je pense que je viens tout juste de répondre en ce qui concerne les résultats positifs.

M. Nathaniel Erskine-Smith:

Alors, oui. D’accord.

Pour ce qui est de Google, en ce qui concerne la fonction de recommandation sur YouTube...?

M. Derek Slater:

De même, nous évaluons constamment les algorithmes et cherchons à les améliorer.

M. Nathaniel Erskine-Smith:

Vous tenez des documents internes qui disent, voici les résultats positifs; voici les résultats négatifs, et voici l’évaluation des risques en ce qui a trait aux algorithmes que nous employons. Est-il juste d’affirmer que vous tenez ces documents?

M. Derek Slater:

Nous effectuons constamment ce genre d’évaluation, oui.

M. Nathaniel Erskine-Smith:

Excellent.

Et dans le cas de Twitter, est-ce la même chose?

M. Carlos Monje:

Nous les évaluons. Je soulignerais également que la façon dont Twitter utilise les algorithmes est considérablement différente. Les gens peuvent les désactiver à tout moment.

M. Nathaniel Erskine-Smith:

Fourniriez-vous les évaluations des risques internes au Comité?

M. Derek Slater:

Pour notre part, en ce qui concerne l’algorithme de recommandation sur YouTube, nous continuons de tenter d’améliorer notre transparence.

M. Nathaniel Erskine-Smith:

Fourniriez-vous ces évaluations des risques internes? Honnêtement, en ce qui me concerne, elles devraient être publiques, de la même manière que le gouvernement du Canada procède à une évaluation d’impact algorithmique et que tout organisme gouvernemental qui veut employer un algorithme doit faire preuve de transparence à cet égard. Aucune de vos entreprises multimilliardaires n’est tenue de procéder ainsi, mais je pense que vous devriez l’être.

Voudriez-vous fournir au Comité les évaluations d’impact algorithmiques que vous affirmez avoir effectuées et faire preuve d’une certaine transparence?

M. Kevin Chan:

Je vous remercie de cette question. Je pense que nous irons plus loin que cela. Comme je l’ai mentionné, nous sommes en train d'accroître notre transparence à l’égard d’un certain nombre d’éléments que vous verrez sur la plateforme. Nous avons déjà introduit sur certains marchés, en guise d’essai, ce qu’on appelle WAIST, qui est le sigle anglais de « Pourquoi est-ce que je vois ceci? » Cet outil vous donne une très bonne idée de la façon dont les publications sont classées et triées par le fil d’actualités.

M. Nathaniel Erskine-Smith:

Comme vous irez plus loin, je suppose que la réponse est oui, vous allez fournir cette documentation interne au Comité.

M. Kevin Chan:

Je pense que nous allons faire mieux. Nous allons joindre le geste à la parole, comme nous en avons parlé plus tôt, monsieur.

M. Nathaniel Erskine-Smith:

Je n’arrive pas à déterminer s’il s’agit d’un oui ou d’un non.

Les représentants de Google ont-ils un commentaire à faire?

M. Derek Slater:

Nous allons continuer à communiquer concernant notre situation.

M. Nathaniel Erskine-Smith:

Je considère cette réponse comme un non.

Qu'en est-il des représentants de Twitter?

M. Carlos Monje:

Nous croyons que la transparence est la clé. Je pense qu’il y a deux ou trois éléments à prendre en considération. L’un est que chacun de ces algorithmes est propriétaire. Il est important de réfléchir à ces aspects.

M. Nathaniel Erskine-Smith: Je comprends, oui.

M. Carlos Monje: L’autre est compréhensible. Nous parlons souvent des langues différentes. De mauvais acteurs, et leur interprétation de notre façon de mener nos activités... et aussi de nous juger par rapport aux résultats, et pas nécessairement aux intrants.

(1255)

M. Nathaniel Erskine-Smith:

D’accord.

Il ne me reste plus beaucoup de temps, alors je veux aborder la responsabilité à l’égard du contenu publié sur vos plateformes. Je crois comprendre que, dans le cas du contenu très préjudiciable... et nous pouvons parler de la nature du contenu, en soi. S’il est très préjudiciable, s’il s’agit de pornographie infantile ou de terrorisme, vous le retirez. S’il s’agit clairement d’un discours haineux criminel, vous le retirez, car ce contenu est préjudiciable de par sa nature seulement. En Allemagne, il est certain qu’il y aurait une responsabilité, et nous avons recommandé au sein du Comité qu’une responsabilité soit établie. S’il s’agit manifestement de contenu haineux, s’il est manifestement illégal, les plateformes de médias sociaux devraient être responsables si elles ne le retirent pas rapidement. À mes yeux, c’est logique.

Toutefois, la prochaine question ne porte pas sur la nature du contenu. Elle concerne votre participation active à l’augmentation du public exposé à ce contenu. Si un algorithme est employé par votre entreprise et utilisé pour faire augmenter les visionnements ou les expositions, reconnaissez-vous votre part de responsabilité à l’égard du contenu? Je souhaite obtenir une simple réponse affirmative ou négative.

Faisons le tour, en commençant par Google.

M. Derek Slater:

Nous sommes responsables de ce que nous recommandons, oui.

Une voix: C’est certain.

Une voix: Oui.

M. Carlos Monje:

Oui, nous prenons cette responsabilité très au sérieux.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Le président:

Nous allons retourner à la délégation du Royaume-Uni pour une autre période de cinq minutes.

Simplement pour que ce soit clair: la représentante de l’Estonie a demandé à poser une deuxième question. Les représentants de l’Allemagne et du Mexique et des membres du Comité l’ont demandé également. Je viens tout juste de voir une main levée du côté de Singapour; il y a aussi Charlie Angus et Damian Collins, puis je terminerai.

Monsieur Lucas ou madame Stevens, allez-y.

M. Ian Lucas:

Je m’adresse aux représentants de toutes les plateformes: avez-vous mis en place un processus satisfaisant pour la vérification de l’âge sur votre plateforme?

Monsieur Monje, allez-y.

M. Carlos Monje:

Oui. Nous mettons en œuvre les procédures relatives aux limites d’âge prévues dans le RGPD et tentons de trouver des moyens de le faire d’une manière qui protège la vie privée de nos utilisateurs. Souvent, il faut recueillir plus de renseignements auprès des mineurs dans le but de vérifier s’ils sont bien qui ils affirment être.

M. Ian Lucas:

Messieurs les représentants de Facebook, avez-vous établi un processus satisfaisant pour la vérification de l’âge?

M. Kevin Chan:

J’ai trouvé que la réponse de M. Monje était très bonne. C’est exactement l'équilibre que nous tentons d'atteindre.

Cela dit, je comprends l’esprit de votre question. Nous pouvons toujours nous améliorer. Je dois vous dire — et je pense que vous l’avez entendu de la bouche de mes collègues qui ont récemment comparu au Royaume-Uni...

M. Ian Lucas:

Alors, vous lisez des transcriptions de témoignages.

M. Kevin Chan:

En fait, non. J’ai passé du temps avec une collègue — Karina Newton — que les députés connaissent peut-être. C’est une femme très aimable, et elle a consacré une partie de son temps à me faire un compte rendu de la séance, de son point de vue. Selon elle, cela s’était très bien passé. Des questions approfondies et très ciblées ont été posées en ce qui concerne la vérification de l’âge.

Malheureusement, toutefois, la technologie n’est pas encore tout à fait là.

M. Ian Lucas:

Les représentants de Google veulent-ils ajouter quelque chose?

M. Derek Slater:

Oui, nous avons mis en place des exigences et souscrivons de façon générale aux propos qui ont été tenus.

M. Ian Lucas:

Vous avez peut-être mis en place des exigences, mais j’ai été capable de m’ouvrir un compte Instagram en me faisant passer pour un enfant de 10 ans — je pense — au cours d’une séance de comité. Il me semble, d’après les témoignages que j’ai entendus et ce que j’entends de la bouche de mes électeurs au Royaume-Uni, que les gens sont extrêmement préoccupés, et je ne crois pas que des processus de vérification de l’âge satisfaisants soient en place. En effet, selon les témoignages qui m’ont été présentés, les représentants des plateformes au Royaume-Uni semblaient eux-mêmes laisser entendre que les procédures de vérification de l’âge en place n’étaient pas satisfaisantes.

Souscrivez-vous à cette opinion? Pensez-vous que la situation est acceptable? Il s’agit essentiellement de ce que la plupart d’entre nous cherchent à savoir.

M. Kevin Chan:

Monsieur, ce que j’ai dit plus tôt, c’est que nous pouvons toujours nous améliorer. La technologie n’est pas rendue au stade où nous voudrions qu’elle soit.

M. Ian Lucas:

D’accord.

Dans le cas de Facebook, je suis un peu perplexe au sujet de votre relation avec WhatsApp et Instagram et du transfert des données. Si je donne des renseignements à Facebook, sont-ils transférables librement vers Instagram et WhatsApp?

M. Kevin Chan:

Comme vous le savez — je crois, car Karina a mentionné que vous aviez eu un échange à ce sujet au Royaume-Uni —, Facebook et Instagram sont régies par un ensemble de conditions d’utilisation, et WhatsApp est régie par un autre.

(1300)

M. Ian Lucas:

Cela signifie que des renseignements sont échangés entre Instagram et Facebook.

M. Kevin Chan:

Exact. Comme nous l’avons mentionné plus tôt, il est important pour nous de pouvoir mettre à profit l’infrastructure dans le but de prendre beaucoup des mesures que nous prenons pour tenter de garder les gens en sécurité. Karina l'a mentionné, en quelque sorte, quoiqu’elle a affirmé ne pas savoir si c’était complètement clair. Le fait d’avoir l'identité réelle des personnes sur Facebook nous permet de faire certaines des choses que nous ne pourrions pas faire au moyen d’Instagram seulement pour nous assurer que nous pouvons acquérir une plus grande certitude quant à ces questions d’âge, d’identité réelle, et ainsi de suite. Facebook nous permet de mettre à profit certains des systèmes de sécurité et de les appliquer à Instagram, car cette application — comme vous le savez manifestement — fonctionne très différemment et comporte un ensemble de pratiques différent du point de vue de la façon dont les gens utilisent le service.

M. Ian Lucas:

Enfin, je m’adresse aux représentants de toutes les plateformes: si vous étiez juridiquement responsable du contenu diffusé sur votre plateforme, seriez-vous en mesure de fonctionner en tant qu’entreprise?

M. Derek Slater:

Il existe des cadres juridiques en ce qui a trait à notre responsabilité à l’égard du contenu illégal, et nous les respectons.

M. Ian Lucas:

S’il était possible d’intenter des poursuites judiciaires contre les différentes plateformes en raison de renseignements que vous avez diffusés, lesquels, nous le savons, pourraient causer des préjudices dans l’avenir, pensez-vous que vous seriez en mesure de continuer à échanger des renseignements, ou bien que cela mettrait un terme à vos activités?

M. Carlos Monje:

C’est le contexte américain que je connais le mieux, et nous avons un certain degré d’immunité. C’était sous le régime de la Communications Decency Act, et cette loi avait été conçue pour nous procurer la marge de manœuvre nécessaire afin que nous puissions mettre en œuvre nos conditions d’utilisation sans nous faire poursuivre. La société américaine est très axée sur les actions en justice — comme vous le savez —, et cette mesure de protection nous a permis de créer et de maintenir une plateforme beaucoup plus sûre qu’elle ne l’aurait été autrement.

Ce que vous voyez ici même et partout dans le monde, ce sont de nombreux régimes différents qui font l’essai de mécanismes différents à cette fin. Des recherches indépendantes ont été menées au sujet des conséquences de cette situation, notamment à des endroits où on accusait les plateformes d'apporter des corrections excessives et d'étouffer des opinions valables. Aux États-Unis, il est rare que le gouvernement nous critique et demande de retirer du contenu parce qu’il enfreint notre politique sur le discours haineux ou sur la conduite haineuse; c'est plutôt lorsqu’il s’agit d’une violation de la loi sur le droit d’auteur, car les règles qui régissent le droit d’auteur aux États-Unis sont très strictes, et nous devons retirer le contenu dans un certain délai.

Au lieu de demander à une personne qui critique le gouvernement de retirer le contenu en raison d’autres conditions d’utilisation, on a recours au régime le plus strict, et cela a une incidence très négative sur la liberté d’expression.

Le président:

Merci.

Nous devons passer à un autre sujet. Je veux souligner ce qui se passera au cours des 30 prochaines minutes. Deux membres du Comité canadien n'ont pas encore pris la parole. Nous allons leur accorder cinq minutes chacun, ce qui nous laisse, pour les personnes qui ont demandé un deuxième tour de parole, environ 20 minutes, soit approximativement 3 minutes par personne.

Encore une fois, nous céderons d'abord la parole à M. Graham, puis à M. Saini et, ensuite, nous procéderons par pays.

Allez-y, monsieur Graham.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci beaucoup.

Je veux entrer directement dans le vif du sujet. Je vais me concentrer sur Google et Facebook pour un instant.

Messieurs les représentants de Google, acceptez-vous le terme « capitalisme de surveillance »?

M. Colin McKay:

Je pense qu'il s'agit d'une exagération de la situation, mais il reflète les pressions sociales et constitue une reconnaissance de l'inquiétude croissante au sujet des données recueillies sur les personnes.

M. David de Burgh Graham:

Les représentants de Facebook souhaitent-ils se prononcer?

M. Kevin Chan:

Je pense avoir grimacé la première fois que j'ai entendu le terme.

M. David de Burgh Graham:

Vous suivez les gens sur Internet de toutes les façons possibles sans qu'ils le sachent et sans qu'ils aient donné leur consentement explicite, à tout moment et pour toute raison, et vous le faites pour générer des profits.

M. Colin McKay:

Nous entretenons une relation très claire avec nos utilisateurs au sujet des renseignements que nous recueillons et de l'utilisation que nous en faisons. Nous obtenons leur consentement à l'égard des renseignements que nous utilisons.

M. David de Burgh Graham:

Mais vous ne faites pas uniquement le suivi des renseignements sur les utilisateurs. Vous recueillez de l'information sur quiconque se trouve sur Internet. Si on regarde Google Analytics et n'importe lequel de ces autres services, lesquels font le suivi de toutes les personnes qui passent par un autre site Web qui n'a rien à voir avec Google, vous recueillez beaucoup plus de données que celles qui sont fournies volontairement par les utilisateurs. Ma question est la suivante: encore une fois, recueillez-vous des données sur les gens à des fins lucratives et, le cas échéant, ne s'agit-il pas de capitalisme de surveillance?

M. Colin McKay:

Je pense que, dans la situation générale que vous venez tout juste de décrire relativement aux personnes qui utilisent Internet, nous ne recueillons pas de renseignements au sujet des gens. Nous mesurons le comportement et... Désolé, c'est le mauvais terme. J'entends le ricanement.

Nous mesurons la façon dont les gens agissent sur Internet et fournissons des données liées à ces comportements, mais elles ne sont pas liées à une personne. Elles sont liées à un acteur.

(1305)

M. David de Burgh Graham:

Ou bien elles sont liées à un type de personne, à une adresse IP ou à ce type d'information. Vous recueillez des données qui peuvent être reliées à des personnes. Là où je veux en venir, et je veux aller plus loin que cela, c'est que les gouvernements ont une capacité de surveillance exceptionnelle, comme nous le savons tous. Du moins, au pays, et dans beaucoup d'autres pays représentés à la table, nous avons maintenant un comité de parlementaires chargé de surveiller notre appareil de sécurité, et il le fait dans un contexte de confidentialité. Il procède à un examen approfondi des organismes de renseignement, de ce qu'ils font, de la façon dont ils le font et des raisons pour lesquelles ils le font, et il rend des comptes à ce sujet.

Si ces comités étaient créés uniquement pour se concentrer sur les entreprises de médias sociaux ou que le Comité s'y mettait, quelles surprises découvrirait-on?

M. Kevin Chan:

Monsieur, comme je l'ai indiqué, nous voulons faire plus au moyen de nos actes. Nous allons rendre toute cette information accessible, et, ensuite, les gens pourront... y compris les éléments qui sont à l'extérieur de la plateforme. Si un site utilise, disons, un module externe ou quelque chose de ce genre provenant de Facebook, vous avez accès à tous ces renseignements et vous pouvez en faire tout ce que vous voulez. Vous pouvez retirer des éléments. Vous pouvez en supprimer. Vous pouvez en transférer ou en télécharger. Voilà notre engagement, et nous allons le faire rapidement.

M. David de Burgh Graham:

Je comprends, mais, si on va sur Facebook et qu'on demande à télécharger nos données, il ne s'agit pas d'une collection complète des renseignements que Facebook possède sur nous en tant qu'utilisateur.

M. Kevin Chan:

Exact. Je pense que vous faites allusion aux situations où une personne télécharge ses renseignements et on obtient des choses comme ses photographies et ses vidéos.

M. David de Burgh Graham:

On obtient une poignée de photographies et de mises à jour, et puis bonne journée.

M. Kevin Chan:

C'est exact. Ce que nous voulons faire, c'est établir... et cela prend un peu de temps. Si vous pouvez faire preuve de patience, il faut un peu plus de temps pour établir un système beaucoup plus ambitieux, qui vous permettra ensuite de prendre les commandes non seulement des renseignements que vous avez affichés sur Facebook, mais de toute l'activité que vous pourriez avoir effectuée ailleurs au moyen de modules externes. Nous pourrons vous donner la capacité de contrôler et de retirer des choses, si vous le choisissez.

M. David de Burgh Graham:

Si Mark Zuckerberg était candidat à la présidence des États-Unis, par exemple, qu'est-ce qui limiterait sa capacité d'utiliser les données, les machines, les algorithmes et les capacités de collecte de Facebook pour alimenter sa campagne?

M. Kevin Chan:

Monsieur, si je puis me permettre, il s'agit d'une très bonne question, et c'est précisément pourquoi nous avons établi les politiques qui sont en place et pourquoi nous les respectons aussi rigoureusement. Ce n'est pas... et je pense que la question a été présentée d'une manière différente. C'était: « Qu'arriverait-il s'il y avait une photographie de Mark Zuckerberg ou une vidéo de lui? » Le traitement serait le même. C'est parce que ces politiques doivent tenir sans égard à la direction dans laquelle le vent souffle.

Comme je l'ai déjà dit, nous comprenons que les gens puissent ne pas être à l'aise avec le degré de transparence et la mesure dans laquelle Facebook peut prendre ces décisions au sujet de ce qui se passe sur son service, et c'est pourquoi nous établissons ce comité de surveillance externe, afin qu'un grand nombre de ces décisions difficiles établissant un précédent ne soient pas prises par Facebook seulement. Les gens auront la capacité d'interjeter appel auprès d'un organisme indépendant, lequel pourra prendre les décisions qui régiront le discours sur une plateforme.

M. David de Burgh Graham:

Je ne dispose que de quelques secondes, et je veux revenir sur l'organisme indépendant dans une seconde.

Là où je veux en venir, c'est que je soupçonne que le soutien de Facebook et l'utilisation des données de cette plateforme ne seront pas les mêmes si Neil Potts est candidat à la présidence des États-Unis que si Mark Zuckerberg est candidat à ce poste. C'est pourquoi il serait très difficile d'affirmer que la comparution de M. Zuckerberg est équivalente à celle de Neil Potts.

M. Kevin Chan:

Encore une fois, nos politiques s'appliquent à tout le monde. Nous ne ferions aucune exception pour qui que ce soit, et il s'agit en fait de la raison pour laquelle nous tenons ces genres de conversations solides.

M. David de Burgh Graham:

M. Zuckerberg a-t-il un...

Le président:

Notre temps est écoulé. Désolé, monsieur Graham.

Nous allons passer à M. Saini, pour cinq minutes.

M. Raj Saini (Kitchener-Centre, Lib.):

Bonjour.

L'une des choses que nous avons entendu de nombreux experts affirmer, c'est que beaucoup des problèmes qui sont survenus relativement aux données ont eu lieu au moment où l'apprentissage machine est vraiment entré en vigueur. Il y a eu un tournant. De nombreux experts s'entendent sur le fait que l'autoréglementation n'est plus viable. Des règles doivent être établies. Le modèle d'affaires ne peut tout simplement pas se réglementer, et il ne correspond pas à l'intérêt public.

J'ai deux questions à soulever. Ma préoccupation tient au fait qu'actuellement, nous sommes une démocratie mature. Beaucoup des pays représentés à la table sont des démocraties matures. Mon inquiétude concerne les démocraties naissantes qui tentent de s'élever, mais qui ne disposent pas de la structure, de la réglementation, de l'éducation et de l'efficience appropriées ni d'une presse libre ou avancée. Certains ont laissé entendre qu'il faudrait peut-être internationaliser cette autoréglementation, comme dans le cas d'autres produits. Même si certains pays pourraient ne pas avoir la capacité de réglementer efficacement certaines industries, les démocraties matures pourraient établir une norme mondiale.

Serait-ce quelque chose d'acceptable, par le truchement d'un mécanisme de l'OMC ou d'une autre institution internationale qui est peut-être mise à part? Une partie de la conversation porte sur le RGPD, mais ce règlement ne s'applique qu'à l'Europe. Il y a les règles américaines, les règles canadiennes, les règles sud-asiatiques... Si une seule institution gouvernait tout le monde, il n'y aurait pas de confusion, peu importe où les plateformes mèneraient leurs activités, car elles adhéreraient à une norme mondiale.

(1310)

M. Kevin Chan:

Vous avez raison. Nous pouvons faire harmoniser les normes à l'échelle mondiale; ce serait utile. Nous l'avons demandé à plusieurs égards, notamment en ce qui concerne la protection des renseignements personnels.

J'affirmerais qu'il s'agit en fait de l'un des défis clés. C'est un débat dynamique que nous tenons lorsque nous parlons du comité de surveillance. Dans le cadre des consultations que nous avons menées partout dans le monde, y compris au Canada, la grande question qui a été soulevée est la suivante: « Comment peut-on permettre à un comité mondial de prendre des décisions qui auront des conséquences locales? » Cette question a été posée, et je peux affirmer que nous avons tenu des conversations intéressantes avec l'Assemblée des Premières Nations. Manifestement, les Autochtones posent des questions uniques au sujet de la nature du bon cadre de gouvernance pour le contenu en ligne et de la façon dont nous allierons l'international au local.

Je suis tout à fait d'accord avec vous, monsieur. C'est une question très pertinente, à laquelle nous tentons de répondre.

M. Raj Saini:

Les représentants de Google veulent-ils s'exprimer?

M. Colin McKay:

C'est un défi que nous reconnaissons depuis les tout débuts de la mise en œuvre de l'apprentissage machine dans nos produits, et il s'agit de l'une des raisons pour lesquelles nous avons établi il y a plus d'un an un ensemble très clair de principes relatifs à la façon dont nous utiliserons l'intelligence artificielle dans nos produits.

Nous soulignons certainement le fait qu'une conversation active doit avoir lieu entre l'industrie et les gouvernements de partout dans le monde. Dans le passé, l'élaboration, sous la direction de l'OCDE, d'une telle réglementation axée sur des principes relativement à la protection des données nous a été utile en ce qui a trait aux progrès en fonction de la région et aux taux de sophistication.

Je suis d'accord avec vous sur le fait que ce genre de collaboration mondiale fondée sur des principes, surtout de concert avec les entreprises qui devront mettre cette réglementation à exécution, entraînera un système réglementaire plus équitable qui sera applicable le plus généralement possible, ici même dans la salle ou à l'échelle mondiale.

M. Raj Saini:

Je vous remercie de cette réponse. Évidemment, vous allez tenir compte de l'effet local dans tout pays avec lequel vous travaillez, mais il existe certains principes fondamentaux sur lesquels je pense que l'on peut s'entendre à l'échelle mondiale.

Ma dernière question est un peu philosophique, mais aussi un peu pratique. Dans certains pays où vous menez vos activités, vous savez qu'il n'existe aucune norme ni aucune réglementation. La primauté du droit est absente, tout comme la liberté de presse, et la structure gouvernementale n'est pas très avancée. Le contenu pourrait être exploité d'une manière plus haineuse dans ces pays que dans d'autres régions du monde.

Les plateformes n'ont-elles aucun mandat moral de s'assurer que, lorsqu'elles vont dans ces pays, elles contribuent à élever la structure de gouvernance, afin que leurs activités à ces endroits soient menées d'une manière plus équitable?

M. Colin McKay:

Ma réponse à cette question comporte deux volets.

Tout d'abord, comme l'a mentionné mon collègue, M. Slater, nous travaillons très dur afin de nous assurer que les politiques et les lignes directrices relatives à tous nos produits s'appliquent à ces pays ainsi qu'aux pays que nous pourrions décrire comme développés ou stables.

Toutefois, c'est aussi pourquoi des gens comme moi travaillent pour l'entreprise. Nous œuvrons au sein d'équipes qui se concentrent sur l'IA et sur la protection des renseignements personnels et des données. Nous tenons ces discussions, dans le pays en tant que tel ou à l'occasion de réunions d'organisations internationales, afin que nous puissions échanger continuellement des renseignements au sujet de la façon dont nous voyons ces politiques et technologies évoluer à l'échelle internationale. Nous pouvons fournir une comparaison avec la façon dont ces pays voient cette évolution à l'intérieur de leur propre administration.

Il s'agit d'un échange honnête et franc, où nous reconnaissons que nous sommes à l'avant-plan d'une technologie qui a une incidence importante sur nos produits et qui présente un avantage considérable pour nos utilisateurs.

M. Raj Saini:

Merci beaucoup.

Le président:

Merci, monsieur Saini.

Nous allons maintenant passer à nouveau aux représentants des pays, qui disposeront d'environ deux minutes chacun. Je vous prie d'être brefs. Nous allons entendre les représentants de l'Estonie, de l'Allemagne, du Mexique, de Singapour et de l'Irlande, puis nous allons conclure.

C'est au tour de l'Estonie. Vous avez la parole.

Mme Keit Pentus-Rosimannus:

Merci.

Il a été souligné que le phénomène de la désinformation devient de plus en plus complexe et qu'il est présent sur bon nombre de canaux et de plateformes, ce qui signifie que les différentes phases et les différentes étapes des campagnes de désinformation ont souvent lieu sur différents canaux.

Comment faire pour coopérer? Qu'est-ce que vous envisagez comme modèle pour la coopération entre les différentes plateformes afin de lutter contre la désinformation?

M. Derek Slater:

Nous effectuons nos propres évaluations des menaces pour prévoir et prévenir les nouvelles tendances, puis nous travaillons en collaboration avec l'industrie et, au besoin, avec les forces de l'ordre et d'autres intervenants afin de nous assurer que les renseignements et les indicateurs sont communiqués. Nous tenons absolument à prendre part à ce genre de processus.

M. Carlos Monje:

Je tiens simplement à dire que les entreprises collaborent sur ces problèmes et travaillent en étroite collaboration avec les gouvernements. Pendant la déclaration de M. Saini, je pensais au rôle du gouvernement et à quel point l'Estonie était avant-gardiste — bien qu'elle compose depuis longtemps avec la désinformation russe — au chapitre de ses efforts pour améliorer l'éducation sur les médias et de son travail avec les plateformes de façon à nous faciliter la tâche.

Tout le monde a un rôle à jouer, et les entreprises travaillent en collaboration pour lutter contre les menaces communes.

(1315)

M. Neil Potts:

Il faudrait se pencher sur le travail que nous effectuons dans le cadre du Forum mondial de lutte contre le terrorisme. Toutes nos entreprises participent à ce forum, au sein duquel nous avons des responsabilités partagées au chapitre de l'échange de renseignements, de la collaboration en matière de technologies et de soutien pour la recherche.

Le président:

Nous allons maintenant passer au représentant de l'Allemagne.

Vous avez la parole.

M. Jens Zimmermann:

Merci, monsieur le président.

J'aimerais poser quelques questions aux représentants de Twitter.

Au cours des récentes élections européennes, vous avez mis en place plusieurs mesures, lesquelles visaient particulièrement les fausses nouvelles concernant le processus électoral. Cela semblait être une bonne idée au départ, cependant, en Allemagne, les gazouillis de certains de nos représentants élus ont été bloqués alors qu'ils ne comportaient bien évidemment aucun renseignement erroné.

Bien entendu, le mécanisme de plainte de Twitter a été utilisé par des activistes de l'extrême droite afin de signaler, par exemple, des publications tout à fait légales mises en ligne par des membres du Parlement. Le problème, c'est la façon dont vous avez fait cela, et il a fallu un certain temps avant que tout ne rentre dans l'ordre.

Avez-vous fait un suivi à cet égard? Quelles leçons en avez-vous tirées, et comment cela va-t-il évoluer au cours des prochaines élections?

M. Carlos Monje:

Je vous remercie de cette question.

J'ai suivi tout cela depuis les États-Unis, à savoir les signalements pour désinformation que nous avons lancés dans l'Union européenne et en Inde. Je crois qu'il s'agit à la fois d'un défi et d'un avantage liés au fait d'être une plateforme mondiale: dès que vous vous retournez, il y a une nouvelle élection. Il y a les élections en Argentine qui s'en viennent, celles aux États-Unis en 2020 et celles au Canada, bien sûr, en octobre.

Nous avons appris que, lorsque vous créez une règle et mettez en place un système pour l'appliquer, les gens vont toujours tenter de le contourner. En Allemagne, la question était de savoir si on signait le bulletin de vote et comment on le faisait. Il s'agit de l'un des problèmes qui sont survenus. Nous allons en tirer des leçons et tenter de nous améliorer.

Ce que nous avons découvert — et M. Potts a mentionné le Forum mondial de lutte contre le terrorisme —, c'est que notre contribution à l'effort, ou plutôt ce que fait Twitter, c'est se pencher en premier sur les comportements, c'est-à-dire sur la façon dont les différents comptes interagissent entre eux, et non pas sur le contenu. De cette façon, nous n'avons pas à examiner les différents contextes qui rendent ces décisions plus compliquées.

Le président:

Merci.

Nous allons passer au représentant de Singapour pour deux minutes.

M. Edwin Tong:

Monsieur Potts, vous avez dit plus tôt, en réponse à la question de ma collègue, que vous n'étiez pas au courant que les vidéos avant ou après les attentats à la bombe au Sri Lanka avaient été signalées à Facebook avant les événements. Vous rappelez-vous avoir dit cela?

M. Neil Potts:

Oui, monsieur.

M. Edwin Tong:

C'était un massacre important et abominable, dont les vidéos ont circulé sur Facebook pendant un certain temps et, comme vous l'avez dit, il s'agit d'un discours haineux constituant clairement une violation de vos politiques. Vous savez sans doute que l'auteur présumé de l'attentat lui-même avait un compte Facebook. Je suis surpris que vous n'ayez pas vérifié cela, puisqu'il me semble que c'est quelque chose que Facebook aurait probablement voulu savoir.

On aurait voulu savoir pourquoi, compte tenu des vidéos qui ont circulé sur Facebook, c'est quelque chose qui avait échappé à Facebook, dans la mesure où cela vous avait échappé. Je suis surpris que vous ne sachiez toujours pas aujourd'hui si cela a été signalé à Facebook. Êtes-vous en mesure de confirmer cela?

M. Neil Potts:

Pour cette vidéo en particulier, monsieur, je serais heureux de vous revenir là-dessus après l'audience et de vous montrer la chronologie exacte des événements. Lorsqu'on nous a mis au courant de l'attaque perpétrée par cet individu, nous avons rapidement retiré...

M. Edwin Tong:

Je sais. Ce n'est pas ma question. Comment se fait-il qu'aujourd'hui, environ deux mois après les événements en question, vous ne savez toujours pas si, avant l'attaque, Facebook avait été mis au courant de l'existence des vidéos? J'aurais pensé que, si vous vouliez nous faire croire que les politiques que vous avez maintenant en place — l'intelligence artificielle et d'autres mécanismes pour l'avenir... Si j'étais à la place de Facebook, j'aurais voulu savoir pourquoi cela m'avait échappé. Je suis étonné que vous ne le sachiez toujours pas, même en date d'aujourd'hui.

M. Neil Potts:

C'est exact. Nous effectuons un processus officiel d'analyse après-action dans le cadre duquel nous nous penchons sur ces incidents afin de nous assurer que nos politiques...

(1320)

M. Edwin Tong:

Ce point n'a pas été soulevé.

M. Neil Potts:

J'aurais simplement besoin de vous revenir avec les renseignements. Je ne veux pas me prononcer à tort.

M. Edwin Tong:

Monsieur Potts, vous avez vous-même témoigné au Parlement du Royaume-Uni le mois dernier, et cette question a été soulevée au cours de l'audience. Est-ce exact?

M. Neil Potts:

Il me semble que l'attaque est survenue le dimanche de Pâques. Nous avons témoigné, il me semble, le mardi suivant. Nous n'en étions qu'aux premiers stades lorsque nous avons témoigné.

M. Edwin Tong:

D'accord, mais j'aimerais dire que je suis étonné que Facebook n'ait pas jugé bon de vérifier si quelque chose n'avait pas été oublié.

M. Kevin Chan:

Si je peux me permettre, monsieur, je tiens à vous assurer d'une chose...

M. Edwin Tong:

Si c'est pour répondre à ma question, alors je vous prie de formuler des explications, autrement...

M. Kevin Chan:

C'est par rapport à notre posture de sécurité, monsieur.

Le président:

Je suis désolé. Si ce n'est pas pour répondre directement à la question de M. Tong, nous ne disposons pas d'assez de temps.

Je m'excuse, monsieur Tong. Il ne reste plus de temps.

Nous devons passer à la représentante de l'Irlande pour deux minutes, puis nous allons conclure.

Je m'excuse, j'aurais aimé que nous ayons plus de temps, mais nous n'en avons pas.

Vous pouvez y aller.

Mme Hildegarde Naughton:

Merci, monsieur le président.

Je n'ai pas obtenu de réponse à ma première question, laquelle portait sur la position de Google par rapport au RGPD. Bon nombre des entreprises de médias sociaux ont leur siège social en Irlande. En effet, notre commissaire à la protection des données réglemente pour l'Europe, et Mark Zuckerberg de Facebook a demandé qu'une approche inspirée du RGPD soit adoptée partout dans le monde.

Quel est votre point de vue à ce sujet? Est-ce que cela peut fonctionner?

M. Colin McKay:

Nous estimons que le RGPD offre un cadre solide pour une conversation mondiale sur ce à quoi ressemblerait une protection étendue des renseignements personnels. La question est de savoir comment ce cadre peut s'adapter aux administrations locales et tenir compte du contexte politique et social de chacune de ces administrations.

Mme Hildegarde Naughton:

Vous ne pouvez pas être certain que cela va fonctionner.

Êtes-vous d'accord avec M. Zuckerberg sur l'application du RGPD à l'échelle mondiale?

M. Colin McKay:

Nous avons déjà abordé en détail le besoin de travail accru au chapitre de la réglementation de la protection des renseignements personnels. C'était l'automne dernier. Cela se fonde en grande partie sur le travail lié à l'élaboration du RGPD.

Je fais preuve de prudence, parce que je sais qu'il y a bon nombre de différents types de réglementation sur la protection des renseignements personnels en place à l'heure actuelle.

Mme Hildegarde Naughton:

Dans différents pays...

Pour ce qui est de l'Irlande, encore une fois, puisque c'est là où se trouve le siège social de bon nombre d'entreprises de médias sociaux... Votre siège social européen international est situé en Irlande. Nous travaillons sur des dispositions législatives concernant le commissaire à la sécurité numérique, ce qui signifie que l'Irlande légiférera sur la modération de contenu en ligne pour l'Europe et peut-être même pour d'autres administrations.

Voyez-vous les choses de la même façon? Très brièvement, quel est votre avis à ce sujet?

M. Derek Slater:

Comme nous l'avons dit dès le départ, il est essentiel que le gouvernement établisse des définitions claires sur ce qui est illégal, en plus d'avis clairs, pour que les plateformes agissent rapidement. Nous sommes ravis de voir ce genre de collaboration relativement au contenu illégal.

Mme Hildegarde Naughton:

Pourriez-vous envisager de déployer cela au-delà de l'Europe compte tenu de la loi en Irlande?

M. Derek Slater:

Qu'il s'agisse de cette loi ou non, je crois qu'il y a de plus en plus consensus au sujet des principes de base en matière d'avis et de retrait de contenu illégal.

Mme Hildegarde Naughton:

Les représentants de Facebook souhaitent-ils intervenir à ce sujet?

M. Kevin Chan:

Je crois que ce que M. Slater a dit est absolument vrai. Nous voulons travailler en collaboration avec vous. Je crois comprendre, en fait, que notre équipe travaille de concert avec les autorités publiques irlandaises sur cette question.

Nous travaillons également en collaboration avec le gouvernement français et le président Macron sur ce que ce dernier appelle la réglementation intelligente. Nous serions heureux d'avoir l'occasion de nous entretenir avec vous et avec d'autres personnes en Irlande sur l'évolution de la situation. Je crois que cela mérite que l'on s'y attarde un peu plus.

M. Carlos Monje:

En plus de l'importance d'avoir une terminologie précise, j'estime que la question de la responsabilité est importante, au-delà de l'organisme de réglementation qui rend des comptes au Parlement et des personnes qui pourraient avoir des comptes à rendre à leurs électeurs.

J'aimerais également ajouter qu'il est important, surtout dans le cadre de ces questions sur la modération de contenu, que nous prenons extrêmement au sérieux, de reconnaître la façon dont ces outils peuvent être utilisés par les régimes autocratiques. J'écoutais ce qui a été dit hier au sujet de l'Allemagne avant le nazisme. Les outils qui ont été utilisés afin de protéger la démocratie ont ensuite été utilisés pour l'étouffer au bout du compte. Je crois qu'il s'agit de questions difficiles, et je suis heureuse que ce comité les prenne au sérieux.

Le président:

Merci, madame Naughton.

Nous tenons à vous remercier tous et toutes de vos témoignages aujourd'hui.

Nous avons des observations finales, et nous commençons avec M. Angus...

Je présente mes excuses à la représentante du Mexique. Vous avez levé la main et je vais donc vous accorder deux brèves minutes. Vous avez la parole.

L’hon. Antares Guadalupe Vázquez Alatorre:

[La déléguée s'exprime en espagnol. Traduction de l'interprétation.]

J'aimerais rapidement vous demander quelle est la marche à suivre pour une victime lorsque le contrôle fait défaut et qu'il y a violation [Difficultés techniques] et Google en particulier.

M. Derek Slater:

Si je vous comprends bien, vous avez posé une question par rapport au contenu sur YouTube qui viole les lignes directrices communautaires. Nous avons des systèmes de signalement dans le cadre desquels un utilisateur n'a qu'à cliquer pour nous informer d'un contenu qui viole nos lignes directrices. Cet avis est envoyé et mis en attente d'examen. Il est possible de faire cela juste sous la vidéo.

(1325)

L’hon. Antares Guadalupe Vázquez Alatorre:

[La déléguée s'exprime en espagnol. Traduction de l'interprétation.]

Qu'arrive-t-il lorsqu'on leur dit qu'il n'y a pas d'infraction aux politiques, mais qu'il y a une vidéo accessible à tous dans laquelle une personne est nue?

M. Derek Slater:

Selon le contexte, si le contenu enfreint nos lignes directrices, nous allons le retirer. Si nous ne le faisons pas, il y a des mécanismes d'appel en place, et ainsi de suite.

L’hon. Antares Guadalupe Vázquez Alatorre:

[La déléguée s'exprime en espagnol et l'interprétation en anglais de ses propos est traduite ainsi:]

Je connais des cas, de nombreux cas, où les gens ont suivi toutes les procédures en ligne, et la réponse a toujours été: « Cela ne va pas à l'encontre de nos politiques », et ce, sur les trois plateformes. Que peut faire la victime? Comment peut-elle faire appel à qui que ce soit?

Comme je vous l'ai dit, dans un cas particulier, lorsque les personnes concernées se sont rendues au bureau de Google au Mexique, on leur a dit d'aller au bureau de Google aux États-Unis. Par conséquent, que peut faire une victime lorsque les images qui lui portent préjudice sont toujours affichées? Elles sont en ligne.

M. Derek Slater:

Je ne connais pas les cas particuliers dont vous parlez, mais nous serions heureux d'y donner suite.

L’hon. Antares Guadalupe Vázquez Alatorre:

[La déléguée s'exprime en espagnol et l'interprétation en anglais est traduite ainsi:]

Dans tous les cas, que se passe-t-il ensuite?

M. Derek Slater:

En règle générale, si quelque chose portait atteinte à la vie privée d'une personne, était diffamatoire ou incitait à la violence, et ainsi de suite, que cela allait à l'encontre de nos lignes directrices, nous le supprimerions. Le cas que vous décrivez m'est inconnu, mais nous serions heureux de recevoir plus de renseignements et de les transmettre à nos équipes.

Le président:

Nous ferions mieux de poursuivre.

Nous allons passer à M. Angus pour quelques minutes, puis à M. Collins et moi-même.

Allez-y, monsieur Angus.

M. Charlie Angus:

Je vous remercie, monsieur le président.

J'aimerais faire une confession. Je suis un utopiste du numérique en rémission. Je suis venu ici en tant que jeune socialiste démocratique et je me suis battu avec acharnement contre la réglementation. Pensez-y, parce que nous avons vu toutes ces entreprises en démarrage ainsi qu'un grand avenir pour le monde numérique. C'était en 2006. Maintenant, en 2019, j'ai ici des présidents conservateurs qui font pression en faveur d'une réglementation gouvernementale. C'est le monde dans lequel nous sommes tous.

C'est parce que nous parlons des droits démocratiques des citoyens, du rétablissement des droits des citoyens dans le domaine que vous contrôlez. Nous parlons du pouvoir qu'ont les plateformes de bouleverser nos systèmes démocratiques partout dans le monde, ce qui est sans précédent. Nous parlons du pouvoir qu'ont ces plateformes d'amener les gens à se radicaliser dans chacune de nos circonscriptions, ce qui a entraîné des massacres partout dans le monde. Ce sont là de graves problèmes. Nous commençons à peine à nous attaquer aux problèmes de l'IA et des technologies de reconnaissance faciale ainsi qu'à ce que cela signifiera pour nos concitoyens.

C'est ce que notre commissaire à la protection de la vie privée a appelé le droit des citoyens de vivre sans surveillance, ce qui touche au cœur même du modèle de gestion, en particulier celui de Facebook et de Google, et certains des meilleurs experts au monde ont dit hier et aujourd'hui que la première ligne de cette lutte pour les espaces publics et la vie privée des citoyens sera menée à Toronto avec le projet Google.

Monsieur McKay, nous vous avons déjà posé des questions sur Sidewalk Labs, mais vous avez dit que vous ne parliez pas au nom de l'organisation et que, d'une certaine manière, il s'agissait d'une entreprise différente.

Monsieur Slater, des experts nous ont dit qu'il s'agissait d'une menace pour les droits de nos citoyens. M. McNamee a dit qu'il ne laisserait pas Google approcher à moins de 100 milles de Toronto.

Pourquoi les citoyens de notre pays devraient-ils faire confiance à ce modèle de gestion pour décider de l'aménagement de certains des meilleurs terrains dans notre plus grande ville?

M. Derek Slater:

Je ne travaille pas non plus pour Sidewalk Labs. Vous avez raison. Nous voulons votre confiance, mais nous devons la mériter, en étant transparents, en élaborant des pratiques exemplaires avec vous et en étant responsables. Je pense que différents sites feront différents choix. C'est généralement le cas, mais je ne peux pas parler de cette entreprise en particulier, parce que je n'en fais pas partie.

Le président:

Je vous remercie, monsieur Angus.

Monsieur Collins, vous avez la parole.

M. Damian Collins:

Je vous remercie.

J'aimerais simplement revenir sur quelques points qui ont été abordés au cours de la séance.

Monsieur Potts, vous avez parlé brièvement des changements apportés à la politique de Facebook Live à la suite de l'attaque de Christchurch. Je crois comprendre qu'il s'agit d'une restriction pour les personnes qui ont diffusé les images les plus révélatrices sur Facebook Live, lesquelles verraient alors leurs comptes automatiquement suspendus. Est-ce exact?

M. Neil Potts:

C'est exact. Mais de plus, de façon plus générale, s'il y a violation des normes communautaires pour des types d'actions spécifiques, votre accès vous permettant d'utiliser le produit en direct sera suspendu pour une période de 30, 60 ou 90 jours.

(1330)

M. Damian Collins:

Vous ne pourriez pas utiliser le produit en direct.

M. Neil Potts:

C'est exact.

M. Damian Collins:

Le temps maximum de la suspension serait-il de 90 jours?

M. Neil Potts:

Je pense que pour les violations graves de nos normes communautaires, nous nous réservons également le droit de désactiver votre compte.

M. Damian Collins:

D'accord.

Qu'en est-il des personnes qui ont partagé du contenu grave qui a été diffusé sur Facebook Live? Ce ne sont pas elles qui l'ont diffusé, mais elles l'ont partagé à d'autres personnes sur la plateforme. Des mesures sont-elles prises contre elles?

M. Neil Potts:

Nous essayons d'examiner l'intention de la personne qui partage. Je pense que dans l'exemple de Christchurch, il y avait beaucoup de gens qui partageaient le contenu simplement pour des raisons de sensibilisation. Il y en avait certainement qui le partageaient à des fins malveillantes, pour bouleverser nos politiques ainsi que notre intelligence artificielle. Des mesures seraient prises contre eux. Si nous savions que vous partagiez — même des entreprises de médias partageaient la vidéo —, nous essayerions de voir le contexte et de comprendre l'intention derrière votre partage.

M. Damian Collins:

Est-ce que les personnes qui, selon vous, ont malicieusement partagé les images ont vu leurs comptes annulés?

M. Neil Potts:

Dans certains cas, les personnes ont vu leurs comptes désactivés. Dans d'autres cas, elles ont été sanctionnées.

M. Damian Collins:

Pourriez-vous nous écrire pour nous dire combien de comptes ont été désactivés à la suite de ces partages?

M. Neil Potts:

Je serais heureux de faire un suivi après l'audience.

M. Damian Collins:

De toute évidence, ces changements entraînent des mesures rétroactives à l'encontre de ceux qui sont responsables. Y a-t-il quelque chose que Facebook a fait pour empêcher un drame comme celui de Christchurch de se reproduire, en ce qui concerne la façon dont il est diffusé et partagé dans l'ensemble des systèmes?

M. Neil Potts:

Nous continuons d'investir dans l'IA.

Dans le cas de Christchurch, l'utilisation de la vidéo à la première personne de l'appareil GoPro est très difficile à reconnaître pour l'IA. Nous continuons d'investir pour essayer de nous améliorer et de fournir des données d'entraînement à l'apprentissage machine afin que nous puissions détecter et prévenir. Nous avons intégré de nouveaux protocoles permettant d'acheminer ces types de vidéos à des réviseurs humains en temps réel, mais il est important de noter que la vidéo n'a jamais été signalée pendant qu'elle était en direct.

M. Damian Collins:

D'accord. Je ne suis pas certain de bien comprendre, mais il y a encore deux ou trois questions.

Vous avez beaucoup parlé de la suppression des comptes non authentiques. Facebook, je crois, a dit que 3,3 milliards de comptes non authentiques avaient été supprimés au cours des six derniers mois. C'est beaucoup plus que le nombre d'utilisateurs actifs de l'entreprise. À la lumière de ces données, à quel point pouvez-vous être certain qu'il n'y a qu'environ 5 % des comptes qui ne sont pas authentiques?

M. Neil Potts:

Nous avons des équipes scientifiques qui étudient la question de près, alors je m'en remets à leur expertise et à leur analyse à ce sujet.

M. Damian Collins:

Monika Bickert a dit que les comptes non authentiques sont beaucoup plus susceptibles de partager de la désinformation; par conséquent, sur ces 3,3 milliards de comptes, combien d'entre eux partagent activement de la désinformation?

M. Neil Potts:

Je n'ai pas ce chiffre. Je crois qu'elle a dit qu'ils sont plus susceptibles... C'est une combinaison de comportements abusifs, donc non seulement de la désinformation, mais également des propos haineux. Votre point est pris en compte, et je peux y donner suite.

M. Damian Collins:

Facebook serait-elle en mesure d'écrire au Comité pour lui donner une réponse à cette question?

M. Kevin Chan:

Eh bien, monsieur, je devrais clarifier les choses. Je pense que c'est le cas, si vous examinez le rapport sur la transparence...

M. Damian Collins:

Je suis désolé, monsieur, nous manquons de temps.

Je veux juste dire que, si vous n'avez pas la réponse à cette question maintenant...

M. Kevin Chan:

Nous avons la réponse, monsieur.

M. Damian Collins:

... l'entreprise peut nous l'envoyer par écrit.

M. Kevin Chan:

La grande majorité des comptes sont en fait désactivés avant même qu'un humain puisse interagir avec eux.

M. Damian Collins:

D'accord.

Facebook pourrait-elle s'engager à écrire au Comité pour dire...

M. Neil Potts:

Nous le ferons.

M. Damian Collins:

... combien de ces comptes qui ont été supprimés, ces 3,3 milliards, partageaient de la désinformation? L'entreprise dit que ces comptes sont plus susceptibles de partager de la désinformation que d'autres types de comptes?

M. Neil Potts:

Si nous avons [Inaudible].

M. Damian Collins:

Enfin, à la suite du scandale de Cambridge Analytica l'an dernier, Facebook a annoncé qu'il y aurait une nouvelle fonctionnalité permettant aux utilisateurs d'effacer l'historique de leur navigateur. Je crois savoir que Facebook a annoncé que ce serait lancé plus tard cette année. Cela semble être une longue période. S'il s'agissait du lancement d'un produit qui rapporte de l'argent à Facebook, on pourrait croire que cela se serait fait plus rapidement. On ne dirait pas que vous vous précipitez et que vous remuez terre et mer; on dirait plutôt que vous prenez votre temps.

Facebook est-elle capable d'arrêter une date à laquelle la fonction permettant d'effacer l'historique du navigateur sera activée?

M. Kevin Chan:

Monsieur, je crois avoir parlé de cette nouvelle fonction à quelques reprises avec divers membres du Comité. Il serait probablement inopportun pour moi d'arrêter une date, évidemment, à ce moment-ci. Je ne veux pas aller plus vite que mes skis, mais je pourrais simplement dire que, même avec les mesures de transparence que nous mettons en place au Canada, nous travaillons sans relâche pour bien faire les choses. Nous allons essayer de déployer cet autre produit à l'échelle mondiale. Cela va prendre...

M. Damian Collins:

Je dirais simplement que ce genre de fonctions est assez répandu sur le Web. Je pense que le fait que cela fait maintenant plus d'un an qu'elle a été annoncée et que vous ne pouvez même pas donner une date cette année pour son entrée en vigueur est vraiment déplorable.

M. Kevin Chan:

Je comprends.

Le président:

Je tiens à remercier tout le monde de son témoignage aujourd'hui.

Je félicite M. Chan pour certains des changements qu'il a annoncés. Nous avons entendu ces promesses à maintes reprises, alors je suppose que nous attendrons de voir ce que nous obtiendrons au bout du compte.

Cela nous ramène à ce que nous demandions au départ. En toute bonne foi, nous avons demandé à votre PDG et à votre directrice des opérations de comparaître devant nous aujourd'hui pour que nous travaillions ensemble à trouver une solution à ces problèmes que tout un tas de pays et de gens dans le monde considère comme des problèmes communs. À mon avis, il est honteux qu'ils ne soient pas ici aujourd'hui pour répondre à ces questions précises auxquelles vous n'avez pas pu répondre pleinement.

C'est ce qui est troublant. Nous essayons de travailler avec vous, et vous dites que vous essayez de travailler avec nous. Nous venons d'avoir un message aujourd'hui qui m'a été transmis par mon vice-président. Il indique que « Facebook témoignera devant le Grand comité international ce matin. Neil Potts et Kevin Chan témoigneront. Aucun d'eux ne figure au tableau des 35 plus hauts fonctionnaires de l'équipe des politiques. »

On nous a ensuite dit que vous ne figurez même pas parmi les 100 plus importants. Je ne veux pas vous offenser personnellement; vous assumez la responsabilité pour l'équipe de Facebook, alors je vous suis reconnaissant de votre présence ici aujourd'hui. Cependant, la dernière chose que j'ai à dire au Comité, c'est qu'il est honteux que Mark Zuckerberg et Sheryl Sandberg ne soient pas venus aujourd'hui.

Cela dit, nous tiendrons une rencontre avec les médias immédiatement après la réunion pour répondre aux questions. Nous allons signer la déclaration d'Ottawa juste ici, de sorte qu'un membre de chaque délégation siégera à titre de représentant.

Par la suite, tous les parlementaires en visite de partout dans le monde sont invités à assister à notre période de questions d'aujourd'hui. Je vais vous orienter vers ma chef de cabinet, Cindy Bourbonnais. Elle vous aidera à obtenir les laissez-passer dont vous avez besoin pour siéger à la Chambre si vous souhaitez venir à la période de questions aujourd'hui.

Merci encore d'être venus en tant que témoins. Nous passerons directement à la déclaration d'Ottawa.

La séance est levée.

Hansard Hansard

committee ethi foss hansard 63340 words - whole entry and permanent link. Posted at 22:44 on May 28, 2019

2019-05-27 ETHI 151

Standing Committee on Access to Information, Privacy and Ethics

(1900)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

We'll call to order our meeting of the Standing Committee on Access to Information, Privacy and Ethics, and to a larger extent, our international grand committee.

We'd like to welcome especially the visitors from around the globe tonight.

You will notice some empty seats beside you. We've heard of some unexpected flight delays for some of the delegations. They will definitely be here. Some are arriving as we speak. Some are arriving in about an hour from now. Again, my apologies for their not being here as planned.

I'd like to go through, first of all, the countries that are going to be represented tonight, tomorrow and Wednesday. Then we'll go around and have some brief introductions, and get right into the presentations.

We're still expecting some of our witnesses to come, as well.

We'll start off with the countries that are represented, confirmed just today—Canada, of course, the United Kingdom, Singapore, Ireland, Germany, Chile, Estonia, Mexico, Morocco, Ecuador, St. Lucia, and Costa Rica.

I will say that we have lost a few due to something called elections around the globe that we can't really have control over. Those have gotten in the way of some of the other countries being able to get here.

I see some of our witnesses. Mr. Balsillie and Mr. McNamee, please take your seats at the front. We're just getting started. Welcome.

I want to go around the table quickly and have the delegates say their name and introduce the country they're from.

Let's start off with our member from Estonia.

Ms. Keit Pentus-Rosimannus (Vice-Chairwoman, Reform Party, Parliament of the Republic of Estonia (Riigikogu)):

Hello, everyone.

I am Keit Pentus-Rosimannus, representing the Estonian Parliament today.

Ms. Sun Xueling (Senior Parliamentary Secretary, Ministry of Home Affairs and Ministry of National Development, Parliament of Singapore):

Hi, everyone.

I am Sun Xueling. I'm the senior parliamentary secretary, Ministry of Home Affairs and Ministry of National Development, from Singapore.

Thank you.

Mr. Edwin Tong (Senior Minister of State, Ministry of Law and Ministry of Health, Parliament of Singapore):

Good evening, everyone.

I'm a member of Parliament from Singapore and also Senior Minister of State in the Ministry of Health and Ministry of Law in Singapore.

Thank you.

Mr. Jens Zimmermann (Social Democratic Party, Parliament of the Federal Republic of Germany):

Hello.

My name is Jens Zimmermann. I'm a member of the German Bundestag, and I'm the spokesperson on digitalization for the Social Democrats.

Mr. Charlie Angus (Timmins—James Bay, NDP):

I am Charlie Angus, vice-chair of this committee and a member of the New Democratic Party. I represent the constituency of Timmins—James Bay, which isn't a country, but it is larger than France. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

I'm Jacques Gourde, Conservative member for Lévis—Lotbinière. [English]

Hon. Peter Kent (Thornhill, CPC):

I am Peter Kent, the member of Parliament for Thornhill on the northern city limits of Toronto. I am the critic for the official opposition, the Conservative Party, on the ethics committee, which is responsible for ethics, lobbying, information and privacy.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

I'm Nate Erskine-Smith. I'm a Liberal member, representing a Toronto area riding called Beaches—East York. I'm the Liberal vice-chair of this committee.

Mr. Raj Saini (Kitchener Centre, Lib.):

My name is Raj Saini. I'm the member of Parliament for Kitchener Centre. I'm a Liberal member. I also sit on the foreign affairs and international development committee.

Ms. Anita Vandenbeld (Ottawa West—Nepean, Lib.):

I am Anita Vandenbeld. I'm the Liberal member of Parliament for Ottawa West—Nepean, which is about 15 minutes west of here. I'm also on the foreign affairs committee and chair of the Subcommittee on International Human Rights.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

My name is David Graham. I represent the riding of Laurentides—Labelle, which is a much smaller riding than Charlie's, but it is much bigger than Singapore. I'm on four other committees. In terms of this one, I'm not a regular member but I am a regular member, if you can call it that.

Thank you for this.

(1905)

The Chair:

Thank you.

I'll finish.

My name is Bob Zimmer, member of Parliament for Prince George—Peace River—Northern Rockies, the beautiful northern British Columbia riding with the Rockies running right through it. I also chair the access to information, privacy and ethics committee that we sit before tonight.

Also, I'll give Mr. Kint some credit today. I gave you some credit earlier. This whole idea of the international grand committee came out of a Washington summit meeting in a pub with me, Mr. Erskine-Smith, Ian Lucas and Damian Collins. That's how it really started. We wanted to do something better—we thought better together as a coalition of countries to work out some solutions to these problems. So I'll give you some credit for probably buying one of the beers that one night. I appreciate that.

Mr. Angus has a comment, and then we'll get into the presentations.

Mr. Charlie Angus:

I'm sorry to interrupt, Mr. Chair, but I just wanted to confirm that our committee, through all-party consensus, issued a subpoena to Mr. Zuckerberg and Ms. Sandberg. I do believe that's unprecedented. I am reading reports that Facebook is speaking to media, saying they're not showing up to our committee. I am not aware whether they have officially responded to the subpoena.

Can you inform this committee whether they have bothered to respond to us on this issue?

The Chair:

Yes, I've seen similar.... The story, I believe, was on CNN this afternoon. I have not received that, as chair of the committee. Whether they will show up or won't show up.... We've asked the clerk, as well. We haven't received any communication to say they're not going to be appearing tomorrow morning.

My expectation is that we'll have some spaces for them to come and sit and give testimony. Whether or not they choose to fill those is up to them.

Again, it's my hope and expectation that they will follow through with our subpoena and show up tomorrow. That's just my comment back that officially, nothing as chair, nothing as clerk of the committee.

Mr. Charlie Angus:

Thank you very much.

The Chair:

We'll get right into it tonight. It's a bit more of an informal presentation from our guests tonight, so we won't be asking questions. This is just setting the stage for the next couple of days. It's warming up the conversation on why we're here and why we need to be concerned about big data, privacy and disinformation, etc.

We'll start off with Mr. Kint.

We'll give you the floor.

First, I'll read the list so that you'll know when you're the next to speak, and maybe I'll say who you represent, although you're all here as individuals.

As I said, we're starting with Jason Kint.

Jim Balsillie, chair, Centre for International Governance Innovation.

Roger McNamee, author of Zucked.

Roger, I know your resumé goes a lot longer than that, but we'll keep it short.

Taylor Owen, associate professor, McGill University.

Ben Scott.

Heidi Tworek, assistant professor, University of British Columbia.

Shoshana Zuboff.

Shoshana, I really appreciated your book. It's very informative.

Last but not least is Maria Ressa. She is with us via teleconference.

We're glad you could join us tonight, Maria. I know that you've been in some trying circumstances of late. It would have been nice to have you here, but I understand that that's out of your control.

We'll start off with Jason, and next will be Jim.

Go ahead, Jason.

Mr. Jason Kint (Chief Executive Officer, Digital Content Next):

Thank you for the opportunity to appear before the international grand committee. I am the CEO of the U.S.-based trade association Digital Content Next, and I appreciate the opportunity to speak on behalf of high-quality digital publishers.

We represent about 80 publishers globally. Many of them have offices in your home countries. They include the New York Times, the Wall Street Journal, the Financial Times, the BBC, the Guardian, Axel Springer. There are nearly 80 members. To be clear, our members do not include any social media, search engine or ad tech companies. That may be part of why I'm here.

DCN has prioritized shining a light on issues that erode trust in the digital marketplace, including a troubling data ecosystem that has developed with very few legitimate constraints on the collection and use of data about consumers. As a result, personal data is now valued more highly than context, consumer expectations, copyright and even facts themselves.

As policy-makers around the world scrutinize these practices, we urge you, along with industry stakeholders, to take action. We believe it is vital that policy-makers begin to connect the dots between the three topics of your inquiry: data privacy, platform dominance and societal impact.

Today, personal data is frequently collected by unknown third parties without consumer knowledge or control. That data is then used to target consumers across the web as cheaply as possible. This dynamic creates incentives for bad actors, particularly on unmanaged platforms like social media which rely on user-generated content mostly with no liability, where the site owners are paid on the click whether it is from an actual person or a bot, on trusted information or on disinformation.

We are optimistic about regulations like the GDPR in the EU which, properly enforced—that's important, properly enforced—contain narrow purpose limitations to ensure companies do not use data for secondary uses. We recommend exploring whether large tech platforms that are able to collect data across millions of websites, devices and apps should even be allowed to use this data for secondary purposes.

As an example of critically important action, we applaud the decision of the German cartel office to limit Facebook's ability to collect and use data across its apps and across the web. It's a very important decision.

The opaque data-driven ecosystem has strongly benefited intermediaries, primarily Google, and harmed publishers and advertisers. These intermediaries have unique leverage as gatekeepers and miners of our personal data. As a result, issues have surfaced including bot fraud, malware, ad blockers, clickbait, privacy violations and now disinformation, all over the past decade. However, importantly these are all symptoms. Make no mistake, the root cause is unbridled data collection at the most personal level imagined.

It is important to understand the power of these two companies. Four years ago, DCN did the original financial analysis labelling Google and Facebook the duopoly of digital advertising. The numbers are startling. In a $150-billion-plus digital ad market across North America and the E.U., 85% to 90% of the incremental growth is going to just these two companies. As we dug deeper, we connected the revenue concentration to the ability of these two companies to collect data in a way that no one else can. This means both companies know much of your browsing history and your location history. Data is the source of their power. The emergence of this duopoly has created a misalignment between those who create the content and the those who profit from it.

Finally, these data practices coupled with the dominance, without accountability, of these two companies is indeed impacting society. The scandal involving Facebook and Cambridge Analytica underscores the current dysfunctional dynamic. Under the guise of research, GSR collected data on tens of millions of Facebook users. As we now know, Facebook did next to nothing to ensure that GSR kept a close hold on our data. This data was ultimately sold to Cambridge Analytica and it was used for a completely different purpose: to target political ads and messages, including the 2016 U.S. election.

With the power Facebook has over our information ecosystem, our lives and democratic systems, it is vital to know whether we can trust the company. Many of its practices prior to reports of the Cambridge Analytica scandal clearly warrant significant distrust.

(1910)



Although there has been a well-documented and exhausting trail of apologies, it's important to note that there has been little or no change in the leadership or governance of Facebook, Inc. In fact, the company has repeatedly refused to have its CEO offer evidence to pressing international governments wanting to ask smart questions, leaving lawmakers with many unanswered questions.

Equally troubling, other than verbal promises from Facebook, it's not clear what will prevent this from happening again. We believe there should be a deeper probe, as there is still much to learn about what happened and how much Facebook knew about the scandal before it became public. Facebook should be required to have an independent audit of its user account practices and its decisions to preserve or purge real and fake accounts over the past decade. We urge you to make this request.

To wrap up, it is critical to shed light on these issues to understand what steps must be taken to improve data protection, including providing consumers with greater transparency and choice over their personal data when using practices that go outside of the normal expectations of consumers. Policy-makers globally must hold digital platforms accountable for helping to build a healthy marketplace, restoring consumer trust and restoring competition.

Thank you for your time. I appreciate the opportunity to discuss these issues with you today.

The Chair:

Thank you, Mr. Kint.

You've kept very well under your seven-minute time. I'd like to remind everybody that seven minutes is the time allotted, so that was a good job.

Next up is Mr. Balsillie.

Mr. Jim Balsillie (Chair, Centre for International Governance Innovation, As an Individual):

Thank you very much, Mr. Chair. I will take less than that because I will be giving formal comments to the committee tomorrow.

Mr. Chairman and committee members, it's my honour and privilege to testify today to such distinguished public leaders. Data governance is the most important public policy issue of our time. It is crosscutting with economic, social and security dimensions. It requires both national policy frameworks and international coordination.

In my testimony tomorrow, I will give more description, and then I will end with six specific recommendations. I will spend a couple of minutes today speaking to one of the recommendations that I would like to bring forward to the group, which is that you create a new institution for like-minded nations to address digital co-operation and stability.

The data-driven economy's effects cannot be contained within national borders. New approaches to international coordination and enforcement are critical as policy-makers develop new frameworks to preserve competitive markets and democratic systems that evolved over centuries under profoundly different technological conditions. We have arrived at a new Bretton Woods moment. We need new or reformed rules of the road for digitally mediated global commerce, a world trade organization 2.0.

In the aftermath of the 2008 financial crisis, the Financial Stability Board was created to foster global financial co-operation and stability. A similar global institution, say, a digital stability board, is needed to deal with the challenges posed by digital transformation. The nine countries on this committee plus the five other countries attending, totalling 14, could constitute the founding members of such a historic plurilateral body that would undoubtedly grow over time.

Thank you.

(1915)

The Chair:

Thank you, Mr. Balsillie.

Next up we have Roger McNamee. Taylor Owen is on deck.

Go ahead, Mr. McNamee.

Mr. Roger McNamee (Author of Zucked, As an Individual):

I want to thank you for the opportunity to be here.

I come here as someone who has spent an entire professional lifetime involved in Silicon Valley building the best and brightest companies. The core thing I want you to understand is that the culture of Silicon Valley has come completely off the rails and that the technology industry today is committed to monopoly. It is committed to, as Professor Zuboff will describe, a form of capitalism that would be foreign to any of us who have grown up in the last 50 years.

In my mind, the industry has demonstrated that it is not capable of governing itself and that, left to its own devices, it will, as a matter of course, create harms that cannot easily be remedied. As a consequence, I believe it is imperative that this committee and nations around the world engage in a new thought process relative to the ways that we're going to control companies in Silicon Valley, especially to look at their business models.

The core issue that I would point to here, relative to business models, is that, by nature, they invade privacy, and that, by nature, they undermine democracy. There is no way to stop that without ending the business practices as they exist. I believe the only example we have seen of a remedy that has a chance of success is the one implemented by Sri Lanka recently when it chose to shut down the platforms in response to a terrorist act. I believe that is the only way governments are going to gain enough leverage in order to have reasonable conversations.

My remarks tomorrow will go into that in more depth.

I want to thank you for this opportunity. I want you to understand that I will be available to any of you at any time to give you the benefit of my 35 years inside Silicon Valley so you understand what it is we're up against.

Thank you very much.

The Chair:

Thank you very much, Mr. McNamee.

Next up, we have Taylor Owen, and on deck is Ben Scott.

Go ahead, please.

Professor Taylor Owen (Associate Professor, McGill University, As an Individual):

Thank you, co-chairs Zimmer and Collins, and committee members, for having me. I have to say it's a real honour to be here with you and amongst these other panellists.

I'm particularly heartened, though, because even three years ago, I think a meeting like this would have seemed unnecessary to many in the public, the media, the technology sector and by governments themselves. However, now I would suggest that we're in an entirely different policy moment. I want to make five observations about this policy space that we're in right now.

The first point I want to make is that it's pretty clear that self-regulation and even many of the forms of co-regulation that are being discussed have proven and will continue to prove to be insufficient for this problem. The financial incentives are simply powerfully aligned against meaningful reform. These are publicly traded, largely unregulated companies, which shareholders and directors expect growth by maximizing a revenue model that is itself part of the problem. This growth may or may not be aligned with the public interest.

The second point I want to make is that this problem is not one of bad actors but one of structure. Disinformation, hate speech, election interference, privacy breaches, mental health issues and anti-competitive behaviour must be treated as symptoms of the problem, not its cause. Public policy should therefore focus on the design and the incentives embedded in the design of the platforms themselves.

It is the design of the attention economy which incentivizes virality and engagement over reliable information. It is the design of the financial model of surveillance capitalism, which we'll hear much more about, which incentivizes data accumulation and its use to influence our behaviour. It is the design of group messaging which allows for harmful speech and even the incitement of violence to spread without scrutiny. It is the design for global scale that is incentivized in perfect automation solutions to content filtering, moderation and fact-checking. It is the design of our unregulated digital economy that has allowed our public sphere to become monopolized.

If democratic governments determine that this structure and this design is leading to negative social and economic outcomes, as I would argue it is, then it is their responsibility to govern.

The third point I would make is that governments that are taking this problem seriously, many of which are included here, are all converging I think on a markedly similar platform governance agenda. This agenda recognizes that there are no silver bullets to this broad set of problems we're talking about. Instead, policies must be domestically implemented and internationally coordinated across three categories: content policies which seek to address a wide range of both supply and demand issues about the nature, amplification and legality of content in our digital public sphere; data policies which ensure that public data is used for the public good and that citizens have far greater rights over the use, mobility and monetization of their data; and competition policies which promote free and competitive markets in the digital economy.

That's the platform governance agenda.

The fourth point I want to make is that the propensity when discussing this agenda to over-complicate solutions serves the interests of the status quo. I think there are many sensible policies that could and should be implemented immediately. The online ad micro-targeting market could be made radically more transparent, and in many cases suspended entirely. Data privacy regimes could be updated to provide far greater rights to individuals, and greater oversight and regulatory power to punish abuses. Tax policy could be modernized to better reflect the consumption of digital goods and to crack down on tax base erosion and profit-sharing. Modernized competition policy could be used to restrict and roll back acquisitions and to separate platform ownership from application and product development. Civic media can be supported as a public good, and large-scale and long-term civic literacy and critical thinking efforts can be funded at scale by national governments, not by private organizations.

That few of these have been implemented is a problem of political will, not of policy or technical complexity.

Finally, though, and the fifth point I want to make is that there are policy questions for which there are neither easy solutions, meaningful consensus nor appropriate existing international institutions, and where there may be irreconcilable tensions between the design of the platforms and the objectives of public policy.

The first is on how we regulate harmful speech in a digital public sphere. At the moment, we've largely outsourced the application of national laws as well as the interpretation of difficult trade-offs between free speech and personal and public harms to the platforms themselves: companies that seek solutions, rightly in their perspective, that can be implemented at scale globally. In this case, I would argue that what is possible technically and financially for the companies might be insufficient for the goals of the public good, or the public policy goals.

(1920)



The second issue is liable for content online. We've clearly moved beyond the notion of platform neutrality and absolute safe harbour, but what legal mechanisms are best suited to holding platforms, their design and those who run them accountable?

Finally, as artificial intelligence increasingly shapes the character and economy of our digital public sphere, how are we going to bring these opaque systems into our laws, norms and regulations?

In my view, these difficult conversations, as opposed to what I think are the easier policies that can be implemented, should not be outsourced to the private sector. They need to be led by democratically accountable governments and their citizens, but this is going to require political will and policy leadership, precisely what I think this committee represents.

Thank you very much.

(1925)

The Chair:

Thank you, Mr. Owen.

We'll go next to Mr. Scott.

Dr. Ben Scott (As an Individual):

Thank you very much, Mr. Chairman. It's a privilege and an honour to be here in front of this assembled international committee.

I appear before you this evening as an unlikely witness. I say that because I've spent pretty much my entire career promoting the virtues of the open Internet. I came of age during the Internet revolution of the late 1990s. I worked on the first truly digital political campaign for President Barack Obama in 2008. I was one of Hillary Clinton's digital diplomats in the heyday of Internet freedom during the Arab Spring. It was a moment in time when it seemed like smart phones and social media were the genuine catalysts of social and political movements to democratize the world. It was an inspiring moment. These technologies did help those things happen.

I'm an idealist at heart. I wanted to be in the middle of that revolution, but I sit before you today as a troubled idealist. I went back and worked for my old boss in 2016 on her presidential campaign. I ran the technology policy advisory committee. I had a ringside seat to what happened in America between 2015 and 2017. What I saw was that the open Internet that was meant to expand freedom instead turned into a powerful technology of social manipulation and political distortion. You all know the story. What was once the great hope for the revitalization of democracy is now considered by many to be among its greatest threats. My friends, that is a bitter irony—bitter—but it doesn't need to be that way.

The promise of information networks to distribute power to the people is a promise that we can reclaim, but we need to see at what point the astonishing control over wealth and power in this industry began to develop and steer things off course. The roots of this are deep, and we can track it back for decades, but I pinpoint a moment in time between 2014 and 2017 when machine learning technologies were applied to social media platforms, so-called artificial intelligence.

These technologies were not core to the Facebook and Google business models in 2011 and 2012 during the heyday of the Arab Spring. They arrived on the scene sometime later. If you want to know exactly when they arrived on the scene, look at the profit and revenue charts of Google and Facebook. I've written down the numbers for Facebook just to give you the case in point. In 2011, Facebook for the first time made $1 billion in profit on $4 billion in revenue. In 2017, just six years later, after the advent of these new technologies, they made $16 billion in profit on $40 billion in revenue. That's a more than 10x increase in six years.

How did that happen? It happened because they figured out a business model for superprofits. Step one: Track everything that billions of people do online and put it in a database. Step two: Sort that data and group people into target audiences and then sell access to their attention, engineering your entire information marketplace to optimize not for the quality of information or the civility of the dialogue in our society, but optimize just for addictiveness and time spent on the platform. Because the more time people spend on the platform, the more ads they see, and the more money the superprofits make.

It's a beautiful business model, and it works. It works with 10x profit in six years. Very few companies can claim anything like that kind of growth.

Also, it's not just the ads that get targeted. Everything gets targeted. The entire communications environment in which we live is now tailored by machine intelligence to hold our attention. This is not a recipe for truth and justice. What feels true performs better than what is true. Conspiracy and hate have become the organizing themes of social media, and that is a space that is easily exploited by propagandists peddling bigotry, social division and hatred to the disillusioned.

This is the connection between the data markets that we've heard talked about at this table and the abhorrent content you see online, whether we're talking about everyday hate speech or about something truly awful like the shootings in New Zealand. It is the algorithms that lead us into the temptation of our biases. This is what we have to address. We cannot rely on the industry to fix this problem.

(1930)



The core problem lies at the heart of the business model, what Professor Zuboff calls “surveillance capitalism”, and these companies are kings of the market. Public traded companies—

The Chair:

Just a second. The translation just went from English to Spanish, I believe. We'll just let the translators know.

I'm good at English, but not at Spanish.

Dr. Ben Scott:

That's that machine intelligence coming in to steer you away from my testimony.

The Chair:

Translation, are we good to go? Okay.

Go ahead, Mr. Scott. Sorry.

Dr. Ben Scott:

I've spent the last two and a half years studying this problem, pretty much from the day I woke up after the U.S. presidential election in November 2016, and I'm convinced of the thesis that I've just laid out to you. However, I want to be clear: Technology doesn't cause this problem. It accelerates it. It shapes it. It shapes its growth and its direction. It determines in what ways social development and history flow. Technology is an amplifier of the intentions of those who use it. These consequences are, in my view, not inevitable. There's no technological determinism here. We can fix this.

Just as we made policy decisions to expand access to affordable Internet and to make net neutrality the law of so many lands—we did that to support the democratizing potential of the technology—we can now make policies to limit the exploitation of these tools by malignant actors and by companies that place profits over the public interest. We have to view our technology problem through the lens of the social problems that we're experiencing.

This is why the problem of political fragmentation, hate speech or tribalism in digital media, depending on how you want to describe it, looks different in each of your countries. It looks different in each of your countries because it feeds on the social unrest, the cultural conflict and the illiberalism that is native to each society. There are common features that stretch across the board, but each country is going to see this in a slightly different way.

To be fair, our democracies are failing a lot of people. People are upset for good reason, but that upset is not manifesting as reform anymore. It's manifesting as a kind of festering anger. That radicalism comes from the way technology is shifting our information environments and shaping how we understand the world. We rarely see the world through the eyes of others. We are divided into tribes, and we are shown a version of the world day in and day out, month after month, that deepens our prejudices and widens the gaps between our communities. That's how we have to understand this problem.

To treat this, this sickness, this disease, we have to see it holistically. We have to see how social media companies are part of a system. They don't stand alone as the supervillains, as much as we might like to brand them that way, although they carry a great deal of responsibility. Look and see how the entire media market has bent itself to the performance metrics of Google and Facebook. See how television, radio and print have tortured their content production and distribution strategies to get likes and shares and to appear higher in the Google News search results. It's extraordinary. It reinforces itself, the traditional media and the new media.

Yes, I completely agree with Professor Owen that we need a public policy agenda and that it has to be comprehensive. We need to put red lines around illegal content. We need to limit data collection and exploitation. We need to modernize competition policy to reduce the power of monopolies. We also need to pull back the curtain on this puppet show and show people how to help themselves and how to stop being exploited.

I think there's a public education component to this that political leaders have a responsibility to carry. We need to invest in education, and we need to make commitments to public service journalism so that we can provide alternatives for people, alternatives to the mindless stream of clickbait to which we have become accustomed, the temptations into which we are led as passive consumers of social media.

I know this sounds like a lot, but I invite you to join me in recommitting yourself to idealism. It isn't too much to ask because it's what democracy requires.

Thank you very much.

The Chair:

Thank you, Mr. Scott.

Next up is Heidi Tworek, and on deck is Ms. Zuboff.

(1935)

Dr. Heidi Tworek (Assistant Professor, University of British Columbia, As an Individual):

Thank you so much, Mr. Chair.

Thank you to the distinguished members of the international grand committee for the kind invitation to speak before you today. It's really an honour to support international co-operation in this form.

In my work, I wear two hats. I'm a historian and I analyze policy. I know wearing two hats is a bit of a strange fashion choice, but I think it can help to lead us to much more robust solutions that can stand the test of time.

In my policy work, I have written about hate speech and disinformation in Canada, the United States and in Europe. I'm a member of the steering committee of the transatlantic high level working group on content moderation online and freedom of expression.

Wearing my history hat, I've been working for nearly a decade on the history of media. I just finished this book, which is called News From Germany: The Competition to Control World Communications, 1900-1945. Among other things in this book, I detail how it is that Germany's vibrant, interwar media democracy descended into an authoritarian Nazi regime that could spread anti-Semitic, racist and homophobic propaganda around the world.

While I was writing this book, the present caught up with history in all sorts of, frankly, disturbing ways. The far right around the world revived Nazi terminology using lügenpresse and systempresse—the lying press and the system press—to decry the media. Marginalized groups were targeted online and they were blamed for societal ills that they did not cause. News was falsified for political and economic purposes. Like with radio in the first half of the 20th century, a technology designed with utopian aims became a tool for dictators and demagogues.

As our other witnesses have described, some aspects of the Internet are unprecedented, such as the micro-targeting, the scale, the machine learning and the granular level of surveillance, but some of the underlying patterns look surprisingly familiar to the historians among us.

I'm going to offer five brief lessons from this history that I think can guide our policy discussions in the future and enable us to build robust solutions that can make our democracies stronger rather than weaker.

The first lesson is that disinformation is also an international relations problem. Information warfare has been a feature, not a bug, of the international system for at least a century. The question is not if information warfare exists, but why and when states engage in it.

What we see is that it's often when a state feels encircled, weak or aspires to become a greater power than it already is. This is as true for Germany a hundred years ago as it is for Russia today. If many of the causes of disinformation are geopolitical, we need to remember that many of the solutions will be geopolitical and diplomatic as well.

Second, we need to pay attention to the physical infrastructure of what is happening. Information warfare and disinformation are also enabled by physical infrastructure, whether it's the submarine cables a century ago or fibre optic cables today. One of Britain's first acts of war in World War I was to cut the cables that connected Germany to the rest of the world, pushing Germany to invest in a new communications technology, which was radio. By the time the Nazis came to power, one American radio executive would call it the most potent political agency the world had ever known.

We often think of the Internet as wireless, but that's fundamentally untrue; 95% to 99% of international data flows through undersea fibre optic cables. Google partly owns 8.5% of those submarine cables. Content providers also own physical infrastructure. Sometimes those cables get disrupted because they get bitten through by sharks, but states can bite, too. We do know that Russia and China, for example, are surveying European and North American cables.

We know China, of course, is investing in 5G, but it is combining that in ways that Germany did as well, with investments in international news networks like the Belt and Road News Network, English language TV channels like CGTN, or the Chinese news agency, Xinhua.

The third lesson, as many of the other witnesses have said, is that we need to think about business models much more than individual pieces of content. It's very tempting to focus on examples of individual content that are particularly harmful, but the reason that those pieces of content go viral is because of the few companies that control the bottleneck of information.

Only 29% of Americans or Brits understand that their Facebook newsfeed is algorithmically organized. The most aware are the Finns and only 39% of them understand that. That invisibility accords social media platforms an enormous amount of power. That power is not neutral. At a very minimum, we need far more transparency about how algorithms work, whether they are discriminatory and so on and so forth. As we strive towards evidence-based policy, we need good evidence.

(1940)



Fourth, we need to be careful to design robust regulatory institutions. Here, the case of Germany in the interwar period offers a cautionary tale. Spoken radio emerged in the 1920s. Bureaucrats in the democratic Weimar Republic wanted to ensure that radio would bolster democracy in a very new democracy after World War I. As that democracy became more politically unstable, those bureaucrats continually instituted reforms that created more and more state supervision of content. The idea here was to protect democracy by preventing news from spreading that would provoke violence. The deep irony of this story is that the minute the Nazis came to power, they controlled radio. Well-intentioned regulation, if we're not careful, can have tragic unintended consequences.

What does that mean for today? It means we have to democracy-proof whatever the solutions are that we come up with. We need to make sure that we embed civil society in whatever institutions we create.

One suggestion that I made with Fenwick McKelvey and Chris Tenove was the idea of social media councils that would be multi-stakeholder fora and that could meet regularly to actually deal with many of the problems we're describing. The exact format and geographical scope are still up for debate, but it's an idea supported by many, including the UN special rapporteur on freedom of expression and opinion.

Fifth, we need to make sure that we still pay attention to and address the societal divisions exploited by social media. The seeds of authoritarianism need fertile soil to grow. If we do not attend to the underlying economic and social discontent, better communication cannot obscure those problems forever.

Let me then remind you of these five lessons. First, disinformation is also an international relations problem. Second, we need to pay attention to physical infrastructure. Third, business models matter more than do individual pieces of content. Fourth, we need to build robust regulatory institutions. Fifth, we must pay attention to those societal divisions that are exploited on social media.

Attending to all of these things, there is no way they can be done within any one nation; they must be done also through international co-operation. That's why it's such a great honour to have had the chance to appear before you today.

Thank you very much.

The Chair:

Thank you, Ms. Tworek.

Next up is Ms. Zuboff.

You, and I with a name like Zimmer, have always been at the end of every list, and you're just about there.

Go ahead, Ms. Zuboff. It's good to have you here.

Ms. Shoshana Zuboff (As an Individual):

Thank you so much, Chairman Zimmer.

Indeed, I'm reminded of elementary school tonight.

Of course, you reverse the order tomorrow morning.

The Chair:

That's just because I understand.

Go ahead.

Ms. Shoshana Zuboff:

It's a lifelong burden.

It's such an honour to be speaking with you tonight, not least in part because I feel this committee right now is our information civilization's best hope for making progress against the threats to democracy that are now endemic as a result of what you've already heard referred to as surveillance capitalism.

I'm so pleased to hear the kind of synergy already in our comments. The themes that the committee has identified to target, the themes of platform accountability, data security and privacy, fake news and misinformation, are all effects of one shared cause. We've heard that theme tonight, and that's such a big step forward. It's very important to underscore that.

I identify this underlying cause as surveillance capitalism, and I define surveillance capitalism as a comprehensive, systemic economic logic that is unprecedented in our experience. I want to take a moment to say what surveillance capitalism is not, because that sets up a set of distinctions we all need to hear.

First of all, and it has been mentioned—thank you, Ben—surveillance capitalism is not technology. It has hijacked the digital for its own purposes. It is easy to imagine the digital without surveillance capitalism. It is impossible to imagine surveillance capitalism without the digital. Conflating those is a dangerous category error.

Second, surveillance capitalism is not a corporation nor is it a group of corporations. There was a time when surveillance capitalism was Google. Then, thanks to Sheryl Sandberg, who I call the typhoid Mary of surveillance capitalism, surveillance capitalism could have been called Google and Facebook. Ultimately, it became the default model for Silicon Valley and the tech sector, but by now this is a virus that has infected every economic sector.

That is why you began with such a startling and important claim, which is that personal data is valued more than content. The reason is that all of these activities, whether we're talking about insurance, retail, publishing, finance, all the way through to product and service, manufacturing and administration, all of these sectors are now infected with surveillance capitalism, so much so that we hear the CEO of the Ford Motor Company, the birthplace of managerial capitalism a century ago, now saying the only way for Ford to compete with the kind of P/Es and market cap that companies like Facebook and Google have is to reconceptualize the company as a data company and stream the data from the 100 million drivers of Ford vehicles. Those data streams now will put them on a par with the likes of Google and Facebook. “Who would not want to invest in us?” he says. We can no longer confine surveillance capitalism to a group of corporations or a sector.

Finally, surveillance capitalism cannot be reduced to a person or a group of persons. As attractive as it is to identify it with some of the leaders of the leading surveillance capitalists or the duopoly, the Zuckerbergs, the Pages, the Brins and so forth, we have blown past that point in our history when we can make that kind of identification.

(1945)



As an economic logic, which is structure and institutionalize...change the characters, there may be good, independent reasons for changing the characters, limiting their roles and limiting their extraordinary and unprecedented power, but that will not interrupt or outlaw surveillance capitalism.

Having said what it is not, let us just say very briefly what it is. Surveillance capitalism follows the history of market capitalism in the following way. It takes something that exists outside the marketplace and brings it into the market dynamic for production and sale. Industrial capitalism famously claimed nature for the market dynamic, to be reborn as land or real estate that could be sold or purchased. Surveillance capitalism does the same thing, but now with a dark and startling turn. What it does is it claims private human experience for the market dynamic. Private human experience is repurposed as free raw material. These raw materials are rendered as behavioural data.

Some of these behavioural data are certainly fed back into product and service improvement, but the rest are declared as behavioural surplus, identified for their rich predictive value. These behavioural surplus flows are then channelled into the new means of production, into what we call machine intelligence or artificial intelligence. From there, what comes out of this new means of production is a new kind of product—the prediction product. These factories produce predictions of human behaviour.

You may recall a 2018 Facebook memo that was leaked, and we still don't know exactly by whom. That Facebook memo gave us insight into this hub, this machine intelligence hub, of Facebook: FBLearner Flow. What we learned there is that trillions of data points are being computed in this new means of production on a daily basis. Six million “predictions of human behaviour” are being fabricated every second in FBLearner Flow.

What this alerts us to is that surveillance capitalists own and control not one text but two. There is the public-facing text. When we talk about data ownership, data accessibility and data portability, we're talking about the public-facing text, which is derived from the data that we have provided to these entities through our inputs, through our innocent conversations, and through what we have given to the screen. But what comes out of this means of production, the prediction products and how they are analyzed, is a proprietary text, not a public-facing text. I call it the shadow text. All of the market capitalization, all of the revenue and the incredible riches that these companies have amassed in a very short period of time have all derived from the shadow text. These proprietary data will never be known to us. We will never own that data. We will never have access to that data. We will never port that data. That is the source of all their money and power.

Now, what happens to these prediction products? They are sold into a new kind of marketplace that trades exclusively in human futures. The first name of this marketplace was online targeted advertising. The human predictions that were sold in those markets were called click-through rates. Zoom out only a tiny bit and what you understand is that the click-through rate is simply a fragment of a prediction of a human future.

By now we understand that these markets, while they began in the context of online targeted advertising, are no more confined to that kind of marketplace than mass production was confined to the fabrication of the Model T. Mass production was applied to anything and everything successfully. This new logic of surveillance capitalism is following the same route. It is being applied to anything and everything successfully.

(1950)



Finally, when we look at these human futures markets, how do they compete? They compete on the quality of their predictions. What I have understood in studying these markets is that by reverse engineering these competitive dynamics, we unearth the economic imperatives that drive this logic. These economic imperatives are institutionalized in significant ecosystems that thread through our economy, from suppliers of behavioural surplus to suppliers of computational capabilities and analysis, to market makers and market players.

These imperatives are compulsions. From these imperatives, every single headline—we open the paper every day and see a fresh atrocity—can be predicted by these imperatives. It began with economies of scale. We need a lot of data to make great predictions. It moved on to economies of scope. We need varieties of data to make great predictions. Now it has moved into a third phase of competition, economies of action, where the most predictive forms of data come from intervening in human behaviour—shaping, tuning, herding, coaxing, modifying human behaviour in the directions of the guaranteed outcomes that fulfill the needs of surveillance capitalism's business customers.

This is the world we now live in. As a result, surveillance capitalism is an assault on democracy from below and from above.

From below, its systems globally institutionalize systems of behavioural modification mediated by global digital architectures—our direct assault on human autonomy, on individual sovereignty, the very elements without which the possibility of a democratic society is unimaginable.

From above, what surveillance capitalism means is that we now enter the third decade of the 21st century. After all the dreams we held for this technology, which Ben has described to us, we enter this third decade marked by an asymmetry of knowledge and the power that accrues to that knowledge that can be compared only to the pre-Gutenberg era, an absolutist era of knowledge for the few, and ignorance for the many. They know everything about us; we know almost nothing about them. They know everything about us, but their knowledge about us is not used for us, but for the purposes of their business customers and their revenues.

To complete, it is auspicious that we are meeting tonight in this beautiful country of Canada, because right now, the front line of this war between surveillance capitalism and democracy is being waged in Canada, specifically in the city of Toronto. Surveillance capitalism began with your online browsing and moved to everything that you do in the real world. Through Facebook's online massive-scale contagion experiments and Google-incubated Pokémon GO, it experimented with population-level herding, tuning and behaviour modification.

Those skills, by the way, have now been integrated into Google's smart city application called Waze. But the real apple here, the real prize, is the smart city itself. This is where surveillance capitalism wants to prove that it can substitute computational rule, which is, after all, a form of absolutist tyranny, for the messiness and beauty of municipal governance and democratic contest.

(1955)



The frontier is the smart city. If it can conquer the smart city, it can conquer democratic society. Right now, the war is being waged in Toronto. If Canada gives Google, that is, Alphabet—Sidewalk Labs now goes out of its way to claim that it is not Google—Toronto, a blow will be struck against the future possibilities of a democratic society in the 21st century.

Thank you for your attention. I hope to return to this discussion tomorrow with the rest of the testimony.

Thank you so much.

The Chair:

Thank you, Ms. Zuboff.

Last, I will go to Maria Ressa. She's coming all the way from Manila in the Philippines.

Go ahead, Ms. Ressa.

Ms. Maria Ressa (Chief Executive Officer and Executive Editor, Rappler Inc., As an Individual):

Good morning.

First of all, what a privilege it is to be in front of you and to listen to everyone. Take everything that you've heard, especially what Shoshana just said.

I'm living this stuff right now. I've been a journalist for more than 30 years, and in the last 14 months, I've had 11 cases, five against me by the government. I've had to post bail eight times in a little over three months, and I've been arrested twice in five weeks. All of this stuff, bottom up.... I call that astroturfing on social media bottom-up information operations that are going down, and then you have top down, which again was described for you much more fully earlier.

I'm going to keep it short because I'll give you a formal presentation tomorrow. I think that, in the end, it comes down to everything that you have heard. It comes down to the battle for truth, and journalists are on the front line of this, along with activists. We're among the first targeted. The legal cases and the lobbying weaponized against me came after social media was weaponized. So, with regard to this battle for truth, at no other time do we really know that information is power. If you can make people believe lies, then you can control them, and that's aside from the commercial aspects of it. We're talking about information as a means to gain geopolitical power. If you have no facts, then you have no truth. If you have no truth, you have no trust.

We've seen that erosion. We first, at Rappler, were a start-up that really looked at information cascades, social networks, family and friends. Social media are your family and friends on steroids, so we looked at how information cascaded. What I'll show you tomorrow is the data that shows you exactly how quickly a nation, a democracy, can crumble because of information operations. If you say a lie a million times, it is the truth. There is this phrase “patriotic trolling”. It is online state-sponsored hate that targets an individual, an organization or an activist, pounding them to silence, inciting hate. We all know that online hate leads to real world violence.

We're the cautionary tale. I've had as much as 90 hate messages per hour. My nation has moved in three years' time from a very vibrant democracy where social media for social good was really used—we lived it. I believed we were.... My organization was one of the ones that worked very closely with Facebook, and then to see it weaponized at the end of 2015 and 2016.... It wasn't until after President Duterte took office in July 2016, the beginning of the drug war. The first targets were anyone on Facebook who questioned the numbers of killings. The UN now estimates that 27,000 people have been killed since July 2016. It's a huge number.

I'll end by saying that tomorrow I will give you the data that shows it. It is systematic. It is an erosion of truth. It is an erosion of trust. When you have that, then the voice with the loudest megaphone wins. In our case, it's President Duterte. We see the same things being carried out in the United States. Whether it's Trump, Putin or Duterte, it's a very similar methodology.

I'll end with this and just say thank you for bringing us in. I mean, what's so interesting about these types of discussions is that the countries that are most affected are democracies that are most vulnerable, like ours here in Southeast Asia, in the global south. Every day that action is not taken by the American tech platforms, the social media platforms that should have American values.... The irony, of course, is that they have eroded that in our countries.

There is some action that has been taken. I will say that we work closely with Facebook as a fact-checker, and I've seen that they're looking at the impact and that they have been trying to move at it. It has to move much faster.

Here's the last part of this: If they're responding to political situations in the west, that normally leads to neutral responses. Neutral responses mean that, in the global south, people will die and people will get jailed. This is a matter of survival for us.

Thank you.

(2000)

The Chair:

Thank you, Ms. Ressa.

That pretty much brings us to the end of our testimony for this evening.

We're going to Room 225A down the hall to meet more informally and to be able to ask you questions directly. I'm sorry again, Ms. Ressa, that you're not able to be here, but again the idea tonight was to get the conversation going and that will continue over there.

I want to remind everybody we are going to start crisply with testimony at 8:30 tomorrow morning, so I challenge you to be here when you can. I am going to be much more limiting. I gave some latitude with time tonight. Folks on the committee, tomorrow it's five minutes each for questioning. Again we look forward to the testimony.

We won't hear some of you again, but we thank you for making the special trip to be part of this panel tonight, and we look forward to this conversation continuing. Regardless that the Wednesday meeting ends at noon, the conversation will continue on how to make our data world a better place.

We'll see you just down the hall.

The meeting is adjourned.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1900)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

Je déclare ouverte la séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et, dans une plus large mesure, de notre Grand Comité international.

Nous souhaitons la bienvenue en particulier à nos visiteurs venus de partout dans le monde.

Vous remarquerez que certains sièges sont inoccupés. Nous avons appris que les vols de certaines délégations avaient été retardés. Ils vont assurément venir. Certains arrivent en ce moment même. D'autres vont arriver dans une heure environ. Encore une fois, je suis désolé qu'ils ne soient pas ici comme c'était prévu.

J'aimerais pour commencer faire le tour des pays qui seront représentés ce soir, demain et mercredi. J'inviterai ensuite chacun à se présenter brièvement, et nous passerons ensuite aux exposés.

Nous attendons toujours certains de nos témoins également.

Nous allons commencer par les pays qui sont représentés et qui ont été confirmés aujourd'hui: le Canada, bien sûr, le Royaume-Uni, Singapour, l'Irlande, l'Allemagne, le Chili, l'Estonie, le Mexique, le Maroc, l'Équateur, Sainte-Lucie et le Costa Rica.

Je souligne que nous en avons perdu quelques-uns en raison de ce qu'on appelle les élections, un peu partout dans le monde, et nous n'avons vraiment aucun contrôle là-dessus. C'est ce qui a empêché certains des autres pays d'être présents.

Je vois certains de nos témoins. Monsieur Balsillie et monsieur McNamee, veuillez prendre place à l'avant. Nous commençons tout juste. Bienvenue.

Je vais demander aux délégués de se présenter brièvement en se nommant et en nommant leur pays.

Commençons par la représentante de l'Estonie.

Mme Keit Pentus-Rosimannus (vice-présidente, Parti réformateur, Parlement de la République d'Estonie (Riigikogu)):

Bonjour à tous.

Je suis Keit Pentus-Rosimannus, et je représente le Parlement de l'Estonie.

Mme Sun Xueling (secrétaire parlementaire principale, Ministère des affaires intérieures et Ministère du développement national, Parlement de Singapour):

Bonjour à tous.

Je suis Sun Xueling, secrétaire parlementaire principale du ministère des Affaires intérieures et du ministère du Développement national de Singapour.

Merci.

M. Edwin Tong (ministre d'État principal, Ministère de la justice et Ministère de la santé, Parlement de Singapour):

Bonjour à tous.

Je suis député au Parlement de Singapour, et je suis également le ministre d'État principal du ministère de la Santé et du ministère de la Justice de Singapour.

Merci.

M. Jens Zimmermann (Parti social-démocrate, Parlement de la République fédérale d'Allemagne):

Bonjour.

Mon nom est Jens Zimmermann. Je suis député au Bundestag allemand et je suis le porte-parole en matière de numérisation pour le Parti social-démocrate.

M. Charlie Angus (Timmins—Baie James, NPD):

Mon nom est Charlie Angus, vice-président de ce comité et député du Nouveau Parti démocratique. Je représente la circonscription de Timmins—Baie James. Ce n'est pas un pays, mais c'est plus vaste que la France. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Je suis Jacques Gourde, député conservateur de Lévis—Lotbinière. [Traduction]

L'hon. Peter Kent (Thornhill, PCC):

Je m'appelle Peter Kent, député parlementaire de la circonscription de Thornhill, juste au nord de Toronto. Je suis le porte-parole de l'opposition officielle, le Parti conservateur, à ce comité, lequel s'occupe des questions d'éthique, de lobbying, de renseignement et de protection de la vie privée.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Je m'appelle Nate Erskine-Smith. Je suis un député libéral et je représente une circonscription de la région de Toronto appelée Beaches—East York. Je suis le vice-président libéral de ce comité.

M. Raj Saini (Kitchener-Centre, Lib.):

Je m'appelle Raj Saini. Je suis le député parlementaire de Kitchener-Centre. Je suis un député libéral. Je siège également au Comité des affaires étrangères et du développement international.

Mme Anita Vandenbeld (Ottawa-Ouest—Nepean, Lib.):

Mon nom est Anita Vandenbeld. Je suis la députée libérale de la circonscription d'Ottawa-Ouest—Nepean, qui se trouve à environ 15 minutes à l'ouest d'ici. Je siège aussi au Comité des affaires étrangères et du développement international, et je suis la présidente du Sous-comité des droits internationaux de la personne.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Mon nom est David Graham. Je représente la circonscription de Laurentides—Labelle, qui est nettement plus petite que celle de Charlie, mais nettement plus vaste que Singapour. Je siège à quatre autres comités. En ce qui concerne celui-ci, je n'en suis pas un membre en titre, mais j'y participe régulièrement.

Je vous remercie.

(1905)

Le président:

Merci.

Je vais conclure les présentations.

Mon nom est Bob Zimmer, député parlementaire de Prince Georges—Peace River—Northern Rockies, une magnifique circonscription du nord de la Colombie-Britannique qui est traversée par les Rocheuses. Je préside également ce comité, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.

Je veux d'abord rendre à César ce qui est à César et souligner la contribution de M. Kint. Je l'ai fait précédemment. Je souligne que l'idée du Grand Comité international a découlé d'une réunion dans un pub, en marge d'un sommet tenu à Washington, en présence de M. Erskine-Smith, Ian Lucas, Damian Collins et moi-même. C'est ainsi que tout a vraiment commencé. Nous voulions faire quelque chose de mieux — nous avons pensé qu'une coalition de pays réussirait mieux à résoudre ces problèmes. Je vous attribue donc le mérite d'avoir probablement payé une des bières que nous avons bues ce soir-là. Je vous en sais gré.

M. Angus a quelque chose à dire, après quoi nous passerons aux exposés.

M. Charlie Angus:

Je suis désolé de vous interrompre, monsieur le président, mais je voulais simplement confirmer que notre comité, avec le consensus de tous les partis, avait assigné M. Zuckerberg et Mme Sandberg à témoigner devant le Comité. Je crois que c'est sans précédent. Je lis que Facebook parle aux médias et qu'ils n'ont pas l'intention de comparaître devant notre comité. Je ne sais pas s'ils ont répondu officiellement à l'assignation.

Pouvez-vous dire au Comité s'ils se sont donné la peine de nous répondre?

Le président:

Oui. J'ai aussi vu… Je crois que c'était sur CNN, cet après-midi. Je n'ai pas reçu une telle réponse, en tant que président du Comité. Quant à savoir s'ils vont se présenter ou pas… Nous avons aussi demandé au greffier. Nous n'avons rien reçu disant qu'ils ne vont pas comparaître demain matin.

Nous leur réserverons des sièges pour leurs témoignages. C'est à eux qu'il incombe de décider s'ils vont venir s'y asseoir ou pas.

Comme je l'ai dit, j'espère et je compte bien qu'ils vont se conformer à l'assignation à comparaître et se présenter demain. Tout cela pour dire qu'officiellement, je n'ai rien eu en tant que président, et le greffier n'a rien eu non plus.

M. Charlie Angus:

Merci beaucoup.

Le président:

Allons-y. Nos invités nous font des exposés plutôt informels ce soir, et nous n'allons donc pas leur poser de questions. C'est tout simplement une façon de donner le ton aux deux prochaines journées. Nous lançons la conversation en parlant des raisons pour lesquelles nous sommes ici et des raisons pour lesquelles nous devons nous préoccuper des mégadonnées, de la protection des renseignements personnels, de la désinformation et ainsi de suite.

Nous allons commencer par M. Kint.

Nous allons vous donner la parole.

Premièrement, je vais lire la liste pour que vous sachiez quand viendra votre tour de parler. Je pourrais dire qui vous représentez, bien que vous soyez tous ici à titre personnel.

Comme je l'ai dit, ce sera d'abord Jason Kint.

Jim Balsillie, président, Centre pour l'innovation dans la gouvernance internationale.

Roger McNamee, auteur de Zucked.

Monsieur McNamee, je sais que votre curriculum vitae est beaucoup plus long que cela, mais nous allons rester brefs.

Taylor Owen, professeur agrégé, Université McGill.

Ben Scott.

Heidi Tworek, professeure adjointe, Université de la Colombie-Britannique.

Shoshana Zuboff.

Madame Zuboff, j'ai vraiment aimé votre livre. Il est très informatif.

La dernière et non la moindre est Maria Ressa, qui est avec nous par téléconférence.

Nous sommes ravis que vous ayez pu vous joindre à nous ce soir, madame Ressa. Je sais que vous avez vécu des circonstances difficiles dernièrement. Il aurait été formidable de vous avoir avec nous, mais je comprends que c'est hors de notre contrôle.

M. Kint va commencer, puis ce sera M. Balsillie.

Nous vous écoutons, monsieur Kint.

M. Jason Kint (chef de la direction, Digital Content Next):

Je vous remercie de me donner l'occasion de comparaître devant le Grand Comité international. Je suis le PDG de l'association commerciale américaine Digital Content Next, et je vous suis reconnaissant de l'occasion de parler au nom d'éditeurs numériques hautement compétents.

Nous représentons environ 80 éditeurs dans le monde. Bon nombre d'entre eux ont des bureaux dans vos pays d'origine. Citons notamment le New York Times, le Wall Street Journal, le Financial Times, la BBC, The Guardian et Axel Springer. Nous comptons près de 80 membres. Je tiens à préciser que nous n'avons pas de médias sociaux, de moteurs de recherche et d'entreprises de technologie parmi nos membres. C'est peut-être en partie la raison pour laquelle je suis ici.

DCN accorde la priorité à faire la lumière sur des enjeux qui minent la confiance dans le marché numérique, y compris un écosystème de données inquiétant qui s'est créé avec très peu de contraintes légitimes quant à la collecte et à l'utilisation des données sur les consommateurs. Par conséquent, on accorde désormais plus d'importance aux données personnelles qu'au contexte, aux attentes des consommateurs, aux droits d'auteurs et même aux faits.

Pendant que les décideurs du monde entier examinent ces pratiques, nous exhortons le gouvernement et les intervenants de l'industrie à passer à l'action. Nous croyons qu'il est essentiel que les décideurs commencent à établir les liens entre les trois sujets de votre étude: la protection des données, la dominance des plateformes et les répercussions sur la société.

De nos jours, les données actuelles sont souvent colligées par des tierces parties inconnues qui n'ont pas de connaissances sur les consommateurs et n'ont pas de contrôle sur eux. Ces données sont ensuite utilisées pour cibler les consommateurs sur le Web au plus bas prix possible. Cette dynamique crée des incitatifs pour les acteurs malveillants, et plus particulièrement sur des plateformes non gérées comme les médias sociaux qui dépendent de contenu généré par les utilisateurs, où les propriétaires de sites sont payés lorsque des personnes ou des robots cliquent sur des liens qui les dirigent vers des renseignements fiables ou de faux renseignements.

Nous sommes optimistes lorsque nous voyons des règlements comme le RGPD dans l'Union européenne qui, s'ils sont appliqués correctement — et c'est important —, renferment des restrictions strictes pour veiller à ce que les entreprises n'utilisent pas des données à des fins secondaires. Nous recommandons d'examiner si les grandes plateformes technologiques qui sont en mesure de recueillir des données dans des millions de sites Web, appareils et applications devraient être autorisées à utiliser ces données à des fins secondaires.

À titre d'exemple de mesure extrêmement importante, nous saluons la décision de l'Office fédéral de lutte contre les cartels de l'Allemagne de limiter la capacité de Facebook de recueillir et d'utiliser des données par l'entremise de ses applications et sur le Web. C'est une décision très importante.

L'écosystème opaque axé sur les données a grandement bénéficié aux intermédiaires, et principalement à Google, et a causé du tort aux éditeurs et aux annonceurs. Ces intermédiaires ont un atout unique en tant que percepteurs et gardiens de nos données personnelles. Par conséquent, des problèmes ont fait surface au cours de la dernière décennie, y compris des fraudes au moyen de robots, des logiciels malveillants, des bloqueurs de fenêtres publicitaires, des pièges à clics, des atteintes à la vie privée et, maintenant, de la désinformation. Cependant, il convient de noter que ce sont tous des symptômes. Ne vous méprenez pas: la cause profonde est la collecte incontrôlée des données les plus personnelles imaginables.

Il est important de comprendre le pouvoir de ces deux entreprises. Il y a quatre ans, DCN a réalisé l'analyse financière initiale dans laquelle Google et Facebook ont été qualifiés de duopole de la publicité numérique. Les chiffres sont saisissants. Dans un marché de publicités numériques de plus de 150 milliards de dollars en Amérique du Nord et dans l'Union européenne, ces deux entreprises représentent entre 85 et 90 % du taux de croissance. Lorsque nous avons poussé l'étude plus loin, nous avons établi un lien entre la concentration des revenus et la capacité de ces deux entreprises de recueillir des données d'une manière qu'aucune autre entreprise ne peut le faire. Donc, ces deux entreprises connaissent bien votre historique de navigation et l'historique de vos emplacements. Les données sont la source de leur pouvoir. L'émergence de ce duopole a créé un déséquilibre entre ceux qui créent le contenu et ceux qui en bénéficient.

Enfin, ces pratiques relatives aux données et la dominance, sans reddition de comptes, de ces deux entreprises ont une incidence sur la société. Le scandale impliquant Facebook et Cambridge Analytica met en évidence la dynamique dysfonctionnelle actuelle. Dans le cadre de recherches, on a relevé que GSR surveillait étroitement nos données. Comme nous le savons maintenant, Facebook n'a pratiquement rien fait pour veiller à ce que GSR surveille étroitement nos données. Ces données ont fini par être vendues à Cambridge Analytica et ont été utilisées à une fin complètement différente: cibler les publicités et les messages politiques, y compris lors des élections américaines de 2016.

Compte tenu du pouvoir que Facebook a sur notre écosystème d'information, nos vies et nos systèmes démocratiques, il est essentiel de savoir si nous pouvons faire confiance à l'entreprise. Bon nombre de ses pratiques précédant le signalement du scandale impliquant Cambridge Analytica justifient clairement une forte méfiance.

(1910)



Même si de nombreuses excuses exhaustives et bien documentées ont été présentées, il est important de noter qu'il y a eu peu ou pas de changement dans le leadership ou la gouvernance de Facebook Inc. En fait, l'entreprise a refusé à maintes reprises que son PDG présente des preuves pour avoir exercé des pressions sur des gouvernements internationaux voulant poser des questions pertinentes, ce qui laisse ainsi de nombreuses questions sans réponse pour les législateurs.

Ce qui est tout aussi troublant que les promesses verbales de Facebook, c'est qu'on ne sait pas trop ce qui empêchera une telle situation de se reproduire. Nous croyons qu'une enquête plus approfondie devrait être menée, puisque nous avons encore de nombreuses leçons à tirer de ce qui s'est produit et ne savons pas dans quelle mesure Facebook était au courant du scandale avant qu'il éclate au grand jour. Facebook devrait être assujetti à une vérification indépendante de ses pratiques relatives aux comptes d'utilisateurs et de ses décisions de préserver ou de supprimer des comptes réels et des faux comptes au cours de la dernière décennie. Nous vous exhortons à faire cette demande.

Pour conclure, il est primordial de faire la lumière sur ces enjeux pour comprendre les mesures à adopter afin de renforcer la protection des données, notamment en offrant aux consommateurs une transparence accrue et un choix concernant leurs données personnelles lorsque des pratiques qui dépassent les attentes normales des consommateurs sont utilisées. Les décideurs dans le monde doivent tenir les plateformes numériques responsables de contribuer à bâtir un marché sain, de restaurer la confiance des consommateurs et de rétablir la concurrence.

Merci du temps que vous m'avez consacré. Je vous suis reconnaissant de l'occasion de discuter de ces enjeux avec vous aujourd'hui.

Le président:

Merci beaucoup, monsieur Kint.

Vous avez largement respecté les sept minutes qui vous étaient imparties. J'aimerais rappeler à tous les témoins qu'ils disposent de sept minutes pour présenter leur exposé. Le dernier témoin a fait du bon travail pour respecter son temps de parole.

Le prochain intervenant est M. Balsillie.

Me Jim Balsillie (président, Centre pour l'innovation dans la gouvernance internationale, à titre personnel):

Merci beaucoup, monsieur le président. Je vais prendre moins de temps que cela car je vais faire mon exposé officiel devant le Comité demain.

Monsieur le président et mesdames et messieurs les membres du Comité, c'est un honneur et un privilège pour moi de témoigner aujourd'hui devant d'éminents dirigeants publics. La gouvernance des données est la question de politique publique la plus importante de notre époque. Elle est liée à des aspects d'ordre économique, social et de sécurité. Il faut des cadres stratégiques nationaux et une coordination internationale.

Dans le témoignage que je vais faire demain, je vais décrire plus en détail la situation, puis je terminerai avec six recommandations précises. Je vais prendre quelques minutes aujourd'hui pour discuter de l'une des recommandations dont j'aimerais vous faire part, soit de créer une nouvelle institution pour des nations aux vues similaires afin d'aborder les questions de la coopération et de la stabilité dans le marché numérique.

Les effets d'une économie axée sur les données ne peuvent pas être contenus à l'intérieur des frontières nationales. De nouvelles approches à l'égard de la coordination internationale et de l'application de la loi sont essentielles pour que les décideurs puissent élaborer de nouveaux cadres pour préserver des marchés concurrentiels et des systèmes démocratiques qui ont évolué au fil des siècles dans des conditions technologiques extrêmement différentes. Nous sommes arrivés à un nouveau chapitre dans l'accord de Bretton Woods. Nous avons besoin de règles nouvelles ou réformées pour le commerce mondial numérique, une organisation mondiale du commerce 2.0.

À la suite de la crise financière de 2008, le Conseil de stabilité financière a été créé pour favoriser la coopération et la stabilité financières mondiales. Une institution mondiale similaire, telle qu'un conseil de la stabilité sur le marché numérique, est nécessaire pour faire face aux défis que présente la transformation numérique. Les neuf pays qui font partie de ce comité et les cinq autres pays qui assistent aux séances, pour un total de 14, pourraient constituer les membres fondateurs d'une entité plurilatérale historique de la sorte qui prendrait assurément de l'expansion au fil du temps.

Merci.

(1915)

Le président:

Merci, monsieur Balsillie.

Le prochain intervenant sur la liste est Roger McNamee, puis ce sera le tour de Taylor Owen.

On vous écoute, monsieur McNamee.

M. Roger McNamee (auteur de Zucked, à titre personnel):

Je tiens à vous remercier de l'occasion d'être ici.

Je suis ici en tant que personne qui a passé toute sa carrière à Silicon Valley à bâtir les meilleures entreprises. Ce que je veux que vous compreniez surtout, c'est que la culture de Silicon Valley a complètement déraillé et que l'industrie de la technologie se tourne vers le monopole. Elle se tourne, comme M. Zuboff l'a décrit, vers une forme de capitalisme qui serait inconnue à tous ceux ici qui ont grandi au cours des 50 dernières années.

À mon avis, l'industrie a démontré qu'elle est incapable de se gouverner elle-même et que, lorsqu'elle doit se débrouiller par ses propres moyens, elle causera des torts auxquels il est difficile de remédier. Par conséquent, je crois qu'il est impératif que ce comité et les pays dans le monde entier se lancent dans un nouveau processus de réflexion relativement aux façons que nous allons contrôler les entreprises dans la Silicon Valley, surtout pour examiner leurs modèles d'affaires.

Je dirais que le principal problème concernant les modèles d'affaires est que, de nature, ils violent la vie privée et minent la démocratie. Il n'y a aucun moyen d'empêcher cela sans mettre fin aux pratiques commerciales dans leur forme actuelle. Je crois que le seul exemple de solution qui a des chances de succès est celle qui a été mise en œuvre par le Sri Lanka récemment lorsqu'il a décidé de fermer les plateformes à la suite d'un acte terroriste. Je crois que c'est la seule façon que les gouvernements pourront avoir une marge de manœuvre suffisante pour tenir des conversations raisonnables.

J'entrerai plus dans les détails dans ma déclaration de demain.

Je tiens à vous remercier de cette occasion. Je veux que vous sachiez que je serai à votre disposition à n'importe quel moment pour vous faire bénéficier de mes 35 années d'expérience dans la Silicon Valley afin que vous puissiez comprendre ce à quoi nous sommes confrontés.

Merci beaucoup.

Le président:

Merci beaucoup, monsieur McNamee.

Le prochain intervenant est Taylor Owen, puis ce sera au tour de Ben Scott.

Allez-y, s'il vous plaît.

M. Taylor Owen (professeur agrégé, Université McGill, à titre personnel):

Merci, messieurs les coprésidents Zimmer et Collins, et mesdames et messieurs les membres du Comité, de me recevoir. Je dois dire que c'est un véritable honneur d'être ici avec vous et ces autres témoins.

Je suis particulièrement encouragée, car il y a trois ans, je pense qu'une réunion comme celle-ci aurait semblé inutile pour bon nombre des membres du public, les médias, le secteur de la technologie et les gouvernements. Cependant, je dirais que nous sommes dans une période politique complètement différente. Je veux faire cinq observations à propos du contexte politique dans lequel nous sommes à l'heure actuelle.

Le premier point que je veux soulever, c'est qu'il est assez évident que l'autoréglementation et même de nombreuses formes de coréglementation qui ont fait l'objet de discussions ont démontré et continueront de démontrer qu'elles sont insuffisantes pour régler ce problème. Ces incitatifs financiers vont grandement à l'encontre d'une importante réforme. Ce sont des entreprises cotées en bourse très peu réglementées dans lesquelles les actionnaires et les administrateurs s'attendent à une croissance en maximisant un modèle de revenus qui fait partie du problème. Cette croissance peut cadrer ou non avec l'intérêt public.

Le deuxième point que je veux soulever est que ce problème ne repose pas sur des mauvais acteurs; c'est plutôt un problème de structure. La désinformation, les discours haineux, l'ingérence électorale, les atteintes à la vie privée, les problèmes de santé mentale et les comportements anticoncurrentiels doivent être traités comme des symptômes du problème, et non pas comme sa cause. La politique publique devrait donc mettre l'accent sur la conception et les incitatifs enchâssés dans la conception des plateformes.

C'est la conception de l'économie de l'attention, ce qui favorise la viralité et l'engagement à l'égard de renseignements pertinents. C'est la conception du modèle financier du capitalisme de surveillance, dont nous entendrons beaucoup plus parler, ce qui incite à l'accumulation de données et à l'utilisation de données pour influer sur notre comportement. C'est la conception de la messagerie de groupe, ce qui permet la transmission de messages haineux et incite même à la violence sans qu'une surveillance soit exercée. C'est la conception sur la scène internationale, ce qui offre des incitatifs par l'entremise de solutions d'automatisation parfaites, de filtrage du contenu, de modération et de vérification des faits. C'est la conception de notre économie numérique non réglementée qui a permis à notre sphère publique de devenir monopolisée.

Si les gouvernements démocratiques déterminent que cette structure et cette conception produisent des résultats sociaux et économiques négatifs, et je dirais que c'est le cas, alors il leur incombe de gouverner.

Le troisième point que je veux faire valoir, c'est que les gouvernements qui prennent ce problème au sérieux, dont bon nombre sont inclus ici, convergent tous, je pense, vers un programme de gouvernance des plateformes très semblable. Ce programme reconnaît qu'il n'existe pas de solution miracle à ce vaste ensemble de problèmes dont nous discutons. Plutôt, les politiques doivent être mises en oeuvre à l'échelle nationale et coordonnées à l'échelle internationale. Elles sont divisées en trois catégories: des politiques relatives au contenu qui visent à régler un vaste éventail de problèmes de l'offre et de la demande, ainsi que l'amplification et la légalité du contenu dans notre sphère numérique publique; des politiques relatives aux données qui veillent à ce que les données publiques soient utilisées dans l'intérêt public et que les citoyens aient des droits beaucoup plus considérables sur l'utilisation, la mobilité et la monétisation de leurs données; et des politiques relatives à la compétition qui favorisent des marchés libres et concurrentiels dans l'économie numérique.

C'est le programme de gouvernance des plateformes.

Le quatrième point que je veux soulever, c'est que dans le cadre de ces discussions sur ce programme, on a tendance à compliquer les solutions, ce qui favorise le maintien du statu quo. Je pense qu'il existe de nombreuses politiques sensées qui pourraient et devraient être mises en oeuvre immédiatement. Le marché du microciblage des publicités en ligne pourrait être beaucoup plus transparent et, dans bien des cas, être supprimé complètement. Les régimes de protection des renseignements personnels pourraient être mis à jour pour offrir des droits beaucoup plus importants aux personnes et pour assurer une surveillance accrue et un pouvoir de réglementation pour sanctionner les abus. La politique fiscale pourrait être modernisée pour mieux tenir compte de la consommation des biens numériques et sévir contre l'érosion de l'assiette fiscale et la participation aux bénéfices. Une politique relative à la concurrence modernisée pourrait être utilisée pour restreindre et réduire les acquisitions et séparer la propriété des plateformes du développement d'applications et de produits. Les médias citoyens peuvent être soutenus en tant que biens publics, et des efforts à grande échelle et à long terme pour favoriser la littératie et l'esprit critique peuvent être financés par les gouvernements nationaux, et non pas par des organismes privés.

Le fait que peu de ces initiatives ont été mises en oeuvre est un problème de volonté politique, et non pas un problème de politique ou de complexité technique.

Enfin, le cinquième point que je veux faire valoir, c'est qu'il y a des questions stratégiques pour lesquelles il n'y a aucune solution facile, aucun consensus constructif et aucune institution internationale appropriée. Et il peut y avoir des tensions irréconciliables entre la conception des plateformes et les objectifs de la politique publique.

Il y a premièrement la façon dont nous réglementons les discours haineux dans la sphère numérique publique. À l'heure actuelle, nous avons largement imparti l'application des lois nationales et l'interprétation de compromis difficiles entre la liberté d'expression et les torts personnels et publics aux plateformes: des entreprises qui cherchent des solutions, et avec raison selon elles, qui peuvent être mises en oeuvre à l'échelle internationale. Dans ce cas-ci, je dirais que ce qui est possible de faire sur les plans technique et financier pour les entreprises risque d'être insuffisant pour les objectifs d'intérêt public ou les objectifs de politique publique.

(1920)



Le deuxième enjeu est la responsabilité pour le contenu en ligne. Nous sommes clairement au-delà des notions de neutralité des plateformes et de l’exonération absolue de responsabilité, mais quels sont les meilleurs mécanismes juridiques, étant donné la nature et la conception de ces plateformes, pour tenir responsables ceux qui les exploitent?

Enfin, alors que l'intelligence artificielle façonne de plus en plus la nature et l'économie de notre espace public numérique, comment pourrons-nous prendre en compte ces systèmes opaques dans nos lois, nos normes et nos règlements?

À mon avis, ces conversations difficiles, contrairement aux politiques que je considère comme les plus faciles à mettre en œuvre, ne devraient pas être confiées au secteur privé. Elles doivent être dirigées par des gouvernements démocratiquement responsables et la population. Cela exigera toutefois une volonté politique et un leadership en matière de politiques, ce qui correspond précisément au rôle de ce comité, selon moi.

Merci beaucoup.

(1925)

Le président:

Merci, monsieur Owen.

Nous passons à M. Scott.

M. Ben Scott (à titre personnel):

Merci beaucoup, monsieur le président. C'est un privilège et un honneur pour moi d'être ici devant ce comité international.

Je comparais devant vous ce soir à titre de témoin, ce qui était auparavant improbable. En effet, j'ai passé l'essentiel de ma carrière à promouvoir les vertus de l'Internet ouvert. J'ai fait ma place pendant la révolution Internet de la fin des années 1990. J'ai travaillé à la première campagne politique véritablement numérique en 2008, pour le président Barack Obama. J'étais l'un des diplomates numériques d'Hillary Clinton à l'apogée de la liberté sur Internet, pendant le printemps arabe. À l'époque, il semblait que les téléphones intelligents et les médias sociaux étaient de véritables catalyseurs des mouvements sociaux et politiques visant à démocratiser le monde. C'était un moment inspirant. Ces technologies ont contribué à l'essor de ces mouvements.

Je suis idéaliste dans l'âme. Je voulais être au coeur de cette révolution, mais vous avez devant vous aujourd'hui un idéaliste troublé. En 2016, je suis retourné travailler pour mon ancienne patronne, pendant sa campagne présidentielle. J'ai dirigé le comité consultatif sur la politique en matière de technologie. J'ai été aux premières loges des événements qui se sont produits aux États-Unis entre 2015 et 2017. J'ai vu l'Internet ouvert qui était censé étendre la liberté être transformé en un puissant outil technologique de manipulation sociale et de distorsion politique. Vous connaissez tous l'histoire. L'outil qu'on espérait voir contribuer à la revitalisation de la démocratie est aujourd'hui considéré par beaucoup comme l'une de ses plus grandes menaces. Mes amis, c'est une amère ironie, une cruelle ironie, mais il n'est pas nécessaire qu'il en soit ainsi.

Nous pouvons faire nôtre la promesse des réseaux d'information de redonner le pouvoir au peuple, mais il convient d'examiner à quel moment le contrôle incroyable de la richesse et du pouvoir de cette industrie a commencé à prendre son essor et à influencer le cours des choses. Les racines du phénomène sont profondes et remontent à des décennies. J'ai cependant cerné une période, soit entre 2014 et 2017, lorsque les technologies d'apprentissage machine, ou l'intelligence artificielle, ont été utilisées sur les plateformes des médias sociaux.

En 2011 et 2012, à l'apogée du mouvement du printemps arabe, ces technologies n'étaient pas au coeur des modèles économiques de Facebook et de Google. Elles sont arrivées quelque temps plus tard. Si vous voulez savoir à quel moment exactement elles ont émergé, il vous suffit de regarder la courbe des profits et revenus de Google et de Facebook. J'ai noté les chiffres pour Facebook à titre d'exemple. En 2011, Facebook a réalisé, pour la première fois, un profit d'un milliard de dollars sur un chiffre d'affaires de quatre milliards de dollars. En 2017, à peine six ans plus tard, après l'avènement de ces nouvelles technologies, Facebook a fait des profits de 16 milliards de dollars sur des revenus de 40 milliards de dollars. Les profits ont plus que décuplé en six ans.

Comment est-ce arrivé? La réponse est simple: ils ont trouvé un modèle d'affaires permettant de faire des profits faramineux. Première étape: suivez toutes les activités en ligne de milliards de personnes et conservez ces renseignements dans une base de données. Deuxième étape: triez ces données et regroupez les gens en publics cibles, puis vendez l'accès à l'attention des gens. Pour ce faire, concevez votre marché de l'information non pas pour optimiser la qualité de l'information ou la civilité du dialogue dans la société, mais simplement pour optimiser la dépendance et le temps passé sur la plateforme. En effet, plus les gens passent du temps sur la plateforme, plus ils voient de publicités et plus les profits explosent.

C'est un beau modèle d'affaires, et ça marche. Les profits de Facebook ont décuplé en six ans. Très peu d'entreprises peuvent se targuer d'une telle croissance.

De plus, il n'y a pas que les publicités qui sont ciblées. Tout est ciblé. L'ensemble de l'environnement de communication dans lequel nous vivons est maintenant adapté par l'intelligence artificielle dans le but de retenir notre attention. Ce n'est pas une recette pour favoriser la vérité et la justice. Ce qui semble vrai donne de meilleurs résultats que la pure vérité. La conspiration et la haine sont devenues des thèmes structurants des médias sociaux, et cet espace est facilement exploité par des propagandistes qui se font les promoteurs du sectarisme, de la division sociale et de la haine auprès des gens désillusionnés.

Voilà le lien entre les marchés des données dont nous avons entendu parler ici et le contenu abject qu'on voit en ligne, comme le discours haineux ambiant ou de véritables atrocités telles que les fusillades en Nouvelle-Zélande. Ce sont les algorithmes qui attisent nos préjugés. Voilà l'ennemi qu'il faut attaquer. Nous ne pouvons pas compter sur l'industrie pour régler ce problème.

(1930)



Le problème fondamental réside au cœur du modèle d'entreprise, dans ce que la professeure Zuboff appelle le « capitalisme de surveillance », et ces entreprises dominent le marché. Les entreprises cotées en bourse...

Le président:

Juste une seconde. L'interprétation vient de passer de l'anglais à l'espagnol, je crois. Nous allons le signaler aux interprètes.

Je suis bon en anglais, mais pas en espagnol.

M. Ben Scott:

C'est l'intelligence artificielle qui cherche à vous distraire de mon témoignage.

Le président:

Les interprètes sont-ils prêts? Bien.

Allez-y, monsieur Scott. Je suis désolé.

M. Ben Scott:

J'ai consacré les deux dernières années et demie à l'étude de ce problème, essentiellement à compter du lendemain des élections présidentielles américaines en novembre 2016, et je suis persuadé de la thèse que je viens tout juste de vous présenter. Je tiens toutefois à être clair: la technologie n'a pas causé ce problème. Elle l'a accéléré. Elle l'a façonné. Elle a façonné sa croissance et son orientation. Elle détermine les façons dont le développement social et l'histoire se déroulent. La technologie amplifie les intentions des personnes qui l'utilisent. Selon moi, ces conséquences ne sont pas inévitables. Il n'y a pas de déterminisme technologique. Nous pouvons régler le problème.

De la même façon que nous avons pris des décisions stratégiques pour élargir l'accès à des services Internet abordables et pour que la neutralité du Net soit la règle applicable dans de nombreux pays — nous l'avons fait pour soutenir le potentiel de démocratisation offert par la technologie — , nous pouvons maintenant élaborer des politiques pour limiter l'exploitation de ces outils par des acteurs malveillants et par des entreprises pour qui les bénéfices l'emportent sur l'intérêt public. Nous devons aborder notre problème technologique en fonction des problèmes sociaux auxquels nous sommes confrontés.

C'est pour cette raison que le problème de la fragmentation politique, des propos haineux ou du tribalisme dans les médias numériques, selon la façon dont vous voulez le décrire, diffère dans chacun de vos pays. Il diffère dans chacun de vos pays parce qu'il émane des troubles sociaux, des conflits culturels et de l'antilibéralisme propres à chaque société. Ce sont des caractéristiques communes qu'on retrouve partout, mais chaque pays verra une manifestation un peu différente du problème.

Pour tout dire, nos démocraties négligent beaucoup de monde. Les gens ont raison d'être fâchés, mais ce mécontentement ne donne plus lieu à des réformes. Il mène plutôt à une sorte de colère qui s'aggrave. Ce radicalisme provient de la façon dont la technologie change nos environnements informationnels et façonne notre compréhension du monde. Nous voyons rarement le monde comme les autres le perçoivent. Nous sommes divisés en tribus, et la version du monde que nous voyons tous les jours exacerbe nos préjugés et élargit le fossé entre nos communautés. C'est ainsi que nous devons comprendre le problème.

Pour traiter cette maladie, nous devons avoir une vision d'ensemble. Nous devons voir comment les médias sociaux font partie d'un système. Ils ne font pas bande à part en tant que supervilains, peu importe à quel point nous aimerions leur accoler cette étiquette, mais ils ont néanmoins une énorme responsabilité. Il suffit de voir comment l'ensemble du marché des médias s'est plié aux paramètres de performance de Google et de Facebook. Il suffit de voir comment la télévision, la radio et la presse écrite ont malmené leurs stratégies de production et de distribution pour que les gens aiment et partagent leur contenu et pour que ce contenu se retrouve plus haut dans les résultats de recherche de Google Actualités. C'est extraordinaire. Cela accentue la distinction entre les médias traditionnels et les nouveaux médias.

Oui, je suis parfaitement d'accord avec le professeur Owen: nous avons besoin d'un vaste programme gouvernemental. Nous devons circonscrire le contenu illégal. Nous devons limiter la collecte et l'exploitation de données. Nous devons moderniser la politique de concurrence pour réduire le pouvoir découlant des monopoles. Nous devons également faire la lumière sur ce spectacle de marionnettes et montrer aux gens comment s'aider eux-mêmes pour arrêter de se faire exploiter.

Je pense que la solution doit passer par une sensibilisation du public et que les dirigeants politiques doivent en assumer la responsabilité. Nous devons investir dans la sensibilisation, et nous devons prendre des engagements en matière de journalisme d'intérêt public afin d'offrir aux gens des solutions de rechange au flot continu et insensé de leurres pour obtenir des clics, un flot auquel nous nous sommes habitués. Il faut offrir des solutions de rechange aux tentations que nous subissons en tant qu'utilisateurs passifs de médias sociaux.

Je sais que cela peut sembler énorme, mais je vous invite à vous joindre à moi en vous réengageant à faire preuve d'idéalisme. Ce n'est pas trop demandé, car c'est nécessaire à la démocratie.

Merci beaucoup.

Le président:

Merci, monsieur Scott.

C'est maintenant au tour de Mme Heidi Tworek, qui sera suivie de Mme Zuboff.

(1935)

Mme Heidi Tworek (professeure adjointe, University of British Columbia, à titre personnel):

Merci beaucoup, monsieur le président.

Je remercie les membres distingués du Grand Comité international de leur aimable invitation à prendre la parole aujourd'hui. C'est vraiment un honneur de soutenir ainsi la coopération internationale.

Dans mon travail, je porte deux chapeaux. Je suis historienne et analyste de politiques. Je sais que porter deux chapeaux est un curieux choix vestimentaire, mais je crois que cela peut nous aider à parvenir à des solutions beaucoup plus rigoureuses qui résisteront à l'épreuve du temps.

En tant qu'analyste de politiques, j'ai écrit sur les propos haineux et la désinformation au Canada, aux États-Unis et en Europe. Je suis membre du comité directeur du groupe de travail transatlantique de haut niveau sur la modération de contenu en ligne et la liberté d'expression.

Et en tant qu'historienne, j'examine depuis près de 10 ans l'histoire des médias. Je viens tout juste de terminer un livre qui s'intitule News From Germany: The Competition to Control World Communications, 1900-1945, « des nouvelles de l'Allemagne: la concurrence pour contrôler les communications dans le monde, de 1900 à 1945 ». Dans ce livre, j'explique entre autres comment la démocratie médiatique dynamique de l'Allemagne entre les deux guerres s'est transformée en régime nazi autoritaire capable de répandre une propagande antisémite, raciste et homophobe partout dans le monde.

Lorsque j'écrivais ce livre, j'ai vu le présent répéter le passé de toutes sortes de façons, ce qui, pour être honnête, est inquiétant. Partout dans le monde, l'extrême droite a repris la terminologie nazie en utilisant les termes lügenpresse et systempresse — la presse menteuse et la presse systémique — pour dénoncer les médias. Des groupes marginalisés ont été pris pour cibles en ligne, et on leur a reproché des maux de notre société qu'ils n'ont pas causés. Des nouvelles ont été falsifiées à des fins politiques et économiques. Comme ce fut le cas pour la radio dans la première partie du XXe siècle, une technologie conçue à des fins utopiques est devenue l'outil de dictateurs et de démagogues.

Comme nos autres témoins l'ont décrit, certains aspects de l'Internet sont sans précédent, comme le microciblage, sa portée, l'apprentissage automatique et la précision de la surveillance, mais malgré cela, les historiens parmi nous reconnaissent étonnamment bien certaines des tendances sous-jacentes.

Je vais donner cinq brèves leçons d'histoire qui pourront selon moi orienter à l'avenir nos discussions stratégiques et nous permettre de trouver des solutions rigoureuses pour renforcer plutôt qu'affaiblir nos démocraties.

La première leçon est que la désinformation est également un problème de relations internationales. La guerre de l'information est une caractéristique, pas un bogue, du système international depuis au moins un siècle. La question n'est pas de savoir si la guerre de l'information existe, mais pourquoi et quand les États s'y engagent.

Ce que nous voyons, c'est que cela arrive souvent lorsqu'un État se sent encerclé et affaibli ou lorsqu'il aspire à devenir une plus grande puissance. C'était le cas de l'Allemagne il y a un siècle et c'est le cas de la Russie de nos jours. Si les causes de la désinformation sont en grande partie géopolitiques, nous ne devons pas oublier que beaucoup de solutions seront également géopolitiques et diplomatiques.

Deuxièmement, nous devons porter attention à l'infrastructure physique concernée. La guerre de l'information et la désinformation sont également rendues possibles grâce à l'infrastructure physique, qu'il s'agisse des câbles sous-marins du siècle dernier ou des câbles à fibres optiques d'aujourd'hui. L'un des premiers actes de guerre de la Grande-Bretagne pendant la Première Guerre mondiale a été de couper les câbles qui reliaient l'Allemagne au reste du monde, l'obligeant ainsi à investir dans une nouvelle technologie de communications, qui était la radio. Au moment où les nazis ont pris le pouvoir, un directeur de radio américain a dit qu'ils avaient l'organe politique le plus efficace que le monde ait jamais vu.

Nous pensons souvent que l'Internet est sans fil, mais c'est fondamentalement faux; de 95 à 99 % des données passent par des câbles sous-marins à fibres optiques. Google possède en partie 8,5 % de ces câbles sous-marins. Des fournisseurs de contenu possèdent aussi leur propre infrastructure physique. Il arrive que la communication au moyen de ces câbles soit interrompue à cause de morsures de requin, mais les États peuvent eux aussi mordre. Nous savons que la Russie et la Chine, par exemple, sondent les câbles européens et américains.

Nous savons évidemment que la Chine investit dans le 5G, mais comme l'Allemagne l'a fait, elle investit également dans des réseaux d'information internationaux comme Belt et Road News Network, Xinhua, l'agence de presse chinoise, et des chaînes de télévision de langue anglaise comme CGTN.

La troisième leçon, comme l'ont dit beaucoup d'autres témoins, est que nous devons nous pencher davantage sur les modèles d'entreprise que sur les éléments individuels de contenu. Il est très tentant de se concentrer sur des éléments de contenu individuel particulièrement nuisibles, mais ces éléments de contenu deviennent viraux à cause des quelques entreprises qui contrôlent le goulot d'étranglement de l'information.

Seuls 29 % des Américains ou des Britanniques savent que leur fil de nouvelles Facebook est organisé à l'aide d'algorithmes. Ce sont les Finlandais qui en sont le plus conscients, mais dans une proportion de 39 % seulement. Cette invisibilité procure énormément de pouvoir aux médias sociaux. Ce pouvoir n'est pas neutre. À tout le moins, nous avons besoin de beaucoup plus de transparence quant au fonctionnement des algorithmes, pour pouvoir déterminer s'ils sont discriminatoires et ainsi de suite. Au moment où nous nous efforçons d'avoir des politiques fondées sur des faits, nous avons besoin de données probantes.

(1940)



Quatrièmement, nous devons prendre garde de concevoir des organismes de réglementation rigoureux. L'exemple de l'Allemagne entre les deux guerres offre une mise en garde. La radio est apparue dans les années 1920. Des bureaucrates pendant la République démocratique de Weimar voulaient se servir de la radio pour renforcer la démocratie et entièrement la transformer après la Première Guerre mondiale. À mesure que cette démocratie devenait politiquement instable, ces bureaucrates ont continuellement mis en branle des réformes qui se sont traduites par une supervision de plus en plus importante du contenu. L'idée ici était de protéger la démocratie en prévenant la diffusion de nouvelles pouvant provoquer de la violence. Ce qui est très paradoxal dans cette histoire, c'est qu'au moment même où les nazis ont pris le pouvoir, ils contrôlaient la radio. Si nous ne sommes pas prudents, une réglementation louable peut donc avoir des conséquences tragiques inattendues.

Qu'est-ce que cela signifie pour nous aujourd'hui? Cela signifie que peu importe les solutions auxquelles nous parvenons, elles doivent tenir compte d'éventuelles attaques contre la démocratie. Nous devons veiller à intégrer la société civile dans les institutions que nous créons, quelles qu'elles soient.

Avec Fenwick McKelvey et Chris Tenove, j'ai entre autres proposé de créer des conseils des médias sociaux qui seraient des tribunes multilatérales dont les membres pourraient se rencontrer régulièrement pour examiner une grande partie des problèmes que nous décrivons. Il faut encore discuter du format exact et de la portée géographique des conseils, mais c'est une idée à laquelle beaucoup de personnes adhèrent, y compris le rapporteur spécial sur la protection du droit à la liberté d'opinion et d'expression des Nations unies.

Cinquièmement, nous devons continuer de porter attention et chercher à remédier aux divisions sociales exploitées par les médias sociaux. Les germes de l'autoritarisme ont besoin d'un sol fertile pour pousser. À défaut de nous occuper du mécontentement économique et social sous-jacent, une meilleure communication ne peut pas occulter ces problèmes indéfiniment.

Je vais vous répéter les cinq leçons. Premièrement, la désinformation est également un problème de relations internationales. Deuxièmement, nous devons porter attention à l'infrastructure physique. Troisièmement, les modèles d'entreprise ont plus d'importance que les éléments individuels de contenu. Quatrièmement, nous devons mettre sur pied des organismes de réglementation rigoureux. Cinquièmement, nous devons porter attention aux divisions sociales que les médias sociaux exploitent.

Il est impossible pour un seul pays de s'attaquer à toutes ces choses; une coopération internationale est nécessaire. C'est la raison pour laquelle c'est un grand honneur d'avoir l'occasion de comparaître devant vous aujourd'hui.

Merci beaucoup.

Le président:

Merci, madame Tworek.

C'est maintenant au tour de Mme Zuboff.

Vous et moi, avec un nom comme Zimmer, avons toujours été à la fin de chaque liste, et c'est à peu près cela.

Allez-y, madame Zuboff. Nous sommes heureux de vous compter parmi nous.

Mme Shoshana Zuboff (à titre personnel):

Merci beaucoup, monsieur Zimmer.

Cela me rappelle effectivement l'école primaire ce soir.

Bien entendu, vous allez inverser l'ordre demain matin.

Le président:

Tout simplement parce que je comprends.

Allez-y.

Mme Shoshana Zuboff:

C'est un fardeau qu'on porte toute une vie.

C'est un grand honneur de discuter avec vous ce soir, notamment parce que j'ai l'impression que ce comité constitue actuellement notre meilleur espoir pour progresser dans la lutte contre les menaces à la démocratie qui sont maintenant endémiques à cause du capitalisme de surveillance, dont on a déjà parlé.

Je suis très heureuse de voir le genre de synergie qui ressort déjà de nos observations. Les thèmes que le Comité a ciblés, c'est-à-dire la responsabilité des médias, la sécurité et la protection des données, les fausses nouvelles et la désinformation, sont tous des effets d'une même cause. C'est ce que nous avons entendu ce soir, et c'est un énorme pas en avant. Il est très important de le souligner.

J'estime que cette cause sous-jacente est le capitalisme de surveillance, que je définis comme une vaste logique économique systémique qui, à notre connaissance, est sans précédent. Je veux prendre un instant pour dire ce que le capitalisme de surveillance n'est pas, car cela permet d'établir une série de distinctions que nous devons tous entendre.

Premièrement, et on l'a mentionné — merci, monsieur Scott —, le capitalisme de surveillance n'est pas une technologie. Il a plutôt pris en otage la technologie numérique à ses propres fins. Il est facile d'imaginer la technologie numérique sans capitalisme de surveillance, mais il est impossible de faire le contraire. Confondre les deux revient à commettre une dangereuse erreur de catégorisation.

Deuxièmement, le capitalisme de surveillance n'est pas attribuable à une entreprise ni à un groupe d'entreprises. À une certaine époque, on le devait à Google. Ensuite, grâce à Sheryl Sandberg, que j'appelle la Mary Typhoïde du capitalisme de surveillance, on aurait pu l'attribuer à Google et à Facebook. Au bout du compte, c'est devenu le modèle par défaut de Silicon Valley et du secteur de la haute technologie, et à l'heure actuelle, c'est un virus qui a infecté tous les secteurs de l'économie.

C'est la raison pour laquelle on a d'abord affirmé ici une chose étonnante et importante, à savoir que les données personnelles ont plus de valeur que le contenu. Tous les secteurs d'activités, des assurances, du commerce de détail, de l'édition, de la finance jusqu'aux produits et services, en passant par la fabrication et l'administration, sont maintenant infectés par le capitalisme de surveillance, au point où le PDG de Ford Motor Company, le berceau du capitalisme de gestion il y a un siècle, dit maintenant que la seule façon pour Ford d'être concurrentiel face au genre de coefficients de capitalisation des bénéfices et de capitalisation boursière d'entreprises comme Facebook et Google consiste à transformer l'entreprise en entreprise de données et à transmettre les données provenant des 100 millions de conducteurs de véhicules Ford. Ces flux de données mettraient Ford sur un pied d'égalité avec des entreprises comme Google et Facebook. Il a dit que tout le monde voudrait alors investir dans son entreprise. Nous ne pouvons plus limiter le capitalisme de surveillance à un groupe de sociétés ou à un secteur.

Enfin, le capitalisme de surveillance ne peut pas plus être réduit à une personne ou à un groupe de personnes. Même s'il peut être très tentant de l'associer à certains des principaux capitalistes du milieu ou au duopole — aux Zuckerberg, aux Page, aux Brin et ainsi de suite —, le moment de notre histoire où il était possible de faire ce genre de rapprochement est révolu.

(1945)



Sur le plan de la logique économique, c'est-à-dire de la structure et de l'institutionnalisation... Il peut y avoir des raisons valables et indépendantes de changer les acteurs, de limiter leurs rôles et leur pouvoir extraordinaire et sans précédent, mais cela ne mettra pas fin au capitalisme de surveillance et cela ne le rendra pas illégal.

Maintenant que j'ai dit ce que le capitalisme de surveillance n'est pas, permettez-moi de prendre un instant pour expliquer ce qu'il est. Le capitalisme de surveillance marche sur les traces du capitalisme de marché de la façon suivante: il prend quelque chose qui existe à l'extérieur du marché et il le transforme en marchandise pouvant être produite et vendue. Comme chacun le sait, le capitalisme industriel s'est emparé de la nature et il l'a convertie en terres ou en propriétés foncières pouvant être vendues ou achetées. Le capitalisme de surveillance fait la même chose, mais avec une touche sombre et étonnante: il se saisit de l'expérience humaine privée et il la subordonne aux dynamiques de marché. Il la transforme en matière première gratuite, qui est ensuite convertie en données comportementales.

Certes, une partie des données comportementales sont utilisées pour améliorer les produits et les services, mais le reste forme un excédent comportemental, qui est reconnu pour sa grande valeur de prédiction. L'excédent comportemental est alors versé dans les nouveaux moyens de production, ce qu'on appelle l'intelligence artificielle. Le résultat ainsi obtenu est un nouveau type de produit: le produit prédictif. Ces usines produisent des prédictions du comportement humain.

Vous vous rappelez peut-être une note de service de Facebook qui a été divulguée en 2018, nous ne savons toujours pas exactement par qui. Cette note de service nous a donné un aperçu de la plateforme d'intelligence artificielle de Facebook: FBLearner Flow. Nous avons appris que ce moyen de production calcule quotidiennement des billions de points de données. FBLearner Flow fabrique six millions de prédictions du comportement humain à toutes les secondes.

Ce que cela nous indique, c'est que les capitalistes de surveillance possèdent et contrôlent non pas un texte, mais deux. D'abord, il y a le texte accessible au public. Lorsqu'on parle de propriété, d'accessibilité et de portabilité des données, il est question du texte accessible au public, qui provient des données que nous fournissons aux entreprises par l'intermédiaire de nos messages, de nos simples conversations et de ce que nous donnons à nos écrans. Or, le résultat de ce moyen de production — les produits prédictifs et la façon dont ils sont analysés — est un texte exclusif, qui n'est pas accessible au public. C'est ce que j'appelle le texte fantôme. Toute la capitalisation boursière, toutes les recettes et toutes les incroyables richesses que ces entreprises ont amassées en très peu de temps proviennent du texte fantôme. Nous ne connaîtrons jamais ces données exclusives. Nous n'en serons jamais propriétaires, nous n'y aurons jamais accès et nous ne pourrons jamais les transférer. C'est la source de tout leur argent et de tout leur pouvoir.

Maintenant, que fait-on des produits prédictifs? On les vend dans une nouvelle sorte de marché qui fait uniquement le commerce d'avenirs humains. Le premier marché de cette sorte était celui de la publicité ciblée en ligne. Les prédictions humaines qui y étaient vendues s'appelaient les taux de clics. Vous n'avez qu'à prendre un pas de recul pour comprendre que le taux de clics n'est qu'un fragment d'une prédiction d'un avenir humain.

Aujourd'hui, nous comprenons que ces marchés, qui ont commencé dans le domaine de la publicité ciblée en ligne, ne se limitent pas plus à ce domaine que la production en série se limitait à la fabrication du modèle T. La production en série a été utilisée dans tous les secteurs avec succès. La nouvelle logique du capitalisme de surveillance suit la même voie: on l'utilise aussi dans tous les secteurs avec succès.

(1950)



Enfin, comment ces marchés rivalisent-ils? Ils rivalisent sur le plan de la qualité de leurs prédictions. Ce que j'ai compris en étudiant ces marchés, c'est qu'en désossant les dynamiques concurrentielles, nous découvrons les impératifs économiques qui sont le moteur de cette logique. Ces impératifs économiques sont institutionnalisés dans des écosystèmes importants qui traversent notre économie, des fournisseurs d'excédent comportemental et d'analyses et de capacités informatiques aux teneurs et aux acteurs du marché.

Ces impératifs sont des compulsions. Toutes les manchettes — chaque jour, le journal nous présente une nouvelle atrocité — peuvent être prédites au moyen de ces impératifs. Au début, c'était des économies d'échelle: il faut beaucoup de données pour faire de bonnes prédictions. Puis, c'est passé à des économies de gamme: il faut une variété de données pour faire de bonnes prédictions. Aujourd'hui, nous sommes rendus à une troisième étape de la concurrence: les économies d'action. La meilleure façon d'obtenir des données permettant de prédire le comportement humain, c'est en intervenant — en façonnant, en réglant et en modifiant le comportement humain, en amadouant les individus et en les rassemblant en troupeau, et en les dirigeant vers les résultats garantis qui répondent aux besoins des entreprises participant au capitalisme de surveillance.

Voilà le monde dans lequel nous vivons aujourd'hui. Par conséquent, le capitalisme de surveillance est une atteinte à la démocratie qui vient du haut comme du bas.

Du bas, ses systèmes institutionnalisent des modèles de modification du comportement par l'intermédiaire d'architectures numériques mondiales. Il s'agit d'une attaque directe contre l'autonomie humaine et la souveraineté individuelle, soit les fondements mêmes d'une société démocratique.

Du haut, nous sommes à l'aube de la troisième décennie du XXIe siècle. Nous entretenions de grands rêves à l'égard de la nouvelle technologie, comme M. Scott l'a dit, mais à cause du capitalisme de surveillance, nous nous retrouvons à une époque marquée par un déséquilibre des connaissances et du pouvoir que ces connaissances confèrent. Cette époque ne peut être comparée qu'à celle qui a précédé l'invention de Gutenberg, une ère absolutiste où le savoir était réservé à quelques-uns et où l'ignorance régnait. Les capitalistes de surveillance savent tout à notre sujet, alors que nous ne savons presque rien sur eux. Ils savent tout à notre sujet, mais ils n'utilisent pas ce qu'ils savent sur nous pour notre bien; ils l'utilisent pour le bien de leurs clients et de leur chiffre d'affaires.

Pour conclure, c'est un bon signe que nous nous réunissons ce soir dans le magnifique pays qu'est le Canada parce qu'à l'heure actuelle, c'est au Canada que le combat entre le capitalisme de surveillance et la démocratie se livre, plus précisément dans la ville de Toronto. Le capitalisme de surveillance a commencé par la navigation en ligne et il touche maintenant tout ce que nous faisons dans le monde réel. Au moyen des expériences de contagion à très grande échelle menées en ligne par Facebook et du jeu Pokémon GO conçu par Google, le capitalisme de surveillance a expérimenté les façons de rassembler la population en troupeau, ainsi que de régler et de modifier son comportement.

En passant, ces compétences ont maintenant été intégrées à l'application de ville intelligente de Google, qui s'appelle Waze. Or, l'objectif réel, c'est la ville intelligente elle-même. C'est là que le capitalisme de surveillance souhaite prouver qu'il peut remplacer le désordre et la beauté de la gouvernance municipale et de la démocratie par le règne computationnel, qui représente, après tout, une forme de tyrannie absolutiste.

(1955)



La visée est la ville intelligente. Si le capitalisme de surveillance peut conquérir la ville intelligente, il peut conquérir aussi la société démocratique. Aujourd'hui, le combat se livre à Toronto. Si le Canada donne Toronto à Google, ou plutôt à Alphabet — Sidewalk Labs maintient maintenant avidement qu'elle ne fait pas partie de Google —, l'avenir de la société démocratique au XXIe siècle sera menacé.

Je vous remercie pour votre attention. J'espère pouvoir poursuivre la discussion demain.

Merci beaucoup.

Le président:

Merci, madame Zuboff.

La dernière intervenante est Mme Maria Ressa. Elle se joint à nous de Manille, aux Philippines.

La parole est à vous, madame Ressa.

Mme Maria Ressa (présidente-directrice générale et directrice de la rédaction, Rappler Inc., à titre personnel):

Bonjour.

Tout d'abord, je tiens à dire à quel point je me sens privilégiée de m'adresser à vous et d'écouter les témoignages de chacun. Rappelez-vous tout ce que vous avez entendu, surtout ce que Mme Zuboff vient de dire.

Je vis tout cela en ce moment. Je suis journaliste depuis plus de 30 ans, et au cours des 14 derniers mois, 11 actions ont été intentées contre moi, dont 5 par le gouvernement. J'ai dû verser une caution à huit occasions en un peu plus de trois mois, et j'ai été arrêtée deux fois en cinq semaines. Tout ce qui se passe... À mes yeux, l'astroturfing sur les médias sociaux est une forme d'opération d'information ascendante, et puis il y a aussi des opérations descendantes; tout cela a déjà été décrit en détail.

Comme je vous présenterai un exposé demain, mon intervention d'aujourd'hui sera brève. D'après moi, cela revient à tout ce que vous avez entendu. Cela revient à la lutte pour la vérité, et les journalistes sont en première ligne de cette lutte, avec les activistes. Nous sommes parmi les premiers à être ciblés. C'est après que les médias sociaux ont été transformés en armes que les poursuites judiciaires et les pressions exercées contre moi ont commencé. Le combat actuel pour la vérité montre mieux que jamais que l'information, c'est le pouvoir. Si la population croit en vos mensonges, vous pouvez la contrôler, et ça, c'est sans parler des aspects commerciaux de la question. L'information est devenue un moyen d'acquérir du pouvoir dans la sphère géopolitique. Si les faits ne sont pas de votre côté, la vérité n'est pas de votre côté, et sans vérité, il n'y a pas de confiance.

Nous avons été témoin de l'érosion en cours. Au départ, chez Rappler, nous nous intéressions à la transmission de l'information, aux réseaux sociaux, aux cercles formés par la famille et les amis. Les médias sociaux, ce sont les amis et la famille à la puissance mille. Nous nous sommes donc penchés sur la transmission de l'information. Demain, je vous présenterai les données qui montrent exactement la vitesse à laquelle un pays ou une démocratie peut s'effondrer en conséquence des opérations d'information. Un mensonge répété un million de fois devient la vérité. Vous connaissez peut-être le terme « trollage patriotique ». Il s'agit de propagande haineuse faite en ligne et parrainée par l'État qui cible une personne, une organisation ou un activiste dans le but de le museler et d'inciter la population à la haine. Nous savons tous que la haine dans le monde virtuel mène à la violence dans le monde réel.

Notre histoire est une mise en garde. Je reçois jusqu'à 90 messages haineux par heure. En trois ans, mon pays est passé d'une démocratie dynamique où les médias sociaux étaient vraiment utilisés pour le bien commun... Nous l'avons vécu. Je pensais que nous... Mon organisation fait partie de celles qui ont travaillé très étroitement avec Facebook, et de voir ensuite le site être transformé en arme à la fin de 2015 et en 2016... Cela a commencé quand le président Duterte est entré en fonction, en juillet 2016, au début de la guerre contre la drogue. Les premières cibles ont été les utilisateurs de Facebook qui mettaient en question le nombre de morts. Aujourd'hui, l'ONU estime que 27 000 personnes ont été tuées depuis juillet 2016. C'est un nombre énorme.

La dernière chose que je vais dire, c'est que je vous présenterai les données à l'appui demain. C'est systématique. C'est une érosion de la vérité et de la confiance. Dans une situation pareille, la personne avec le meilleur porte-voix l'emporte. Chez nous, c'est le président Duterte. La même chose se passe aux États-Unis. Que ce soit Trump, Poutine ou Duterte, la méthodologie employée est très semblable.

Je vais m'arrêter là. Je vous remercie de nous avoir invités. Dans les discussions comme celles-ci, ce qui est intéressant, c'est que les pays les plus touchés sont les démocraties les plus vulnérables, comme la nôtre ici en Asie du Sud-Est, dans l'hémisphère Sud. Chaque jour d'inaction de la part des entreprises américaines du secteur de la technologie et des plateformes de médias sociaux qui devraient avoir des valeurs américaines... Ce qui est ironique, bien sûr, c'est qu'elles ont érodé ces valeurs dans nos pays.

C'est vrai que certaines mesures ont été prises. Je peux vous dire que nous travaillons étroitement avec Facebook à la vérification des faits. J'ai aussi vu que Facebook se penche sur les répercussions et qu'il essaie d'apporter des changements, mais il faut que les choses changent beaucoup plus rapidement.

Je vais conclure en disant que lorsqu'il est question de situations politiques se déroulant en Occident, les réactions sont habituellement neutres, et le résultat des réactions neutres dans l'hémisphère Sud, c'est que des gens sont tués ou emprisonnés. Pour nous, c'est une question de survie.

Je vous remercie.

(2000)

Le président:

Merci, madame Ressa.

Voilà qui met fin aux témoignages de ce soir.

Nous allons maintenant nous rendre à la pièce 225A pour une rencontre plus informelle où nous pourrons vous poser des questions directement. Encore une fois, madame Ressa, je suis désolé que vous ne puissiez pas être ici, mais je le répète, l'objectif de la séance d'aujourd'hui était de lancer la discussion, et nous la poursuivrons là-bas.

Je tiens à rappeler à toutes et à tous que les témoignages commenceront dès 8 h 30 demain matin. Je vous demande donc d'être ici dès que possible. Aujourd'hui, j'ai été un peu flexible côté temps, mais je serai beaucoup plus strict demain. Mesdames et messieurs les membres du Comité, demain, vous aurez droit à cinq minutes chacun pour poser vos questions. Nous avons hâte d'entendre vos témoignages.

Je tiens à remercier les témoins qui ne reviendront pas de s'être déplacés pour participer à la séance de ce soir. Nous avons hâte de poursuivre la discussion avec vous. Même si la séance de mercredi finit à midi, la conversation sur les façons d'améliorer notre monde de données se poursuivra.

Nous nous retrouverons dans la pièce au bout du couloir.

La séance est levée.

Hansard Hansard

committee ethi hansard 19595 words - whole entry and permanent link. Posted at 22:44 on May 27, 2019

2019-05-16 ETHI 150

Standing Committee on Access to Information, Privacy and Ethics

(1545)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

We'll call the meeting to order. This is the Standing Committee on Access to Information, Privacy and Ethics, meeting 150.

Pursuant to Standing Order 81(4), we are considering the main estimates 2019-20, vote 1 under Office of the Commissioner of Lobbying, vote 1 under the Office of the Conflict of Interest and Ethics Commissioner, vote 1 under the Office of the Senate Ethics Officer and votes 1, 5, 10 and 15 under the Offices of the Information and Privacy Commissioners of Canada, referred to the committee on Thursday, April 11, 2019.

With us today we have, from the Office of the Conflict of Interest and Ethics Commissioner, Mr. Mario Dion. With the commissioner, we have Sandy Tremblay, director of corporate management.

In the second hour, we're going to have the Office of the Commissioner of Lobbying. With us will be Nancy Bélanger, Commissioner of Lobbying, and Charles Dutrisac, director of finance and chief financial officer.

Mr. Dion, it's good to see you. You have 10 minutes.

Mr. Mario Dion (Conflict of Interest and Ethics Commissioner, Office of the Conflict of Interest and Ethics Commissioner):

Thank you, Chair.[Translation]

Mr. Chair and honourable members of the Committee, first of all I would like to thank you for inviting me to appear before you today as the Committee considers my Office's budgetary submission for the 2019-2020 Main Estimates.

As the Chair said, with me is Sandy Tremblay, our Director of Corporate Management.

As you know, the purpose of my appearance today is to discuss the current budgetary requirements of the Office. For context, I will begin by reviewing some of the projects and activities we undertook last year, as well as some of the activities planned for this fiscal year.

I will start with our mission, because it is key; it is the basis of everything we do. The Office established a mission a little more than a year ago, and it describes what we do.

Our Office provides independent, rigorous and consistent direction and advice to Members of Parliament and federal public office holders. That is the first thing. Second, it conducts investigations. And third, where necessary, it makes use of appropriate sanctions in order to ensure full compliance with the Conflict of lnterest Code for Members of the House of Commons and the Conflict of Interest Act.

Last year, we implemented a rolling three-year strategic plan to guide our projects and activities in support of our mission. It identified three key priorities, those being to improve communications and outreach, to modernize technology and information management structures, and to maintain operational excellence. It also identified how we would achieve them.

One key priority is to build and improve communications and outreach processes to help Members and public office holders understand and meet their obligations under the Code and the Act.

Education and outreach have been a key focus of my approach as Commissioner for a year and a half now. We strive to ensure that Members and public office holders are fully aware of their obligations. As for the methods used to do that, I intend to go beyond the traditional classroom approach and instead leverage new media technology for presentations and other educational uses.

We looked at all of the educational materials that our Office has issued over the past 12 years, in fact since it was established, to explain how the rules of the Code and the Act apply. The goal was to simplify that material and make it a more effective source of information for Members and public office holders.

Last year, we revised and updated 12 of those documents, condensing their content into seven new information notices that explain various requirements of the Act. This year, we will focus on modernizing and simplifying the instruments that relate to the code governing the conduct of members.

Our new educational tools included two webinars about gifts that I hosted with my colleague the Lobbying Commissioner, who will be appearing immediately after me. We adopted a more proactive approach with our use of Twitter to communicate directly with Members and public office holders. We also produced a few short videos to provide additional channels to reach our stakeholders.

(1550)

[English]

That was it on the communications and outreach side of things.

A second priority in our strategic plan was to modernize technology and information management structures. Last November we launched a new version of our case management system. All the information from our old system was migrated to the new one. Our upgraded information technology infrastructure is compatible with existing systems and allows the office to explore new technology options for delivering our mandate. We are still dealing with technical and procedural issues but I am confident that they will be resolved by the end of this fiscal year.

We're also presently working on the development of a new website that will make it a more effective source of information for members of Parliament and public office holders. It will be mobile-friendly, which is not the case now, so that it better reaches our busy stakeholders on the device platforms available today. We're planning to launch our new website before the October 2019 election.

Our third key priority identified in our strategic plan is to maintain operational excellence with a focus on our people and on the tools we have at our disposal. In my first year I took steps to ensure that our office invested in employee training and professional development, and provided the tools and equipment employees needed to perform their jobs. I also acted to ensure that we offered a respectful, diverse and inclusive workplace.

I was asked last year whether I'd be making recommendations in my annual reports to strengthen the regimes that we administer. At this time last year, with only a few months of experience, I did not feel ready to do so in the annual reports. I did express the hope last year that the committee would invite me to present my thoughts on possible amendments last fall. Otherwise, I would include something in this year's annual reports.

Indeed that is what we'll do shortly. Next month, June, the office will be tabling its two annual reports: one under the act and one under the code. We have drafted some potential amendments that would strengthen the operation of the act in the event that there is another review of the legislation, and we will include some of those key points in our annual report under the act.

Our strategic plan also provides my organization with a guiding document. It's used to align our priorities as we deliver on our mission to provide independent, rigorous and consistent direction and advice, and I will report on our achievements under the strategic plan in future annual reports to Parliament.

Investigations continues to be an area where there is a lot of interest on the part of the public and parliamentarians. We've been very active in relation to investigations. In 2018-19, we issued eight investigation reports: five under the act and three under the code. There are currently four matters that I have yet to report on, and our investigation team must balance confidentiality, integrity and procedural fairness with work that is very complex and time sensitive. [Translation]

Our Office conducts its operations in support of its mission with a total of 49 full-time positions. The Advisory and Compliance Division accounts for over one-third of our staff resources. This total is reflective of their daily interactions with those individuals-over 3,000 who fall under the Act or Code. Those interactions form the majority of the work the Office undertakes in compliance, accounting for over 2,000 calls or inquiries last year.

The remainder of the Office falls into three broad categories: corporate services, which Ms. Tremblay directs, communications, directed by Ms. Rushworth, and investigations and legal services. A daily demonstration of rigour, professionalism and guidance on compliance matters is what we are aiming for.

I have complete confidence in the quality of work and the integrity of all members of my senior management team and indeed in all the Office staff. [English]

Unless there are unexpected increases in the demands on our resources, I expect our office will be able to implement its mission in this upcoming fiscal year with a budget of $7.1 million. It represents a slight increase of 4% from the last fiscal year. The base budget has been unchanged in the 12 years of existence of the office. This is the first actual increase of 4%, and it's needed this year to enable our office to prepare for the election while continuing to ensure operational excellence.

There has traditionally been a significant increase in the workload whenever there is a general election, and we wanted to be ready and to prepare for it. Election readiness is a key focus of our activity already at this point in time. We've started to hire term employees to help with the increased workload. We're also updating letters and information kits for, potentially, new members of Parliament, for people who, in the future, will be joining offices, ministerial offices, and so on and so forth. All of these elements flow from our strategic plan and will enable the office to better serve its stakeholders in a busy election year.

As part of this planning we always have a reserve. We have $100,000 that we do not allocate in order to face, in a nimble way, important changes and what the needs would be.

I am confident that we'll be able, with this budget that is before you, to operate efficiently, effectively and also economically in carrying out our mission.

Mr. Chair, this concludes my opening statement. I'll now be happy to discuss any questions the committee may have. Thank you.

(1555)

The Chair:

Thank you, Commissioner.

Just for the sake of the committee, too, we did have an amended agenda. The agenda before you is incorrect. We're going until 4:15 p.m. It gives us enough time. I'm going to try to get us through the first four questioners—Ms. Fortier, Mr. Kent, Mr. Cullen and Mr. Erskine-Smith—and then we'll move to the next commissioner. That's all the time we have. Just to clarify again, the agenda is amended. It will take us to about 4:20 p.m., or so. Thanks.

Go ahead, Madam Fortier. [Translation]

Mrs. Mona Fortier (Ottawa—Vanier, Lib.):

Thank you very much.

Mr. Dion and Ms. Tremblay, thank you for being here today.

We know you work very hard. You had a chance to prepare a presentation, and I would like to ask you a few questions about the challenges your office is facing. I understand the strategic planning and your priorities. Would you please tell us about your current challenges and the steps you're taking to address them?

Mr. Mario Dion:

We're still facing a challenge associated with timelines, as I mentioned earlier. By that I mean we are required provide our services on a timely basis. We have service standards regarding the first contact we make, and that always creates pressure.

We also have service standards for responding to media representatives and members of the public who communicate with us. We are always under pressure, even if no service standards or timeframes are prescribed by the act when we investigate a matter. We're always under pressure to do things punctually, promptly, so that our report is relevant when it becomes available. That's one of our challenges, but we always have to operate with a sense that things have to move, and move quickly.

It has to be done in a consistent manner: we have to provide similar answers from one case to the next where the facts are the same. I think members and public office holders appreciate a bit of predictability. So we need to have tools to ensure that the advice we give is consistent.

We also have to have a professional team. By that I mean that the workplace must be stimulating. The only resource we have is the workers, the professionals who provide our services. We want to retain them because the learning curve is quite steep. Things must be done rigorously. Consistency and rigour aren't entirely the same thing. We try to be rigorous in everything we do.

Mrs. Mona Fortier:

If my understanding is correct, you're currently managing all that pressure, and nothing will prevent you from carrying out your mandate.

Mr. Mario Dion:

That's been true to date, except where our workload has increased and become unmanageable. In the current state of affairs, however, we're dealing with all the aspects I mentioned without too much difficulty. It works.

Mrs. Mona Fortier:

Since I'm sharing my speaking time with my colleague, I'm going to ask you one final question.

At the end of your presentation, you mentioned that there will be an election soon. We're all aware it's coming. What impact is that having on your workload? Is it happening in the short term? Could you tell us about your election-related workload?

Mr. Mario Dion:

It will really start happening after October 21, depending on the election results. There will necessarily be new members. How many? No one knows. We'll have to contact the new members within three days of confirmation of their election. That adds to our workload.

We'll also have to do some outreach work with the people who've been elected for the first time and who don't know much about the Conflict of Interest Code for Members. We'll have to familiarize them with the code.

As I said earlier, if changes are ever made to the composition of the cabinet, or another party forms the next government, there will potentially be hundreds of new employees in the ministers' offices, and they'll also be public office holders within the meaning of the act.

That's what our workload consists of. We're preparing to deal with hundreds of people who'll be newly subject to the act on the morning of October 22.

(1600)

Mrs. Mona Fortier:

Thank you.

I'm going to give the rest of my speaking time to my colleague Mr. Saini.

Mr. Raj Saini (Kitchener Centre, Lib.):

Good afternoon, Mr. Dion and Ms. Tremblay. I have a question for you.[English]

I read with great interest that last month you signed a memorandum of understanding with the Office of the Commissioner of Lobbying to do education and outreach, which I think is an excellent idea. I think that by combining this activity, the more outreach and education you do, especially for MPs, the more dramatically you will reduce the questions and some of the investigations that you may undertake.

Is there an efficiency subset to this process? The more you educate and the more outreach you're doing, the more you should see the number of questions and cases drop.

Mr. Mario Dion:

There is. In the long term, I am convinced that this will produce a better adherence to the code and the act. Therefore, it will produce less work for us in terms of having to order things or investigate things, but it's not our objective. I think the objective is based on the desire to make sure that we put into the hands of the people who are governed by the code and the act the necessary knowledge so that they can actually ensure that they abide by these things on an ongoing basis. That's the goal.

Mr. Raj Saini:

Have you developed any programs so far with the Office of the Commissioner of Lobbying?

Mr. Mario Dion:

Yes. We did a webinar, one in French and one in English, a few months ago. About 130 people attended the webinars. We were focusing on the area of overlap between the Lobbying Act, the Conflict of Interest Act and the code for members of the House of Commons.

We were happy with the registration, and we intend to repeat the experience in the coming year.

Mr. Raj Saini:

Now that you've developed these programs, do you think that the collaboration between your office and the Office of the Commissioner of Lobbying will result in more enhanced information and more enhanced tools for new MPs after the next election?

Mr. Mario Dion:

I am convinced. It's only a question of the degree, but we will have a much better...both qualitatively and in terms of the supports that we'll be using. We'll use technology. We'll communicate in a way that's consistent with the 21st century and not only with words on paper, with legalese on paper. We're trying to move to plain language and real-time access, 24-7, wherever you may be on the planet.

Mr. Raj Saini:

I noticed that in your strategic plan for 2018 to 2021, the second point is to modernize technology and information management structures.

Are you talking about just upgrading the technology from one generation to the next generation, or are you talking about a wholesale change in the software and the technology itself?

Mr. Mario Dion:

We're talking about upgrading, essentially, at this point, vis-à-vis the case management system, but we are slowly starting to explore other possibilities, for instance, using AI in terms of carrying out our mandate.

We have a wealth of information. We do not essentially use the information to the maximum extent that we could use it in order to prevent or identify potential conflicts of interest. We're trying to inform ourselves about AI and whether it could be put to use in future years in any way to carry out our mission. That's an example of an additional technological measure that we're looking at.

Mr. Raj Saini:

Thank you very much.

The Chair:

Thank you, Mr. Saini.

Up next for seven minutes is Mr. Kent.

Hon. Peter Kent (Thornhill, CPC):

Thank you, Chair.

Thank you, Commissioner, and Ms. Tremblay, for appearing before committee today.

Commissioner, it's good to have you with us again. I hope your health issues have been resolved.

I'd like to ask questions starting with the four matters that are still currently under investigation.

When you began the investigation into the allegations that Prime Minister Trudeau or staff in his office unduly pressured the former attorney general, Jody Wilson-Raybould, to intervene in a criminal prosecution of the Quebec company SNC-Lavalin, you said you believed that the grounds for the investigation would be a possible violation of section 9.

In carrying out that investigation—I know you haven't reported yet, and we must be discreet in our questions—was there more than one member or office holder involved?

(1605)

Mr. Mario Dion:

Of course, as the member has pointed out, I am quite limited in what I can share with the committee, or anyone else for that matter, in relation to an ongoing investigation. When we launched it on our own volition under section 45 of the act back in February, the focus was on the Prime Minister, but the member is right that there are several other public officer holders who are being interviewed, or will be interviewed, to essentially review the facts that were largely reported in the public domain. Political aides who allegedly also played a role have been or will be interviewed too.

Hon. Peter Kent:

The former clerk of the Privy Council said, and this was some months ago now, and this is a quote, “I think the Ethics Commissioner could get to the bottom of this fairly quickly.”

Will you be able to advise the committee as to whether you will be able to report before the House rises in June?

Mr. Mario Dion:

In fact, I can inform the committee this afternoon that there will not be a report by mid-June. I expect the House to rise in mid-June or in the third week of June, and we will not have a report. I can assure you of that.

Hon. Peter Kent:

What about before October 21?

Mr. Mario Dion:

We are working hard to produce a report within the next few months.

Hon. Peter Kent:

With regard to the other three matters, one of them, I assume, is member Vandenbeld. The other two matters are of what nature, sir? Please refresh—

Mr. Mario Dion:

According to our research, they are not currently in the public domain. One of them is not in the public domain, but the report will be issued in a couple of weeks, so you'll find out two weeks from now what the third matter is. The fourth matter is the situation involving MP Grewal, and that is in the public domain.

Hon. Peter Kent:

Right.

Jumping back just a bit now to the allegations regarding the Prime Minister or others in his office or in other ministerial offices, has the Prime Minister been co-operative? I recall that for your predecessor, in the investigation of the illegal vacation on the Aga Khan's island, it took some months for the Prime Minister to make himself available for conversations. Has he been more available in this situation?

Mr. Mario Dion:

I think it's fair to say that we are very pleased with both the speed and the extent of the co-operation at this point in time.

Hon. Peter Kent:

Okay, thank you.

Moving now to the discussion earlier of the work you've been doing with the lobbying commissioner and the webinars, I think the webinars were very helpful, very informative. Surely you're aware of the Federal Court's direction to the current lobbying commissioner to reopen the investigation of the other side of the Trudeau report with regard to the illegal gift, on one hand, accepted by the Prime Minister and the fact that the lobbying commissioner's predecessor found nothing wrong with the lobbying side of that relationship.

Have you had a chance to talk with the new lobbying commissioner about the fact that this is exactly the sort of situation where if wrongdoing is found on one side of an officer of a Parliament and a lobbyist, there must be wrongdoing on the other side?

Mr. Mario Dion:

First of all, I think I would like to use this occasion, Mr. Chair, to point out that the lobbying commissioner and I never discuss, of course, any ongoing investigation we may be carrying out. It's a bit premature to conclude what the result of the new investigation into the Aga Khan she will be launching will be, but I understand the member's question. I spoke about an overlap. There are rules in the code concerning lobbyists concerning gifts they make to either members of Parliament or public office holders.

There are rules in the act and in the code. There is an obvious connection between these provisions. The lobbying commissioner and I are simply trying to explain to our constituents, if you wish, or the stakeholders, our interpretation of these rules and how they.... Our interpretations are not inconsistent, by the way. They are quite consistent, if not completely consistent. We're trying to emphasize to people that it's actually possible to respect both sets of rules at the same time and, as the member pointed out, it's actually possible to violate both sets of rules at the same time.

(1610)

Hon. Peter Kent:

Would you think a more explicit definition of “gift or benefit” would be helpful? I'm thinking back now to the Supreme Court judgment written by Madam Justice L'Heureux-Dubé, in which she had a number of very precise definitions that I don't believe are actually written into either your act or the Lobbying Act.

Mr. Mario Dion:

I hesitate to answer this question on the spur of the moment. The definition of “gift” is quite extensive in our act and in the code as well. It's any advantage, any benefit received by a member, but I would like to take this one under advisement, if the chair agrees, because it's tough. I do not recall the judgment that the member's referring to as well.

Hon. Peter Kent:

Thank you, Commissioner.

The Chair:

Thank you, Commissioner and Mr. Kent.

Next up for seven minutes, we have a visitor.

Welcome back, Mr. Cullen. Go ahead.

Mr. Nathan Cullen (Skeena—Bulkley Valley, NDP):

A visitor, that sounds so “stranger in the House” and somehow intimidating.

Commissioner, it's nice to see you. I'm glad you have returned and I hope your health is well.

Mr. Mario Dion:

It's very well.

Mr. Nathan Cullen:

You have important work to do on behalf of Canadians, but we are people too and I'm glad to see you back and on the job.

Mr. Mario Dion:

Thank you very much.

Mr. Nathan Cullen:

I had some similar questions as to the outstanding reports. I guess three out of the four have been identified. We will wait with bated breath to find out what the fourth one was.

I have one small question. Has your senior counsel had to recuse herself—I believe her name is Ms. Richard—from one of the ongoing investigations?

Mr. Mario Dion:

Yes.

Mr. Nathan Cullen:

Can you remind me of section 9? This was the focus of the report and the potential violation that your office detailed when—

Mr. Mario Dion:

I have it right in front of me. I will quickly read it. It says, “No public office holder shall use his or her position as a public office holder to seek to influence a decision of another person” so as to further the private interests of somebody in his family “or to improperly further another person's private interests.”

That's the section. It's about using your position to seek to influence a decision in order to improperly further another person's private interests. That's the focus of our investigation in the Trudeau matter.

Mr. Nathan Cullen:

Right, because in that matter of Trudeau, the question of inappropriate pressure has been sometimes at the heart of other conversations. Section 9 doesn't really deal with that aspect or any interpretation of what is inappropriate. It's simply the seeking to influence. Is that right?

Mr. Mario Dion:

That's right.

Mr. Nathan Cullen:

Okay.

Can you explain something? Some Canadians have asked me about dealing with ethics and violations of the ethics act under a scenario in which someone, say Mr. Erskine-Smith, received a lovely painting from somebody who was seeking to influence him and it was deemed by your office to be inappropriate.

Would a normal recourse be for an MP in that position to return the gift that was deemed inappropriate or in violation of the ethics act?

Mr. Mario Dion:

That's right. That would be the normal recourse. Most of the time we suggest that people do that and they are doing that—returning it.

Mr. Nathan Cullen:

I would never suggest that Mr. Erskine-Smith would ever even receive such a thing, but let's go further.

If somebody having dealings with the government were then to offer travel and it had some monetary value, expensive travel as was the case with the Aga Khan, I'm not understanding why.... There is no return of the gift because you can't. It's an experience, a trip, but certainly there's the value of the gift if the office holder had gone out and simply purchased that gift, purchased that travel, which would have been more appropriate, rather than receiving a gift.

Why do we not have within the act the notion that, as in the case of the painting that was received illegally, for a gift in the form of a sponsored trip that was also deemed to be inappropriate or illegal, the value of that trip would also have to be compensated for?

Am I making myself clear? I know it may be a too commonsensical kind of approach, but what's the difference?

Mr. Mario Dion:

First of all, I would like to complete my earlier answer by saying that we only intervene when the gift is actually disclosed. There are several disclosures each month, but I'm convinced there could be gifts that are not always disclosed. Of course, we cannot do anything if they are not being disclosed.

If disclosed, we suggest that the gift be returned. Sometimes we suggest that the gift be reimbursed as well when it's not actually possible to return it because it was a show or a public event that has already taken place.

I have no power to order. We simply provide advice to people who disclose a gift. In the example of a trip for instance, the advice may be given that somebody should reimburse the cost of the trip, but I don't have any tools in the act to actually force the execution of my advice.

(1615)

Mr. Nathan Cullen:

In the first example I used, if an MP were to receive a painting or some gift that you can foresee, you can advise them that they should return the gift if it was received inappropriately. You can't order it. Is that correct?

Mr. Mario Dion:

That's right.

Mr. Nathan Cullen:

Did you at any point advise Mr. Trudeau that he should compensate for the travel that was sponsored and that was deemed to be unethical or illegal?

Mr. Mario Dion:

I did not. I do not know if my predecessor did, because this matter was finished prior to my assuming the duties on January 9, 2018, so I—

Mr. Nathan Cullen:

For Canadians—

Mr. Mario Dion:

Quite frankly, I did not raise—

Mr. Nathan Cullen:

You can understand where Canadians get confused. If something was given illegally or unethically, say in the form of a trip, it just would seem to make common sense that if it was done inappropriately, whether it was disclosed or not, but it was eventually found out.... What's the difference between a $10,000 sponsored trip or someone just giving you $10,000 to take a trip? If somebody handed a politician an envelope with $10,000 in it—heaven forbid—to try to win some influence with them, and then they use that money to take their family on vacation, what's the difference? Under the code, is there any difference between those two scenarios?

Mr. Mario Dion:

I would prefer not to try to hypothesize on those situations, but I guess you know what the prohibitions are. It's not giving the gift that might be prohibited. It's receiving the gift, accepting the gift. That's what the code and the act governs. It's the acceptance of a gift.

Once you've accepted a gift, you've done something that is only partly reversible. We provide advice as to how to reverse the situation. Sometimes it's not possible to reverse the situation.

Mr. Nathan Cullen:

Yes.

Mr. Mario Dion:

We do not have the power to order any specific action on the part of the office holder who has accepted a gift that he or she should not have accepted.

Mr. Nathan Cullen:

Understood.

Again, I go back to your timeline on the current investigation. I think you responded to a colleague's question that it would not be by mid-June but within the next few months. That places it sometime within the summer range, give or take. I know you can't be specific with the date and you said you have some outstanding interviews to conduct.

Mr. Mario Dion:

Yes, we still have some interviews to conduct. There can always be a number of surprise elements, if you wish. We want to also produce a report that is at least of the same quality as previous reports have been. It does take time, but I am confident that within the next few months we will complete this report, barring something completely unforeseen.

Mr. Nathan Cullen:

You said you were getting ready for the election. Is there any particular area, in terms of the act or the code, that you foresee being a focal point for your work as we go into the election cycle?

Mr. Mario Dion:

No, there's nothing in particular. We know what the prevalent problems are and we will assume that in the future, it will be quite similar to what it is now. The issue of gifts is always number one on the list.

Mr. Nathan Cullen:

Okay.

Mr. Mario Dion:

We also have the issue of the initial declarations, the time frame in which they should be returned. We will review our forms, as well, with this goal of their being in plain language, user-friendly as much as possible, including for the use of technology.

Mr. Nathan Cullen:

Thank you, Chair.

The Chair:

Thank you, Mr. Cullen.

Last up is Mr. Erskine-Smith for seven minutes.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Thanks very much.

Based on the information we have, there are 49 full-time positions. About a third are advisory and compliance. What are the other two-thirds of the positions? What are they for?

Mr. Mario Dion:

It's more than one-third. In fact, 18 are advisory and compliance out of the 49. We have 11 in corporate services, which deals with HR, IM and IT, finance, all the obligations we have as a public sector entity that has a number of laws it has to abide with.

Mr. Nathaniel Erskine-Smith:

How many are in corporate and HR?

Mr. Mario Dion:

There are 11 FTEs. We have eight in outreach and communications, media relations and so on and so forth. We have eight in legal and investigations.

(1620)

Mr. Nathaniel Erskine-Smith:

Okay. Am I right, then? You had 2,000 inquiries and calls in the last year, and would that be the 18 people who are dealing with that?

Mr. Mario Dion:

That's right.

Mr. Nathaniel Erskine-Smith:

That would be less than 100—

Mr. Mario Dion:

I'm sorry; it's less than the 18. We have eight advisers. Of the 18, eight are professional advisers. We also have staff who are of a more clerical nature to make sure the annual reviews, for instance, go out on time—

Mr. Nathaniel Erskine-Smith:

I see.

Mr. Mario Dion:

—and for all the mechanics, if you wish, of both the act and the code.

Mr. Nathaniel Erskine-Smith:

Okay. I'm just trying to wrap my head around the caseload. The caseload seems to me.... If you have eight people plus some legal counsel who might get involved in some of these where it gets escalated, you have a little over 200 inquiries, calls, per employee. That seems like an incredibly modest amount. Just having practised law previously, if you told me I had 200 calls and inquiries a year to deal with, I would say, you mean I don't have 10 times that amount?

Given we're dealing with estimates today, it doesn't seem to me that each individual has the fullest of loads, but maybe I have that wrong.

Mr. Mario Dion:

I think, Mr. Chairman, that the member raised the same issue last year.

I can assure you that nobody is twiddling their thumbs. There are some very complex matters when sometimes a public office holder makes a call about an issue, and sometimes it will take weeks or months to resolve the issue. Some of them are very complex. They're not all simple, and they require some follow-up.

There are several instances, as you pointed out, when legal advisers are consulted because there is a new or somewhat complex legal matter that arises.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

Mr. Mario Dion:

That's the caseload and that's the number of employees, and I guess you'll have to take my word for it.

Mr. Nathaniel Erskine-Smith:

That's fair. That's why you're here.

Every time you're here, and every time the lobbying commissioner is here.... I see that 18 employees are doing the core work, and there are supporting employees otherwise who do outreach, communications and HR. Every single time both offices are here before me, it seems there's massive duplication for small offices in HR, and there's so much coordination otherwise that is useful and necessary for the offices.

Are you of the view that it would make sense to combine the offices?

Mr. Mario Dion:

The mandates are quite different. The group that we've added is different. It's conceivable that they could be merged. I have never really addressed my mind to it.

Mr. Nathaniel Erskine-Smith:

Just on HR and outreach alone, there are probably significant savings, no?

Mr. Mario Dion:

I was an ADM of corporate services a long time ago and of course there could be economies of scale. It's obvious.

Mr. Nathaniel Erskine-Smith:

Thanks very much. I appreciate that.

Mr. Mario Dion:

Thank you.

Mr. Nathaniel Erskine-Smith:

In your view, do you have a sufficient mandate to do your job? I know part of the question that we're speaking about here with the estimates is about resources. Do you have the resources in your current mandate? As you approach different investigations over a not insignificant time in your office, do you feel that you have the appropriate mandate?

Mr. Mario Dion:

I wish I had more authority to recommend something as an investigation is completed. All I have under the act is the power to analyze the facts and share that analysis with the Prime Minister. I do not have the power to even recommend anything under the act.

I wish I had that power because I think it could make a difference in the effectiveness, if you wish, of the process. In the code, the situation is different because there's an explicit power to recommend a sanction. I wish I had the same authority under the act.

Mr. Nathaniel Erskine-Smith:

I appreciate that. Where you would make a finding of impropriety, you would make a recommendation to cure that in some fashion. Is that the idea?

Mr. Mario Dion:

That includes some measures possibly to make sure it doesn't happen again within government, as I did in my former mandate as the public sector integrity commissioner. I've done that on a few occasions because I had the latitude to do that under the statute. I don't in this one.

Mr. Nathaniel Erskine-Smith:

You would only make comments like that, the idea would be, when some improper conduct has been done.

Mr. Mario Dion:

Of course. Even if a contravention is not found, you can still have observed something that would cause you to make a recommendation. It's still possible.

Mr. Nathaniel Erskine-Smith:

I've not had many dealings with your office, probably thankfully. I haven't received many paintings. I don't think I've received any paintings. In fact, it's funny Mr. Cullen suggested that example. If my parents were watching, they would say, “Oh no, our son's not cultured enough to receive paintings.”

I have had one dealing with your office, and I returned the gift on your advice, but I disagreed with your advice. I think it continues to be wrong at law, and I've talked to some of my colleagues who have, in identical instances, received different advice from your office, which is of concern to me. I appreciate you have different employees and different decisions will be made and, of course, you won't make the perfect or right decision all the time. I think most of the time you will, but mistakes happen to the best of us.

When a mistake does happen, and a member of Parliament disagrees with the interpretation or a cabinet minister disagrees with the interpretation, do they have any recourse?

(1625)

Mr. Mario Dion:

Under the act there is a very narrow window for judicial review. Under the code there is no recourse outside of the House of Commons. Of course, the member has the possibility of raising it within the House of Commons and using processes within the House of Commons.

Mr. Nathaniel Erskine-Smith:

To that end, if you issue a report outside of sitting weeks and there's something wrong in that report, there wouldn't be that same recourse.

Mr. Mario Dion:

If I issue a report under the code, I can only do so when the House is sitting.

Mr. Nathaniel Erskine-Smith:

Okay.

Mr. Mario Dion:

It says that I shall “report to the Speaker, who shall present the report to the House when it next sits.” I can send it to the Speaker. It's tabled in the House as soon as possible, and there is a right on the part of the member whose conduct has been examined in the report to ask to speak after question period for up to 20 minutes to explain his or her situation.

Mr. Nathaniel Erskine-Smith:

Fair enough. Thanks very much. I appreciate it.

The Chair:

As mentioned, Commissioner, we wish you good health from our committee and we would like to see you again soon. Thanks for appearing today.

Mr. Mario Dion:

Thank you for the good wishes, Mr. Chair. It was a pleasure.

The Chair:

We'll suspend until we have the other commissioner come in.

(1625)

(1625)

The Chair:

I call the meeting back to order.

I won't go over what I read before, but we welcome, from the Office of the Commissioner of Lobbying, Nancy Bélanger, the Commissioner; and Charles Dutrisac, Director of Finance and Chief Financial Officer.

I apologize to everybody. We had votes that shortened our time even more than we had already shortened it.

Go ahead, Ms. Bélanger, for 10 minutes.

(1630)

[Translation]

Ms. Nancy Bélanger (Commissioner of Lobbying, Office of the Commissioner of Lobbying):

Good afternoon, Mr. Chair and members of the Committee.

I would like to start by acknowledging that we are meeting today on the traditional territory of the Algonquin nation.

I am very pleased to have the opportunity to discuss with you the Main Estimates, our accomplishments of the past year and our ongoing priorities. I am joined by Charles Dutrisac, Director of Finance and Chief Financial Officer.[English]

It has been an extremely busy year for us. Just this week, we moved to a new location, designed as an activity-based workplace. This move was a demanding endeavour and would not have been possible without the incredible dedication of members of my team and the professional expertise of employees of Public Services and Procurement Canada and Shared Services Canada. I sincerely thank them for their commitment in ensuring the success of this project.

To mark this success, we are planning an open house in June, so you can soon expect an invitation to visit our new office.[Translation]

The Lobbying Act mandates that I maintain our Registry of Lobbyists, ensure compliance with the Act and the Lobbyists' Code of Conduct and foster awareness of both the Act and the Code. To carry out this mandate, we developed last year a three-year strategic plan that included four key results areas. I will set out some of our accomplishments and current priorities for each of them.

The first key result is A Modern Lobbyists Registration system. The Registry enables transparency by giving Canadians access to information about federal lobbying activities. On any given day, there are about 5,500 active lobbyists registered. This past year, lobbyists used our system to report details of more than 27,000 communications with designated public office holders.

To make it easier and faster for lobbyists to register, we have streamlined the registration process for new registrants. In the next year, we will improve the system to make it more user- and mobile-friendly for the registrant. This will assist in information becoming public more quickly.

We will also continue to benefit from the recommendations following the evaluation of our client services. Overall, the evaluation concluded that our approach with clients is effective and contributes to increasing compliance. Some recommendations related to the Registry and outreach activities will need to be assessed.[English]

The second key area is effective compliance and enforcement activities. I have streamlined the investigation process to address allegations of non-compliance while continuing to ensure that decisions are fair and impartial and meet the necessary procedural fairness requirements.

Allegations of non-compliance are now dealt with in two steps. First, a preliminary assessment is undertaken to evaluate the nature of the alleged contravention, to obtain initial information and determine whether the subject matter falls within my mandate. Following this assessment, and when necessary to ensure compliance with either the act or the code, an investigation is commenced. ln the last year, 21 preliminary assessments were closed, of which four led to investigations. There are currently 11 ongoing preliminary assessments.

With respect to investigations, I recently tabled a report to Parliament related to sponsored travel provided by 19 different corporations and organizations. I also suspended and referred three investigations to the RCMP, as I had reasonable grounds to believe that an offence had occurred under the act. Thirteen other investigations were ceased, and as of today there are a total of 15 investigations in our active caseload.

Finally, with respect to the five-year prohibition on lobbying, we are developing an online tool to simplify applications for exemptions by former designated public office holders.

(1635)

[Translation]

The third area is an Enhanced Outreach and Communications for Canadians.

This past year, we provided 70 presentations to lobbyists, public office holders and other stakeholders in addition to the webinars offered in cooperation with the Conflict of Interest and Ethics Commissioner. We also updated our guidance on the rules pertaining to the code.

The priorities for this year will include updating and redesigning our website to make it easier for visitors to find information. We will also use the data on information requests that we receive to analyze needs. That will enable us to develop targeted communication products and tools .

I will continue to develop recommendations for the next statutory review of the Act to enhance the federal framework for lobbying.[English]

Our last but certainly not least key area is an exceptional workplace. It is important to me that the employees of my office feel valued, understand the importance of their work and that they be proud of working at the Office of the Commissioner of Lobbying.

The results of the public service employee survey certainly indicate that we are in the right direction to be an employer of choice. When it comes to employee satisfaction with their workplace, the 2018 survey results placed the office among the top five of all federal departments and agencies.

We implemented and will continue to support our mental health strategy. We are also creating a career development program tailored to the reality of a small office.

The office delivers on its mandate through the invaluable work of 27 dedicated employees.

The 2019-20 main estimates for the office are about $4.8 million. With the exception of $350,000 dedicated to the relocation simply for this year, this is essentially the same amount since the creation of the previous office in 2005. Personnel costs represent about 70% of the expenditures, so $3.4 million. The remaining $1.1 million operating budget is used to acquire program support and corporate services, including HR, finance, IT and contracting services, as well as to cover miscellaneous costs. Fifty-five per cent of the $1.1 million is to obtain services from other government institutions. This approach provides access to a wide range of expertise in a cost-effective manner.

Looking ahead, I have concerns about the current budget envelope. Our fiscal reality is attempting to operate with a budget established in 2005. The amount of $4.5 million may have been sufficient at that time, but today it means there is practically no flexibility to reallocate financial resources, hire additional human resources or to make the necessary investments in systems with today's price tags.

The registry is a statutory requirement and is vital for transparency. Constant investments are required to ensure that the registry remains up to date with evolving IT standards and to enhance the accessibility of the information.

The work that is being performed by the office has also evolved in complexity, litigiousness and level of scrutiny.

I am therefore studying the cost implications and will make the necessary funding requests in the fall to ensure that we can adequately meet our mandate.[Translation]

The Lobbying Act continues to be an important and relevant piece of legislation. Ultimately, it is essential to me that the work of the Office is done in such a way as to provide value-for-money to Canadians and to improve the efficiency and effectiveness of our operations.

I want to end by recognizing the unwavering engagement and resolve of the employees of the Office who, more often than not, are asked to go well beyond what is required of their position. I so very much appreciate their input and support in assisting me to enhance the accessibility, transparency and accountability of the federal lobbying regime.[English]

Mr. Chair and members of the committee, I thank you for your attention and welcome your questions.

(1640)

The Chair:

Thank you, Commissioner.

We will start off with Mr. Graham, for seven minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you, Mr. Chair.

I'll get straight into it and I'll put it this way. I don't have a lot of patience for professional lobbyists. As far as I can tell, they bill clients based on how many meetings they get, multiplied by how many people are at them, rather than what they actually achieve at those meetings. I generally refuse to meet with them, unless they're from my riding or in my riding. Basically, if people have enough resources to tell me what to think, I probably don't want to hear from them.

Are you aware of how much professional lobbyists bill and are paid and does it matter for your purposes?

Ms. Nancy Bélanger:

I do not know.

Mr. David de Burgh Graham:

You have no idea how they're paid or what the pay structures are, and there's no impact.

Ms. Nancy Bélanger:

No, and it is not a requirement of our current regime to ask how much lobbyists are being paid. It is a requirement in the U.S., and so it's quite a popular thing. In Canada it's not a requirement. Quite frankly, I have not seen the need for it so far.

Mr. David de Burgh Graham:

When I was elected in 2015, your predecessor, Ms. Shepherd, gave me an introduction to your office at my MP orientation. I asked her a simple question: What is the difference between lobbying and influence peddling? She gave me the simple answer that influence peddling is illegal, which was partly what I was looking for.

In my experience, a lot of former MPs and staffers go on to become lobbyists. I guess it's better money for fewer hours. What is it they're selling? Is it the fact that they are well known and well respected, and if they call, everyone takes the call, and based on their connections and reputations they can therefore get more meetings? Are they offering process knowledge on how the House works and subject matter knowledge to policy-makers? One of those, I think, is influence peddling and one is lobbying. Where do you draw the line between the two?

Ms. Nancy Bélanger:

That's an interesting question.

First of all, lobbying, as defined in the Lobbying Act, is considered a legitimate activity. Influence peddling is a different story. If you're a former designated public office holder, you're not allowed to lobby for five years, so with the scenario you have given me, I'm not sure where we'd draw the line with respect to the facts, either.

I can only apply the law as it is written, and it recognizes that lobbying is a legitimate activity. In fact, I appreciate your opinion, but I have also met a number of public office holders who don't share your opinion and who actually believe that lobbying is a legitimate activity, and professionals in government relations actually provide them with information they need to make the decisions that are in the public interest.

Mr. David de Burgh Graham:

When they provide information, I find that useful. When they say, “You should do this because of who I am”, I find that less useful.

I'm wondering if you have any way of measuring if they're in compliance with the act, when it is still considered to be lobbying and when it ceases to be considered lobbying, regardless of the five-year cooling-off period. Not all of them were ministers or staff at that level.

Ms. Nancy Bélanger:

What I can say is that under the code of conduct there are rules for which lobbyists are not entitled to put you, public office holders, in a situation where it puts you in a conflict of interest or demonstrates that it's preferential access or preferential treatment. If there is a previous relationship that exists for whatever reason, that would be improper. Beyond having fact-specific cases, I can't go beyond that.

Mr. David de Burgh Graham:

Understood.

In what circumstances would you provide an exemption to the five-year cooling-off period?

Ms. Nancy Bélanger:

The Lobbying Act provides that I can give an exemption for those who have been there for a very short period of time, who had administrative duties, possibly in an acting position for a very short period of time. In the last year we had 11 requests, and one that came from last year, so we had 12. Three withdrew. Of the nine requests, I granted four and declined five. The four were all because the individuals had been there for administrative support and/or were summer students, for example.

Mr. David de Burgh Graham:

Understood.

I'd like to give the remaining time I have to Mr. Erskine-Smith. Thank you.

The Chair:

You have three minutes.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

I take note of your concerns about the current budget envelope. We just had Mr. Dion here. He had no such concerns. I won't comment on the workload, but it does occur to me that combining the offices would.... You have complementary functions.

With the Information Commissioner, with which you have significant experience, to some extent there are complementary functions with the Privacy Commissioner, but oftentimes they are at odds, in the sense that sometimes access to information is at odds with privacy. They view their respective jurisdictions—and rightly, I think—as wanting to protect privacy if they're the Privacy Commissioner, and wanting to protect access to information if they're the Information Commissioner. In a way, I can understand not combining those offices, although there are probably efficiencies to be found.

In the case of the Commissioner of Lobbying and the Ethics Commissioner, I'm a bit baffled that they are not one office. What do you think about that?

(1645)

Ms. Nancy Bélanger:

For sure if there's consideration to join the two offices, there should be a study to look at whether or not there could be some efficiencies in costs. We have no one who does HR. Our server is held by OPC. We have the Canadian Human Rights Commission, which offers us all its services and contracting in HR. We use the outside. I don't have enough people, 27, so we do have a contract.

Mr. Nathaniel Erskine-Smith:

Yet the Ethics Commissioner is sitting there with HR and...?

Ms. Nancy Bélanger:

I don't have that luxury.

I do believe there are cost efficiencies that could happen. Whether it's worth amalgamating, I don't know because I have not done the study.

Mr. Nathaniel Erskine-Smith:

I see.

Ms. Nancy Bélanger:

What I would recommend the committee do, if it's something that you are considering, is approach our provincial counterparts. Both information and privacy are joined in the provinces. On lobbying, my colleague in Ontario holds about seven hats. It might be interesting for you to speak to them.

The issue becomes institutional bias. How can you be requested something from the lobbyists, knowing possibly what a member of Parliament has disclosed to you? It's how you manage or create the walls to ensure that one set of information doesn't influence the other, although having the full picture sometimes might help.

Mr. Nathaniel Erskine-Smith:

The last comment I will make is to encourage you to turn your attention to this, at the very least, if you haven't already.

In our democracy, we have very strict election finance rules. In part, I think the idea is that if someone donates to my campaign, to Mr. Kent's campaign or to Ms. Mathyssen's campaign, and donates up to $1,600, there's very little influence. It's a de minimis amount, in many ways, in contrast to what we see in other jurisdictions, including the United States.

I would say the extent to which they thereafter could exert influence on us in our roles as elected officials is nil, yet we start to see now parallel campaigns being run by third party organizations, very closely in parallel with political parties, and they receive significant sums of corporate dollars that are not in any way de minimis.

The extent to which those companies and individuals then can exert influence thereafter is of great concern to me. If you and your offices haven't turned your mind to that idea, I would encourage you to do so.

Ms. Nancy Bélanger:

Thank you.

The Chair:

Thank you. We have to move on.

Mr. Kent, you have seven minutes.

Hon. Peter Kent:

Thank you, Chair.

Thank you, Commissioner, for appearing before us again.

As my colleague said, we had an interesting conversation with the Ethics Commissioner in the last hour. We talked to a certain extent about the enhanced outreach and the communications, the webinars and the meetings that have been going on with your offices. Commissioner Dion made it clear that you don't talk about specific cases.

However, with regard to the Federal Court order to you regarding a decision made, which I believe was termed a “reviewable error” of the previous commissioner, I asked the Ethics Commissioner how there could be a finding of wrongdoing and an illegal gift on one side of the equation when there seems to be a different application of the definition of “benefit or gift” on the other side.

What are your thoughts on that? Could you tell us whether you have proceeded to comply with the Federal Court order or whether you're waiting? We understand there may be a government appeal.

Ms. Nancy Bélanger:

I can confirm that the appeal has been filed.

I will answer your question to the best of my ability, knowing that there is an appeal before the court.

Hon. Peter Kent:

I understand.

Ms. Nancy Bélanger:

First of all, I have the greatest respect for the Federal Court. I articled there; I worked there, and I will always abide by a decision of a judge. You will never hear me criticize or comment on the decisions in a negative way. Therefore, I will abide by the decision of the Federal Court of Appeal.

In this particular decision, however, to clarify your point, I don't think the issue was on the different definition of a “gift”. It was whether the Aga Khan was subject to the lobbying rules in light of the fact that he is someone who does not get paid and therefore, that was the issue.

I will wait for the decision of the Federal Court of Appeal. I have not started. In my experience as a lawyer, I always await the 30-day appeal period before I start anything. I've always had that practice, so I will await the decision and I will abide by it.

(1650)

Hon. Peter Kent:

This is a hypothetical question, but one that is quite simple. Were you to actually launch an investigation, what type of timeline would you expect it to take? Would you start at the beginning or would you narrow it down to the question at hand?

Ms. Nancy Bélanger:

People who have worked with me would know that I would likely start at the beginning. I would like to personally get to the bottom of the story. However, I would also take advantage of the fact that the facts are out there already, so I will use what is out there to advance it as quickly as possible.

I have also told my team that if and when we start this investigation—it wasn't an investigation, actually; the court has told us to start the review again because it was not at the stage of an investigation—I would likely do a report to Parliament on that, in order for everyone to understand what was my interpretation of the matter.

Hon. Peter Kent:

With regard to the 15 investigations and the three investigations referred to the RCMP, there is a difference between your office and the Ethics Commissioner's office in terms of announcing investigations or referrals of incidents in the public domain.

Can you tell us anything about the three investigations referred to the RCMP?

Ms. Nancy Bélanger:

I can't, and I don't confirm and I don't deny exactly for that reason: not to jeopardize any type of investigation that the RCMP will be doing.

It's a weird situation. The way our act is written, if it's an offence, in other words if it's unregistered lobbying or lobbying while prohibited, when I have reasonable grounds to believe that's happened, I have to suspend. I don't finish those investigations. They go to the RCMP. Very often it's possible that I don't even talk to the person who is alleged because it's all about self-incrimination, so I don't go there.

If I do investigations only under the code, those will lead to a report to Parliament, unless I cease them.

Hon. Peter Kent:

There are two stories in the public domain relating with great probability to your office.

One of the unanswered questions in the SNC-Lavalin scandal is regarding the phone call from the former clerk of the Privy Council, now the chair of SNC-Lavalin, to the then clerk of the Privy Council, which lasted some 10 minutes. Was that, in your mind, and again just on the evidence that is in the public domain already, an offence under the act?

Ms. Nancy Bélanger:

What's in the public domain probably doesn't include enough information for me to make a finding, and I will leave it at that for that particular file.

Hon. Peter Kent:

Would it be improper to assume an investigation is under way?

Ms. Nancy Bélanger:

I can't comment.

Hon. Peter Kent:

The other case is the matter of a big dollar Liberal fundraising event at which an American citizen with an interest in lobbying the Prime Minister and the infrastructure minister was gifted a ticket to that event, either by a Liberal or by a lobbyist. Many people would think that would justify investigation.

Ms. Nancy Bélanger:

Again, I can't comment.

Hon. Peter Kent:

All right.

Coming back to Mr. Erskine-Smith's questions, I wonder if we could talk about merging some of the elements of the office with regard to investigation.

There was the investigation, the Trudeau report, for example, which involved both sides of a situation. Would there have been benefit there in the sharing of information of that fairly extensive and aggressive investigation while it was still being considered by your predecessor?

(1655)

Ms. Nancy Bélanger:

Obviously when it's a common issue and it's the flip side of the same issue, it would be interesting to do these interviews at the same time, but right now, we can't even talk to each other. Obviously he makes public that he investigates, so I'm aware of what he's doing—for most, or for some; I don't think he makes everything public—but he doesn't know what I'm seized of.

Interestingly, when the Privacy Commissioner issued a report a few weeks ago with the B.C. commissioner, the first thing I asked was, “ How did you do this?” I guess there is a section in their respective legislation that allows them to do investigations jointly. It does exist. There's a precedent for it.

Hon. Peter Kent:

One final question, would you recommend the same practice be followed in your case?

Ms. Nancy Bélanger:

Certainly, if that is the will of Parliament, we will abide by that, yes.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Mr. Kent.

Next up for seven minutes is Ms. Mathyssen.

Ms. Irene Mathyssen (London—Fanshawe, NDP):

Thank you, Mr. Chair.

Thank you for being here, Commissioner. It's lovely to have a chance to meet you.

I'm going to be following up with some questions, some of which will just be me thinking out loud, if you can't answer, but wherever you can answer, I would truly appreciate it.

Recently, your office issued a report on sponsored travel and unregistered lobbying that could be happening on these trips. I guess Captain Renault from Casablanca is one of those situations. At any rate, how would you monitor unregistered lobbying on these trips? How did you find that and how do you respond? Can you tell us?

Ms. Nancy Bélanger:

The first thing I will clarify is that I did not find that there was some unregistered lobbying that occurred on these trips. This was extremely complex. It had been going on for a number of years, with 19 organizations, going back for a period of seven years.

The investigative team spoke to the heads of each of these organizations. We, as well, confirmed with members of Parliament whether or not lobbying had occurred on these trips. When it did, the organizations filled in their monthly communication report as they should, and when they didn't lobby, well then, they did not put in the monthly communication report.

How do I monitor? We investigate if there is an allegation. Otherwise it is the goodwill of lobbyists to put in their monthly communication report in the registry. And they do. There were 27,500 of them in the past year.

Ms. Irene Mathyssen:

That's a lot to investigate.

Ms. Nancy Bélanger:

Yes.

Ms. Irene Mathyssen:

I understand your problems in regard to budgeting in that particular term.

The statutory review of the Lobbying Act is years overdue at this point. In your opinion, should Parliament direct this committee to have a review and examine the legislation as soon as possible?

Ms. Nancy Bélanger:

That again is the will of Parliament to decide if the Lobbying Act needs to be reviewed. It works quite well, I think, although it has some issues that I would like to see resolved. I am prepared and I continue to get prepared to come before you if the review ever starts.

When I came the last time, I had four months under my belt in this position, and now I have about a year and a half. Every day there are situations that come up and I think, “My goodness, I wish that this could possibly be in the law.”

As I move along, I adjust the recommendations that I will make if I'm invited to speak on them.

Ms. Irene Mathyssen:

Obviously, it would be a good thing if this committee were to invite you to speak since you have a number of issues that you could provide good, sound recommendations for.

Ms. Nancy Bélanger:

Absolutely.

Ms. Irene Mathyssen:

Mr. Chair, I hope that that is duly noted. Thank you.

The Chair:

Yes, got it.

Ms. Irene Mathyssen:

My colleague, Mr. Angus, requested an investigation about SNC-Lavalin's lobbying practices. Are you going to act on that request? When we saw information in that regard we saw numerous lobbying attempts, as it were. Did that raise any red flags with you? Are you able to go ahead on Mr. Angus' request?

Ms. Nancy Bélanger:

I will repeat what I've said. I can't comment on whether there is an investigation or not.

I do want to reassure the committee that very often when I get letters, I know what's going on already. We're really on top of...we observe what's in the media. We listen to what's going on in the House. We're extremely proactive. We do not sit and wait to see what comes on our desk from members of the public, from members of Parliament or from senators.

That's really all I can comment on that.

(1700)

Ms. Irene Mathyssen:

Now I'm into the thinking out loud. I'm interested in what you said in regard to the court's ruling on the Aga Khan. It seems to me that in regard to a benefit, the holiday may have been a benefit, but there was also the concern about the Aga Khan Foundation receiving funding. Is there not a benefit then to at least the Aga Khan through his foundation and wouldn't that raise some issues and cause a need to look?

Ms. Nancy Bélanger:

Again, I think I will wait for the decision of the Court of Appeal to proceed.

What I can say to this committee is that if the decision remains, if the Court of Appeal does not overturn the Federal Court decision, it will mean that, yes, I will look at the matter again. It will also mean that the office will likely require resources, because it will mean that more people will be subject to the legislation. It will also mean that I may have to investigate a lot more files, so there might be some resource implications there.

Again, I will wait to see what the court says and I will abide by it.

Ms. Irene Mathyssen:

Thank you.

Very quickly, you talked about a mental health strategy. It seems to me that obviously, with all of the work your office does, your staff is under stress. I'm interested in the strategy. How are you going to cope with burnout and stress?

Ms. Nancy Bélanger:

I personally am extremely demanding. I know that and I tell my staff that. But I also give them, every day, a big thank you. In the office I have a champion responsible for mental health. A committee sends us emails and sends us tools. We do activities. We have speakers. We very much accommodate people who we may feel are under stress.

We also do it with humour. I always tell people that we don't do heart surgery. What we do is extremely important. It's important for democracy. We take it extremely seriously. But at the end of the day, their health is primary to me and to them. Then we go about our day, and so far, so good.

The Chair:

Next up is Mr. Erskine-Smith for seven minutes or less.

Mr. Nathaniel Erskine-Smith:

I put my questions to the commissioner and I got the answers.

I will just say thanks for being here, and keep up the good work.

Ms. Nancy Bélanger:

Thank you very much.

The Chair:

Commissioner, that brings us to the end of our questions.

Ms. Nancy Bélanger:

That was fast.

The Chair:

Yes, it did go by fast. You weren't just dreaming; it did go fast.

Ms. Nancy Bélanger:

Thank you very much.

The Chair:

Thank you very much.

Before we suspend, we have to vote on the estimates. OFFICE OF THE COMMISSIONER OF LOBBYING ç Vote 1—Program expenditures..........$4,406,633

(Vote 1 agreed to) OFFICE OF THE CONFLICT OF INTEREST AND ETHICS COMMISSIONER ç Vote 1—Program expenditures..........$6,355,513

(Vote 1 agreed to) OFFICE OF THE SENATE ETHICS OFFICER ç Vote 1—Program expenditures..........$1,231,278

(Vote 1 agreed to) OFFICES OF THE INFORMATION AND PRIVACY COMMISSIONERS OF CANADA ç Vote 1—Program expenditures—Office of the Information Commissioner of Canada..........$10,209,556 ç Vote 5—Program expenditures—Office of the Privacy Commissioner of Canada..........$21,968,802 ç Vote 10—Support for Access to Information—Office of the Information Commissioner of Canada..........$3,032,615 ç Vote 15—Protecting the Privacy of Canadians—Office of the Privacy Commissioner of Canada..........$5,100,000

(Votes 1, 5, 10 and 15 agreed to)

The Chair: Shall the chair report the main estimates 2019-20, less the amounts voted in interim supply, to the House?

Some hon. members: Agreed.

The Chair: Good. I will do that.

We'll now go into committee business.

[Proceedings continue in camera]

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1545)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

La séance est ouverte. Il s’agit de la 150e séance du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique.

Conformément à l'article 81(4) du Règlement, nous examinons le Budget principal des dépenses 2019-2020: crédit 1 sous la rubrique Bureau du commissaire aux conflits d'intérêts et à l'éthique, crédit 1 sous la rubrique Bureau du conseiller sénatorial en éthique, crédit 1 sous la rubrique Commissariat au lobbying et crédits 1, 5, 10 et 15 sous la rubrique Commissariats à l'information et à la protection de la vie privée du Canada, renvoyés au Comité le jeudi 11 avril 2019.

Nous accueillons aujourd’hui M. Mario Dion, du Commissariat aux conflits d’intérêts et à l’éthique. Le commissaire est accompagné de Sandy Tremblay, directrice de la Gestion corporative.

Au cours de la deuxième heure, nous entendrons les représentants du Commissariat au lobbying. Nous accueillerons Nancy Bélanger, commissaire au lobbying, et Charles Dutrisac, directeur des finances et dirigeant principal des finances.

Monsieur Dion, je suis heureux de vous voir. Vous avez 10 minutes.

M. Mario Dion (commissaire aux conflits d'intérêts et à l'éthique, Commissariat aux conflits d'intérêts et à l'éthique):

Merci, monsieur le président.[Français]

Monsieur le président et honorables membres du Comité, j'aimerais d'abord vous remercier de m'avoir invité à comparaître aujourd'hui devant vous pour l'examen de la présentation budgétaire du Commissariat dans le cadre du Budget principal des dépenses de 2019-2020.

Comme le disait le président, je suis accompagné de Mme Sandy Tremblay, qui est notre directrice de la Gestion corporative.

Comme vous le savez, je suis ici pour discuter des besoins budgétaires actuels du Commissariat. Pour mettre les choses en contexte, j'aimerais passer en revue certains projets et activités que nous avons entrepris l'an dernier, ainsi que des projets et activités prévus pour le présent exercice.

Je vais commencer par parler de notre mission puisqu'elle est essentielle; elle est le fondement de tout ce que nous faisons. Le Commissariat s'est donné une mission il y a maintenant un peu plus d'un an, qui décrit ce que nous faisons.

Le Commissariat encadre et conseille, de façon indépendante, avec rigueur et cohérence, les députés et les titulaires de charge publique fédéraux. C'est le premier élément de notre mission. Deuxièmement, nous menons des enquêtes. Troisièmement, nous avons recours, au besoin, à des sanctions appropriées en vue d'assurer le respect intégral du Code régissant les conflits d'intérêts des députés et de la Loi sur les conflits d'intérêts.

L'an dernier, nous avons mis en œuvre un plan stratégique triennal qui guide les projets et les activités en fonction de notre mission. Trois priorités ont été définies: améliorer les communications et la sensibilisation, moderniser les structures de gestion de l'information et la technologie, et maintenir l'excellence opérationnelle. Le plan décrit également les moyens que nous prendrons pour réaliser ces priorités.

La première grande priorité est d'établir et d'améliorer les processus de communication et de sensibilisation, afin d'aider les députés et les titulaires de charge publique à comprendre et à être en mesure de respecter leurs obligations en vertu du Code et de la Loi.

L'éducation et la sensibilisation sont au cœur de mon approche depuis que je suis en poste, soit un an et demi maintenant. Nous visons à éduquer les titulaires de charge publique et les députés pour qu'ils soient pleinement conscients de leurs obligations. Concernant les moyens utilisés pour ce faire, j'ai l'intention d'aller au-delà de l'approche traditionnelle en salle de cours et d'utiliser plutôt la technologie des nouveaux médias pour les exposés et les autres usages éducatifs.

Nous avons regardé l'ensemble du matériel éducatif que le Commissariat a publié depuis 12 ans, en fait, depuis sa création, pour expliquer l'application des règles du Code et de la Loi. L'objectif était de simplifier ce matériel afin d'en faire une source d'information plus efficace pour les députés et les titulaires de charge publique.

Nous avons mis à jour 12 de ces documents et avons condensé leur contenu en sept nouveaux avis d'information qui expliquent les exigences de la Loi. Cette année, nous allons nous attacher à moderniser et à simplifier les instruments qui se rapportent au code régissant la conduite des députés.

En fait de nouveaux moyens, nous avons organisé deux webinaires sur les cadeaux, conjointement avec la commissaire au lobbying, qui va comparaître immédiatement après moi. Nous avons aussi mis en œuvre une approche plus dynamique de l'utilisation de Twitter pour communiquer directement avec les députés et les titulaires de charge publique. Enfin, nous avons fait quelques courtes vidéos afin de sensibiliser les intervenants.

(1550)

[Traduction]

C’était tout pour ce qui est des communications et de la sensibilisation.

Une deuxième priorité de notre plan stratégique consistait à moderniser les structures de gestion de l’information et de la technologie. Nous avons lancé en novembre dernier une nouvelle version de notre système de gestion des cas. Toute l’information provenant de notre ancien système a été transférée au nouveau. Notre infrastructure de technologie de l’information améliorée est compatible avec les systèmes existants et permet au commissariat d’explorer de nouvelles options technologiques pour s'acquitter de son mandat. Nous continuons de composer avec certains problèmes techniques et procéduraux, mais je suis convaincu qu’ils seront réglés d’ici la fin de l’exercice.

Nous travaillons également à l’élaboration d’un nouveau site web qui en fera une source d’information plus efficace pour les députés et les titulaires de charge publique. Il sera adapté aux appareils mobiles, ce qui n’est pas le cas à l’heure actuelle, de sorte qu’il rejoindra mieux nos intervenants occupés sur les plateformes disponibles aujourd’hui. Nous prévoyons lancer notre nouveau site web avant les élections d’octobre 2019.

La troisième grande priorité énoncée dans notre plan stratégique consiste à maintenir l’excellence opérationnelle en mettant l’accent sur nos employés et sur les outils dont nous disposons. Au cours de ma première année en poste, j’ai pris des mesures pour veiller à ce que notre commissariat investisse dans la formation et le perfectionnement professionnel des employés et fournisse les outils et l’équipement dont les employés avaient besoin pour faire leur travail. J’ai également veillé à offrir un milieu de travail respectueux, diversifié et inclusif.

On m’a demandé l’an dernier si je ferais des recommandations dans mes rapports annuels pour renforcer les régimes que nous administrons. À la même époque l’année dernière, avec seulement quelques mois d’expérience, je ne me sentais pas prêt à le faire dans les rapports annuels. J’avais exprimé l’espoir, l’an dernier, que le comité m’invite à présenter mes réflexions sur d’éventuelles modifications l’automne dernier. Sinon, j’allais les inclure dans les rapports annuels de cette année.

Or, c’est effectivement ce que nous ferons sous peu. Le mois prochain, en juin, le Commissariat déposera ses deux rapports annuels: un en vertu de la loi et l'autre en vertu du code. Nous avons rédigé des modifications qui renforceraient l’application de la loi dans l'éventualité où il y aurait un autre examen de la loi, et nous inclurons certains de ces points clés dans notre rapport annuel en vertu de la loi.

Notre plan stratégique constitue également pour mon organisation un document d’orientation. Nous nous en servons pour harmoniser nos priorités alors que nous nous acquittons de notre mission, c’est-à-dire fournir une orientation et des conseils indépendants, rigoureux et cohérents, et je rendrai compte de nos réalisations dans le cadre du plan stratégique dans les prochains rapports annuels au Parlement.

Les enquêtes continuent de susciter beaucoup d’intérêt de la part du public et des parlementaires. Nous avons été très actifs en ce qui concerne les enquêtes. En 2018-2019, nous avons publié huit rapports d’enquête, soit cinq en vertu de la loi et trois en vertu du code. Il y a actuellement quatre dossiers relativement auxquels je n’ai pas encore fait rapport, et notre équipe d’enquête doit établir un équilibre entre le souci de confidentialité, d’intégrité et d’équité procédurale et la complexité ainsi que l'urgence des dossiers. [Français]

Le Commissariat accomplit sa mission avec un total de 49 postes à temps plein. La division Conseils et conformité compte plus du tiers du personnel, puisque c'est la division chargée d'interagir quotidiennement avec les 3 000 personnes visées par la Loi ou par le Code. Ces interactions représentent la majeure partie du travail du Commissariat en ce qui concerne la conformité. Nous avons répondu à plus de 2 000 appels ou demandes de renseignements l'an dernier.

Le reste du Commissariat est divisé en trois grandes catégories: la gestion corporative, que Mme Tremblay dirige, les communications, dirigées par Mme Rushworth, et les enquêtes et services juridiques. Notre objectif est de faire preuve quotidiennement de rigueur et de professionnalisme, et de donner des conseils en matière de conformité.

J'ai entièrement confiance dans la qualité du travail et dans l'intégrité de tous les membres de mon équipe de direction et de tous les employés en général.[Traduction]

À moins qu’il y ait une augmentation inattendue de nos besoins en ressources, je m’attends à ce que notre commissariat soit en mesure de réaliser sa mission au cours du prochain exercice financier avec un budget de 7,1 millions de dollars. Cela représente une légère augmentation de 4 % par rapport au dernier exercice. Le budget de base n’a pas changé au cours des 12 années d’existence du Commissariat. Il s’agit de la première augmentation réelle de 4 %, et elle est nécessaire cette année pour permettre à notre commissariat de se préparer aux élections tout en continuant d’assurer l’excellence opérationnelle.

Il y a normalement une augmentation importante de la charge de travail chaque fois qu’il y a une élection générale, et nous voulions être prêts et nous y préparer. La préparation aux élections est l’un des principaux volets de notre activité en ce moment. Nous avons commencé à embaucher des employés nommés pour une période déterminée afin de nous aider à faire face à l’augmentation de la charge de travail. Nous mettons également à jour des lettres et des trousses d’information pour, éventuellement, de nouveaux députés, pour les personnes qui, à l’avenir, se joindront à des bureaux, à des cabinets ministériels, et ainsi de suite. Tous ces éléments découlent de notre plan stratégique et permettront au commissariat de mieux servir ses intervenants au cours d’une année électorale occupée.

Dans le cadre de cette planification, nous avons toujours une réserve. Nous avons 100 000 $ que nous n’affectons pas pour faire face efficacement, à des changements importants et aux besoins qui en résulteraient.

Je suis convaincu que nous serons en mesure, grâce au budget que vous avez sous les yeux, de mener à bien notre mission de façon efficiente, efficace et économique.

Monsieur le président, voilà qui conclut ma déclaration préliminaire. Je serai maintenant heureux de répondre aux questions des membres du Comité. Merci.

(1555)

Le président:

Merci, monsieur le commissaire.

Pour la gouverne du Comité, notre ordre du jour a été modifié. L’ordre du jour que vous avez devant vous est erroné. Nous allons poursuivre jusqu’à 16 h 15. Cela nous donne suffisamment de temps. Je vais essayer de donner la parole aux quatre premiers intervenants — Mme Fortier, M. Kent, M. Cullen et M. Erskine-Smith —, puis nous passerons au prochain commissaire. C’est tout le temps que nous avons. Je précise encore une fois que l’ordre du jour est modifié. Cela nous mènera à environ 16 h 20. Merci.

Madame Fortier, la parole est à vous. [Français]

Mme Mona Fortier (Ottawa—Vanier, Lib.):

Merci beaucoup.

Monsieur Dion et madame Tremblay, je vous remercie d'être ici aujourd'hui.

Nous savons que vous travaillez très fort. Vous avez eu l'occasion de préparer une présentation, et j'aimerais vous poser quelques questions au sujet des défis que votre bureau doit relever. Je comprends bien la planification stratégique et vos priorités. Pourriez-vous nous faire part de vos défis actuels et des mesures que vous prenez en vue de les relever?

M. Mario Dion:

Nous avons toujours un défi lié aux délais comme je l'ai mentionné plus tôt, c'est-à-dire qu'il faut fournir nos services en temps opportun. Nous avons des normes de service entourant le premier contact que nous établissons. Cela crée toujours une pression.

Nous avons aussi des normes de service pour répondre aux représentants des médias et aux membres du public qui communiquent avec nous. Nous avons toujours une pression, même s'il n'y a pas de normes de service ou de délais prévus par la loi lorsque nous sommes en train d'enquêter sur une question. Il y a toujours une pression pour que les choses se fassent de façon ponctuelle, avec célérité, afin que le rapport soit pertinent au moment où il devient accessible. C'est l'un de nos défis, de toujours fonctionner avec le sentiment qu'il faut que cela bouge et que cela bouge vite.

Il faut faire cela de façon cohérente: nous devons fournir des réponses similaires d'un cas à l'autre quand les faits sont les mêmes. Je pense que les députés et les titulaires de charge publique apprécient un peu de prévisibilité. Nous avons donc besoin d'avoir des outils afin de nous assurer que les conseils que nous donnons sont cohérents.

Il faut aussi avoir une équipe professionnelle, c'est-à-dire que le milieu de travail doit demeurer stimulant. La seule ressource dont nous disposons, ce sont les travailleurs, les professionnels, qui fournissent les services. Nous voulons les garder, puisque la courbe d'apprentissage est assez importante. Il faut de la rigueur. La cohérence et la rigueur ne sont pas tout à fait la même chose. Nous essayons de faire preuve de beaucoup de rigueur dans tout ce que nous faisons.

Mme Mona Fortier:

Si je comprends bien, présentement, vous gérez toute cette pression et rien ne vous arrêtera quant à la réalisation de votre mandat.

M. Mario Dion:

Jusqu'à maintenant, c'est le cas, à moins que ne survienne une augmentation de la charge impossible à gérer. Toutefois, dans l'ordre actuel des choses, nous jonglons sans trop de difficulté avec toutes les dimensions que j'ai mentionnées. Cela fonctionne.

Mme Mona Fortier:

Étant donné que je partage mon temps de parole avec mon collègue, je vais vous poser une dernière question.

À la fin de votre présentation, vous avez mentionné qu'il y aura bientôt des élections. Nous sommes tous au courant que cela s'en vient. Quels sont les répercussions sur le volume de travail? Cela se passe-t-il à court terme? Pourriez-vous nous parler du volume de travail en ce qui concerne les élections?

M. Mario Dion:

Cela va surtout se passer après le 21 octobre, selon le résultat du vote. Il va nécessairement y avoir de nouveaux députés. Combien y en aura-t-il? Personne ne le sait. Nous devrons communiquer avec les nouveaux députés dans les trois jours suivant la confirmation de leur élection. Cela contribue à notre volume de travail.

Il nous faudra également faire du travail de sensibilisation auprès des gens qui sont élus pour la première fois et qui ne connaissent pas grand-chose au Code régissant les conflits d'intérêts des députés. Nous allons devoir les familiariser avec le Code.

Comme je le disais tout à l'heure, si jamais il y a des changements dans la composition du Cabinet ou si jamais un autre parti forme le prochain gouvernement, il y aura potentiellement des centaines de nouveaux employés dans les bureaux de ministres, et ces derniers sont également des titulaires de charge publique au sens de la loi.

Voilà en quoi consiste notre volume de travail. Nous nous préparons à faire face à des centaines de nouveaux administrés dès le matin du 22 octobre prochain.

(1600)

Mme Mona Fortier:

Merci.

Je vais céder le reste de mon temps de parole à mon collègue M. Saini.

M. Raj Saini (Kitchener-Centre, Lib.):

Bonjour, monsieur Dion et madame Tremblay. J'ai une question pour vous.[Traduction]

J’ai lu avec beaucoup d’intérêt que le mois dernier, vous avez signé un protocole d’entente avec le Commissariat au lobbying pour faire de l’éducation et de la sensibilisation, ce qui, à mon avis, est une excellente idée. Je pense qu’en combinant cette activité, plus vous faites de sensibilisation et d’éducation, surtout auprès des députés, plus vous réduirez de façon spectaculaire le nombre de questions et d'enquêtes qui vous seront soumises.

Y a-t-il une sous-composante d’efficience derrière ce processus? Plus vous informez les gens et plus vous les sensibilisez, plus vous devriez voir le nombre de questions et de cas diminuer.

M. Mario Dion:

C’est le cas. À long terme, je suis convaincu que cela permettra de mieux respecter le code et la loi. En conséquence, nous aurons moins de travail à faire pour commander ou faire enquête, mais ce n’est pas notre objectif. L’objectif est fondé sur le désir de bien informer les gens qui sont régis par le code et la loi pour qu’ils puissent réellement s’assurer de les observer de façon continue. C’est l’objectif.

M. Raj Saini:

Avez-vous élaboré des programmes en collaboration avec le Commissariat au lobbying jusqu’à maintenant?

M. Mario Dion:

Oui. Nous avons organisé il y a quelques mois un webinaire en français et un autre en anglais. Environ 130 personnes y ont assisté. Nous nous sommes concentrés sur le chevauchement entre la Loi sur le lobbying, la Loi sur les conflits d’intérêts et le Code régissant les conflits d'intérêts des députés.

Nous sommes satisfaits du taux de participation et nous avons l’intention de répéter l’expérience au cours de la prochaine année.

M. Raj Saini:

Maintenant que vous avez élaboré ces programmes, croyez-vous que la collaboration entre votre commissariat et le Commissariat au lobbying permettra d’améliorer l’information et les outils offerts aux nouveaux députés après les prochaines élections?

M. Mario Dion:

J’en suis convaincu. Ce n’est qu’une question de degré, mais nous aurons un bien meilleur... tant sur le plan qualitatif que sur le plan du soutien que nous utiliserons. Nous allons utiliser la technologie. Nous communiquerons d’une manière qui est conforme au XXIe siècle et pas seulement avec des mots couchés sur le papier, avec du jargon juridique sur papier. Nous essayons d’adopter un langage simple et un accès en temps réel, jour et nuit, 7 jours sur 7, où que vous soyez sur la planète.

M. Raj Saini:

J’ai remarqué que dans votre plan stratégique pour 2018 à 2021, le deuxième point est la modernisation des structures de gestion de l’information et de la technologie.

Parlez-vous simplement de la mise à niveau de la technologie d’une génération à la suivante, ou parlez-vous d’un changement global dans le logiciel et la technologie en soi?

M. Mario Dion:

Pour l’instant, il s’agit essentiellement de mettre à niveau le système de gestion des cas, mais nous commençons lentement à explorer d’autres possibilités, comme l’utilisation de l’intelligence artificielle, pour nous acquitter de notre mandat.

Nous détenons une mine de renseignements. Essentiellement, nous n’utilisons pas l’information au maximum comme nous le pourrions afin de prévenir ou d’identifier les conflits d’intérêts potentiels. Nous essayons de nous informer au sujet de l’IA et de savoir si elle pourrait être utilisée dans les années à venir de quelque façon que ce soit pour réaliser notre mission. C’est un exemple de mesure technologique supplémentaire que nous envisageons.

M. Raj Saini:

Merci beaucoup.

Le président:

Merci, monsieur Saini.

C’est maintenant au tour de M. Kent, pour sept minutes.

L'hon. Peter Kent (Thornhill, PCC):

Merci, monsieur le président.

Merci, monsieur le commissaire et madame Tremblay, de témoigner devant le Comité aujourd’hui.

Monsieur le commissaire, nous sommes heureux de vous revoir. J’espère que vos problèmes de santé ont été réglés.

J’aimerais poser des questions en commençant par les quatre dossiers qui font toujours l’objet d’une enquête.

Lorsque vous avez commencé l’enquête sur les allégations selon lesquelles le premier ministre Trudeau ou le personnel de son cabinet avait exercé des pressions indues sur l’ex-procureure générale, Jody Wilson-Raybould, pour qu’elle intervienne dans une poursuite criminelle contre la société québécoise SNC-Lavalin, vous avez dit croire qu'une violation possible de l’article 9 pourrait constituer un motif d’enquête.

Dans le cadre de cette enquête — je sais que vous n’avez pas encore fait rapport, et nous devons être discrets dans nos questions —, y avait-il plus d’un député ou d’un titulaire de charge publique en cause?

(1605)

M. Mario Dion:

Bien sûr, comme le député l’a souligné, je suis très limité dans ce que je peux dire au Comité, ou à qui que ce soit d’autre, au sujet d’une enquête en cours. Lorsque nous l’avons lancée de notre propre chef en vertu de l’article 45 de la loi en février dernier, l’accent était mis sur le premier ministre, mais le député a raison de dire qu’il y a plusieurs autres titulaires de charge publique qui sont interviewés, ou qui le seront, pour examiner essentiellement les faits qui ont été largement rendus publics. Les adjoints politiques qui auraient également joué un rôle ont également été interviewés ou le seront.

L'hon. Peter Kent:

L’ex-greffier du Conseil privé a dit, il y a quelques mois, et je cite: « Je pense que le commissaire à l’éthique pourrait faire toute la lumière sur cette affaire assez rapidement. »

Pourriez-vous dire au Comité si vous serez en mesure de faire rapport avant l’ajournement de la Chambre en juin?

M. Mario Dion:

En fait, je peux informer le Comité cet après-midi qu’il n’y aura pas de rapport d’ici la mi-juin. Je m’attends à ce que la Chambre ajourne à la mi-juin ou à la troisième semaine de juin, et notre rapport ne sera pas prêt. Je peux vous l’assurer.

L'hon. Peter Kent:

Et le sera-t-il avant le 21 octobre?

M. Mario Dion:

Nous travaillons fort pour produire un rapport au cours des prochains mois.

L'hon. Peter Kent:

En ce qui concerne les trois autres rapports, je suppose que l’un d'eux concerne madame Vandenbeld. Les deux autres rapports sont de quelle nature, monsieur? Veuillez rafraîchir...

M. Mario Dion:

Selon nos recherches, elles ne sont pas du domaine public pour le moment. L’une d’elles n’est pas du domaine public, mais le rapport sera publié dans quelques semaines, alors vous saurez dans deux semaines sur quoi porte le troisième rapport. Le quatrième, qui porte sur monsieur Grewal, est du domaine public.

L'hon. Peter Kent:

D’accord.

Pour revenir un peu aux allégations concernant le premier ministre ou d’autres membres de son cabinet ou d’autres cabinets ministériels, le premier ministre s'est-il montré coopératif? Je me souviens que pour votre prédécesseur, dans le cadre de l’enquête sur les vacances illégales sur l’île de l’Aga Khan, il a fallu quelques mois au premier ministre pour se rendre disponible. A-t-il été plus disponible dans cette situation?

M. Mario Dion:

Je pense qu’il est juste de dire que nous sommes très satisfaits de la rapidité et de l’ampleur de la collaboration à ce stade-ci.

L'hon. Peter Kent:

D’accord, merci.

Passons maintenant à ce dont vous avez parlé plus tôt au sujet de la collaboration avec la commissaire au lobbying et des webinaires. Je pense que les webinaires ont été très utiles, très instructifs. Vous êtes sûrement au courant de la directive que la Cour fédérale a donnée à l’actuelle commissaire au lobbying de rouvrir l’enquête sur l’autre aspect du rapport Trudeau en ce qui concerne le don illégal, d’une part, accepté par le premier ministre et le fait que le prédécesseur de la commissaire au lobbying n’a rien trouvé de mal à l’aspect lobbying de cette relation.

Avez-vous eu l’occasion de discuter avec la nouvelle commissaire au lobbying du fait que c’est exactement le genre de situation où, si l’on découvre un acte répréhensible du côté d’un agent du Parlement et d’un lobbyiste, un acte répréhensible doit aussi avoir été commis par l'autre partie?

M. Mario Dion:

Tout d’abord, j’aimerais profiter de l’occasion, monsieur le président, pour souligner que la commissaire au lobbying et moi-même ne discutons jamais, bien sûr, de toute enquête en cours. Il est un peu prématuré de conclure quel sera le résultat de la nouvelle enquête sur l’Aga Khan, mais je comprends la question du député. J’ai parlé d’un chevauchement. Il y a des règles dans le code de déontologie au sujet des lobbyistes qui font des dons à des députés ou à des titulaires de charge publique.

Il y a des règles dans la loi et dans le code. Il y a un lien évident entre ces dispositions. La commissaire au lobbying et moi-même essayons simplement d’expliquer à nos commettants, si je peux dire, ou aux intervenants, notre interprétation de ces règles et comment elles... En passant, nos interprétations ne sont pas incompatibles. Elles sont assez cohérentes, voire tout à fait cohérentes. Nous essayons de faire comprendre aux gens qu’il est en fait possible de respecter les deux séries de règles en même temps et, comme le député l’a souligné, qu’il est aussi possible de violer les deux séries de règles en même temps.

(1610)

L'hon. Peter Kent:

Pensez-vous qu’il y aurait lieu de préciser la définition de « cadeaux ou avantages »? Je repense maintenant au jugement de la Cour suprême rédigé par Mme la juge L’Heureux-Dubé, dans lequel elle présentait un certain nombre de définitions très précises qui, selon moi, ne figurent ni dans votre loi ni dans la Loi sur le lobbying.

M. Mario Dion:

J’hésite à répondre à cette question spontanément. La définition de « cadeau » est très vaste dans notre loi et dans le code également. Elle englobe tout avantage reçu par un député, mais j’aimerais prendre cette question en délibéré, si le président est d’accord, parce que c’est difficile d'y répondre tout de suite. Je ne me souviens pas non plus du jugement dont parle le député.

L'hon. Peter Kent:

Merci, monsieur le commissaire.

Le président:

Merci, monsieur le commissaire et monsieur Kent.

Nous avons maintenant un visiteur qui dispose de sept minutes.

Re-bienvenue, monsieur Cullen. C'est à vous.

M. Nathan Cullen (Skeena—Bulkley Valley, NPD):

Un visiteur, j'ai l'impression d'être comme un étranger à la Chambre et cela m’intimide.

Monsieur le commissaire, c’est un plaisir de vous voir. Je suis heureux que vous soyez de retour et j’espère que vous vous portez bien.

M. Mario Dion:

Très bien, merci.

M. Nathan Cullen:

Vous avez un travail important à faire pour les Canadiens, mais nous sommes aussi des êtres humains, et je suis heureux de vous revoir en santé et au travail.

M. Mario Dion:

Merci beaucoup.

M. Nathan Cullen:

J’avais des questions semblables au sujet des rapports en suspens. Je suppose que trois des quatre ont été identifiés. Nous allons retenir notre souffle en attendant la divulgation de l'identité du quatrième.

J’ai une petite question. Votre avocate principale — je crois qu’elle s’appelle Mme Richard — a-t-elle dû se récuser de l’une des enquêtes en cours?

M. Mario Dion:

Oui.

M. Nathan Cullen:

Pouvez-vous me rappeler l’article 9? C’était l’objet du rapport et l’infraction potentielle que votre bureau a décrite lorsque...

M. Mario Dion:

Je l’ai sous les yeux. Je vais le lire rapidement: « Il est interdit au titulaire d’une charge publique de se prévaloir de ses fonctions officielles pour tenter d’influencer la décision d’une autre personne dans le but de favoriser son intérêt personnel ou celui d’un parent ou d’un ami ou de favoriser de façon irrégulière celui de toute autre personne ».

Voilà ce que dit l’article. Il traite de l'utiliser de sa fonction pour tenter d’influencer une décision afin de favoriser indûment les intérêts personnels de quelqu'un d'autre. C’est l’objet de notre enquête dans l’affaire Trudeau.

M. Nathan Cullen:

D’accord, parce que dans l'affaire Trudeau, la question des pressions inappropriées a parfois été au coeur d’autres conversations. L’article 9 ne traite pas vraiment de cet aspect ni de l’interprétation de ce qui est inapproprié. On y parle simplement d'un tentative d'exercer une influence. Est-ce exact?

M. Mario Dion:

C’est cela.

M. Nathan Cullen:

D’accord.

Pouvez-vous m'expliquer une chose? Des Canadiens m’ont posé des questions au sujet de l’éthique et des infractions à la Loi sur l’éthique dans le cadre d’un scénario où quelqu’un, disons M. Erskine-Smith, aurait reçu un joli tableau d'une personne désireuse de l’influencer, cadeau que votre bureau aurait jugé inapproprié.

Serait-il normal pour le député en poste de rendre le cadeau jugé inapproprié ou contraire à la Loi sur l’éthique?

M. Mario Dion:

Oui. Ce serait la chose à faire normalement. La plupart du temps, nous suggérons aux gens de le faire et c’est ce qu’ils font, ils le rendent.

M. Nathan Cullen:

Je n'irai jamais jusqu'à dire que M. Erskine-Smith recevrait un tel cadeau, mais poussons le raisonnement.

Si une personne transigeant avec le gouvernement offrait des voyages d'une valeur non négligeable, des voyages coûteux, comme l'a fait l’Aga Khan, je ne comprends pas pourquoi... Un tel cadeau ne peut être rendu parce que c’est impossible. C’est une expérience, un voyage, mais le cadeau à bien évidemment de la valeur du cadeau, une valeur pour laquelle le titulaire de la charge publique aurait payé s'il avait acheté ce cadeau, acheté ce voyage, ce qui aurait été plus approprié, plutôt que de le recevoir en cadeau.

Pourquoi ne trouve-t-on pas dans la loi, comme pour un tableau reçu illégalement, une exigence de remboursement de la valeur d'un cadeau tel un voyage également jugé inapproprié ou illégal?

Est-ce que je me fais bien comprendre? C’est peut-être une proposition trop logique, mais quelle est la différence?

M. Mario Dion:

Tout d’abord, j’aimerais terminer ma réponse de tout à l’heure en disant que nous n’intervenons que lorsque le cadeau est effectivement divulgué. Nous recevons plusieurs divulgations par mois, mais je suis convaincu que tous les cadeaux ne sont pas toujours divulgués. Bien sûr, nous ne pouvons rien faire s'ils ne le sont pas.

Quand une cadeau est divulgué, nous suggérons de le retourner. Parfois, nous suggérons aussi qu'il soit remboursé, quand il n’est pas vraiment possible de le rendre, comme dans le cas d'un un spectacle ou d’un événement public ayant déjà eu lieu.

Je n’ai pas le pouvoir d'imposer la restitution. Nous conseillons simplement les gens qui dévoilent avoir reçu un cadeau. Dans le cas d’un voyage, par exemple, on peut conseiller à quelqu’un d'en rembourser le coût, mais je n’ai aucun outil dans la loi pour forcer l’exécution de mes conseils.

(1615)

M. Nathan Cullen:

Pour en revenir à mon premier exemple, si vous savez d'avance qu'un député va recevoir une peinture ou un autre cadeau, vous pouvez l’aviser qu’il devra le rendre si celui-ci est reçu de façon inappropriée, mais vous ne pouvez rien ordonner. Est-ce exact?

M. Mario Dion:

C’est exact.

M. Nathan Cullen:

Avez-vous, à un moment donné, conseillé à M. Trudeau de rembourser le voyage qu'on lui avait offert et qui a été jugé contraire à l’éthique ou illégal?

M. Mario Dion:

Je ne l’ai pas fait. Je ne sais pas si mon prédécesseur l’a fait, parce que cette affaire s'est terminée avant mon entrée en fonction, le 9 janvier 2018, alors je...

M. Nathan Cullen:

Au nom des Canadiens...

M. Mario Dion:

Franchement, je n’ai pas soulevé la question...

M. Nathan Cullen:

Vous pouvez comprendre pourquoi les Canadiens sont confus. Si quelque chose a été donné illégalement ou de façon contraire à l’éthique, comme un voyage, il semblerait logique que si cela a été fait de façon inappropriée, que le cadeau ait été divulgué ou non, mais qu’il ait finalement été découvert... Quelle est la différence entre un voyage de 10 000 $ reçu en cadeau et un simple don de 10 000 $ pour permettre l'achat d'un voyage? Si quelqu’un remet à un politicien une enveloppe de 10 000 $ — Dieu nous en garde — pour essayer d’exercer sur lui une certaine influence, et que le politicien s'en sert pour emmener sa famille en vacances, quelle est la différence? En vertu du Code, y a-t-il une différence entre ces deux scénarios?

M. Mario Dion:

Je préférerais ne pas avoir à me perdre en conjectures sur de telles situations, mais je suppose que vous connaissez les interdits. Ce n'est pas le fait de donner un cadeau qui est interdit. C’est le fait de le recevoir le cadeau, de l’accepter. C’est ce que le Code et la loi régissent. C’est l’acceptation d’un cadeau.

Une fois que vous avez accepté un cadeau, vous avez fait quelque chose qui n’est que partiellement réversible. Nous donnons des conseils sur la façon de renverser la situation. Parfois, cela n’est pas possible.

M. Nathan Cullen:

Effectivement.

M. Mario Dion:

Nous n’avons pas le pouvoir d’ordonner quoi que ce soit à un titulaire de charge publique qui a accepté un cadeau qu’il n’aurait pas dû accepter.

M. Nathan Cullen:

Compris.

Encore une fois, je reviens à votre échéancier pour l’enquête en cours. Je pense que vous avez répondu à une question que vous n'en ferez pas rapport avant la mi-juin, mais dans les prochains mois. Cela nous place plus ou moins en plein milieu de la saison estivale. Je sais que vous ne pouvez pas être précis quant à la date et avez dit que vous aviez encore d’excellentes rencontres à avoir.

M. Mario Dion:

Oui, nous avons encore des interviews à faire. Il peut toujours y avoir un certain nombre d’éléments de surprise, si vous voulez. Nous voulons également produire un rapport de qualité au moins égale à celle des rapports précédents. Cela prend du temps, mais je suis convaincu qu’au cours des prochains mois, nous allons terminer ce rapport, à moins que quelque chose de complètement imprévu ne survienne.

M. Nathan Cullen:

Vous avez dit que vous vous prépariez pour les élections. En ce qui concerne la loi ou le Code, sur quel aspect envisagez-vous de vous attarder plus particulièrement à l’approche de la campagne électorale?

M. Mario Dion:

Rien en particulier. Nous savons quels sont les problèmes les plus courants et nous présumerons qu’à l’avenir, ils seront assez semblables à ce qu’ils sont maintenant. La question des cadeaux est toujours en tête de liste.

M. Nathan Cullen:

D’accord.

M. Mario Dion:

Il y a aussi la question des déclarations initiales, du délai de restitution. Nous examinerons également nos formulaires afin de les rendre aussi simples et conviviaux que possible, y compris en ce qui a trait à l’utilisation de la technologie.

M. Nathan Cullen:

Merci, monsieur le président.

Le président:

Merci, monsieur Cullen.

Le dernier intervenant est M. Erskine-Smith, pour sept minutes.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Merci beaucoup.

D'après ce que nous savons, il y a 49 postes à temps plein. Environ un tiers sont affectés aux conseils et à la conformité. Quels font les titulaires des deux autres tiers? À quoi servent ces gens-là?

M. Mario Dion:

C’est plus du tiers. En fait, sur les 49, il y en a 18 qui sont spécialisés en conseils et conformité. Nous en avons 11 dans les services ministériels, qui traitent des RH, de la GI et de la TI, des finances, de toutes les obligations que nous avons en tant qu’entité du secteur public qui doit respecter un certain nombre de lois.

M. Nathaniel Erskine-Smith:

Combien y en a-t-il aux services centraux et aux RH?

M. Mario Dion:

Il y a 11 ETP. Nous en avons huit dans les domaines de la sensibilisation et des communications, des relations avec les médias et ainsi de suite. Nous en avons huit en droit et enquêtes.

(1620)

M. Nathaniel Erskine-Smith:

D’accord. Dites-moi si j'ai raison. Vous avez reçu 2 000 demandes de renseignements et appels au cours de la dernière année, et est-ce que ce sont ces 18 personnes qui s’en occupent?

M. Mario Dion:

C’est exact.

M. Nathaniel Erskine-Smith:

Cela fait moins de 100...

M. Mario Dion:

Je suis désolé; c’est moins que 18. Nous avons huit conseillers. Sur les 18, huit sont des conseillers professionnels. Nous avons également du personnel qui s’occupe davantage de tâches administratives pour s’assurer que les examens annuels, par exemple, sont effectués à temps...

M. Nathaniel Erskine-Smith:

Je vois.

M. Mario Dion:

... et qui s'occupent de tous les mécanismes en place, associés à la loi et au Code.

M. Nathaniel Erskine-Smith:

D’accord. J’essaie simplement de comprendre la charge de travail, qui me semble... Si vous avez huit personnes et un conseiller juridique qui peuvent intervenir dans le cas des dossiers qui remontent, cela fait un peu plus de 200 demandes de renseignements ou appels par employé, ce qui me semble incroyablement modeste. J’ai pratiqué le droit, et si vous m'aviez dit que j’avais 200 appels ou demandes de renseignements à traiter par an, je me serais étonné de ne pas en avoir eu 10 fois plus.

Comme nous sommes sur le sujet du budget des dépenses, je n'ai pas l'impression que chacun de vos employés est occupé à pleine capacité, mais je me trompe peut-être.

M. Mario Dion:

Monsieur le président, je pense que le député a soulevé la même question l’an dernier.

Je peux vous garantir que personne ne se tourne les pouces. Des questions très complexes se posent quand un titulaire de charge publique téléphone pour parler d’un problème dont le règlement peut nécessiter des semaines, voire des mois. Certaines questions sont très complexes. Elles ne sont pas toutes simples, et elles exigent un suivi.

Fréquemment, comme vous l’avez souligné, les conseillers juridiques sont consultés parce qu’une nouvelle question juridique ou une question juridique relativement complexe se pose.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

M. Mario Dion:

C’est la charge de travail et le nombre d’employés, et je suppose que vous devrez me croire sur parole.

M. Nathaniel Erskine-Smith:

C’est juste. C’est pourquoi vous êtes ici.

Ce sera ainsi chaque fois que vous serez ici, et chaque fois que la commissaire au lobbying sera ici... Je vois que 18 employés font le travail de base, et il y a des employés qui, par ailleurs, s'occupent de sensibilisation, de communications et des RH. Chaque fois que les deux bureaux comparaissent devant moi, il semble qu’il y ait un dédoublement massif pour les petits services de RH, et il y a tellement de coordination par ailleurs qui est utile et nécessaire pour les bureaux.

Êtes-vous d’avis qu’il serait logique de fusionner les bureaux?

M. Mario Dion:

Les mandats sont très différents. Le groupe que nous avons ajouté est différent. La fusion est, certes, concevable, mais je n’y ai jamais vraiment réfléchi.

M. Nathaniel Erskine-Smith:

En ce qui concerne les ressources humaines et la sensibilisation seulement, il y a probablement des économies importantes à réaliser, non?

M. Mario Dion:

Le sous-ministre adjoint, Services intégrés, que j'ai été il y a longtemps vous concède qu'il pourrait bien sûr y avoir des économies d’échelle. C’est évident.

M. Nathaniel Erskine-Smith:

Merci beaucoup. C'est apprécié.

M. Mario Dion:

Merci.

M. Nathaniel Erskine-Smith:

Estimez-vous votre mandat suffisant pour faire votre travail? Je sais que, dans le cadre de nos discussions sur le budget des dépenses, intervient la question des ressources. Disposez-vous des ressources dont vous avez besoin en fonction de votre mandat actuel? Tandis que vous entreprenez différentes enquêtes en cette période qui n'est pas anodine pour votre bureau, estimez-vous avoir le mandat approprié?

M. Mario Dion:

J’aimerais avoir, en plus, le pouvoir de faire des recommandations à l'issue d'une enquête. Or, tout ce qui m'est permis en vertu de la loi, c’est d’analyser les faits et de partager les fruits de mon analyse avec le premier ministre. Aux termes de la loi, je n’ai même pas le pouvoir de recommander quoi que ce soit.

J’aimerais bien avoir ce pouvoir parce que je pense qu'il permettrait de changer les choses sur le plan de l’efficacité du processus, pourrait-on dire. En vertu du Code, la situation est différente, parce qu’il existe un pouvoir explicite de recommander une sanction. J’aimerais avoir le même pouvoir aux termes de la loi.

M. Nathaniel Erskine-Smith:

Je comprends. Quand vous concluez à une irrégularité, vous recommandez de remédier à la situation d’une façon ou d’une autre. C'est l’idée?

M. Mario Dion:

Je pense à l'application de certaines mesures visant à faire en sorte que cela ne se reproduise plus au sein du gouvernement, comme je le faisais dans mon ancien mandat à titre de commissaire à l’intégrité du secteur public. Je l’ai fait à quelques reprises parce que j’avais la latitude de le faire en vertu de la loi. Ce n’est pas le cas ici.

M. Nathaniel Erskine-Smith:

Vous ne feriez que des commentaires de ce genre, en cas de constat de conduite inappropriée.

M. Mario Dion:

Bien sûr. Même en l'absence d’infraction, on peut quand même avoir observé quelque chose qui appelle une recommandation. C’est encore possible.

M. Nathaniel Erskine-Smith:

J’ai rarement dû être en contact avec votre bureau, et c'est sans doute heureux. On ne m'a pas offert beaucoup de tableaux. Je ne pense pas en avoir reçu un seul. En fait, c’est drôle que M. Cullen ait songé à cet exemple. Si mes parents regardaient, ils diraient: « Oh non, notre fils n’est pas assez cultivé pour qu'on lui offre des peintures. »

En fait, j'ai contacté votre bureau une fois pour me faire conseiller de rendre le cadeau, ce avec quoi je n'étais pas d'accord. Je pense que cela continue d’être inacceptable en droit, et j’ai parlé à certains de mes collègues qui, dans des cas identiques, ont reçu des conseils différents de votre bureau, ce qui me préoccupe. Je comprends que tous vous employés ne se ressemblent pas et que des décisions différentes puissent être prises et, bien sûr, que ce n'est pas toujours la bonne ou la meilleure décision qi est prise. Je pense que les bonnes décisions sont prises la plupart du temps, mais tout le monde fait des erreurs.

En cas de décision erronée et quand un député ou un ministre n’est pas d’accord avec l’interprétation donnée, existe-t-il un recours?

(1625)

M. Mario Dion:

La loi prévoit la possibilité d'un contrôle judiciaire, mais c'est très limité. Le Code ne prévoit aucun recours en dehors de l'appareil de la Chambre des communes. Bien sûr, le député a toujours la possibilité de soulever la question à la Chambre des communes et de passer par les processus de la Chambre.

M. Nathaniel Erskine-Smith:

Justement, si vous publiez un rapport quand la Chambre fait relâche et que ce rapport signale un problème, le député n’aurait pas le même recours.

M. Mario Dion:

Un rapport en vertu du Code, ne peut être déposé que lorsque la Chambre siège.

M. Nathaniel Erskine-Smith:

D’accord.

M. Mario Dion:

Il m'est imposé de faire rapport au Président, qui soumettra mon document à la Chambre dès que celle-ci reprendra ses travaux. Je peux l’adresser au Président qui déposera le rapport à la Chambre à la première occasion. Le député dont la conduite est mise en cause dans le rapport a alors le droit de demander à prendre la parole, après la période des questions et pour un maximum de 20 minutes, afin d'expliquer sa situation.

M. Nathaniel Erskine-Smith:

Très bien. Merci beaucoup. Je l’apprécie.

Le président:

Comme je l’ai mentionné, monsieur le commissaire, nous vous souhaitons bonne santé et nous souhaitons vous revoir bientôt. Merci d’être venu aujourd’hui.

M. Mario Dion:

Merci de vos bons voeux, monsieur le président. Ce fut un plaisir.

Le président:

Nous allons suspendre la séance jusqu’à ce que l’autre commissaire arrive.

(1625)

(1625)

Le président:

Nous reprenons.

Je ne vais pas répéter ce que j’ai déjà lu, mais nous accueillons, du Commissariat au lobbying, Nancy Bélanger, la commissaire; et Charles Dutrisac, directeur des finances et dirigeant principal des finances.

Je présente mes excuses à tout le monde. Nous avons eu des votes qui ont encore plus raccourci notre temps que nous ne l’avions déjà fait.

Madame Bélanger, vous avez 10 minutes.

(1630)

[Français]

Mme Nancy Bélanger (commissaire au lobbying, Commissariat au lobbying):

Monsieur le président et membres du Comité, bonjour.

J'aimerais tout d'abord souligner que notre rencontre d'aujourd'hui a lieu sur le territoire traditionnel de la nation algonquine.

Je suis très heureuse d'avoir l'occasion de discuter avec vous du budget principal des dépenses, de nos réalisations au cours de la dernière année et de nos priorités. Je suis accompagnée de Charles Dutrisac, directeur des finances et dirigeant principal des finances.[Traduction]

L'année a été extrêmement chargée pour nous. Cette semaine, nous avons déménagé dans de nouveaux locaux qui sont un lieu de travail axé sur les activités. Ce déménagement a été exigeant et n'aurait pas été possible sans le dévouement incroyable des membres de mon équipe et l'expérience professionnelle des employés de Services publics et Approvisionnements Canada et de Services partagés Canada. Je les remercie sincèrement pour leur engagement à mener à bien ce projet.

Afin de souligner ce succès, nous organisons des portes ouvertes en juin, alors attendez-vous à recevoir bientôt une invitation à visiter notre nouveau bureau.[Français]

Selon la Loi sur le lobbying, j'ai le mandat de tenir à jour un registre des lobbyistes, d'assurer l'application de la Loi et du Code de déontologie des lobbyistes et de sensibiliser le public aux exigences de la Loi et du Code. Afin de remplir cette mission, nous avons élaboré l'an dernier un plan stratégique triennal qui fixait quatre secteurs de résultats clés. Je vais faire état de nos réalisations et de nos priorités actuelles pour chacun.

Le premier secteur de résultats est un registre de lobbyistes moderne. Le registre favorise la transparence en donnant à la population canadienne accès à l'information sur les activités de lobbying auprès du gouvernement fédéral. En un jour donné, il y a près de 5 500 lobbyistes actifs enregistrés. L'an dernier, les lobbyistes ont utilisé notre système pour soumettre les détails de plus de 27 500 communications avec les titulaires d'une charge publique désignée.

Afin de rendre l'enregistrement d'un lobbyiste plus facile et plus rapide, nous avons simplifié le processus d'enregistrement pour les nouveaux déclarants. Au cours de la prochaine année, nous allons améliorer le système afin de le rendre plus convivial pour les déclarants et de l'adapter aux appareils mobiles. Cela nous aidera à rendre l'information publique plus rapidement.

Nous continuerons également de profiter des recommandations découlant d'une évaluation de nos services à la clientèle. Cette évaluation a permis de conclure que notre approche à l'égard des clients est efficace et qu'elle contribue à accroître la conformité. Certaines recommandations concernant le registre et les activités de sensibilisation devront être évaluées.[Traduction]

Le deuxième domaine clé est constitué par des activités efficaces de conformité et d'exécution de la Loi. J'ai simplifie le processus d'enquête pour donner suite à des allégations de non-conformité tout en continuant de veiller à ce que les décisions soient justes et impartiales et respectent les exigences nécessaires en matière d'équipe procédurale.

Les allégations de non-conformité sont gérées en deux étapes. Dans un premier temps, elles font l'objet d'une évaluation préliminaire afin d'évaluer la nature de l'infraction alléguée, d'obtenir des renseignements, et de déterminer si l'objet relevé de mon mandat. Ensuite, si nécessaire pour assurer la conformité à la Loi ou au Code, une enquête est ouverte. Au cours de la dernière année, 21 évaluations préliminaires ont été conclues dont quatre ont donné lieu à l'ouverture d'une enquête. II y a 11 évaluations préliminaires en cours.

Quant aux enquêtes, j'ai récemment déposé un rapport au Parlement concernant des déplacements parrainés par 19 entreprises et organisations. J'ai aussi suspendu et envoyé trois enquêtes à la GRC parce que j'avais des motifs raisonnables de croire qu'une infraction à la Loi avait été commise. Treize enquêtes n'ont pas été poursuivies. À ce jour, il y a un total de 15 enquêtes en cours.

Enfin, en ce qui concerne l'interdiction quinquennale d'exercer des activités de lobbying, nous mettons au point un outil en ligne pour simplifier les demandes d'exemption présentées par les anciens titulaires d'une charge publique désignée.

(1635)

[Français]

Le troisième secteur de résultats est l'amélioration de la sensibilisation et des communications à l'égard des Canadiens et des Canadiennes.

Au cours de la dernière année, nous avons fait 70 présentations devant des lobbyistes, des titulaires d'une charge publique et d'autres parties prenantes, en plus des webinaires mis sur pied en collaboration avec le commissaire aux conflits d'intérêts et à l'éthique. Nous avons également mis à jour les lignes directrices concernant les règles de conduite.

La priorité, cette année, sera de mettre à jour et de restructurer notre site Web de façon à faciliter la recherche d'information. Nous allons aussi utiliser les données sur les demandes de renseignements que nous recevons afin d'analyser les besoins. Cela nous permettra de mettre au point des produits et des outils de communication ciblés.

Je vais continuer de formuler des recommandations à propos du prochain examen de la Loi, afin d'améliorer le cadre fédéral du lobbying.[Traduction]

Notre dernier domaine clé, mais certainement pas le moindre, touche à l’instauration d’un milieu de travail exceptionnel. Il est important pour moi que les employés du Commissariat se sentent valorisés, comprennent l'importance de leur travail et soient fiers de travailler au Commissariat au Lobbying.

Les résultats du sondage auprès des fonctionnaires indiquent sans aucun doute que nous sommes sur la bonne voie pour devenir un employeur de choix. En ce qui concerne la satisfaction des employés à l'égard de leur milieu de travail, les résultats du sondage de 2018 ont placé le Commissariat parmi les cinq premiers ministères et organismes fédéraux.

Nous avons mis en œuvre notre stratégie en matière de santé mentale et nous continuerons de l'appuyer. Nous sommes également en train de créer un programme de perfectionnement professionnel adapté à la réalité d'un petit bureau.

Le Commissariat s'acquitte de son mandat grâce au travail inestimable de 27 employés dévoués.

Le budget principal des dépenses de 2019-2020 du Commissariat s'élève à environ 4,8 millions $. À l’exception des 350 000 $ consacrés à la réinstallation pour cette année seulement, il s'agit essentiellement du même montant depuis la création de l'ancien bureau, qui remonte à 2005. Le coût en personnel représente environ 70 % des dépenses ou 3,4 millions $. Le montant résiduel d'environ 1,1 millions $ sert à l'acquisition de services de soutien des programmes et de services généraux, y compris les RH, les finances, la Tl, les services de passation de marchés, de même qu'à couvrir des frais divers. Cinquante-cinq pour cent du 1,1 million $ sert à obtenir les services d'autres institutions gouvernementales et cela nous donne accès à un vaste éventail de connaissances de façon rentable.

L'enveloppe budgétaire qui nous est accordée est préoccupante pour l’avenir. La réalité est que nous tentons de fonctionner avec un budget qui a été établi en 2005. Le montant de 4,5 millions $ était peut-être suffisant à l'époque, mais aujourd'hui, cela signifie qu'il n'y a pratiquement aucune latitude pour réaffecter les ressources financières, pour employer des ressources supplémentaires ou pour faire les investissements nécessaires dans des systèmes aux prix d'aujourd'hui.

Le Registre est une obligation statutaire et il est essentiel à la transparence. Des investissements constants sont nécessaires pour s'assurer que le Registre suit l'évolution des normes de TI et pour améliorer l'accessibilité de l'information.

Le travail du Commissariat a également évolué en matière de complexité, de judiciarisation et de niveau de surveillance.

Par conséquent, j'étudie les répercussions sur les coûts et je présenterai les demandes de financement nécessaires à l'automne afin de m'assurer que nous pouvons remplir adéquatement notre mandat.[Français]

La Loi sur le lobbying continue d'être une loi importante et pertinente. En fin de compte, il est primordial pour moi que le travail du Commissariat soit effectué de manière à optimiser les ressources pour la population canadienne et à améliorer l'efficacité et l'efficience de nos activités.

Enfin, je tiens à reconnaître l'engagement inébranlable et la résilience des employés du Commissariat qui, le plus souvent, sont appelés à aller bien au-delà des exigences de leur poste. Je leur suis reconnaissante de leur apport et de leur soutien, alors qu'ils m'aident à améliorer l'accessibilité, la transparence et la responsabilisation du système de lobbying.[Traduction]

Monsieur le président, mesdames et messieurs les membres du Comité, je vous remercie de votre attention. Je répondrai avec plaisir à vos questions.

(1640)

Le président:

Merci, commissaire.

Nous allons commencer par M. Graham, qui a sept minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci, monsieur le président.

Je vais entrer directement dans le vif du sujet. Je ne suis pas très patient envers les lobbyistes professionnels. Pour autant que je sache, ils facturent les clients en fonction du nombre de réunions auxquelles ils participent, multiplié par le nombre de personnes qui y assistent, plutôt qu'en fonction de ce qu’ils obtiennent réellement lors de ces réunions. Je refuse généralement de les rencontrer, à moins qu’ils ne viennent de ma circonscription ou y soient installés. En fin de compte, si les gens ont suffisamment de ressources pour me dire quoi penser, je n'ai probablement pas envie de les entendre.

Savez-vous combien de lobbyistes professionnels facturent des clients et sont payés, et cette donnée est-elle importante pour vos besoins?

Mme Nancy Bélanger:

Je ne le sais pas.

M. David de Burgh Graham:

Vous n’avez aucune idée de la façon dont ils sont payés ou de leur modèle de rémunération, et cela est sans importance.

Mme Nancy Bélanger:

Non, et notre régime ne nous impose pas de demander combien les lobbyistes sont payés. C’est une exigence aux États-Unis, et c’est très populaire. Au Canada, ce n’est pas une exigence. Franchement, je n’en ai pas encore vu la nécessité.

M. David de Burgh Graham:

Lorsque j’ai été élu, en 2015, votre prédécesseure, Mme Shepherd, m’a présenté votre bureau à l’occasion d'une séance d’orientation des députés. Je lui ai simplement demandé qu'elle est la différence entre lobbying et trafic d’influence? Elle m’a répondu que le trafic d’influence est illégal, sans plus; c'est en partie la réponse que j'attendais.

À l'expérience, j'ai constaté que beaucoup d’anciens députés et membres du personnel politique deviennent lobbyistes. Je suppose que cela paye plus pour moins d’heures de travail. Que vendent-ils ces gens-là? Obtiennent-ils plus de rendez-vous que d'autres parce qu'ils sont connus et respectés, que s’ils appellent, tout le monde leur répond et qu'ils jouissent de bonnes relations et d'une certaine réputation? Renseignent-ils les décideurs sur les processus et le fonctionnement de la Chambre et sur certains sujets? Dans un cas, ce serait du trafic d’influence et dans l’autre du lobbying. Où tracez-vous la ligne entre les deux?

Mme Nancy Bélanger:

C’est une question intéressante.

Tout d’abord, le lobbying, tel qu’il est défini dans la Loi sur le lobbying, est considéré comme une activité légitime. Le trafic d’influence est une autre histoire. Un ancien titulaire de charge publique désignée n'a pas le droit de faire du lobbying dans les cinq années suivant son départ, ainsi, d'après le scénario que vous m’avez présenté, je ne suis pas plus certaine de là où placer la limite dans les faits.

Je ne peux qu’appliquer la loi telle qu’elle est rédigée, et elle reconnaît que le lobbying est une activité légitime. En fait, je comprends votre opinion, mais j’ai aussi rencontré un certain nombre de titulaires de charge publique qui ne partagent pas votre avis et qui croient vraiment que le lobbying est une activité légitime, jugeant que les spécialistes en relations gouvernementales leur fournissent l’information dont ils ont besoin pour prendre les décisions qui sont dans l’intérêt public.

M. David de Burgh Graham:

Quand ils m'informent, je les trouve utiles, mais c'est beaucoup moins le cas quand ils me disent: « Vous devriez faire ceci ou cela et m'écouter pour qui je suis ».

Je me demande si vous avez un moyen de déterminer s’ils se conforment à la loi, quand ils font effectivement du lobbying et quand ils passent à autre chose, peu importe la période de restriction de cinq ans. Il ne s'agit pas que de ministres ou de personnel politique.

Mme Nancy Bélanger:

Je peux vous dire qu’aux termes du code de déontologie, les lobbyistes n’ont pas le droit de mettre les titulaires de charge publique, comme vous, dans une situation s'apparentant à un conflit d’intérêts ou établissant qu’il y a eu un accès ou un traitement préférentiel. Un contact entre deux personnes ayant eu une relation antérieure serait inapproprié. Au-delà de cas spécifiques, je ne peux pas en dire plus.

M. David de Burgh Graham:

J'ai compris.

Dans quelles circonstances accorderiez-vous une exemption à la période de restriction de cinq ans?

Mme Nancy Bélanger:

La Loi sur le lobbying prévoit que je peux accorder une exemption aux personnes ayant occupé leur charge pendant très peu de temps, dans des fonctions administratives, éventuellement dans un poste intérimaire pour une très courte période. Au cours de la dernière année, nous avons reçu 11 demandes, dont une de l’année dernière, donc 12 en tout. Trois ont été retirées. Sur les neuf demandes, j’en ai accordé quatre et j’en ai refusé cinq. Les quatre personnes dont j'ai approuvé les demandes avaient toutes occupé des postes de soutien administratif ou des emplois d’été pour étudiants, par exemple.

M. David de Burgh Graham:

J'ai compris.

J’aimerais céder le temps qu’il me reste à M. Erskine-Smith. Merci.

Le président:

Vous avez trois minutes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Je prends note de vos préoccupations au sujet de l'actuelle enveloppe budgétaire. M. Dion, qui était ici tout à l'heure, n’a pas exprimé les mêmes préoccupations. Je ne parlerai pas de la charge de travail, mais il me semble que le regroupement de vos deux bureaux... Vous avez des fonctions complémentaires.

Certaines fonctions du Commissariat à l’information, que vous connaissez très bien, sont complémentaires à celles du Commissariat à la protection de la vie privée, mais beaucoup de ces fonctions s'opposent, en ce sens que, parfois, l’accès à l’information est en contradiction avec la protection de la vie privée. Chacun veut travailler dans le sens de sa mission, ce qui est justifié: pour protéger la vie privée dans le cas du Commissariat à la protection de la vie privée, et pour protéger l’accès à l’information dans celui du Commissariat à l’information. D’une certaine façon, je peux comprendre qu’on ne fusionne pas ces bureaux, bien qu’il y aurait probablement des gains d’efficacité à réaliser.

Dans le cas du Commissariat au lobbying et du Commissariat à l’éthique, je suis un peu perplexe de voir qu’il n’y a pas qu’un seul bureau. Qu’en pensez-vous?

(1645)

Mme Nancy Bélanger:

Évidemment, si l’on envisage de fusionner les deux bureaux, il faudrait d'abord faire une étude pour déterminer s’il sera possible de réaliser des économies d'échelle. Personne chez nous ne s’occupe des ressources humaines. Notre serveur se trouve chez le CPVP. La Commission canadienne des droits de la personne nous fait bénéficier de tous ses services et de ses contrats en ressources humaines. Nous avons recours à des services externes. Comme mon effectif est trop peu nombreux — 27 personnes —, nous avons un contrat.

M. Nathaniel Erskine-Smith:

Pourtant, le commissaire à l’éthique est assis là avec quelqu'un des RH et...?

Mme Nancy Bélanger:

Je n’ai pas ce luxe.

Je suis convaincue qu'on pourrait réaliser des économies de coûts. Je ne sais pas s’il vaut la peine de fusionner nos services, car je n’ai pas fait l’étude.

M. Nathaniel Erskine-Smith:

Je vois.

Mme Nancy Bélanger:

Si c'est ce que vous envisagez, je vous recommanderais d’approcher nos homologues provinciaux. La protection des renseignements et la protection de la vie privée sont des services intégrés dans les provinces. En ce qui concerne le lobbying, mon collègue de l’Ontario porte quelque chose comme sept casquettes. Il serait peut-être intéressant que vous lui parliez.

La question devient un biais institutionnel. Comment un lobbyiste peut-il vous demander de lui révéler ce que vous aurez éventuellement appris d'un député? Tout cela se ramène à la façon de gérer les cloisons ou d'en ériger des cloisons pour s’assurer qu’un ensemble d’informations n’influence pas l’autre, bien que le fait d’avoir une vue d’ensemble puisse parfois aider.

M. Nathaniel Erskine-Smith:

Pour terminer, je vais vous inviter à vous pencher sur une question, si vous ne l'avez est déjà fait.

Dans notre démocratie, les règles encadrant le financement électoral sont très strictes. Je pense que l’idée est en partie due au fait est que si quelqu’un fait un don à ma campagne, à celle de M. Kent ou à celle de Mme Mathyssen, jusqu’à concurrence de 1 600 $, son influence sera potentiellement très faible. C’est un montant minime à bien des égards, par rapport à ce que nous voyons dans d’autres pays, notamment aux États-Unis.

Je dirais que la mesure dans laquelle un tel donateur pourrait, par la suite, exercer une influence sur nous, dans nos rôles de représentants élus, est nulle, mais nous commençons à voir des campagnes parallèles menées par des organisations tierces, travaillant main dans la main avec des partis politiques, et qui reçoivent des sommes importantes d'entreprises privées sans rapport avec la règle de minimis.

La mesure dans laquelle ces personnes morales et physiques peuvent ensuite exercer une influence me préoccupe beaucoup. Si vous et vos bureaux n’avez pas réfléchi à cette idée, je vous encourage à le faire.

Mme Nancy Bélanger:

Merci.

Le président:

Merci. Nous devons poursuivre.

Monsieur Kent, vous avez sept minutes.

L'hon. Peter Kent:

Merci, monsieur le président.

Merci, madame la commissaire, pour cette nouvelle visite au Comité.

Comme mon collègue l’a dit, nous avons eu une conversation intéressante avec le commissaire à l’éthique au cours de la dernière heure. Nous avons parlé jusqu'à un certain point de l’amélioration de la sensibilisation et des communications, des webinaires et des réunions organisés par vos bureaux. Le commissaire Dion a dit clairement que vous ne parliez pas de cas particuliers.

Toutefois, en ce qui concerne l’ordonnance que la Cour fédérale vous a adressée à la suite d'une décision, ordonnance que l’ancien commissaire a, je crois, qualifié d’« erreur susceptible de faire l'objet d'un examen », j’ai demandé au commissaire à l’éthique comment on avait pu, d'un côté, conclure à un acte répréhensible et à un cadeau illégal et, d'un autre côté, tirer une conclusion différente au sujet de la définition d'avantage ou de cadeau?

Qu’en pensez-vous? Pourriez-vous nous dire si vous vous êtes déjà conformée à l’ordonnance de la Cour fédérale ou si vous attendez? Nous comprenons qu’il pourrait y avoir un appel du gouvernement.

Mme Nancy Bélanger:

Je peux confirmer que l’appel a été interjeté.

Je vais répondre à votre question du mieux que je peux, sachant qu’il y a un appel devant la Cour.

L'hon. Peter Kent:

Je comprends.

Mme Nancy Bélanger:

Tout d’abord, j’ai le plus grand respect pour la Cour fédérale. C'est là que j'ai fait mon stage. J’y ai travaillé et je respecterai toujours la décision d’un juge. Vous ne m’entendrez jamais critiquer ou commenter les décisions de façon négative. Je respecterai donc la décision de la Cour d’appel fédérale.

Dans cette décision particulière, cependant, pour préciser ce dont vous parlez, je ne pense pas que la question portait sur une définition différente donnée au mot « cadeau ». Il s’agissait de savoir si l’Aga Khan était assujetti aux règles sur le lobbying étant donné qu’il n’est pas payé. C'était donc là le problème.

Je vais attendre la décision de la Cour d’appel fédérale. Je n’ai pas commencé. Je me fie à mon expérience d’avocate pour attendre systématiquement l'expiration du délai d’appel de 30 jours avant d'entamer quoi que ce soit. J’ai toujours fait ainsi, alors j’attendrai la décision et je la respecterai.

(1650)

L'hon. Peter Kent:

C’est une question hypothétique, mais très simple. Si vous deviez lancer une enquête, selon quel échéancier le feriez-vous? Commenceriez-vous par le début ou vous limiteriez-vous à la question soulevée?

Mme Nancy Bélanger:

Les gens qui ont travaillé avec moi savent que je commencerais probablement par le début. Personnellement, j’aimerais aller au fond des choses. Toutefois, je profiterais aussi du fait que les faits sont déjà connus, alors j'utiliserais ce qui existe pour faire avancer les choses le plus rapidement possible.

J’ai également dit à mon équipe que, si nous entreprenions une telle enquête — pas une enquête, en fait, car la Cour nous a demandé de recommencer l’examen étant donné que le dossier n'était pas encore à l’étape de l’enquête — je ferais probablement un rapport au Parlement à ce sujet, afin que tout le monde comprenne mon interprétation de la question.

L'hon. Peter Kent:

En ce qui concerne les 15 enquêtes et les trois qui ont été renvoyées à la GRC, il existe une différence entre votre bureau et le Commissariat à l’éthique dans l'annonce des enquêtes ou des renvois d’incidents dans le domaine public.

Pouvez-vous nous parler des trois enquêtes qui ont été confiées à la GRC?

Mme Nancy Bélanger:

Je ne peux pas, je ne confirme et je ne nie pas non plus, précisément pour cette raison, pour ne pas compromettre une éventuelle enquête par la GRC.

C’est une situation bizarre. Selon le libellé de la loi qui nous régit, s’il s’agit d’une infraction, en d’autres termes s’il s’agit d'une activité de lobbying non enregistrée ou effectuée durant la période d'interdiction, si j’ai des motifs raisonnables de croire que tel a été le cas, je dois suspendre l'enquête. Je ne termine pas ce genre d'enquêtes et je les renvoie à la GRC. Très souvent, il est même possible que je ne parle même pas à la personne mise en cause parce qu’il s’agit d’auto-incrimination, alors je ne m'engage pas sur cette voie.

Toute enquête ne concernant que les dispositions du code fait l'objet d'un rapport au Parlement, à moins que je n'y mette un terme en cours de route.

L'hon. Peter Kent:

Il y a deux causes dans le domaine public qui se rapportent fort probablement à votre bureau.

L’une des questions sans réponse dans le scandale de SNC-Lavalin concerne l’appel téléphonique de l’ancien greffier du Conseil privé, maintenant président de SNC-Lavalin, au greffier du Conseil privé de l’époque, qui a duré une dizaine de minutes. À votre avis, s’agissait-il d’une infraction à la loi, je le rappelle sur la foi d'éléments de preuve étant du domaine public?

Mme Nancy Bélanger:

Ce qui est du domaine public ne contient probablement pas assez d’information pour que je puisse parvenir à une conclusion, et je m’en tiendrai à cela pour ce dossier particulier.

L'hon. Peter Kent:

Serait-il inapproprié de supposer qu’une enquête est en cours?

Mme Nancy Bélanger:

Je ne peux pas faire de commentaire.

L'hon. Peter Kent:

L’autre cas est celui d’une importante activité de financement libérale pour laquelle un citoyen américain souhaitant faire du lobbying auprès du premier ministre et du ministre de l’Infrastructure s’est fait offrir un billet, soit par un libéral, soit par un lobbyiste. Beaucoup pourraient estimer que cela justifie une enquête.

Mme Nancy Bélanger:

Encore une fois, je ne peux pas faire de commentaires.

L'hon. Peter Kent:

D’accord.

Pour revenir aux questions de M. Erskine-Smith, je me demande si nous pourrions parler de la fusion de certains éléments des deux bureaux pour ce qui touche aux enquêtes.

Il y a eu l’enquête, le rapport Trudeau, par exemple, qui a illustré les deux côtés d’une même situation. Vous deux bureaux auraient-ils eu avantage à échanger des renseignements dans le cadre de cette enquête assez approfondie et dynamique pendant qu’elle était encore dans les main de votre prédécesseur?

(1655)

Mme Nancy Bélanger:

Évidemment, quand il s’agit d’un problème commun et que vous avez les deux côtés de la médaille, il serait intéressant de faire ces entrevues en même temps, mais pour l’instant, nous ne pouvons même pas nous en parler entre nous. Évidemment, comme l'autre commissaire déclare publiquement qu'il fait enquête, je sais ce qu’il fait — pour la plus grande partie ou pour une partie seulement, parce que je ne pense pas qu’il rende tout public —, mais lui ne sait pas de quoi je suis saisie.

Fait intéressant, quand le commissaire à la protection de la vie privée a publié un rapport il y a quelques semaines, conjointement avec le commissaire de la Colombie-Britannique, ma première question a consisté à demander: « Comment avez-vous fait cela? » Je suppose qu’il y a un article dans leur loi respective qui leur permet de mener des enquêtes conjointes. Il existe bel et bien. Il existe un précédent.

L'hon. Peter Kent:

Une dernière question. Recommanderiez-vous que la même pratique soit suivie dans votre cas?

Mme Nancy Bélanger:

Si c’est la volonté du Parlement, nous nous y conformerons, oui.

L'hon. Peter Kent:

Merci.

Le président:

Merci, monsieur Kent.

La parole est maintenant à Mme Mathyssen, pour sept minutes.

Mme Irene Mathyssen (London—Fanshawe, NPD):

Merci, monsieur le président.

Merci d’être ici, monsieur le commissaire. C’est un plaisir d’avoir l’occasion de vous rencontrer.

Je vais enchaîner avec quelques questions, dont certaines ne seront guère que des réflexions à voix haute, quand vous ne pourrez y répondre, mais sachez que j’apprécierais vraiment que vous y répondiez.

Récemment, votre bureau a publié un rapport sur les déplacements parrainés et le lobbying non enregistré auquel pourraient donner lieu ces voyages. Dans des situations comme celle du capitaine Renault dans Casablanca, je suppose. Quoi qu’il en soit, comment se manifeste le lobbying non enregistré lors de ces voyages? Comment l'avez-vous constaté et comment réagissez-vous? Pouvez-vous nous en parler?

Mme Nancy Bélanger:

Tout d'abord, je tiens à préciser que je n’ai pas remarqué que ces voyages aient donné lieu à des activités de lobbying non enregistrées. L'enquête a été extrêmement complexe. Elle durait depuis des années et visait 19 organisations sur une période remontant sept ans en arrière.

L’équipe d’enquête a parlé aux dirigeants de chacune de ces organisations. Nous avons également vérifié auprès des députés s’ils avaient été contactés dans le cadre d'activités de lobbying lors de ces voyages. Quand tel fut le cas, nous avons constaté que les organisations avaient dûment rempli leur rapport de communication mensuel, ce qu'elles n'avaient bien sûr pas fait dans le cas contraire.

Comment assurer la surveillance? S’il y a une allégation, on enquête. Sinon, c’est au bon vouloir des lobbyistes de verser leur rapport mensuel de communication au registre. Et ils le font. Il y en a eu 27 500 l'année dernière.

Mme Irene Mathyssen:

C’est beaucoup à examiner.

Mme Nancy Bélanger:

Oui.

Mme Irene Mathyssen:

Je comprends vos problèmes en ce qui concerne la budgétisation au cours de cette période.

L’examen législatif de la Loi sur le lobbying se fait attendre depuis des années. À votre avis, le Parlement devrait-il ordonner à ce comité d’examiner la loi le plus tôt possible?

Mme Nancy Bélanger:

Encore une fois, c’est au Parlement de décider si la Loi sur le lobbying doit être révisée. Elle fonctionne très bien, je pense, même si elle soulève des questions que j’aimerais voir résolues. Je suis et reste prête à comparaître devant vous si cet examen devait être entrepris.

Lorsque j'ai comparu la dernière fois, j’avais quatre mois d'expérience dans ce poste; aujourd'hui, environ un an et demi. Chaque jour, des situations se présentent où je me dis: « Mon Dieu, j’aimerais que cela puisse être inscrit dans la loi. »

Au fur et à mesure, j’adapte les recommandations que je ferai si on m'invite à en parler.

Mme Irene Mathyssen:

De toute évidence, ce serait une bonne chose que le Comité vous invite à prendre la parole puisque vous pourriez formuler de bonnes recommandations sur un certain nombre de questions.

Mme Nancy Bélanger:

Absolument.

Mme Irene Mathyssen:

Monsieur le président, j’espère qu'il en est pris bonne note. Merci.

Le président:

Oui, j’ai compris.

Mme Irene Mathyssen:

Mon collègue, M. Angus, a demandé une enquête sur les pratiques de lobbying de SNC-Lavalin. Allez-vous donner suite à cette demande? D'après les informations à notre disposition, il semble qu'il y ait eu de nombreuses tentatives de lobbying. Cela vous a-t-il alertée? Êtes-vous en mesure de répondre à la demande de M. Angus?

Mme Nancy Bélanger:

Je vais répéter ce que j’ai dit. Je ne peux pas dire s’il y a une enquête ou non.

Je tiens à rassurer le Comité que, très souvent, lorsque je reçois des lettres, je sais déjà ce qui se passe. On est vraiment au courant de... On suit les médias. On suit les débats de la Chambre. On est extrêmement proactif. On n’attend pas que le public, les députés ou les sénateurs nous écrivent.

C’est tout ce que je peux dire à ce sujet.

(1700)

Mme Irene Mathyssen:

Je pense à voix haute maintenant. Ce que vous disiez de la décision de la cour concernant l’Aga Khan me semble intéressant. À propos d'avantage, le congé a peut-être bien été un avantage, mais on s'inquiétait aussi de savoir si la Fondation Aga Khan recevait un financement. N’y a-t-il donc pas un avantage pour l’Aga Khan du moins, par l’entremise de sa fondation, et n'y a-t-il pas la matière à examen?

Mme Nancy Bélanger:

Ici aussi, j'attendrai la décision de la Cour d’appel avant d'aller plus loin, je pense.

Ce que je peux dire au Comité, c’est que si l'arrêt de la Cour fédérale est maintenu, si la Cour d’appel ne le renverse pas, alors, oui, je réexaminerai la question. Cela signifie également que le bureau aura probablement besoin de ressources, parce qu’un plus grand nombre de personnes seront assujetties à la loi; et que je devrai peut-être enquêter sur beaucoup d’autres dossiers, ce qui exigerait des ressources supplémentaires.

Là aussi, j’attendrai de voir ce que la cour dira et je m’y conformerai.

Mme Irene Mathyssen:

Merci.

Très rapidement, vous avez parlé d’une stratégie en matière de santé mentale. Il me semble évident qu’avec tout le travail que fait votre bureau, votre personnel est stressé. Je m’intéresse à la stratégie. Comment allez-vous faire face à l’épuisement professionnel et au stress?

Mme Nancy Bélanger:

Personnellement, je suis extrêmement exigeante. Je le sais et je le dis à mon personnel. Mais je leur dis aussi, chaque jour, un grand merci. Au bureau, j’ai un champion responsable de la santé mentale. Un comité nous envoie des courriels et des outils. On fait des activités. On a des intervenants. On est très accommodant à l’égard des gens qui nous paraissent stressés.

On recourt aussi à l'humour. Je dis toujours aux gens qu'on ne fait pas de chirurgie cardiaque. Ce que l'on fait est extrêmement important. C’est important pour la démocratie. On prend cela très au sérieux. Mais au bout du compte, leur santé est primordiale pour moi et pour eux. Ensuite, chacun fait ce qu'il a à faire et on est parti du bon pied.

Le président:

C’est maintenant au tour de M. Erskine-Smith, pour sept minutes ou moins.

M. Nathaniel Erskine-Smith:

J’ai posé mes questions au commissaire et j’ai obtenu les réponses.

Je tiens simplement à vous remercier d’être ici et à poursuivre votre bon travail.

Mme Nancy Bélanger:

Merci beaucoup.

Le président:

Monsieur le commissaire, cela met fin à nos questions.

Mme Nancy Bélanger:

C’était rapide.

Le président:

Oui, ça s’est passé vite. Vous ne faisiez pas que rêver; les choses allaient vite.

Mme Nancy Bélanger:

Merci beaucoup.

Le président:

Merci beaucoup.

Avant de suspendre la séance, nous devons voter sur le budget. COMMISSARIAT AU LOBBYING ç Crédit 1 — Dépenses du programme..........4 406 633 $

(Le crédit 1 est adopté.) COMMISSARIAT AUX CONFLITS D’INTÉRÊTS ET À L’ÉTHIQUE ç Crédit 1 — Dépenses du programme..........6 355 513 $

(Le crédit 1 est adopté.) BUREAU DU CONSEILLER SÉNATORIAL EN ÉTHIQUE ç Crédit 1 — Dépenses du programme..........1 231 278 $

(Le crédit 1 est adopté.) BUREAUX DES COMMISSAIRES À L’INFORMATION ET À LA PROTECTION DE LA VIE PRIVÉE DU CANADA ç Crédit 1 — Dépenses du programme — Commissariat à l’information du Canada..........10 209 556 $ ç Crédit 5 — Dépenses du programme — Commissariat à la protection de la vie privée du Canada..........21 968 802 $ ç Crédit 10 — Soutien à l’accès à l’information — Commissariat à l’information du Canada..........3 032 615 $ ç Crédit 15 — Protection de la vie privée des Canadiens — Commissariat à la protection de la vie privée du Canada..........5 100 000 $

(Les crédits 1, 5, 10 et 15 sont adoptés.)

Le président: Le président doit-il faire rapport à la Chambre du Budget principal des dépenses 2019-2020, moins les sommes votées au titre des crédits provisoires?

Des députés: D’accord.

Le président: Bien. C’est ce que je vais faire.

Nous allons maintenant passer aux travaux du Comité.

[La séance se poursuit à huis clos.]

Hansard Hansard

committee ethi hansard 24141 words - whole entry and permanent link. Posted at 22:44 on May 16, 2019

2019-05-09 ETHI 148

Standing Committee on Access to Information, Privacy and Ethics

(1530)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

Good day, everybody. We're at the Standing Committee on Access to Information, Privacy and Ethics, meeting 148, pursuant to Standing Order 108(3)(h)(vi) and (vii), a study of election advertising on YouTube.

Today we have with us, from Google Canada, Colin McKay, head of public policy and government relations. We also have Jason Kee, public policy and government relations counsel.

Just before we get started, I want to announce to the room that the release went out at 3:30, so it's going out as we speak, with regard to the matter that we dealt with on Tuesday, so watch for that.

We'll start off with Mr. McKay.

Mr. Colin McKay (Head, Public Policy and Government Relations, Google Canada):

Thank you, Mr. Chair, and thank you very much for the invitation to speak to you today.

I'd like to start off with an observation. First and foremost, we would like to clarify that we feel there is an inaccuracy in the language of the motion initiating this study. Specifically, the motion invited us to explain our “decision not to run ads during the upcoming election” and our “refusal to comply with Bill C-76”. To be clear, our decision to not accept regulated political advertising is not a refusal to comply with Bill C-76 and the Canada Elections Act, but rather was specifically taken in order to comply.

Free and fair elections are fundamental to democracy, and we at Google take our work to protect elections and promote civic engagement very seriously. On cybersecurity, we have developed several products that are available to political campaigns, elections agencies and news organizations free of charge. These include, as I've mentioned to you before, Project Shield, which uses Google's infrastructure to protect organizations from denial of service attacks and our advanced protection program, which safeguards accounts of those at risk of targeted attacks by implementing two-factor authentication, limiting data sharing across apps and providing strong vetting of account recovery requests. These are over and above the robust protections we've already built into our products.

We have also undertaken significant efforts to combat the intentional spread of disinformation across search, news, YouTube and our advertising systems. This work is based on three foundational pillars: making quality count, fighting bad actors and giving people context.

I'll turn to my colleague.

Mr. Jason Kee (Public Policy and Government Relations Counsel, Google Canada):

We are making quality count by identifying and ranking high-quality content in search, news and YouTube in order to provide users the most authoritative information for their news-seeking queries. This includes providing more significant weight to authority as opposed to relevance or popularity for queries that are news related, especially during times of crisis or breaking news.

On YouTube, this also includes reducing recommendations for borderline content that is close to violating our content policies, content that can misinform users in harmful ways or low-quality content that may result in a poor user experience.

We are fighting bad actors by cutting off their flow of money and traffic. We are constantly updating our content and advertising policies to prohibit misleading behaviours such as misrepresentation in our ads products or impersonation on YouTube and to prohibit ads on inflammatory, hateful or violent content or that which covers controversial issues or sensitive events.

We enforce these policies vigorously, using the latest advances in machine learning to identify policy-violative content and ads, and we have a team of over 10,000 people working on these issues.

While diversity of information is inherently built into the design of search news and YouTube, each search query delivers multiple options from various sources, increasing exposure to diverse perspectives. We are also working to provide users further context around the information they see. These include knowledge panels in search that provide high-level facts about a person or issue; content labels in search and news to identify when it contains fact-checking or is an opinion piece; and on YouTube, dedicated news shelves to ensure users are exposed to news from authoritative sources during news events and information panels identifying if a given channel is state or publicly funded, and providing authoritative information on well-established topics that are often subject to misinformation.

Mr. Colin McKay:

ln relation to elections, we are partnering with Elections Canada and Canadian news organizations to provide information on how to vote and essential information about candidates. We will also support the live streaming of candidate debates on YouTube and we are creating a YouTube channel dedicated to election coverage from authoritative news sources.

Our work to address misinformation is not limited to our products. A healthy news ecosystem is critical for democracy, and we dedicate significant resources to supporting quality journalism and related efforts.

The Google news initiative has developed a comprehensive suite of products, partnerships and programs to support the news industry and committed $300 million to funding programs. We are also supporting news literacy in Canada, including a half-million-dollar grant to the Canadian Journalism Foundation and CIVIX to develop NewsWise, a news literacy program reaching over one million Canadian students, and a further $1-million grant announced last week to the CJF to support news literacy for voting-age Canadians.

We're funding these programs because we believe it's critical that Canadians of all ages understand how to evaluate information online.

(1535)

Mr. Jason Kee:

In line with this, we fully support improving transparency in political advertising. Last year we voluntarily introduced enhanced verification requirements for U.S. political advertisers, in-ad disclosures for election ads, and a new transparency report and political ad library for the U.S. mid-terms. We deployed similar tools for the Indian and EU parliamentary elections. While we had intended to introduce similar measures in Canada, unfortunately the new online platforms provisions introduced in Bill C-76 do not reflect how our online advertising systems or transparency reports currently function. It was simply not feasible for us to implement the extensive changes that would have been necessary to accommodate the new requirements in the very short time we had before the new provisions took effect.

First, the definition of “online platform” includes any “Internet site or Internet application” that sells advertising space “directly or indirectly”, and imposes the new registry obligation on any platform that meets certain minimum traffic thresholds. This captures not only social media or large online advertising platforms, but also most national and regional news publishers, virtually all multicultural publications, and most popular ad-supported websites and apps, making its application extraordinarily broad.

Second, the provisions specifically require that each site or app maintain their own registry. Unlike some companies, Google provides a wide array of advertising products and services. Advertisers can purchase campaigns through Google that will run on both Google sites and/or third party publisher sites. These systems are automated. Often there is no direct relationship between the advertiser and the publisher. While the page is loading, the site will send a signal that a user meeting certain demographic criteria is available to be advertised to. The advertisers will then bid for the opportunity to display an ad to that user. The winning advertiser's ad server displays the winning ad in the user's browser. This all happens within fractions of a second. The publisher does not immediately know what ad was displayed and does not have immediate access to the ad that was shown. To accommodate the new provisions, we would have had to build entirely new systems to inform publishers that a regulated political ad had displayed and then deliver a copy of that ad and the requisite information to each publisher for inclusion in their own registry. This was simply not achievable in the very short time before the provisions took effect.

Third, the provisions require the registry to be updated the same day as the regulated political ad is displayed. This effectively means that the registry must be updated in real time, as a regulated political ad that was displayed at 11:59 p.m. would need to be included in the registry before midnight. Due to the complexities of our online advertising systems, we simply could not commit to such a turnaround time.

A final complication is that “election advertising” includes advertising “taking a position on an issue with which a registered party or candidate is associated”. These are generally referred to as “issue ads”. Issue ads are highly contextual and notoriously difficult to identify reliably, especially as the definition is vague and will change and evolve during the course of a campaign. Given these challenges, we generally prohibit this class of advertising in countries where it's regulated, such as our recent prohibition in France.

Mr. Colin McKay:

We wish to stress that our decision to not accept regulated political advertising in Canada was not a decision we took lightly. We sincerely believe in the responsible use of online advertising to reach the electorate, especially for those candidates who may not have a sophisticated party apparatus behind them, and for legitimate third parties to engage in advocacy on a range of issues. It is also worth noting that any time we opt to no longer accept a category of advertising, it necessarily has negative revenue impacts. However, after several months of internal deliberations and explorations of potential solutions to try to otherwise accommodate the new requirements, it became clear that this would simply not be feasible in the few months we had available. Consequently, it was decided to not accept regulated political ads, and focus our efforts on promoting civic engagement and other initiatives.

(1540)

Mr. Jason Kee:

In the coming weeks, our decision to not accept regulated political advertising in Canada will be formally reflected in our ads policies. We will continue the process of notifying all affected parties of the change. Similar to other ads categories that we don't accept, the policy will be enforced by a combination of automated systems and dedicated ads enforcement teams, who will undergo rigorous training on the new policy. We will also continue our work with Elections Canada and the commissioner of Canada elections on interpretation and enforcement matters and the relevant industry organizations that are working on measures to assist online platforms and publishers with the new obligations.

We appreciate the opportunity to discuss our elections activities in Canada and our decision to prohibit regulated political advertising.

Thank you.

The Chair:

Thank you to both of you.

First up in our seven-minute round is Mr. Erskine-Smith.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Thanks very much.

I understand that Facebook and Google together are 75% of digital ad revenue. The decision of Google to not accept political ads is thus pretty significant for the upcoming election. Do you agree with that?

Mr. Colin McKay:

We think it's significant for us to take a decision like this. However, that number is generalized. It may not reflect the market for political advertising.

Mr. Nathaniel Erskine-Smith:

It's a significant decision for the Canadian election.

Now, I want to contrast and compare two really large companies that operate in this space.

Have you read the recent report from the OPC, on the Facebook-Cambridge Analytica breach?

Mr. Colin McKay:

Yes.

Mr. Nathaniel Erskine-Smith:

Okay. Take that as an example. If the Office of the Privacy Commissioner investigated Google, and made recommendations consistent with what took place with Facebook, would Google be complying with the recommendations the OPC made?

Mr. Colin McKay:

I would say that we have historically worked with the privacy commissioners to arrive at agreed statements of finding, and then implemented them.

Mr. Nathaniel Erskine-Smith:

Right. I think there's a higher standard that Google has set for itself. The Privacy Commissioner says that the privacy framework at Facebook was empty, and is empty. You don't consider Google's privacy framework to be empty, do you?

Mr. Colin McKay:

We are two very different companies, with two very different approaches to data protection and privacy.

Mr. Nathaniel Erskine-Smith:

Again, you hold yourself to a higher standard. Remind me: How much money did Google make last year?

Mr. Colin McKay:

I don't know, offhand.

Mr. Nathaniel Erskine-Smith:

I have $8.94 billion in income, just in Q4 of 2018. We have a company that is raking in billions of dollars, and holds itself to a higher standard than Facebook, on a number of different issues. Yet, Facebook is able to implement the rules under Bill C-76.

Why can't Google?

Mr. Colin McKay:

As Jason touched upon just now—and he touched upon the Senate, when they were considering the amendments to Bill C-76—our systems, and the range of advertising tools we provide to advertisers, are much broader than Facebook's. I can't speak to Facebook's decision in this regard.

I can say that we spent an intensive amount of time this year trying to evaluate how we would implement changes that would meet the obligations of Bill C-76. Because of the breadth of the advertising tools we provide—and Jason identified the number of different ways that touches upon our publishing partners and advertisers—we reluctantly came to the decision that we would have to not accept political advertising this year.

Mr. Nathaniel Erskine-Smith:

When you say this year, you mean that you're actively working on this, to ensure that you will accept political ads in future Canadian elections?

Mr. Colin McKay:

This is an important point. We do feel committed to encouraging strong and informed political discourse. It was a very difficult conversation for us.

Mr. Nathaniel Erskine-Smith:

Is that a yes?

Mr. Colin McKay:

Yes.

Mr. Nathaniel Erskine-Smith:

You will accept political ads in the next federal election after 2019.

Mr. Colin McKay:

What I will say is that we are trying to evolve our products to a point where we reach compliance with the Canadian regulations. At the moment, we can't do that. It's a tremendously difficult task.

Mr. Nathaniel Erskine-Smith:

What about Washington state? Are you going to run political ads at the local level in Washington state?

Mr. Colin McKay:

We didn't during the last cycle.

Mr. Nathaniel Erskine-Smith:

Are you committed to doing so in the next cycle?

Mr. Colin McKay:

I can't speak specifically to the obligations of Washington state. I don't know if they evolved.

(1545)

Mr. Nathaniel Erskine-Smith:

Here's my frustration. You have a company that makes billions of dollars, and looks at a small jurisdiction in Washington state and a small jurisdiction in Canada, and says, “Your democracy doesn't matter enough to us. We're not going to participate.” If a big player decided to change the rules, I guarantee that you would follow those rules.

We are too small for you. You are too big. You are too important, and we are just not important enough for Google to take us seriously.

Mr. Colin McKay:

I'd contest that observation, because as we mentioned, there have been other examples where we've had to make this decision. We don't do it willingly. We look for every route we can to have that tool available to voters.

Mr. Nathaniel Erskine-Smith:

What's the largest jurisdiction where you have made a decision like this?

Mr. Colin McKay:

As Jason just mentioned, the advertising has to be blocked in France. That's the reality. The reality for us here is not a commitment to democracy in Canada. The reality here is the technical challenge we confronted, with the amendments to the Elections Act. The internal evaluation resulted in the decision that we can't implement the technical challenges in time for the election cycle.

Mr. Nathaniel Erskine-Smith:

I accept that timing is a constraint. What I struggle with is when you don't give me a direct answer when I ask whether you are committed to doing so for the next federal election, or for the next election at the local level in Washington state.

That is an obvious frustration. Can you say, “Yes, we're committed to doing so. We'll fulfill that,” as a clear answer to my question?

Mr. Colin McKay:

The reason I paused in replying to you is that in a parliamentary system, we have fixed election dates. But conceivably, there could be an election date within the next six, nine or 18 months.

Mr. Nathaniel Erskine-Smith:

Okay, but let's say you're looking at a four-year cycle. Do you think that's reasonable?

Mr. Colin McKay:

What I'm saying to you is that we work to improve all of our elections tools, and to meet the expectations of our users, and especially of regulations. Our intent is always to increase both the quality and the breadth of those tools.

As we look at the obligations under the Elections Act, our intent is to try to reach those standards. We're faced with a time frame right now where we couldn't do that for this election.

Mr. Nathaniel Erskine-Smith:

I understand. By 2023, I expect that you'll be able to do that.

Mr. Colin McKay:

Yes.

Mr. Nathaniel Erskine-Smith:

It's a shame that you were unable to do so, but Facebook was able to figure it out.

The last thing I want to ask about, just because you've raised it, is recommended videos on YouTube. You've recently made a decision. After many years of not considering this to be a problem, in January of this year you decided that borderline content would not be recommended. Is that right?

Mr. Jason Kee:

That's correct.

I would dispute the characterization that this isn't something that we considered to be an issue. We've been examining this for a while and doing various experimentation with the recommendation system in order to improve the quality of the content the users would see.

Mr. Nathaniel Erskine-Smith:

Then you disagree with the—

Mr. Jason Kee:

The borderline content policy was introduced earlier this year. That's correct.

Mr. Nathaniel Erskine-Smith:

I was referring to and taking my direction from a number of past Google employees who were quoted on Bloomberg suggesting that you two actively dissuaded the staff from being proactive on this front specifically. I take it that you don't think that's true.

Lastly, I understand the idea of safe harbour, where someone posts a video, posts content, and you can't be liable for everything that somebody posts. However, do you agree that as soon as you recommend videos, as soon as your algorithm is putting in particular content, boosting particular content and encouraging people to see particular content, you should be liable for that content and responsible for that content?

Mr. Jason Kee:

I would agree with you insofar as, when there's a difference between the results that are being served or the result of a passive query versus a proactive recommendation, there's a heightened level of responsibility.

With respect to notions of liability, the challenge is that there's a binary that exists in the current conversation between whether you are a publisher or a platform. As a platform that is also, in the case of YouTube, taking in 500 hours of video every single minute and has over a billion hours of content being watched every day, being able to—

Mr. Nathaniel Erskine-Smith:

I'm only talking about content that's recommended by you, specifically.

Mr. Jason Kee:

Yes. In that case, we are endeavouring, through the process of the recommendation system, to basically provide content that is relevant to what we think the user wants to watch, in a corpus that is much larger than conventional publishers are actually dealing with.

Mr. Nathaniel Erskine-Smith:

It's a long answer that isn't really saying anything. The answer is obviously yes.

Thanks very much.

The Chair:

Next up we have Ms. Kusie, for seven minutes.

Mrs. Stephanie Kusie (Calgary Midnapore, CPC):

Thank you very much, Chair.

When Bill C-76 was being drafted, did your organization have the opportunity to meet with the minister?

Mr. Jason Kee:

No.

Mrs. Stephanie Kusie:

Did you have the opportunity to meet with the ministerial staff?

Mr. Jason Kee:

While it was being drafted, no, we did not.

Mrs. Stephanie Kusie:

After the original draft was completed, with the proposed clauses, were you then approached by the minister?

Mr. Jason Kee:

We became aware of the proposed clauses that were being introduced at clause-by-clause at the procedure and House affairs committee, actually when it was reported publicly, at which point we approached the minister's office, first to gather further information, because there wasn't much detail with respect to what those clauses contained, and then to engage robustly with the minister's office to identify some of the concerns we had and to develop proposed amendments that would resolve those concerns.

Mrs. Stephanie Kusie:

It's fair to say, then, that you were not consulted by the minister or by ministerial staff until Bill C-76 came to the clause-by-clause procedure, until it became public.

(1550)

Mr. Jason Kee:

That's correct.

Mrs. Stephanie Kusie:

That's pretty significant.

When you went to the clause-by-clause process of Bill C-76, I'll going to assume that was in the House procedures committee, PROC. Is that correct?

Mr. Jason Kee:

That's correct.

Mrs. Stephanie Kusie:

Did you explain at the time that you would not be able to comply with this legislation as it was laid out?

Mr. Jason Kee:

By the time Bill C-76 was amended to include the new online platforms provisions, the witness list unfortunately had already closed. As a consequence, there wasn't an opportunity to discuss that with members of the committee.

We discussed it with individual members of the committee to express some of the concerns at the time, and then certainly raised it when it was at the Senate justice committee.

Mrs. Stephanie Kusie:

Okay.

You're saying, then, that you did not have the opportunity, in the House procedures committee, to explain to the committee why this legislation would not work for your organization, why you would not be able to comply. I know it was said in the preamble that you don't prefer this term, but you did express that it would be difficult for you to comply, recognizing that, as Mr. McKay said, in deciding not to advertise in elections, you are not subjecting yourself to the non-compliance.

Did you express that at that time?

Mr. Jason Kee:

Do you mean after the bill was introduced? Sorry, I'm....

Mrs. Stephanie Kusie:

Yes, no problem. Were you able to express at that time that you would not be able to comply with the legislation as it was laid out?

Mr. Jason Kee:

Yes. Once we were aware of the provisions, and also once we were able to obtain a copy of the proposed amendments, we engaged with the minister's office. We essentially reviewed what we have just reviewed with all of you, which is to say that there are certain aspects of those provisions that would be challenging due to our particular advertising systems. One of the possible outcomes would be that we would not be able to achieve the changes we need in the time allowed, and that we would therefore not be able to accommodate political advertising for the federal election.

Mrs. Stephanie Kusie:

The minister and her staff were aware that you would not be able to comply as Bill C-76 was laid out. What was her response to you at that time, when you indicated that your organization would not be able to comply with the legislation as it was presented?

Mr. Jason Kee:

They were hopeful that we would be able to accommodate the new changes.

Mrs. Stephanie Kusie:

How? What did they expect, if I may ask?

Mr. Jason Kee:

They didn't articulate anything more than that, except for, basically, a desire for us to be able to implement the new changes. Also at that time, procedurally, they expressed that because it had already proceeded to clause by clause and was going to the Senate, essentially we should raise our concerns with the Senate in the hope to obtain the amendments we were seeking.

Mrs. Stephanie Kusie:

Did you have any conversations with the minister or her staff regarding the tools you rolled out in the U.S., which you went into some detail on here?

Mr. Jason Kee:

Yes, we did.

Mrs. Stephanie Kusie:

What was her response in regard to the tools that were rolled out in the U.S. comparative to the legislation that was presented in Bill C-76? What was her response to those tools, and did she mention if there was any gap between those two items?

Mr. Jason Kee:

Well certainly, they were aware of the tools that we had introduced in the U.S. mid-terms, and essentially they were hoping that with the introduction of the changes to Bill C-76, we would introduce similar tools in Canada. It was really a matter of going through the details about why the specific provisions in Bill C-76 would make this challenging, which is where we had a back and forth. Essentially, they were looking for us to introduce tools similar to what we had there.

Mrs. Stephanie Kusie:

In looking to introduce tools similar to what you have within the U.S., why are you not able to introduce these tools within the Canadian system, and why do they not comply with Bill C-76?

Mr. Jason Kee:

In short, as I covered in my opening remarks, we have advertising systems that serve advertising to third party publisher sites, but we don't have a means of delivering the ad creative and the requisite information to them in real time, which would be required under Bill C-76. There are also the complications with respect to the real-time registry itself, which is why, even for our owned and operated sites like Google Search or YouTube, we also wouldn't be able to comply—at least we didn't feel comfortable we could commit to that.

Finally, there is the additional complication with respect to the inclusion of issue advertising. To be clear, the registries that we have available in other jurisdictions actually do not include issue advertising because, as I said, it is very difficult to cogently identify. Therefore, we were concerned that we would not be able to identify issue advertising for inclusion.

(1555)

Mrs. Stephanie Kusie:

To summarize then, you were not included in the drafting stage of Bill C-76. You were not consulted by the minister or her staff as this government went forward with Bill C-76 in an effort to determine electoral reform for Canada.

Mr. Jason Kee:

That's largely correct. I should also amend the record. We did have one discussion with the minister's office shortly after Bill C-76 was introduced, to discuss the contours of the legislation as it existed at first reading, before any of the online platform provisions were added and before any registry requirements were added. It was a robust discussion, but certainly at the time, we did not contemplate the introduction of the new provisions, so we didn't cover that. Besides that, there wasn't any engagement.

Mrs. Stephanie Kusie:

Sure.

What advice would you give to the next Parliament in regard to this legislation?

Mr. Jason Kee:

As we have basically expressed before the Senate committee and elsewhere, and also to the minister's office, we are fully supportive of and aligned with the idea of increasing transparency in political advertising, and we had intended to actually bring the registry to Canada.

There were a certain number of extremely targeted amendments. Basically, I think it was 15 words we actually changed that would have altered Bill C-76 sufficiently, such that we actually could have accommodated the requirements.

My recommendation, if possible, would be for a future Parliament to look at those recommendations, basically look at the challenges the new provisions added—and it's worth noting, as covered by the CBC, many platforms have also similarly announced that they wouldn't be accepting political advertising because of the challenges the specific revisions are introducing—and to revisit them at that time, to see if there are tweaks that can be made to help alleviate the concerns.

The Chair:

Thank you.

Next, we'll go to Mr. Dusseault for seven minutes. [Translation]

Mr. Pierre-Luc Dusseault (Sherbrooke, NDP):

Thank you, Mr. Chair.

I am pleased to join this committee today. I have the privilege of returning to this committee, which I had the opportunity to chair for a few years before you, Mr. Chair. I am happy to see faces I have seen in the past.

Mr. McKay and Mr. Kee, you know the influence you have. I am sure you are aware of the influence you have on elections and the information that circulates during elections, which influences voters and, ultimately, their decision. It is in this context that it is important to have a discussion with you about the announcements you have made recently regarding election advertising.

My first question relates to the preamble that other colleagues have made. Other fairly large companies in the market have said that they are able to comply with the Canada Elections Act, as amended. Given the fact that you have made many investments in other countries to make such registries, for example in the United States and Europe, and also the fact that you have invested millions of dollars in certain markets, such as China, to be able to adapt your search engine to their laws—in China, we agree, the laws are very strict, which you know quite well—I have difficulty understanding why Google isn't able to adapt to Canadian legislation like that in preparation for the next federal election.

In your opinion, what makes you unable to adapt to Canadian legislation?

Is it because the rules don't reflect international practices or the way online advertising works? Is it because you can't afford to do it or you just don't have the will to do it?

Mr. Colin McKay:

I apologize, but I'm going to answer in English.[English]

I want to underline that our decision was led by a technical evaluation about whether we could comply. It was not a specific question about the regulatory framework within Canada or our commitment to the electoral process in Canada and helping keep it both informed and transparent.

We are on a path in other countries to implement tools like those described in the legislation, to improve those tools and to work on the back-end technical infrastructure to make those tools more informative and more useful for users as well as for all participants in an election.

We arrived at a very difficult conversation because we were faced with a constrained time frame with amendments to legislation that are very important within the Canadian context and to us as Canadians, both as electors and participants in the electoral process. And we had to make a decision about whether or not we could comply with the legislation in the time frame allowed, and we couldn't. So our compliance was left to not accepting political advertising. It is in no way a reflection of either our corporate or our personal attitude towards Canada's authority and jurisdiction in regulating this space, and it certainly wasn't meant to be a signal about our opinion about the amendments to the Elections Act.

It was very difficult for us, and the decision was driven by the technical challenges and the time frame we were faced with.

(1600)

[Translation]

Mr. Pierre-Luc Dusseault:

I have a supplementary question about the registry you set up during the American mid-term elections and the one you plan to set up in Europe for the European Parliament.

Are these registries, or are these rules, an initiative by Google, or are they implemented as a result of an obligation imposed by law?

Can you clarify why you are moving forward in the United States and Europe? Are you required to do so, or do you do it on your own? [English]

Mr. Jason Kee:

It's actually of our own volition. Essentially, it was entirely a voluntary initiative in light of concerns that were raised as a consequence of the U.S. federal election. There were obviously a lot of robust discussions with respect to how to ensure there was enhanced transparency in the course of political advertising. As a consequence, Google, Facebook and a number of the other companies all worked very hard, to be honest, to basically start building out transparency, who gets registries and reports, that would provide our users with much more context in terms of the political advertising they were seeing. This is not just in access to copies of the actual ads themselves, but also contextual information with respect to why it was they may have been targeted, what audience this audit was looking for, how much money that particular advertiser had spent, those kinds of details.

Once this was built for the U.S. mid-terms, there was—as Colin alluded to—a process of learning. We have global teams that build this out and are basically moving from election to election and actually learning from each individual election and improving the processes. Essentially we had a template in place that we were capable of deploying in India, that we were capable of deploying for the EU, that we expect to be deploying in other places. Also, we had individual processes over and above the registry itself. What is the process we use to verify the political advertiser? In the case of the United States, we would verify not only the identity of the advertiser by asking them to provide ID, but we would then also verify that they were authorized to run political advertising with the Federal Election Commission in the U.S.

We have had to adapt that process as we move and implement the registry in other countries because not every election's regulator is capable of providing the kind of validation we had in the United States. So, we're adapting that and learning from those processes as well.

This has been something we have done entirely ourselves versus being compelled by law. [Translation]

Mr. Pierre-Luc Dusseault:

In these cases, you are happy to do so because they are your own standards and rules. However, when you have to comply with rules set by others, you are much more reluctant to do so. The decision you have made will ensure that you comply with the act, because, on balance, there will be no election advertising.

Given the time I have left, I would like to address a complementary topic. This is the announcement you mentioned in your introduction, which concerns a channel devoted to the election campaign, intended to compensate somewhat for your decision not to authorize advertising.

I wonder about the transparency of this platform and the algorithms used to distribute the content. What content will be broadcast? You say it's content from authoritative sources, but what does that really mean? Will the public have access to this type of information on the platform in question? Will it have access to the policies used to disseminate content and ensure that all candidates or parties have equitable coverage?

Since it's a decision that obviously belongs to Google, who decides on this coverage? You know the influence you have and can have. Who will determine these policy issues that you will publish on this platform during the campaign?

(1605)

[English]

Mr. Jason Kee:

There are actually two separate discussion points that you raised there.

One is that we keep on saying the word “authoritative”. What do we mean by that? That's a perfectly fair question. It's basically something that informs Google Search, Google News and YouTube as well. We actually have very robust guidelines, about 170 pages of search rater guidelines. We use external search rater pools that evaluate the results that we get to ensure that we're providing results to users in response to queries that are actually relevant to the queries they're looking for and actually from authoritative sources.

By authoritative, we actually rank it based on authoritativeness, expertise and a third classification.... I can send you the information. I'm blanking on it.

It's based on information we get from the search rater guides. As I said, there are pools of them, so as a result it's all done in aggregate, which helps us to surface authoritative information. These are the same signals we use, as I said, to identify this class of information and it tends to weight towards established organizations and so forth that actually do original work. To be clear, we're not evaluating the content of the work. We're just evaluating whether this is a site that's actually expert in the subject that they claim to be.

With respect to the YouTube channel, it's a very different thing. It's a very specific, individualized channel that will be available on YouTube. We did this in the 2015 election. In that instance, we got a third party organization, Storyful, to curate that for us. It isn't done algorithmically; it is actually curated. We will do a similar thing where we will have a third party that will then curate that by pulling in information from various sources.

We will establish with that third party what the guidelines for their inclusion will be, which we will be publishing so people are aware of how information is being included in there. It will be predominantly information on YouTube that is posted by established broadcasters and news organizations that we simply populate into the channel as a singular location for people to see.

All this information would also be available from, for example, the CBC website, National Post and so forth. It would also be available there individually as well.

The Chair:

Thank you.

Next up, for seven minutes, is Mr. Graham.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you. It's nice to see both of you again.

As you probably know, I'm an early adopter of Google. I've been using Google for a solid 20 years. I think it's a good service, but it's grown massively, and become a very powerful tool. With great power comes great responsibility, so I think it's very important that we have this discussion.

The part of C-76 we're talking about is 208.1, and you want to change 15 words. What were those 15 words?

Mr. Jason Kee:

I can happily give you a copy of the proposed amendments we provided, which might be a little more cogent.

Mr. David de Burgh Graham:

That would be helpful.

Do you oppose the changes we have on C-76, or do you support the bill, from a philosophical point of view?

Mr. Jason Kee:

Absolutely.

Mr. David de Burgh Graham:

Do you support the use of ad registries in general, not just for politics, but ad registries across the board?

Mr. Jason Kee:

It's something we're looking at. As in the political context, there's obviously a certain urgency to the issues with expected transparency, and so forth. It's something we are examining, in terms of how we can provide increased transparency to our users. In fact, just this week, we announced some additional measures with respect to that.

Colin, did you want to touch on that?

Mr. Colin McKay:

Yes. At our developer's conference, we announced a browser extension for Chrome that allows you to see more detail about what ads you're seeing, where they came from—what networks—and how they arrived on your page. We're building it as an open-source tool, so that other ad networks that are also serving ads to sites and pages you're using can feed that information as well.

The direction we're heading, because we recognize that this is important, is providing as much information as possible for users around why they're seeing ads.

Mr. David de Burgh Graham:

That leads to my next question. You talk about the technical limitations of implementing C-76, and I'm trying to get my mind around that, as a technical person. I have a fairly good sense of how your systems work, so I'm trying to see where the problem is, in the next five months, with adding the subroutines needed to grok political advertising so that you can actually use it.

If you can help me understand the technical side of things, I will understand it. I'd like to hear what those are.

Mr. Jason Kee:

Certainly. The principle challenge we had was this notion that the registry had to be updated in real time, simply due to the fact that we have a very wide array of advertising systems. People who run campaigns with Google will do search ads, so they show up on your search results. They can be YouTube ads—video—or TrueView. You can skip it, and also display advertising that shows up on third party publisher sites.

In the case of the third party publisher sites, those ads are often being served by third party ad servers. We don't necessarily have immediate access to the creative ourselves. For us to update even our own registry in real time, let alone the registry of a third party that had to maintain their own registry, would be very challenging.

Mr. David de Burgh Graham:

What if you just have it on your own servers, and not the third party ones?

Mr. Jason Kee:

Then, again, we could do it faster. Currently, real time would still be a challenge, based on our systems, just by virtue of the fact that we'd have to know the ad server, and then be able to update it immediately after that.

(1610)

Mr. David de Burgh Graham:

I forget the name of the page, but there's a page on Google where you can see all the data Google has on you. It's an easy page to find, and you can see everything you've ever done that Google knows about, in real time. If you can do that for a person, why can't you do it for an ad?

Mr. Jason Kee:

Primarily because the advertising systems are a bit different, in terms of how the creative is being uploaded to us, how it's stored and how it's managed internally. That's why I said it would be the kind of thing that we would work towards, but we didn't feel comfortable this time around that we could commit to that kind of turnaround time.

Mr. David de Burgh Graham:

What kind of investment of time and resources would it take to make it happen, if you decided to do so? You say it's possible for the 2023 elections, so it is possible. What would it take to do it?

Mr. Jason Kee:

To be honest with you, it's not a question I could answer, simply because after examining it seriously, we couldn't match the time frame we had. I couldn't give you an estimate as to how long it would take, or what the resources required would be.

Mr. David de Burgh Graham:

Do you have a sense of how much profit Google takes out of Canada versus what's invested in Canada?

Mr. Colin McKay:

I think I'd describe that in two separate ways. It's actually broader than that, because the way our platforms and services work, we are often an enabler for Canadian businesses and Canadian companies, whether providing free services or paid services that support their infrastructure.

As well, with something as broad as advertising, it certainly.... With revenue that's generated by online advertising when you're dealing with Google, there's often revenue sharing with platforms and sites, so the conversation is not a one to one. Canadian businesses are using our technology to place ads, pay for their services and drive revenue themselves.

We're very proud of the investment being undertaken in Canada, on behalf of Google, in terms of the growth of our engineering and R and D teams, and our offices themselves.

Mr. David de Burgh Graham:

Mr. Kee, I think you were recently at Industry's study on copyright. One of the questions that came up was on rights management systems, and whether they have followed fair dealing to apply to Canadian law. The answer from both Google and Facebook was no. They don't follow fair dealing. They apply their own policies.

How do we get to a point where Google says, “Canada is important enough that we will make it a priority to follow local laws on matters that affect this company with great responsibility”?

Mr. Jason Kee:

That is in no way a reflection on the relative view of the importance of Canada or local law, in terms of the application of our content identification system.

For the benefit of the other committee members who aren't necessarily familiar with it, Content ID is our copyright management system on YouTube. The way it works is that a rights holder will provide us with a reference file—a copy of the file they want managed online—and then we apply a policy on every single copy that we detect has been uploaded to YouTube.

Because the system is automated, it doesn't handle context or exceptions very well. Fair dealing and Canadian copyright are actually exceptions to the law, which says they are exceptions to general infringement, because of a certain basic line of reasoning, and require a contextual analysis. It's why we respond to those exceptions by having a robust appeal system. In the event that Content ID flags content inappropriately, because you feel you have a very strong argument that fair dealing applies, you then appeal that decision and assert that fair dealing applies, and then an assessment is made.

Mr. David de Burgh Graham:

In the case of the copyright system, you are going ahead with a system that doesn't follow Canadian law, but has an appeal system. In the case of Bill C-76, you're saying, “We're not going to do it, because it doesn't make practical sense.”

In the copyright experience, you're not worrying about Canadian law, quite frankly, because if somebody does have a fair-dealing exemption, it shouldn't be incumbent on them to prove they have the right to do something that they absolutely have the right to do.

I'm trying to get my head around why you're going ahead with the copyright, and not following it with Bill C-76. To me, it seems like a difficult but entirely doable system to resolve. As Nate said earlier, if it was the United States, I'm sure it would be fixed already.

Mr. Jason Kee:

Essentially, the main difference, at the risk of getting slightly technical, is that fair dealing in Canada is an exception to infringement. It is a defence that one raises in response to a claim that you have engaged in an act of infringement, so the way that is managed is very different.

In this instance, Bill C-76 was introducing positive obligations—not only that you had to introduce an ads registry, but about the way it had to be done—that we simply couldn't accommodate in the time frame allowed. That's the main difference in the two.

The Chair:

Thank you.

Next up, for five minutes, is Monsieur Gourde.

(1615)

[Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

Thank you to the witnesses for being here this morning.

We know that there is only a short period of time left before the elections. You mentioned the technical problems, the problems in complying with the Canada Elections Act.

In Canada, the reality is that we can put advertising on your platforms, but Canadian legislation limits election spending limits and the diversity of places where political parties and candidates can spend their money. This determines a certain market share, which you may have evaluated.

First, did you evaluate this market share?

Second, it may have been such a small amount of money, considering all the projects you are running simultaneously on your platform, that it was simply not worth complying with the act this year because of the amount it could bring you.

Has an evaluation been done internally by your managers? For example, to have an additional income of $1 million would have cost $5 million. It may not have been worth it to comply with the act for the 2019 election. Is that correct? [English]

Mr. Jason Kee:

That was not a calculus that entered into the determinations at all. It was fundamentally down to how we would engage the requirements, whether it was technically feasible for us, given the way our systems currently work, given the time frames and, frankly, our risk tolerance, with respect to what would happen if we ended up getting it wrong. That was entirely it.

It never came down to a calculation of a cost benefit. If anything, it's worthwhile noting, we have opted out of engaging in the only thing elections-related that actually would earn us revenue. Instead, we are investing in things that do not earn us revenue, such as our engagement with Elections Canada on promoting election information through search and knowledge panels, and so forth, with YouTube and in various other measures, not the least of which was a $1-million grant to CJF on news literacy, in advance of the Canadian election.

Essentially, we have doubled down on the non-revenue-earning components of it, to compensate for the fact that we simply could not accommodate the requirements of Bill C-76. [Translation]

Mr. Jacques Gourde:

In your answer, you talked about risk tolerance. Was it too risky, given that some of the provisions of the bill amending the Canada Elections Act were relatively vague and didn't allow you to be sure how to implement new platforms? [English]

Mr. Jason Kee:

It had to do with some of the wording, which was vague. Again, there were the concerns I flagged with respect to the issue of ads, but as well, it was the time frame that would be required to update the registry based on this idea, as stated in the act, that it had to be done within the same day. Does that mean literally real time or not, and what was the flexibility there?

We have had robust engagements with both the commissioner of Canada elections and Elections Canada on matters of interpretation. You may have seen Elections Canada issue guidance about a week and a half ago with respect to that, which actually largely confirmed some of the concerns we had, and it was more of a reflection of that. [Translation]

Mr. Jacques Gourde:

It may happen that some ads made by third parties directly or indirectly are not necessarily considered election ads, but that they attack certain parties. You talked about human control of your platforms. Do these people have the necessary expertise in Canadian politics to distinguish between advertising that actually attacks other parties and advertising that promotes a Canadian election issue? In fact, I would like to know what the expertise of the people who will be monitoring these platforms is. Do they have expertise in Canadian politics, American politics or the politics of another country? [English]

Mr. Jason Kee:

It's actually a combination of all of the above.

What's happening is that in order to implement the prohibition, we will be updating our ads policies. As I said, there are entire classes of ads where basically we will not accept the ad, such as cannabis advertising. There's another class of ad that goes through registration requirements. That's all governed by our advertising policies.

This decision will be reflected in those ads policies. We will have ads enforcement teams located in various places around the world who will be educated on these ads enforcement policies.

With respect to the specific issues on the use of the ad, every class of ad that you described sounds as though it would likely fall within the ambit of Bill C-76 and fall within the ambit of the prohibition.

We will have actually teams that are trained on that, but also, specifically looking at it from a Canadian perspective, informed by the advice that we have across functional teams located here in Canada.

(1620)

[Translation]

Mr. Jacques Gourde:

Thank you. [English]

The Chair:

Monsieur Picard, you're next up, for five minutes.

Mr. Michel Picard (Montarville, Lib.):

Thank you.

Did you just mention to my colleague that you have not looked at the return on investment issue in regard to this case?

Mr. Jason Kee:

Correct. That wasn't entering into the calculus of the decision.

Mr. Michel Picard:

Do I understand correctly when you say that one of the technical problems you have is that with third party publicity or advertising, when they use those third party ad “brokers”, or whatever, it is difficult, and maybe impossible, to know where it comes from? Therefore, not being able to divulge the name of the author, the publicity is therefore too complicated for now, so you cannot go forward and just backtrack from the initiative of having publicity in the next election.

Mr. Jason Kee:

It was less about the source of the advertising. It was more about our ability to update whoever it is that showed the ad in real time, the information that they showed in a political ad, and then provide them the information and the ad creative they need to update their own registries.

Mr. Michel Picard:

Is this practice in advertising the same in other countries with those sources and third party middlemen?

Mr. Jason Kee:

It depends on the individual practice in individual countries. I'm reticent to comment on the electoral law of other countries that I'm simply not familiar with.

I know with respect to our own policies we've applied around political advertising in countries where we've deployed a transparency report, a registry, we've actually been employing similar requirements with respect to advertiser verification and finding means to verify that the advertiser in question was authorized to run political advertising by the local electoral regulator.

Mr. Michel Picard:

What was the difference where you were able to apply that? Based on that experience, what is the difference in our case where it's not possible?

Mr. Jason Kee:

It's simply because the systems we've deployed in the U.S., the EU and India would not have accommodated the specific requirements in Bill C-76. If we had moved forward with that, we would have actually implemented a similar system.

We actually have had preliminary conversations with Elections Canada with respect to this, but in the end, it just became clear that with Bill C-76 and the specific requirement that each individual publisher had to maintain its own registry, we would have a very difficult time accommodating the requirements.

Mr. Michel Picard:

Chair, I'll give the rest of my time to Mr. Erskine-Smith.

Mr. Nathaniel Erskine-Smith:

I'm not technical like Mr. Graham, but I can read Bill C-76 and I have it in front of me.

It's the publication period of the registry that caused your problem. Is that correct?

Mr. Jason Kee:

That's correct.

Mr. Nathaniel Erskine-Smith:

Right.

They don't say “real time”. You've said “real time” a number of times, but it's not what the act says.

The act says, “during the period that begins on the day on which the online platform first publishes the advertising message”. That's the part that you're referring to.

Mr. Jason Kee:

That's correct, because basically if the ad was displayed at 11:59 p.m., the registry would have to be updated by midnight.

Mr. Nathaniel Erskine-Smith:

That's one interpretation. Another interpretation might be a 24-hour period of time, which might be a more reasonable interpretation. You have high-priced lawyers and presumably they're right. I'm just thinking off the top of my head and haven't taken the detailed analysis that you have, of course, but certainly one solution would be that you just defer the publication of the ad.

Why couldn't you defer the publication in order to have a 24-hour or 48-hour waiting period until you first publish it? Then it would be quite easy to do, wouldn't it?

Mr. Jason Kee:

Again, it's simply because technically it wasn't feasible for us to do that.

Mr. Nathaniel Erskine-Smith:

Why not?

Mr. Jason Kee:

Our engineers told us it wouldn't be feasible for us to do that.

Mr. Nathaniel Erskine-Smith:

Okay, so when I go to post an ad on Facebook, they don't publish it right away. There's a holding period and they assess whether it's something that ought to be published.

Your engineers couldn't figure out a deferral process of 24 hours, 48 hours, or even seven days, and you put it on us to say we have to schedule our advertising for the election knowing we've made it hard on you, with tight timelines. There is no way you could have figured this out with all the money that you got.

Mr. Jason Kee:

It would have been a challenge for us to re-architect within six months the entire underlying systems that we have for online advertising.

Mr. Nathaniel Erskine-Smith:

I have to say, I find the answers incredulous, as incredulous as you suggesting that $1 million is such a wonderful thing when you made $8 billion in Q4 last year. Not taking this as seriously as you ought to have is a detriment to our democracy, and you should have done better.

Thanks.

The Chair:

Monsieur Gourde, you're next up, for another five minutes. [Translation]

Mr. Jacques Gourde:

I'm going to come back to a practical question.

Elections Canada will pay particular attention to all digital platforms during this election. If a problem arises due to false advertising, fake news or the like, do you have a memorandum of understanding to work directly with Elections Canada as quickly as possible to remedy the situation?

(1625)

[English]

Mr. Jason Kee:

We don't have something as formal as an MOU. We've had extremely robust engagement with both Elections Canada and the commissioner of Canada elections. The commissioner's office is actually doing the enforcement of act; Elections Canada actually administers the elections.

Especially with Elections Canada, we're working with them to source data on candidates and information that we can actually see surface in Google Search, for example, when someone is searching for candidate information.

Certainly with the commissioner of Canada elections, we're working on enforcement-related actions. With respect to their principal concern about advertising, because we're not taking advertising, it's less of a concern, but there are also additional measures that were introduced in the act around impersonation, for example, and we're working with them on those issues. We will work with them very closely. [Translation]

Mr. Jacques Gourde:

I'm a little worried about that, because today, everything moves so fast in the digital age. If there is an irregularity during my election campaign, I will file a complaint with Elections Canada, and an Elections Canada representative may check with you that same day. You tell me that you have no memorandum of understanding, that you have never negotiated in order to put in place ways of working and that you have not designated anyone. An Elections Canada representative will call you, but who will they contact?

The complaint will be transferred from one person to another, and someone will eventually answer it? Has someone in your company already been designated for the election period to speak to an Elections Canada representative and respond to complaints? [English]

Mr. Jason Kee:

Yes. Essentially, there will be a team of people, depending on the specific issue, to respond to specific issues that get raised. We call them “escalation paths”.

Essentially, when we have established regulators such as the commissioner's office or Elections Canada, they will actually have means to get immediate responses on urgent issues simply because they will escalate issues that are serious ones, and then we would actually bypass or accelerate through the normal reporting processes.

It's also worth noting, in the event that you see anything on any of our systems, that we have a wide variety of reporting mechanisms for you to report it directly to us, so we'd encourage you to do that as well. [Translation]

Mr. Jacques Gourde:

Is this team already in place? Does it already exist, or will it be set up over the summer? [English]

Mr. Jason Kee:

The team is actually in the process of being set up. [Translation]

Mr. Jacques Gourde:

Thank you.

That's it for me. [English]

The Chair:

Next up for five minutes is Mr. Baylis.

Mr. Frank Baylis (Pierrefonds—Dollard, Lib.):

Thank you, gentlemen.

I want to follow up a little bit on what my colleague Nate was saying. We are clearly struggling to believe you about the aspect of you being able to meet the requirements of Bill C-76. Facebook says they can meet them. Are you aware of that?

Mr. Jason Kee:

We are aware.

Mr. Frank Baylis:

You're aware of that.

What skills do their engineers have that your engineers don't have?

Mr. Jason Kee:

It's not a reflection of skill. It's a reflection of their advertising systems work very differently from ours and they could accommodate the requirements in a way that we simply could not.

Mr. Frank Baylis:

What if when you want to go post an advertisement, you go through that page, you post up your advertisement, and you just add a little box that says this is a political ad? Then you have your programmers program exactly like Mr. Erskine-Smith said, so it will delay that going up for 24 hours.

Why don't they do that? It seems like a pretty simple fix.

Mr. Jason Kee:

Simply because the way our advertisement systems work, the fix was not nearly as simple as it might seem on the surface. Again, these are extremely complex systems so that every single time you implement one change it actually has a cascade effect. After robust discussion over many months about the ability to implement these kinds of systems, basically it simply became clear we couldn't do it in time.

Mr. Frank Baylis:

It became clear, so you had a long discussion. Clearly when you had that discussion you came out with a timeline that was reasonable, right?

Mr. Jason Kee:

We were working towards the June 30 timeline, which is when the requirements—

Mr. Frank Baylis:

And I got that. You said you couldn't meet that.

When you had this robust discussion you clearly said we looked at it all, we can't get it done in this time. You had a schedule that had to be done. What was the schedule date?

Mr. Jason Kee:

June 30 was the only scheduled date we were looking at because that's when the legal obligations came into effect.

Mr. Frank Baylis:

Let's say I've got to do a project and I've got to get it done by June 30. I say how do I get it done, I see the steps that need to be done, and I come up with a date, and I say can I meet that date or not?

I don't just say as an engineer we can't do June 30. They had to do some form of calculations and some form of projections. That's what I'm asking you. They clearly did that to say they can't meet this, so when they did these projections, what date did they come up with?

Mr. Jason Kee:

There wasn't a date because June 30 was the only date. It was the date when legal obligations came into force and if the system was not built and in place by then, we would not be in compliance with the law. Therefore, if it was—

(1630)

Mr. Frank Baylis:

How did they determine they couldn't meet that date?

Mr. Jason Kee:

Simply by virtue of having looked at the work that would be required—

Mr. Frank Baylis:

Okay, so they looked at the work that would be required and then they said it's a lot of work. I got that. They had to say how long that work's going to take if we start today. How long did they say that work would take?

Mr. Jason Kee:

The didn't give us that projection.

Mr. Frank Baylis:

I want to understand something. We said we need it done by June 30 and then they went and did some kind of projection that said they couldn't do it by June 30, but the projection didn't say when they could do it, it just said it couldn't be done. But they have to, then, say I need six months, seven months, 10 months, 10 years, and then say if I start today, I can make it. What was their projection date to get it done by?

Mr. Jason Kee:

I can't give you that information because it was a “can you do it by this?”

Mr. Frank Baylis:

Even if they say can you do it by this...? Let's say I want you to build me a house and I want you to build it in 10 days. They say they did the calculations, they could only build it in 30 days. Okay fine, so if you start today, you've got 30 days.

You say I want to program something. It's really complicated.

I understand that, Mr. Kee, it's very complicated. So I do a calculation, I say I need seven months, and it says that you've got to get it done in six. It can't get done. I get that. But I want the seven months number, or the 10 days number. I want the number when they did the projections of when it can be done by. It's a simple question. They can't just say it can't be done, because then they didn't do the work.

Do you follow me or not?

Did they do a schedule to say when it could be done? They have to have done this to say it could not be done by this schedule.

Mr. Jason Kee:

I don't have the information. I can inquire.

Mr. Frank Baylis:

I'm not asking you to inquire only. I'm asking you to come back here and give us a specific date on the calculations that they did to say they could meet this date. Am I clear?

Mr. Jason Kee:

You're clear.

Mr. Frank Baylis:

Do you understand what I'm asking for?

Mr. Jason Kee:

I understand what you're asking. With respect to our ability to disclose it, because given the fact that it's an internal confidential engineering information—

Mr. Frank Baylis:

You cannot disclose—

Mr. Jason Kee:

I'm saying that I was not made aware of any kind of projected dates.

Mr. Frank Baylis:

I understand that you per se weren't made aware of it, but it exists. Are you going to disclose it or not? Is this some kind of secret that it takes...? Is this is part of the Google secrets?

Mr. Jason Kee:

Simply put, I cannot commit to the disclosure without having internal conversations first.

Mr. Frank Baylis:

I would like to see the exact calculations that were done when they predicted they couldn't meet this date. Does that make sense or not? Is this some kind of bad question I'm asking? I'm just curious.

Mr. Jason Kee:

Given the fact that as of June 30, legal obligations came into force and that [Inaudible-Editor]

Mr. Frank Baylis:

They couldn't meet them, I got that.

Mr. Jason Kee:

The question was a binary one, simply “Can you do it by this date?” The answer was no. That was where we were.

Mr. Frank Baylis:

Okay, so how did they get to the “no”? They were asked, “Can you do it in six months?” They said, “No, we can't.”

How did they get there? Did they just say, “No, can't do it”, or did they make some type of calculation?

It's a simple question. I'm asking you, “Can you get it done in this time frame?” “No.” Did you just say no off the top of your head, or did you do some type of work to say when you can't get it done by?

Facebook said, “Well, our engineers are maybe a little smarter,” or “Our systems are clearly not as complex as their wonderful systems,” or “We have more money than Google to do it.” I don't know what they did, but they did some calculations and said, “Yeah, we can do it.”

You guys did some calculations and said no, or did you just say off the top of your head, “No, we can't do it”?

Did you make it up or did you at least do some type of work? That's what I'm asking; and if you did the work, I'd like to see it.

Mr. Jason Kee:

As I said, we examined the requirements and it became clear that we simply couldn't comply within the time frame. To be clear, it has also been clear that Microsoft can't do it; Yahoo! is still undetermined, but likely also; and many others are not going to be able to complete the requirement.

Mr. Frank Baylis:

Facebook can do it; and Microsoft, you said....

Yahoo! is doing some type of calculations to determine if they can do it.

You did some calculations, or did you make it up?

It's a simple question: Did you calculate it, or did you just decide you can't do it.

Mr. Jason Kee:

We were advised by our engineering teams that we would not be able to meet the requirement. That is—

Mr. Frank Baylis:

Did your engineering team just say it off the top of their heads, or did they do some type of work?

Why are you hiding from this? If you did the work, just say, “Look, Frank, we looked at it; it's going to take us 2.2 years and four months.”

Why are you so upset about it? Just tell me. Why are you hiding from it?

Mr. Jason Kee:

It's not a matter of being upset. It's just more the fact that there was a hard deadline and the question was a binary yes or no. The answer—

Mr. Frank Baylis:

Okay, but how did you get the answer to that question?

Mr. Jason Kee:

That is what I'm saying we'd have to look into.

Mr. Frank Baylis:

Did they just make it off the top of their heads, “We can't do it”, or did they do some calculations? You said Yahoo! is doing some calculations.

Mr. Jason Kee:

I've already told you that we would have to inquire.

Mr. Frank Baylis:

Are you going to come back with the dates—

Mr. Jason Kee:

I have to inquire.

Mr. Frank Baylis:

—and the calculations?

Mr. Jason Kee:

I have to inquire. I can't commit to coming back with calculations.

Mr. Frank Baylis:

If they've done—

The Chair:

Thank you, Mr. Baylis. We are going to have more time, so if you want some more time, you can ask for that.

Next we'll have Mr. Dusseault.

Folks, we do have quite a bit of time. We have 55 minutes. We have these witnesses for the rest of the time. Anyway, just let me know. Typically, we try to end by five on Thursdays, but we'll see where it goes.

Mr. Dusseault, you have three minutes. [Translation]

Mr. Pierre-Luc Dusseault:

Thank you, Mr. Chair.

This time I will focus more on YouTube, a very popular and influential platform, just like Google, of which it is a part. I was talking about it earlier. YouTube sometimes directs users to extreme, unreliable content that reports or occasionally praises conspiracy theories. YouTube makes this content look like real information.

I was wondering if you had any details about the algorithm used for users, once they are on a web page displaying, say, political content, since that is the subject of our discussion today. The algorithm will give them suggestions for other videos on the right of the page they are viewing, or under the video if they are using a mobile phone. What algorithm is used and what is the degree of transparency of this algorithm that suggests content to users when they are on a particular web page?

What mechanism is there to ensure that this content does not praise conspiracy theories or give fake news, unreliable information or, perhaps, unbalanced information, in other words information that may just promote an idea or vision, a political party?

What degree of transparency and what mechanism have you put in place to ensure that the content that is suggested to users is quality content, that it is balanced in terms of public policy, political parties and political ideas as well?

(1635)

[English]

Mr. Jason Kee:

There are a number of factors that go into the recommendation system. It's worthwhile noting that the weighting that occurs around news and information content is different from, say, entertainment content. Initially, the recommendations were actually built more for entertainment content such as music, etc. It actually works extremely well for that.

When it was applied to news and information, it became more apparent that there were some challenges, which is actually why we changed the weighting system. What that means, again, is looking at the factor once we evaluate the video and then at what's the authoritativeness: overweighting for authoritativeness and under-weighting for information that isn't necessarily going to be authoritative or trustworthy.

That is very contextual. It depends on the specifics of whether you're signed in or not. The information is available on your watch time. It's based on information about the video you're watching, on the kind of video that other people have liked to watch and on what are the other videos that people who have liked this video like to watch, etc. This is why it actually is dynamic and will constantly evolve and change.

In addition to making tweaks and changes to that system over time to ensure that we're actually providing more authoritative information in the case of news and information, we're also adding additional contextual pieces, whereby we'll actually have clear flags, labels and contextual boxes to indicate when there is subject matter or individuals that are frequently subject to misinformation. For example, there's the conspiracy theory issue that you raised.

Essentially, if you see a video that may be suggesting vaccine hesitation or so on and so forth, you'll get information saying that this is not actually confirmed by science and that gives more contextual information about what that video is covering. The same thing applies to things like 9/11 conspiracy theories and so on and so forth. This will be an ongoing process.

Mostly, we want to make sure that even if a user is seeing information, they're actually given context so they can properly evaluate it themselves. [Translation]

Mr. Pierre-Luc Dusseault:

I would like to use the seconds I have left to discuss the transparency of this algorithm. Earlier, I think Mr. McKay talked about this issue of transparency with respect to advertising, which is why you are shown certain ads. There even seems to be a new feature in the Chrome browser that allows users to see why such advertising has been offered to them.

Is it possible to have the same functionality for content recommended to YouTube users? This would give them a better understanding of why certain content is suggested to them rather than another. [English]

Mr. Jason Kee:

Certainly, finding means by which we can actually increase transparency and users can understand the context in which they're being served information is something that we're constantly working on.

We actually produced a report—I think it was 25 pages—on how Google fights this information. That includes an entire dedicated section on YouTube that explains much of what I described to you, as well as, again, the general factors that go in. It's something that we'll strive to work towards, like we're doing on ads on the YouTube platform as well.

(1640)

Mr. Colin McKay:

Just to add a supplemental to what Mr. Kee just said, on your Google account writ more largely, you can go into “myaccount” and it will identify what we've identified as your interests across all of our products and services. You can go to myaccount and it will say in general terms that you like 1980s music and racing videos. It will give you that general observation, which you can then correct. You can delete that information or you can add in additional interests so that across our services we have a better understanding of what you're interested in and, as well, what you don't want us to serve.

On the page itself, there is a little three-dot bar beside the videos, the specially recommended videos—on mobile, as you mentioned—where you can signal that you're not interested in that content or that you would like more of it. There is granular control to not seeing that in your video feed, your newsfeed or across Google services.

The Chair:

Thank you.

We will go into the next round, which will be our final one. I think we have four more questions to be asked, or four more time periods. On the list, we have Mr. Graham, Mr. Erskine-Smith, Mr. Nater and Mr. Baylis, each for five minutes.

Is that okay?

Go ahead, Mr. Graham.

Mr. David de Burgh Graham:

Thanks.

I want to build on other questions on timelines. At the very beginning, in the first round of questions, we were trying to get a sense of whether you would be ready for the next election in 2023. That seemed to be a difficult question to answer. I never got an answer that said “yes, Google will be ready to implement Bill C-76, by the 2023 federal election”, assuming it happens at that time.

If we know that it's going to be ready for 2023 and we know it's not going to be ready for June 30, 2019, do you know? Are you actively working on it now? Do you know if it's going to be ready at some point between those two dates?

Mr. Jason Kee:

Simply put, it would be clear to say that we are going to strive to have it ready by 2023. I couldn't commit to you specifically about when it may or may not be ready.

The other thing that is worthwhile noting is that as a global company we work on global elections, so the teams that are working on this are deploying the transparency report from place to place to place. It will continue to evolve and grow in terms of that. As well, our own advertising systems will continue to evolve and grow.

That's why providing a hard date—that it will take two years or however—is very difficult. Between now and then, there will be a number of changes that have already been introduced in the system that would actually impact that.

Mr. David de Burgh Graham:

Understood.

When GDPR came in fairly recently, how long a lead time did you have on that and how long did it take for you to put it in place?

Mr. Colin McKay:

I believe the conversations around GDPR took upwards of four years to deliberate on the legislation itself and then its implementation. It's still going through implementation. The focus we had on GDPR from the outset was both on participating in the discussion about the content, the tone and the objectives of the legislation, working closely with the European Commission and their staff, and then on also ensuring we had the systems in place to be able to comply with it. That's still an ongoing process.

If you're drawing an analogy, there's an extreme distinction between the way the amendments to Bill C-76 were considered and implemented and the way legislation normally is considered and implemented.

Mr. David de Burgh Graham:

I appreciate your point.

Mr. Kee, I talked in the last round of questions about the 15 word changes. Between rounds, I've been looking through my notes, because I do sit on PROC and I was involved with the Bill C-76 process from beginning to end. We had numerous witnesses and numerous submissions, but I cannot find any from Google. On those 15 words, how would—

Mr. Jason Kee:

That would be because the changes were introduced during clause-by-clause after the witness list had closed, so we didn't make representations to the committee because the provisions in question were not being considered at the time.

As I said, I'm more than happy to circulate them now. They were provided to the Senate committee when it was at that stage.

Mr. David de Burgh Graham:

Okay. Thank you. That's good to know.

That's all I have for the moment. I appreciate your being here. It's been an interesting meeting, so thank you very much for this.

The Chair:

Thank you.

Go ahead, Mr. Baylis.

Mr. Frank Baylis:

You're not going to accept political advertisements. That was the decision that was made, right?

Mr. Jason Kee:

Correct.

Mr. Frank Baylis:

Okay.

How are you going to stop me from advertising? You say that you don't want to accept my ad, but I'm, like, nefarious. I'm not a good actor, so I'm going to try to put an ad up anyway. How are you going to stop me?

Mr. Jason Kee:

As I mentioned in my opening remarks, there will be a combination of automated systems that will be evaluating advertising that comes in, as well as, basically, ad enforcement teams that will be also reviewing all the ads.

Mr. Frank Baylis:

Okay. To stop me, you're going to have this system that you're going to put in place to identify an ad, right?

Mr. Jason Kee: Correct.

Mr. Frank Baylis: Then you're also going to have a separate team to identify ads as well—one automated, one not automated—and they're going to identify these ads, right?

(1645)

Mr. Jason Kee:

Yes. Often what happens is that the automated systems will review the ads at the beginning and look for flags or tags that indicate that it's probably a political ad. Then, in some instances, that will go to a human team for review, because it may require a contextual analysis that the machines simply can't provide.

Mr. Frank Baylis:

Right. You are not able within this time frame to make the registry, but you're able to put in the programming, the people and the resources necessary to stop it, right?

Mr. Jason Kee:

Correct.

Mr. Frank Baylis:

Okay. I come along and I have this ad. Either you can take this ad and put it on the registry or you can just stop it, but you clearly can identify it, right? We've agreed on that. You've just said that you can identify it.

Mr. Jason Kee:

We will be using our systems to identify and enforce our ad policies, yes.

Mr. Frank Baylis:

You said to me that you agree that you can identify that this is the ad.

Mr. Jason Kee:

Correct.

Mr. Frank Baylis:

Okay.

Once you can identify that it's the ad, instead of saying “I have all my technology and people to block it”—you've got that—why can't you just say, “Okay, I've identified it, and I'm just going to put it on the registry”?

Mr. Jason Kee:

Simply because, again, the real-time time frame in order to do that would actually be tricky for us to comply with, to update a registry, and, as I said, it also would be delivering that information to third parties.

Mr. Frank Baylis:

You can't do it in real time.

Let's say I come along. You have your automated system. Here's the ad. It's no good, but you don't know that because you can't do it in real time, right? It's up on your page or your Google platform for however time it takes you.... You can't do it in 24 hours, so in how long can you do it...? Two days? Give me a number.

Mr. Jason Kee:

Well, like I said, it would get tagged and then reviewed—

Mr. Frank Baylis:

I know, but how long would it take for you to identify it? You couldn't make the 24 hours, right? I got that. In how long could you have done it...? A week? A day? Two days?

Mr. Jason Kee:

Again, I couldn't provide you with specific time frames.

Mr. Frank Baylis:

Let's say 48 hours. Can we say that just for argument's sake?

I come along. Here's my ad—boom. I have a system to identify it. It takes 48 hours, though, right? It's up on your system for 48 hours before you go, “Oh my gosh, this ad has taken us 48 hours to identify and now we have to take it down.” Is that what's going to happen?

Mr. Jason Kee:

As I said, we will have both the automated systems and our ads enforcement team that will identify it and—

Mr. Frank Baylis:

But will they be able to identify it in real time?

Mr. Jason Kee: —that will basically be applying—

Mr. Frank Baylis: In real time?

Mr. Jason Kee:

As fast as we can manage.

Mr. Frank Baylis:

Okay, but you have to do it within 24 hours, right?

Mr. Jason Kee:

There's a difference between being able to identify and remove the ad versus being able to update an ad registry.

Mr. Frank Baylis:

Okay. I want to make sure I understand. There's a difference between being able to identify it and remove it within 24 hours, no problem.... I have an automated system to identify it and remove it, and I have automated system people. Say I've identified it and removed it—whew, that was close. Identifying it and removing it in 24 hours, that I can do, but identifying it and putting it on a registry, like a big database—it's not even that big, I'd imagine, by your standards—that I can't do. Is that what I understand?

Mr. Jason Kee:

Due to other aspects of the complexities with respect to the registry requirements, that is why we couldn't actually deploy. As I said, we do this in other jurisdictions, right?

Mr. Frank Baylis:

Yes, I'm sure you do.

Let's be clear on what you're saying. You can identify it and block it within 24 hours, using a combination of software and people.

You can identify and block it within 24 hours. Is that correct?

Mr. Jason Kee:

As I said, we will be enforcing very vigorously and with respect to detecting and removal.

Mr. Frank Baylis:

You said that you have the systems. Your engineers did that.

Say I've identified it and blocked it within 24 hours. Once you've identified it, whatever programming...because I have to do some programming to say, “Poof, take it down within 24 hours.” I imagine you can do it instantaneously or is it going to be up for 24 hours? I don't even know. How long is it going to be up for? That's my question to you.

Mr. Jason Kee:

As we do with all classes of advertising, we'll basically be trying to remove it immediately upon detection.

Mr. Frank Baylis:

Oh, immediately. What's that? Instantaneously?

Mr. Jason Kee:

Immediately upon detection.

Mr. Frank Baylis:

Okay. So you can catch it and immediately bring it down, but you can't catch it and within 24 hours you have to program it and move it all the way into this database? Now, that's asking too much, frankly; your programmers can't do that, but they can sure as heck program it, find it, get a backup team and get it down instantaneously. That ad is not getting up there. Say I know the ad, and I found it instantaneously, but you want me to program a database? I mean, we're just Google....

How many billions of hours do you get watched a day, did you say? Was it 500? What was your number?

Mr. Jason Kee:

On YouTube, there are a billion hours of content watched every day.

Mr. Frank Baylis:

A day? So you have a pretty big database. Can I assume that?

Mr. Jason Kee:

There are a multitude of databases, but again—

Mr. Frank Baylis:

For a little database for a bunch of legal advertisements to put on...I can't imagine that database is one-tenth of one-tenth of one-tenth of your hardware/software net, but your engineers can't program...? They can do everything. They can catch it and identify it instantaneously, but they just can't put it in a database because that's too complicated? Isn't one of the expertises of Google database management? Am I off here?

(1650)

Mr. Jason Kee:

As I said previously, the specific requirements were simply something that we couldn't accommodate.

Mr. Frank Baylis:

Can you put—

The Chair:

Mr. Baylis, that finishes the combined time for you and Mr. Erskine-Smith.

We have somebody else, and then we're going to come back to you.

Mr. Frank Baylis:

All right. That's fair.

The Chair:

It looks as if that's what you're asking for.

We'll go next to Mr. Nater for five minutes.

Mr. John Nater (Perth—Wellington, CPC):

Thank you, Mr. Chair.

It's good to be here on this committee. I usually sit on the procedure and House affairs committee, so it's nice to be here for a bit of a change of scenery.

When it comes to YouTube, you have policies in place in terms of what can and cannot be shown on YouTube. Often, though, there are situations where some of the most viral videos, or those that approach that line and may not quite step over the line.... How do you determine how close to that line you get? What type of contextual analysis is there? What types of safeguards are in place to establish where that line is and when someone may get right up to that line without necessarily stepping over it? What types of procedures do you have in place?

Mr. Jason Kee:

Essentially, any video that gets identified as such, either through reporting or through our automated systems, which also, again, review the videos to detect for compliance, will go to manual review for a human analysis. We'll also basically examine it, saying, okay, this doesn't actually cross the line into actual hate speech that's inciting violence, but it's derogatory in some other way, and they will basically classify it in its borderline context.

Mr. John Nater:

I want to go back to Bill C-76 for a minute.

When we talk about technology, innovation, the digital economy, the first people I think of are not public servants at the Privy Council Office; they are not public servants at Elections Canada. When I think of the digital economy and things like that, I think of companies like Google, Facebook, Twitter—those that are innovating.

In your testimony, you mentioned that you weren't consulted by the drafters of the legislation. I find that troubling. Government is probably one of the worst offenders for keeping up with technology, especially when drafting legislation, when they're not consulting with those within the industry.

You mentioned that the decision not to advertise was largely a technical decision, based on the requirements of obtaining that by June 30, July 1. I can accept that, and I want to put on the record the reason why I accept that.

Elections Canada themselves said that the provisions in Bill C-76 ought to have been in law with royal assent by April 30, 2018. On April 30, 2018, the legislation was only just tabled in the House of Commons. It did not receive royal assent until December 2018.

If Google, YouTube, your private businesses decide tomorrow that you no longer want to stream cute cat videos, there is nothing that the Government of Canada can do force you to do so. I would assume it would be the same with any type of advertising. If you decide not to advertise for any reason outside of human rights violations, there is nothing requiring you to do that.

What I find fascinating, though—and it is more of a rant than a question—is that the Government of Canada, in their rush to implement this legislation at the very last minute of the time period they're able to do it within, never consulted with those who would be implementing a large portion of this legislation.

The changes were done in clause-by-clause. There were 200-plus amendments in clause-by-clause. I was part of those discussions. I missed a few of them for the birth of a child, but I was there for most of the discussions. Then, they were table-dropped at the very last minute, after the witnesses had the opportunity to discuss....

It's not a question, but you're welcome to comment on that. I am just incredulous that the government would rush this legislation—the very last possible period of time to have it implemented before the election—and then expect every private business to comply with the rules for which they have had no opportunity to, (a) be consulted or (b) make suggestions during the period that clause-by-clause happened.

I'd be happy if you have any comments on that.

Mr. Colin McKay:

I can reply with an observation. We're having a conversation here where the discussion is effectively that one company has discussed how they may possibly implement this, based on a promise to do it by June 30, and how we have provided information on why we cannot introduce tools that reflect the obligations in the Elections Act as amended.

The reality, as you described it, is that many companies have many different products and services across this industry, whether it's with advertising or delivering news, and there are many different ways that they're interpreting the obligations and their capacity to meet the obligations. So far, we've had only one company that has said they in fact will be implementing a tool as described in the legislation.

I am not saying that as a defence; I am saying that as a reflection of the complexity issues. As you observed, it needs an intense amount of study and discussion to be able to roll out tools that are effective, and that have longevity and provide the information in a predictable and reliable way to users.

In no way do we want to be in a position where we're not doing that. Our business is to provide information and answers to questions from our users.

However, we are in an uncomfortable situation where we are complying with the legislation by not taking political advertising. The reality, as you said, is that with further consultation and a discussion of the amendments that Mr. Kee tabled, as well as broader consideration of the industry, from both our point of view as well as Canadian businesses and Canadian sites, there may have been a different conversation around the appropriate tool for Canadians that would deliver information to them during this electoral cycle.

(1655)

The Chair:

Next up, we're going to go with a combination. We're going to go with Mr. Erskine-Smith first and then Mr. Baylis to finish. We have about four minutes left.

Go ahead, Mr. Erskine-Smith.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

First I want to ask about the review team. Obviously a lot depends upon the honesty of users, in a way. You had a certain experience in Washington state that was reported where political ads were placed in some instances.

What is the size of the team in Canada that will be reviewing this? How many staff—?

Mr. Jason Kee:

It will be a globally distributed team that will basically be ramped up as required to respond and enforce the ads policy.

Mr. Nathaniel Erskine-Smith:

Is there a number of staff that you've targeted?

Mr. Jason Kee:

Again, I don't know the specific number of staff: enough to comply with the policy.

Mr. Nathaniel Erskine-Smith:

Okay.

I ask about numbers, because with respect to trust and safety.... Again, this is from an article in Bloomberg. I understand that there were a modest number of staff—only 22, I think—who were to review content for trust and safety. That number is higher now.

What is the exact number of people who are now reviewing content for trust and safety?

Mr. Jason Kee:

Over 10,000.

Mr. Nathaniel Erskine-Smith:

So you've gone from 22 to over 10,000. That's great.

Maybe you could enlighten me.... In 2016, one of your employees proposed that content right up to that line ought not to be recommended. YouTube did not take that advice seriously and rejected that advice.

You said now that as of January of this year, they have accepted the advice. What changed?

Mr. Jason Kee:

Again, I wouldn't characterize it that way.

I think it's part of an ongoing development and evolution of the policies, and basically how we approach borderline, challenging, controversial, unauthoritative, low-quality content on the platform. There is currently an evolution in our approach with respect to this, and basically a deployment of additional technologies, especially through algorithms, etc., to try to make sure we're serving up authoritative and quality content to our users.

Mr. Nathaniel Erskine-Smith:

So it's not perhaps because no one was paying attention previously and you were making lots of money, and now people are paying attention and there's negative press and you've decided to change your practices as a result.

Mr. Jason Kee:

I wouldn't agree with the interpretation.

Mr. Nathaniel Erskine-Smith:

Okay.

Mr. Frank Baylis:

I'm going to take a different tack now.

Google, my colleague said that you made $8 billion in last quarter. I looked it up. It's actually $8.5 billion in U.S. dollars, so congratulations. That's really good in Canadian dollars. You make it by selling advertisements, right? I like a certain music video or I like to read a certain journalist, so you show me that information and then you throw an ad up there and you make a lot of money on it. You make a tremendous amount of money.

That has worked very well for you. In fact, what has happened is that the journalist, the musician, photographer, writer, actor, the movie producer—all those people—make nothing. But that's okay. Even though that copyright is taken from them and they make nothing and you make all the money, that's okay. Why is it okay? As you well said, Mr. Kee, you're a platform not a publisher, and as long as you remain a platform, you have something called “safe harbour” which protects you.

What happens is that all of our artists, anybody who has anything copyrighted, a photojournalist.... It used to happen that they'd get an amazing picture, and they'd sell that picture and make a lot of money. Now you take that picture for free, but you didn't do anything. You show me the picture; you throw up an advertisement, and you make all the money. That's where all this content is coming from, and you don't pay for it and you don't want to.

The danger you have—why you don't want to do this—is that the minute you start controlling these ads, you move from being a platform to proof positive that you're a publisher. Once you're a publisher, you're subject to copyright and all that.

Is that not the real reason....? With this technical mumbo-jumbo you just fed me about how you can catch it instantaneously, stop it, but you can't get it on a database, is that not really that you're trying to protect this business model that allows you to make $8.5 billion U.S. in a quarter while all of these copyrighted people can't make a nickel? They've have been screaming to high hell that they can't make a nickel, and you're taking all that money. You just don't want to be a publisher, because once you're a publisher, you're no longer covered by safe harbour.

Isn't that the real reason?

(1700)

Mr. Jason Kee:

Not remotely.

Mr. Frank Baylis:

That's what I thought—

Mr. Jason Kee:

There are several things there.

Number one, if that were the case, it's puzzling as to why we would take a decision that is costing us money, insofar as we're no longer earning revenue from a class of ads. More importantly, vis-à-vis our publisher partners, vis-à-vis YouTube creators, we operate under a partnership model where we actually share revenue. In the case of websites, for example, that use Google's infrastructure—which is what has generated our challenges for complying with Bill C-76, because they show Google ads against their content—they earn more than 70% of the revenue for every single ad that shows because they're the ones providing the content.

Mr. Frank Baylis:

Mr. Kee, you're paying a few dollars to protect your business model. You're not paying it...and don't ever try to pass that off as being good citizens.

Mr. Jason Kee:

We paid over $13 billion out to websites last year alone.

Mr. Frank Baylis:

You're paying it because you do not want to become a publisher. Are you ready to say here and now that you're ready to be a publisher, and call yourself a publisher, and be subject—

Mr. Jason Kee:

We're not a publisher.

Mr. Frank Baylis:

I know you're not a publisher. I know you're very well protecting yourself that way, because the minute you become a publisher, all that money that you're stealing from everybody else you have to start paying for.

Mr. Jason Kee:

As I said, because we operate under a partnership model, where we're actually paying out to creators and we're paying out to these publishers—

Mr. Frank Baylis:

And you have negotiated.... You are paying out, and which artists did you negotiate how much for their—

Mr. Jason Kee:

We have thousands of music licence agreements in place with all the major collectives, record labels, etc., where we paid out over $6 billion to the music industry last year.

Mr. Frank Baylis:

You paid $6 billion, and you only made $8.5 billion a quarter.

Mr. Jason Kee:

That was through YouTube alone. That's not actually talking about our other services.

Mr. Frank Baylis:

That's it; you made even more money, I know that.

Mr. Jason Kee:

That's in addition to the over $13 billion we paid out to publishers who are showing our ads. As we said, our fundamental model is a partnership model.

Mr. Frank Baylis:

Are you telling me here and now that all these people have copyright, are happy...?

The Chair:

Mr. Baylis—

Mr. Frank Baylis:

This is my last question.

Are you telling me you're such a good corporate citizen that if I talked to any of the musicians, the journalists, the photographers, the writers, the actors or the movie producers, they would say, “We're very satisfied with what Google and YouTube are paying us”? That's a yes-or-no question.

Mr. Jason Kee:

We will continue to engage with them. We treat them as partners, and we'll do that.

Mr. Frank Baylis:

Can you just say yes or no? Will they say, yes, they are happy, or no?

Mr. Jason Kee:

We will continue to engage and we have a partnership with them.

Mr. Frank Baylis:

It's a simple question. Are they going to be happy?

Mr. Jason Kee:

We have a partnership model with them.

Mr. Frank Baylis:

Thank you.

The Chair:

That brings us to the end of our questions.

Mr. Erskine-Smith, have you one last comment, or are we good? Okay.

Mr. Graham.

Mr. David de Burgh Graham:

I want to make a comment on a separate topic, on something that Google did say, because it's not all bad.

I want to congratulate Google, because today you announced that all Chromebooks will be Linux-compatible out of the box starting soon. So not everything is negative. I'm very happy with some of the things you are doing. Thank you for that.

The Chair:

Once again, Mr. McKay and Mr. Kee, thank you for coming. We look forward to your appearance and Google's appearance at the IGC. I hope the requests are taken seriously, as we've requested your CEO; we hope you're still considering that.

Thanks for coming today.

The meeting is adjourned.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1530)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

Bonjour à tous. Nous en sommes à la 148e séance du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, conformément aux sous-alinéas 108(3)h)(vi) et (vii) du Règlement, étude de la publicité électorale sur YouTube.

Nous accueillons aujourd’hui, de Google Canada, Colin McKay, chef, Politiques publiques et relations gouvernementales. Nous accueillons également Jason Kee, conseiller en politiques publiques et relations gouvernementales.

Avant que nous ne commencions, j’aimerais annoncer à la salle que le communiqué a été annoncé à 15 h 30, de sorte qu’il est diffusé en ce moment même, en ce qui concerne la question dont nous avons traité mardi, alors surveillez-le bien.

Nous allons commencer par M. McKay.

M. Colin McKay (chef, Politiques publiques et relations gouvernementales, Google Canada):

Merci, monsieur le président, et merci beaucoup de m’avoir invité à m’adresser à vous aujourd’hui.

J’aimerais commencer par une observation. D’abord et avant tout, nous tenons à préciser que nous estimons qu’il y a une inexactitude dans le texte de la motion à l’origine de cette étude. Plus précisément, la motion nous invitait à expliquer notre décision de ne pas faire de publicité pendant les prochaines élections et notre refus de nous conformer au projet de loi C-76. Notre décision de ne pas accepter de publicité politique réglementée ne constitue pas un refus de nous conformer au projet de loi C-76 et à la Loi électorale du Canada, mais elle a plutôt été prise précisément pour nous y conformer.

Des élections libres et justes sont essentielles à la démocratie, et nous, chez Google, prenons très au sérieux notre travail de protection des élections et de promotion de l’engagement civique. En ce qui concerne la cybersécurité, nous avons mis au point plusieurs produits qui sont offerts gratuitement aux campagnes politiques, aux organismes électoraux et aux organes de presse. Il s’agit, comme je l’ai déjà mentionné, du Projet Shield, qui utilise l’infrastructure de Google pour protéger les organisations contre les attaques par déni de service et de notre programme de protection avancé, qui protège les comptes de personnes à risque d’attaques ciblées en mettant en œuvre l’authentification à deux facteurs, en limitant le partage de données entre les applications et en prévoyant une autorisation spéciale au titre des demandes de recouvrement de comptes. Cela va au-delà des protections robustes que nous avons déjà intégrées à nos produits.

Nous avons également entrepris d’importants efforts pour lutter contre la propagation intentionnelle de la désinformation dans les moteurs de recherche, sur les sites d'actualités, sur YouTube et dans nos publicités. Ce travail repose sur trois piliers fondamentaux: insister sur la qualité, lutter contre les mauvais joueurs et donner un contexte aux personnes.

Je vais maintenant céder la parole à mon collègue.

M. Jason Kee (conseiller en politiques publiques et relations gouvernementales, Google Canada):

Nous insistons sur la qualité en identifiant et en classant les contenus de haute qualité dans les moteurs de recherche, les sites d'actualités et sur YouTube afin de fournir aux utilisateurs l’information qui fait le plus autorité en réponse à leurs requêtes de nouvelles. Cela consiste à accorder un poids plus important aux informations qui font autorité, par opposition à leur pertinence ou à leur popularité, en réponse aux requêtes de nouvelles, surtout en temps de crise ou de nouvelles de dernière heure.

Sur YouTube, cela comprend également la réduction des recommandations de contenu limite qui enfreint presque nos politiques sur le contenu, du contenu qui peut induire les utilisateurs en erreur de manière préjudiciable ou du contenu de faible qualité qui peut entraîner une mauvaise expérience de l’utilisateur.

Nous combattons les mauvais joueurs en coupant leurs flux d’argent et de trafic. Nous mettons constamment à jour notre contenu et nos politiques de publicité pour interdire les comportements trompeurs, comme la fausse représentation dans nos annonces ou l’usurpation d’identité sur YouTube, et pour interdire les publicités de contenu offensif, haineux ou violent ou celles qui dissimulent des questions controversées ou des événements délicats.

Nous appliquons ces politiques avec vigueur, en utilisant les dernières avancées de l’apprentissage automatique pour identifier le contenu et les publicités qui enfreignent nos politiques, et nous avons une équipe de plus de 10 000 personnes qui y travaillent.

Bien que la diversité de l’information soit intrinsèquement intégrée dans la conception des moteurs de recherche de nouvelles et de YouTube, chaque recherche offre de multiples options provenant de diverses sources, ce qui accroît l’exposition à diverses perspectives. Nous travaillons également à fournir plus de contexte aux utilisateurs de l’information qu’ils lisent. Pour ce faire, nous avons mis sur pied des comités de connaissances en recherche qui fournissent des renseignements de haut niveau sur une personne ou un enjeu; des étiquettes de contenu dans la recherche et les nouvelles de façon à préciser lorsqu’elles ont fait l'objet d'une vérification des faits ou qu'elles constituent un article d’opinion; et sur YouTube, des rayons dédiés à l’information pour s’assurer que les utilisateurs sont exposés à des sources d’information faisant autorité durant des événements d’actualité et des comités d’information qui précisent si une chaîne donnée est financée par l’État ou par le secteur public, et des informations faisant autorité sur des sujets bien établis qui font souvent l'objet de campagnes de désinformation.

M. Colin McKay:

En ce qui concerne les élections, nous travaillons en partenariat avec Élections Canada et des organes de presse canadiens pour fournir de l’information sur la façon de voter et des renseignements essentiels sur les candidats. Nous soutiendrons également la diffusion en direct des débats des candidats sur YouTube et nous créons une chaîne YouTube consacrée à la couverture électorale à partir de sources d’information faisant autorité.

Notre travail de lutte contre la désinformation ne se limite pas à nos produits. Un écosystème de l’information en santé est essentiel à la démocratie, et nous consacrons des ressources importantes au soutien d’un journalisme de qualité et des efforts connexes.

L’initiative Google Actualités a élaboré une gamme complète de produits, de partenariats et de programmes pour appuyer l’industrie de l’information et a engagé 300 millions de dollars pour financer des programmes. Nous soutenons également la compréhension de l'actualité au Canada, y compris au moyen d'une subvention d’un demi-million de dollars à la Fondation canadienne du journalisme et à CIVIX pour développer NewsWise, un programme de compréhension de l'actualité qui rejoint plus d’un million d’étudiants canadiens, et une autre subvention d’un million de dollars à la Fondation canadienne du journalisme annoncée la semaine dernière pour appuyer la compréhension de l'actualité chez les Canadiens en âge de voter.

Nous finançons ces programmes parce que nous croyons que les Canadiens de tous âges comprennent comment évaluer l'information en ligne.

(1535)

M. Jason Kee:

Dans le même ordre d’idées, nous appuyons pleinement l’amélioration de la transparence des publicités politiques. L’an dernier, nous avons volontairement mis en place des exigences de vérification améliorées pour les annonceurs politiques américains, des divulgations dans les publicités électorales, ainsi qu’un nouveau rapport sur la transparence et une bibliothèque de publicités politiques pour les élections de mi-mandat aux États-Unis. Nous avons déployé des outils semblables pour les élections parlementaires en Inde et dans l’Union européenne. Même si nous avions l’intention d’adopter des mesures semblables au Canada, malheureusement, les nouvelles dispositions relatives aux plateformes en ligne présentées dans le projet de loi C-76 ne reflètent pas le fonctionnement actuel de nos systèmes de publicité en ligne ou des rapports sur la transparence. Il n’était tout simplement pas possible pour nous de mettre en oeuvre les changements importants qui auraient été nécessaires pour répondre aux nouvelles exigences dans le peu de temps que nous avions avant l’entrée en vigueur des nouvelles dispositions.

Premièrement, la définition de « plateforme en ligne » comprend un « site Internet ou une application Internet » qui vend des espaces publicitaires « directement ou indirectement », et le projet de loi impose la nouvelle obligation de registre à toute plateforme qui atteint certains seuils minimums de consultation. Cette disposition englobe non seulement les médias sociaux ou les grandes plateformes de publicité en ligne, mais aussi la plupart des éditeurs de nouvelles nationaux et régionaux, pratiquement toutes les publications multiculturelles et les sites Web et applications les plus populaires financés par la publicité, ce qui en fait une disposition d'application extraordinairement vaste.

Deuxièmement, les dispositions exigent expressément que chaque site ou application tienne son propre registre. À la différence de certaines entreprises, Google offre une vaste gamme de produits et de services publicitaires. Les annonceurs peuvent acheter des campagnes par l’entremise de Google qui seront diffusées sur des sites Google et/ou sur des sites d’éditeurs tiers. Ces systèmes sont automatisés. Souvent, il n’y a pas de lien direct entre l’annonceur et l’éditeur. Pendant le chargement de la page, le site enverra un signal indiquant qu’un utilisateur répondant à certains critères démographiques peut recevoir une annonce. Les annonceurs soumissionneront ensuite pour la possibilité d’afficher une annonce à l'intention de cet utilisateur. Le serveur publicitaire de l’annonceur gagnant affiche l’annonce gagnante dans le navigateur de l’utilisateur. Tout cela se produit en quelques fractions de seconde. L’éditeur ne sait pas immédiatement quelle annonce a été affichée et n’a pas immédiatement accès à l’annonce qui a été diffusée. Pour tenir compte des nouvelles dispositions, nous aurions dû mettre en place des systèmes entièrement nouveaux pour informer les éditeurs qu’une publicité politique réglementée avait été affichée, puis remettre une copie de cette annonce et les renseignements requis à chaque éditeur pour qu’ils les inscrivent dans leur propre registre. Cela n’était tout simplement pas possible dans le très court laps de temps qui a précédé l’entrée en vigueur des dispositions.

Troisièmement, les dispositions exigent que le registre soit mis à jour le jour même où la publicité politique réglementée est affichée. Cela signifie en fait que le registre doit être mis à jour en temps réel, puisqu’une annonce politique réglementée qui était affichée à 23 h 59 devrait être incluse dans le registre avant minuit. En raison de la complexité de nos systèmes de publicité en ligne, nous ne pouvions tout simplement pas nous engager à respecter un tel délai.

Une dernière complication est que la « publicité électorale » comprend la publicité qui favorise l'élection d'un candidat « par une prise de position sur une question à laquelle est associé un parti enregistré ou un candidat ». On les appelle généralement des « publicités thématiques ». Les publicités thématiques sont très contextuelles et il est notoire qu’elles sont difficiles à cerner de façon fiable, surtout que leur définition est vague et qu’elle évolue au cours d’une campagne. Compte tenu de ces défis, nous interdisons en général cette catégorie de publicité dans les pays où elle est réglementée, comme c'est le cas avec notre récente interdiction en France.

M. Colin McKay:

Nous tenons à souligner que notre décision de ne pas accepter la publicité politique réglementée au Canada n’a pas été prise à la légère. Nous croyons sincèrement à l’utilisation responsable de la publicité en ligne pour rejoindre l’électorat, surtout pour les candidats qui n’ont peut-être pas l'aide d'un parti bien préparé derrière eux, et pour les tiers légitimes qui veulent défendre une gamme de dossiers. Il convient également de souligner que chaque fois que nous décidons de ne plus accepter une catégorie de publicité, il en résulte nécessairement des répercussions négatives sur nos revenus. Cependant, après plusieurs mois de délibérations internes et d’exploration de solutions possibles pour essayer de satisfaire autrement aux nouvelles exigences, il est devenu évident que cela ne serait tout simplement pas possible dans les quelques mois dont nous disposions. En conséquence, il a été décidé de ne pas accepter les publicités politiques réglementées et de concentrer nos efforts sur la promotion de l’engagement civique et d’autres initiatives.

(1540)

M. Jason Kee:

Au cours des prochaines semaines, notre décision de ne pas accepter la publicité politique réglementée au Canada se reflétera officiellement dans nos politiques publicitaires. Nous continuerons d’informer toutes les parties concernées du changement. Comme pour les autres catégories d’annonces que nous n’acceptons pas, la politique sera appliquée par une combinaison de systèmes automatisés et d’équipes spécialisées dans l’application des politiques sur les publicités, qui suivront une formation rigoureuse sur la nouvelle politique. Nous poursuivrons également notre travail avec Élections Canada et le commissaire aux élections fédérales sur les questions d’interprétation et d’application de la loi et les organisations pertinentes de l’industrie qui travaillent à des mesures visant à aider les plateformes en ligne et les éditeurs à s’acquitter de leurs nouvelles obligations.

Nous sommes heureux d’avoir l’occasion de discuter de nos activités électorales au Canada et de notre décision d’interdire la publicité politique réglementée.

Merci.

Le président:

Merci à vous deux.

M. Erskine-Smith sera le premier intervenant pendant notre tour de sept minutes.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Merci beaucoup.

Je crois savoir que Facebook et Google comptent ensemble pour 75 % des revenus de publicité numérique. La décision de Google de ne pas accepter les publicités politiques est donc assez importante pour les prochaines élections. Êtes-vous d’accord avec cela?

M. Colin McKay:

Nous pensons qu’il est important pour nous de prendre une telle décision. Toutefois, ce chiffre est généralisé. Cela ne reflète peut-être pas le marché de la publicité politique.

M. Nathaniel Erskine-Smith:

C’est une décision importante pour les élections canadiennes.

Maintenant, je veux mettre en contraste et comparer deux très grandes entreprises qui opèrent dans cet espace.

Avez-vous lu le récent rapport du Commissariat à la protection de la vie privée du Canada sur l’atteinte à la sécurité de Facebook-Cambridge Analytica?

M. Colin McKay:

Oui.

M. Nathaniel Erskine-Smith:

D’accord. Prenons cet exemple. Si le Commissariat à la protection de la vie privée faisait enquête sur Google et faisait des recommandations conformes à ce qui s’est passé avec Facebook, est-ce que Google se conformerait aux recommandations du Commissariat?

M. Colin McKay:

Je dirais que nous avons toujours travaillé avec les commissaires à la protection de la vie privée pour en arriver à des conclusions convenues, puis nous les avons mises en oeuvre.

M. Nathaniel Erskine-Smith:

D’accord. Je pense que Google s’est fixé une norme plus élevée. Le commissaire à la protection de la vie privée dit que le cadre de protection des renseignements personnels de Facebook était vide et qu’il est encore vide. Vous ne considérez pas que le cadre de protection des renseignements personnels de Google est vide, n’est-ce pas?

M. Colin McKay:

Nous sommes deux entreprises très différentes, avec deux approches très différentes de la protection des données et de la protection des renseignements personnels.

M. Nathaniel Erskine-Smith:

Encore une fois, vous respectez des normes plus élevées. Rappelez-moi combien d’argent Google a-t-il rapporté l’an dernier?

M. Colin McKay:

Je ne connais pas ces chiffres par coeur.

M. Nathaniel Erskine-Smith:

J’ai ici des chiffres qui montrent un revenu de 8,94 milliards de dollars, seulement pour le quatrième trimestre de 2018. Nous parlons donc d'une entreprise qui amasse des milliards de dollars et qui se conforme à des normes plus élevées que celles de Facebook, sur un certain nombre de questions différentes. Pourtant, Facebook est en mesure de mettre en oeuvre les règles prévues dans le projet de loi C-76.

Pourquoi Google ne le peut-elle pas?

M. Colin McKay:

Comme Jason l’a mentionné tout à l’heure — et il a parlé du Sénat qui se penchait sur les amendements au projet de loi C-76 —, nos systèmes et la gamme d’outils de publicité que nous offrons aux annonceurs sont beaucoup plus vastes que ceux de Facebook. Je ne peux pas parler de la décision de Facebook à cet égard.

Je peux dire que nous avons passé beaucoup de temps cette année à essayer d’évaluer comment nous mettrions en oeuvre des changements qui nous permettraient de respecter les obligations du projet de loi C-76. En raison de l’ampleur des outils de publicité que nous offrons — et Jason a mentionné les nombreux facteurs différents qui touchent nos partenaires de l’édition et nos annonceurs —, nous avons pris à contrecoeur la décision de ne pas accepter de publicités politiques cette année.

M. Nathaniel Erskine-Smith:

Quand vous parlez de cette année, vous voulez dire que vous travaillez activement à ce dossier, pour vous assurer que vous accepterez les publicités politiques lors des prochaines élections canadiennes?

M. Colin McKay:

C’est un point important. Nous sommes déterminés à encourager un discours politique fort et éclairé. Ce fut une décision très difficile à prendre pour nous.

M. Nathaniel Erskine-Smith:

Dois-je interpréter cette réponse comme un oui?

M. Colin McKay:

Oui.

M. Nathaniel Erskine-Smith:

Vous accepterez des publicités politiques aux prochaines élections fédérales après 2019.

M. Colin McKay:

Ce que je peux dire, c’est que nous essayons de faire évoluer nos produits au point où nous pouvons nous conformer à la réglementation canadienne. Pour l’instant, nous ne pouvons pas le faire. C’est une tâche extrêmement difficile.

M. Nathaniel Erskine-Smith:

Qu’en est-il de l’État de Washington? Allez-vous accepter des publicités politiques au niveau local dans l’État de Washington?

M. Colin McKay:

Nous ne l’avons pas fait au cours du dernier cycle.

M. Nathaniel Erskine-Smith:

Avez-vous pris l'engagement de le faire au cours du prochain cycle?

M. Colin McKay:

Je ne peux pas parler en particulier des obligations à respecter dans l’État de Washington. Je n'ai pas suivi leur évolution.

(1545)

M. Nathaniel Erskine-Smith:

Je vais vous expliquer la cause de ma frustration. Vous avez une entreprise qui fait des milliards de dollars et qui examine le petit territoire de l’État de Washington et le petit territoire du Canada et qui se dit: « Votre démocratie ne nous importe pas assez. Nous n’allons simplement pas y participer. » Si un gros joueur décidait de changer les règles, je vous garantis que vous les suivriez.

Nous sommes trop petits pour vous. Vous êtes trop gros. Vous êtes trop important, et nous ne sommes tout simplement pas assez importants pour que Google nous prenne au sérieux.

M. Colin McKay:

Je conteste cette observation parce que, comme nous l’avons mentionné, il y a eu d’autres exemples où nous avons dû prendre cette décision. Nous ne le faisons pas volontairement. Nous cherchons tous les moyens possibles de mettre cet outil à la disposition des électeurs.

M. Nathaniel Erskine-Smith:

Quelle est la plus grande administration où vous avez pris une telle décision?

M. Colin McKay:

Comme Jason vient de le mentionner, la publicité doit être bloquée en France. C’est la réalité. La réalité pour nous ici ne concerne pas un engagement envers la démocratie au Canada. La réalité, c’est le défi technique auquel nous sommes confrontés, avec les modifications apportées à la Loi électorale. L’évaluation interne a mené à la conclusion que nous ne pourrions pas relever les défis techniques à temps pour le cycle électoral.

M. Nathaniel Erskine-Smith:

Je reconnais que le calendrier constitue une contrainte. Ce qui me pose problème, c’est lorsque vous ne me donnez pas de réponse directe quand je vous demande si vous vous engagez à le faire pour la prochaine élection fédérale ou pour la prochaine élection au niveau local dans l’État de Washington.

C’est une source de frustration évidente. Pouvez-vous simplement dire: « Oui, nous sommes déterminés à y arriver. Nous allons le faire », pour répondre clairement à ma question?

M. Colin McKay:

La raison pour laquelle j’ai fait une pause avant de vous répondre, c’est que dans un système parlementaire, il y a des élections à date fixe. Mais on peut imaginer qu’il pourrait y avoir des élections d’ici six, neuf ou 18 mois.

M. Nathaniel Erskine-Smith:

D’accord, mais disons qu’il s’agit d’un cycle de quatre ans. Pensez-vous que c’est raisonnable?

M. Colin McKay:

Ce que je vous dis, c’est que nous travaillons à améliorer tous nos outils électoraux et à répondre aux attentes de nos utilisateurs, et surtout à celles de la réglementation. Nous avons toujours l’intention d’améliorer la qualité et la portée de ces outils.

Lorsque nous examinons les obligations en vertu de la Loi électorale, nous essayons de respecter ces normes. À l’heure actuelle, nous n’avons pas pu le faire pour cette élection.

M. Nathaniel Erskine-Smith:

Je comprends. Je m’attends à ce que vous puissiez le faire d’ici 2023.

M. Colin McKay:

Oui.

M. Nathaniel Erskine-Smith:

C’est dommage que vous n’ayez pas pu y arriver, mais que Facebook ait réussi de son côté.

La dernière question que je veux poser, parce que vous l’avez soulevée, concerne les vidéos recommandées sur YouTube. Vous avez récemment pris une décision. Après avoir passé de nombreuses années à ne pas considérer cela comme un problème, en janvier dernier, vous avez décidé que le contenu limite ne serait pas recommandé. Est-ce exact?

M. Jason Kee:

C’est exact.

Je ne suis pas d’accord pour dire que nous ne considérions pas cela comme un problème. Nous examinons cela depuis un certain temps et nous faisons diverses expériences avec le système de recommandations afin d’améliorer la qualité du contenu que voient les utilisateurs.

M. Nathaniel Erskine-Smith:

Alors vous n’êtes pas d’accord avec le...

M. Jason Kee:

La politique sur le contenu limite a été présentée plus tôt cette année. C’est exact.

M. Nathaniel Erskine-Smith:

Je faisais allusion à un certain nombre d’ex-employés de Google qui ont été cités sur Bloomberg et qui suggéraient que vous deux aviez activement dissuadé le personnel d’être proactif à cet égard. Je suppose que vous n'êtes pas d'accord?

Enfin, je comprends l’idée d’exonération de responsabilité, selon laquelle vous ne pouvez pas être tenu responsable de tous les contenus et de toutes les vidéos que publient les gens. Cependant, êtes-vous d’accord pour dire que dès que vous recommandez des vidéos, dès que votre algorithme publie un contenu particulier, qu’il favorise un contenu particulier et qu’il encourage les gens à voir ce contenu, vous devriez être responsable de ce contenu?

M. Jason Kee:

Je suis d’accord avec vous dans la mesure où, lorsqu’il y a une différence entre les résultats obtenus ou entre le résultat d’une requête passive par rapport à une recommandation proactive, notre niveau de responsabilité est accru.

En ce qui concerne les notions de responsabilité, le problème réside actuellement dans l'opposition binaire entre le fait d'être un éditeur ou une plateforme. À titre de plateforme qui diffuse également, dans le cas de YouTube, 500 heures de vidéo par minute et dont le contenu est visionné plus d’un milliard d’heures chaque jour, d’être en mesure de...

M. Nathaniel Erskine-Smith:

Je ne parle que du contenu que vous recommandez en particulier.

M. Jason Kee:

Oui. Dans ce cas, nous nous efforçons, dans le cadre du processus de recommandation, de fournir essentiellement un contenu qui correspond à ce que nous pensons que l’utilisateur veut regarder, dans un corpus qui est beaucoup plus grand que celui dont s’occupent les éditeurs conventionnels.

M. Nathaniel Erskine-Smith:

C’est une longue réponse pour à peu près ne rien dire. La réponse est évidemment oui.

Merci beaucoup.

Le président:

Nous passons maintenant à Mme Kusie, pour sept minutes.

Mme Stephanie Kusie (Calgary Midnapore, PCC):

Merci beaucoup, monsieur le président.

Lors de la rédaction du projet de loi C-76, votre organisation a-t-elle eu l’occasion de rencontrer la ministre?

M. Jason Kee:

Non.

Mme Stephanie Kusie:

Avez-vous eu l’occasion de rencontrer le personnel ministériel?

M. Jason Kee:

Pendant que le projet de loi était en cours de rédaction, non, nous n'avons pas eu cette occasion.

Mme Stephanie Kusie:

Après l’ébauche initiale, une fois les articles proposés, la ministre a-t-il communiqué avec vous?

M. Jason Kee:

Nous avons pris connaissance des articles proposés qui ont été présentés lors de l’étude article par article au Comité de la procédure et des affaires de la Chambre, en fait lorsqu’ils ont fait l’objet d’un rapport public. À ce moment-là, nous nous sommes adressés au cabinet de la ministre, d’abord pour obtenir de plus amples renseignements, parce qu’il n’y avait pas beaucoup de détails sur le contenu de ces articles, et ensuite pour discuter sérieusement avec le cabinet de la ministre afin d'exprimer certaines de nos préoccupations et d’élaborer des amendements qui permettraient d'apaiser ces préoccupations.

Mme Stephanie Kusie:

Est-il donc juste de dire que vous n’avez pas été consulté par la ministre ou par le personnel ministériel avant que le projet de loi C-76 soit étudié article par article, avant qu’il soit rendu public?

(1550)

M. Jason Kee:

C’est exact.

Mme Stephanie Kusie:

C’est assez important.

Lorsque vous avez parlé de l’étude article par article du projet de loi C-76, je suppose que c’était au Comité de la procédure et des affaires de la Chambre, PROC. Est-ce exact?

M. Jason Kee:

C’est exact.

Mme Stephanie Kusie:

Avez-vous expliqué à ce moment-là que vous ne seriez pas en mesure de respecter cette loi telle qu’elle avait été présentée?

M. Jason Kee:

Lorsque le projet de loi C-76 a été amendé pour inclure les nouvelles dispositions sur les plateformes en ligne, la liste des témoins avait malheureusement déjà été établie. En conséquence, nous n’avons pas eu l’occasion d’en discuter avec les membres du comité.

Nous en avons discuté avec les membres du comité afin d’exprimer certaines des préoccupations à ce moment-là, et nous avons certes soulevé la question au Comité sénatorial de la justice.

Mme Stephanie Kusie:

D’accord.

Vous dites donc que vous n’avez pas eu l’occasion, au Comité de la procédure et des affaires de la Chambre, d’expliquer pourquoi cette loi ne fonctionnerait pas pour votre organisation, pourquoi vous ne pourriez pas vous y conformer. Je sais qu’il a été dit dans le préambule que vous n'aimez pas cette formulation, mais vous avez dit vous-même qu’il vous aurait été difficile de vous y conformer, reconnaissant que, comme l’a dit M. McKay, en décidant de ne pas faire de publicité électorale, vous ne risquez pas de ne pas vous y conformer.

L’avez-vous dit à ce moment-là?

M. Jason Kee:

Voulez-vous dire après le dépôt du projet de loi? Désolé, je suis...

Mme Stephanie Kusie:

Oui, pas de problème. Avez-vous pu dire à ce moment-là que vous ne seriez pas en mesure de vous conformer à la loi telle qu’elle était formulée?

M. Jason Kee:

Oui. Une fois que nous avons pris connaissance des dispositions et que nous avons pu obtenir une copie des amendements proposés, nous avons communiqué avec le cabinet de la ministre. Nous avons essentiellement examiné ce que nous venons d’examiner avec vous tous, c’est-à-dire qu’il y a certains aspects de ces dispositions qui posaient problème en raison de nos systèmes de publicité particuliers. L’un des résultats possibles serait que nous ne serions pas en mesure d’apporter les changements nécessaires dans le temps qui nous était alloué et qu'en conséquence, nous ne serions pas en mesure d'accepter les publicités électorales pour les élections fédérales.

Mme Stephanie Kusie:

La ministre et son personnel savaient que vous ne seriez pas en mesure de vous conformer aux dispositions du projet de loi C-76. Qu’a-t-elle répondu à ce moment-là, quand vous avez dit que votre organisation ne serait pas en mesure de se conformer à la loi telle qu’elle avait été présentée?

M. Jason Kee:

La ministre et son personnel espéraient que nous pourrions nous adapter aux nouveaux changements.

Mme Stephanie Kusie:

Comment? À quoi s’attendaient-ils, si je peux me permettre de poser la question?

M. Jason Kee:

Ils n’ont rien dit de plus à ce sujet, si ce n’est qu’ils souhaitent que nous puissions mettre en oeuvre les nouveaux changements. De plus, à ce moment-là, du point de vue de la procédure, ils ont dit qu’étant donné que le projet de loi avait déjà été étudié article par article et qu’il allait être renvoyé au Sénat, nous devrions essentiellement faire part de nos préoccupations au Sénat dans l’espoir d’obtenir les amendements que nous demandions.

Mme Stephanie Kusie:

Avez-vous eu des conversations avec la ministre ou son personnel au sujet des outils que vous avez mis en place aux États-Unis et dont vous avez parlé en détail ici?

M. Jason Kee:

Oui.

Mme Stephanie Kusie:

Qu’a-t-elle répondu au sujet des outils mis en place aux États-Unis par rapport aux mesures législatives présentées dans le projet de loi C-76? Qu’a-t-elle répondu par rapport à ces outils et a-t-elle mentionné s’il y avait un écart entre les deux?

M. Jason Kee:

Eh bien, ils étaient certainement au courant des outils que nous avions mis en place aux États-Unis pour les élections de mi-mandat, et essentiellement, ils espéraient qu’avec les changements apportés au projet de loi C-76, nous présenterions des outils semblables au Canada. Il s’agissait vraiment d’examiner en détail les raisons pour lesquelles les dispositions précises du projet de loi C-76 rendaient cette tâche difficile, et c’est là que nous avons eu des échanges. Essentiellement, ils voulaient que nous introduisions des outils semblables à ceux que nous avions là-bas.

Mme Stephanie Kusie:

En cherchant à introduire des outils semblables à ceux que vous avez aux États-Unis, pourquoi n’êtes-vous capable et pourquoi ne se conforment-ils pas au projet de loi C-76?

M. Jason Kee:

Bref, comme je l’ai dit dans ma déclaration préliminaire, nous avons des systèmes qui servent à la publicité sur les sites d’éditeurs tiers, mais nous ne pouvons pas leur fournir la création publicitaire et l’information requise en temps réel, comme l'exige le projet de loi C-76. Il y a aussi des complications liées au registre en temps réel en soi, et c’est pourquoi, même pour les sites que nous possédons et exploitons comme Google Search ou YouTube, nous ne serions pas non plus en mesure de nous y conformer — du moins, nous ne nous sentions pas à l’aise de le faire.

Enfin, il y a la complication supplémentaire liée à l’inclusion de la publicité thématique. En gros, les registres que nous avons dans d’autres pays n’incluent pas la publicité thématique parce que, comme je l’ai dit, il est très difficile de l'identifier de façon convaincante. En conséquence, nous craignions de ne pas être en mesure d’identifier les publicités à inclure dans le registre.

(1555)

Mme Stephanie Kusie:

En résumé, vous n’avez pas été inclus à l’étape de la rédaction du projet de loi C-76. Vous n’avez pas été consulté par la ministre ou son personnel lorsque le gouvernement a présenté le projet de loi C-76 dans le but de déterminer la réforme électorale du Canada.

M. Jason Kee:

C’est en grande partie exact. Je dois également modifier le compte rendu. Nous avons eu une discussion avec le cabinet de la ministre peu de temps après le dépôt du projet de loi C-76, pour discuter des contours de la loi telle qu’elle était libellée à l’étape de la première lecture, avant l’ajout de l’une ou l’autre des dispositions sur les plateformes en ligne et avant l’ajout de toute exigence de registre. C’était une discussion sérieuse, mais à l’époque, puisque nous n’avions pas envisagé que de nouvelles dispositions seraient introduites, nous n’en avons pas parlé. À part cela, il n’y a pas eu de consultation.

Mme Stephanie Kusie:

Bien sûr.

Quels conseils donneriez-vous à la prochaine législature au sujet de ce projet de loi?

M. Jason Kee:

Comme nous l’avons dit au comité sénatorial et ailleurs, ainsi qu’au cabinet de la ministre, nous appuyons sans réserve l’idée d’accroître la transparence de la publicité électorale et nous avions l’intention de créer le registre au Canada.

Il y a eu un certain nombre d’amendements extrêmement ciblés. Essentiellement, je pense que nous avons modifié 15 mots qui auraient amendé suffisamment le projet de loi C-76, de sorte que nous aurions pu satisfaire aux exigences.

Ma recommandation, si c’est possible, serait qu’une future législature examine ces recommandations, qu’elle examine essentiellement les difficultés ajoutées par les nouvelles dispositions — et il vaut la peine de souligner, comme l’a fait la CBC, que de nombreuses plateformes ont également annoncé qu’elles n’accepteraient pas de publicité électorale en raison des difficultés que posent les révisions particulières — et qu’elle il détermine si des ajustements peuvent être apportés pour atténuer les préoccupations.

Le président:

Merci.

Nous cédons maintenant la parole à M. Dusseault, pour sept minutes. [Français]

M. Pierre-Luc Dusseault (Sherbrooke, NPD):

Merci, monsieur le président.

C'est avec plaisir que je me joins à ce comité aujourd'hui. J'ai le privilège de revenir à ce comité que j'ai eu la chance de présider pendant quelques années avant vous, monsieur le président. Je suis heureux de revoir des visages que j'ai déjà vus dans le passé.

Messieurs McKay et Kee, vous savez l'influence que vous avez. Je suis sûr que vous connaissez l'influence que vous avez sur les élections et sur l'information qui circule pendant les élections, qui influe sur les électeurs et, ultimement, sur leur décision. C'est dans ce contexte qu'il est important d'avoir une discussion avec vous à propos des annonces que vous avez faites récemment en ce qui a trait aux publicités électorales.

Ma première question se rapporte au préambule que d'autres collègues ont fait. D'autres compagnies assez importantes sur le marché ont dit qu'elles étaient en mesure de se conformer à la Loi électorale du Canada, dans sa version modifiée. Compte tenu du fait que vous avez effectué de nombreux investissements dans d'autres pays pour faire de tels registres, par exemple aux États-Unis et en Europe, et aussi du fait que vous avez investi des millions de dollars dans certains marchés, comme celui de la Chine, pour pouvoir adapter votre moteur de recherche à leurs lois — en Chine, on s'entend, ce sont des lois très strictes, et vous le savez très bien —, j'ai de la misère à comprendre pourquoi Google n'est pas capable de s'adapter à une loi canadienne comme celle-là en vue de la prochaine élection fédérale.

Selon vous, qu'est-ce qui fait en sorte que vous n'êtes pas capables de vous adapter à la loi canadienne?

Est-ce en raison du fait que les règles ne reflètent pas les pratiques internationales ni la façon dont les publicités en ligne fonctionnent? Est-ce parce que vous n'avez pas les moyens de le faire ou, tout simplement, vous n'avez pas la volonté de le faire?

M. Colin McKay:

Je m'excuse, je vais répondre en anglais.[Traduction]

Je tiens à souligner que notre décision a été prise par suite d’une évaluation technique visant à déterminer si nous pouvions nous y conformer. Il ne s’agissait pas d’une question précise au sujet du cadre de réglementation au Canada ou de notre engagement à l’égard du processus électoral au Canada et de notre contribution à le maintenir éclairé et transparent.

Nous sommes en voie, dans d’autres pays, de mettre en place des outils comme ceux décrits dans la loi, d’améliorer ces outils et de travailler à l’infrastructure technique en aval pour rendre ces outils plus informatifs et plus utiles pour les utilisateurs ainsi que pour tous les participants à une élection.

Nous en sommes arrivés à une décision très difficile parce que nous étions confrontés à un calendrier serré et à des modifications législatives qui sont très importantes dans le contexte canadien et pour nous, Canadiens, comme électeurs et participants au processus électoral. Nous avons donc dû déterminer si nous pouvions ou non nous conformer à la loi dans les délais impartis, et nous ne le pouvions pas. Nous nous sommes donc contentés de ne pas accepter de publicité électorale. Cela ne reflète en rien notre attitude personnelle ou celle de notre entreprise à l’égard de l’autorité et de la compétence du Canada en matière de réglementation de cet espace, et ce n’était certainement pas une expression de notre opinion au sujet des modifications apportées à la Loi électorale.

Cela a été très difficile pour nous, mais la décision n'a été motivée que par les difficultés techniques et les délais auxquels nous étions confrontés.

(1600)

[Français]

M. Pierre-Luc Dusseault:

J'ai une question complémentaire par rapport au registre que vous avez mis en place au cours des élections américaines de mi-mandat et celui que vous prévoyez mettre en place en Europe pour le Parlement européen.

Ces registres, ou ces règles, sont-ils une initiative de Google ou leur mise en place découle-t-elle d'une obligation imposée par des lois?

Pouvez-vous clarifier la raison pour laquelle vous allez de l'avant aux États-Unis et en Europe? Êtes-vous obligés de le faire, ou le faites-vous de votre propre chef? [Traduction]

M. Jason Kee:

Nous le faisons en fait de notre propre gré. Essentiellement, il s’agissait d’une initiative entièrement volontaire à la lumière des préoccupations soulevées dans la foulée des élections fédérales américaines. De toute évidence, il y a eu beaucoup de discussions sérieuses sur la façon d’assurer une plus grande transparence du processus des publicités électorales. En conséquence, Google, Facebook et un certain nombre d’autres entreprises ont toutes travaillé très fort, pour être honnête, afin de commencer à instaurer la transparence, à savoir qui obtient les registres et les rapports, ce qui donnerait à nos utilisateurs beaucoup plus de contexte en ce qui concerne les publicités électorales auxquelles ils sont exposés. Il ne s’agit pas seulement de l’accès aux copies des publicités en soi, mais aussi de renseignements contextuels sur les raisons pour lesquelles elles ont été ciblées, sur l’auditoire visé par la vérification, sur les sommes dépensées par l’annonceur, ce genre de détails.

Une fois cela établi pour les élections de mi-mandat aux États-Unis, il y a eu — comme Colin l’a dit — un processus d’apprentissage. Nous avons des équipes mondiales qui s’en occupent et qui, essentiellement, passent d’une élection à l’autre, tirent des leçons de chaque élection et améliorent les processus. Essentiellement, nous avions un modèle en place que nous étions capables de déployer en Inde, que nous pouvions déployer dans l’Union européenne, et que nous nous attendions à déployer ailleurs. De plus, nous avions établi des processus individuels en plus du registre en soi. Quel est le processus que nous utilisons pour vérifier l’identité de l’annonceur politique? Dans le cas des États-Unis, nous vérifions non seulement l’identité de l’annonceur en lui demandant de fournir une pièce d’identité, mais nous vérifions aussi s’il est autorisé à faire de la publicité électorale auprès de la Federal Election Commission des États-Unis.

Nous avons dû adapter ce processus au fur et à mesure que nous mettons en oeuvre le registre dans d’autres pays parce que l’organisme de réglementation de chaque élection n’est pas en mesure de fournir le genre de validation que nous obtenons aux États-Unis. Donc, nous adaptons ce processus et nous en tirons aussi des leçons.

Ce sont des mesures que nous avons prises de plein gré, sans y être contraints par la loi. [Français]

M. Pierre-Luc Dusseault:

Dans ces cas-ci, vous êtes heureux de le faire parce que ce sont vos propres normes et règles. Cependant, lorsque vous devez vous conformer à des règles établies par d'autres, vous êtes beaucoup plus réticents à le faire. La décision que vous avez prise fera en sorte que vous vous conformerez à la Loi, parce que, tout compte fait, il n'y aura pas de publicité électorale.

Étant donné le temps qu'il me reste, j'aimerais aborder un sujet complémentaire. Il s'agit de l'annonce dont vous avez parlé dans votre introduction, qui porte sur une chaîne consacrée à la campagne électorale, prévue pour pallier un peu votre décision de ne pas autoriser de publicité.

Je m'interroge quant à la transparence de cette plateforme et quant aux algorithmes utilisés pour diffuser le contenu. Quel contenu sera diffusé? Vous dites que c'est du contenu de sources faisant autorité, mais qu'est-ce que cela veut dire vraiment? Le public aura-t-il accès à ce type d'informations sur la plateforme en question? Aura-t-il accès aux politiques utilisées pour diffuser le contenu et pour garantir que tous les candidats ou tous les partis auront une couverture équitable?

Comme c'est une décision qui revient évidemment à Google, qui décide de cette couverture? Vous savez l'influence que vous avez et que vous pouvez avoir. Qui va déterminer ces questions de politiques que vous allez publier sur cette plateforme au cours de la campagne?

(1605)

[Traduction]

M. Jason Kee:

Il y a en fait deux points de discussion distincts que vous avez soulevés.

Le premier concerne l'expression « faisant autorité ». Qu’entend-on par là? C’est une question tout à fait légitime. C’est essentiellement un critère qui éclaire Google Search, Google News et YouTube également. Nous avons en fait des lignes directrices très rigoureuses, soit environ 170 pages de lignes directrices sur les évaluateurs de recherche. Nous utilisons des bassins d’évaluateurs externes qui évaluent les résultats que nous obtenons pour nous assurer que nous fournissons des résultats aux utilisateurs en réponse à des demandes qui sont vraiment pertinentes pour leurs demandes et qui proviennent en fait de sources faisant autorité.

Par « faisant autorité », nous parlons d'un classement établi en fonction du caractère officiel, du caractère professionnel et d’une troisième classification... Je peux vous faire parvenir l’information. J'ai un trou de mémoire.

Nous nous fondons sur l’information que nous obtenons des guides de recherche des évaluateurs. Comme je l’ai dit, nous faisons appel à des bassins d'évaluateurs, alors tout se fait globalement, ce qui nous aide à recueillir des renseignements qui font autorité. Ce sont les mêmes signaux que nous utilisons, comme je l’ai dit, pour identifier cette catégorie d’information et la pondération tend ainsi à aller aux organisations établies et ainsi de suite qui sont à l'origine du résultat initial. Nous n’évaluons pas le contenu des travaux. Nous déterminons simplement s’il s’agit d’un site qui se spécialise réellement dans le domaine dans lequel il le prétend.

En ce qui concerne la chaîne YouTube, c’est très différent. Il s’agit d’un canal très précis et personnalisé qui sera disponible sur YouTube. Nous l’avons offert lors des élections de 2015. Dans ce cas, nous avons demandé à un organisme tiers, Storyful, de s’en occuper pour nous. Ce n’est pas un service algorithmique; il est effectivement surveillé. Nous faisons donc la même chose, c’est-à-dire qu'une tierce partie s’en occupe en tirant des renseignements de diverses sources.

Nous établissons avec cette tierce partie quelles sont les lignes directrices au titre de l'inclusion de l'information, que nous publions ensuite pour que les gens sachent comment l’information est incluse. Il s’agit surtout de renseignements publiés sur YouTube par des diffuseurs et des organes d’information bien établis que nous ajoutons simplement à la chaîne pour que les gens puissent les voir.

Tous ces renseignements seraient également disponibles, par exemple, sur le site Web de la CBC, du National Post et ainsi de suite. Ils seraient également disponibles sur ces sites individuellement.

Le président:

Merci.

C’est maintenant au tour de M. Graham, pour sept minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci. Je suis heureux de vous revoir tous les deux.

Comme vous le savez probablement, j’ai été parmi les premiers à adopter Google. J’utilise Google depuis une bonne vingtaine d'années. Je pense que c’est un bon service, mais il s’est développé massivement et est devenu un outil très puissant. Or, comme qui dit grande puissance dit aussi grandes responsabilités, je pense qu’il est très important d'avoir cette discussion.

La partie du projet de loi C-76 dont nous parlons est l'article 208.1, et vous vouliez changer 15 mots. Quels étaient ces 15 mots?

M. Jason Kee:

Je me ferai un plaisir de vous remettre une copie des amendements que nous avons proposés, par souci d'exactitude.

M. David de Burgh Graham:

Ce serait utile.

Vous opposez-vous aux changements que nous avons apportés au projet de loi C-76 ou appuyez-vous le projet de loi, d’un point de vue philosophique?

M. Jason Kee:

Tout à fait.

M. David de Burgh Graham:

Êtes-vous favorable à l’utilisation des registres de publicité en général, pas seulement en contexte électoral, mais en tout temps?

M. Jason Kee:

C’est un aspect que nous examinons. Comme dans le contexte politique, il y a évidemment une certaine urgence à régler les problèmes avec la transparence attendue, et ainsi de suite. C’est un volet que nous examinons, pour voir comment nous pouvons accroître la transparence pour nos utilisateurs. En fait, pas plus tard que cette semaine, nous avons annoncé des mesures supplémentaires à cet égard.

Colin, avez-vous quelque chose à dire à ce sujet?

M. Colin McKay:

Oui. Lors de notre conférence des développeurs, nous avons annoncé une extension de navigateur pour Chrome. Il permet de voir plus en détail les publicités affichées, d’où elles viennent — quels réseaux — et comment elles sont arrivées sur la page. Nous en faisons un outil ouvert, de sorte que d’autres réseaux de publicité qui diffusent des annonces sur des sites et des pages que l'internaute consulte puissent également acheminer cette information.

Comme la chose est importante, nous cherchons à fournir le plus d’information possible aux utilisateurs sur les raisons pour lesquelles ils reçoivent des publicités.

M. David de Burgh Graham:

Ce qui m’amène à ma prochaine question. Vous avez parlé des limites techniques dans l'application du projet de loi C-76, et j’essaie de comprendre, moi qui suis technicien. Comme j’ai une assez bonne idée du fonctionnement de vos systèmes, j’essaie de voir ce qui vous empêche, au cours des cinq prochains mois, d'ajouter les sous-programmes nécessaires pour traiter la publicité politique et l’utiliser.

Si vous m’aidez à comprendre l’aspect technique, je vais saisir. Je voudrais savoir en quoi consistent les problèmes.

M. Jason Kee:

Certainement. Notre principale difficulté tient à l'idée qu'il faudrait mettre le registre à jour en temps réel. En effet, nous avons un très large éventail de systèmes de publicité. Ceux qui mènent des campagnes sur Google font des recherches de publicité, ce qui apparaît dans les résultats de recherche. Il peut s’agir de publicités sur YouTube, de vidéos ou de TrueView. L'utilisateur peut les sauter et aussi afficher de la publicité qui apparaît sur les sites éditeurs tiers.

Dans le cas des sites éditeurs tiers, ces publicités viennent souvent de serveurs publicitaires tiers. Nous n’avons pas nécessairement un accès immédiat aux créateurs nous-mêmes. Il nous serait très difficile de mettre à jour même notre propre registre en temps réel, sans parler du registre d’un tiers qui doit tenir son propre registre.

M. David de Burgh Graham:

Que se passe-t-il si vous vous en tenez à vos propres serveurs, en laissant de côté ceux des tiers?

M. Jason Kee:

Nous pourrions faire la mise à jour plus rapidement. À l’heure actuelle, la mise à jour en temps réel demeure un défi, compte tenu de nos systèmes, simplement parce que nous devons connaître le serveur de la publicité, puis être en mesure de faire la mise à jour immédiatement après.

(1610)

M. David de Burgh Graham:

J’en oublie le nom, mais il y a une page sur Google où on peut voir toutes les données que Google possède sur soi. Elle est facile à trouver, et on peut y voir tout ce qu'on a fait et que Google connaît, en temps réel. Si vous pouvez faire cela pour un particulier, pourquoi ne pouvez-vous pas le faire pour une publicité?

M. Jason Kee:

Principalement parce que les systèmes de publicité sont un peu différents en ce qui concerne le téléchargement, le stockage et la gestion à l'interne. C’est pourquoi j’ai dit que c’était un objectif que nous allions poursuivre, mais nous ne nous sentions pas à l’aise cette fois-ci pour nous engager à respecter ce genre de délai.

M. David de Burgh Graham:

Quel ordre d’investissement en temps et en ressources faudrait-il pour y arriver, si vous décidiez de le faire? Vous dites que c’est possible pour les élections de 2023. C'est donc possible. Que faudrait-il pour y arriver?

M. Jason Kee:

Pour être honnête avec vous, je ne peux pas répondre. Après avoir étudié la question sérieusement, nous avons conclu qu'il était impossible de respecter le délai. Je ne pourrais vous donner aucune estimation du temps qu’il faudrait ni des ressources nécessaires.

M. David de Burgh Graham:

Avez-vous une idée des profits que Google retire du Canada par rapport à ce qu'il y a investi?

M. Colin McKay:

Je répondrais de deux façons distinctes. En fait, la question est plus vaste, car, compte tenu de la façon dont nos plateformes et nos services fonctionnent, nous sommes souvent un outil pour les entreprises et les sociétés canadiennes, étant donné nos services gratuits ou payants qui en soutiennent l'infrastructure.

De plus, dans un domaine aussi vaste que la publicité, c’est certainement... Les revenus de la publicité en ligne chez Google sont souvent partagés avec les plateformes et les sites. Il n'y a donc pas seulement deux parties en présence. Les entreprises canadiennes utilisent notre technologie pour placer des publicités, payer leurs services et produire elles-mêmes des revenus.

Nous sommes très fiers des investissements réalisés au Canada, au nom de Google, pour faire croître nos équipes d'ingénieurs et de R-D et nos bureaux.

M. David de Burgh Graham:

Monsieur Kee, sauf erreur, vous avez participé récemment à l’étude du ministère de l’Industrie sur le droit d’auteur. L’une des questions abordées a été celle des systèmes de gestion des droits et celle du principe de l’utilisation équitable dans l'application du droit canadien. La réponse de Google et de Facebook a été non. Ils ne se conforment pas à ce principe. Ils appliquent leurs propres politiques.

Comment en arriver au point où Google pourrait dire: « Le Canada est suffisamment important pour que ce soit une priorité de respecter les lois locales dans des domaines où notre société a une grande responsabilité »?

M. Jason Kee:

Cela n’a rien à voir avec la perception relative de l’importance du Canada ou des lois locales dans l’application de notre système d’identification du contenu.

Pour la gouverne des autres membres du Comité qui ne le connaissent pas nécessairement, Content ID est notre système de gestion du droit d’auteur sur YouTube. Voici comment cela fonctionne: le titulaire de droits nous fournit un fichier de référence — une copie du fichier qu’il veut gérer en ligne — et nous appliquons ensuite une politique pour chaque téléchargement sur YouTube.

Comme le système est automatisé, il ne gère pas très bien le contexte ni les exceptions. L’utilisation équitable, dans le régime de droit d’auteur canadien, est en fait une exception. Aux termes de la loi, il s'agit d'une exception à la violation générale et elle repose sur un certain raisonnement de base. Elle nécessite une analyse du contexte. C’est pourquoi nous réagissons aux exceptions par un système d’appel solide. Si Content ID signale un contenu de façon inappropriée, vous interjetez appel de cette décision parce que vous estimez avoir un argument très solide en faveur du principe de l’utilisation équitable, et vous affirmez que ce principe s’applique. Une évaluation est alors faite.

M. David de Burgh Graham:

Dans le cas du droit d’auteur, vous mettez en place un système qui ne respecte pas le droit canadien, mais assorti d'un dispositif d’appel. Dans le cas du projet de loi C-76, vous dites: « Nous n’allons rien faire, parce que cela ne se justifie pas sur le plan pratique. »

Dans l’application du droit d’auteur, vous ne vous souciez pas du droit canadien, très franchement, parce que si quelqu’un a une exemption fondée sur le principe de l’utilisation équitable, il ne devrait pas lui incomber de prouver son droit de faire quelque chose qu’il a absolument le droit de faire.

J’essaie de comprendre pourquoi vous allez de l’avant dans le cas du droit d’auteur et pas dans celui du projet de loi C-76. À mon avis, la tâche, pour être difficile, est tout à fait réalisable. Comme M. Erskine-Smith l’a dit tout à l’heure, si nous étions aux États-Unis, je suis sûr que la question serait déjà réglée.

M. Jason Kee:

Essentiellement, la principale différence, au risque de devenir un peu technique, c’est que l’utilisation équitable au Canada est une exception à la violation. C’est un moyen de défense qu’on invoque en réponse à une allégation selon laquelle on a violé le droit d'auteur. La gestion est très différente.

Dans ce cas-ci, le projet de loi C-76 introduisait des obligations positives. Non seulement il fallait créer un registre des publicités, mais la façon de le faire était aussi imposée. Nous ne pouvions tout simplement pas nous conformer dans le délai imparti. C’est la principale différence entre les deux cas.

Le président:

Merci.

Ce sera maintenant M. Gourde, qui aura cinq minutes.

(1615)

[Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Merci aux témoins d'être ici ce matin.

Nous savons qu'il reste seulement une courte période de temps avant les élections. Vous avez parlé des problèmes techniques, des problèmes pour se conformer à la Loi électorale du Canada.

Au Canada, la réalité est telle que nous pouvons mettre de la publicité sur vos plateformes, mais que la loi canadienne limite les plafonds de dépenses électorales et la diversité des endroits où les partis politiques et les candidats peuvent dépenser leur argent. Cela détermine une certaine part de marché, que vous avez peut-être évaluée.

Premièrement, est-ce que vous avez évalué cette part de marché?

Deuxièmement, cela représentait peut-être un montant tellement dérisoire, compte tenu de tous les projets que vous menez simultanément sur votre plateforme, que cela ne valait tout simplement pas la peine de vous conformer à la Loi, cette année, en raison du montant que cela pourrait vous rapporter?

Est-ce qu'il y a une évaluation qui a été faite à l'interne par vos gestionnaires? Par exemple, pour avoir un revenu supplémentaire de 1 million de dollars, cela aurait coûté 5 millions de dollars. Cela ne valait peut-être pas la peine de vous conformer à la Loi pour l'élection de 2019. Est-ce exact? [Traduction]

M. Jason Kee:

Ce n'est pas un calcul que nous avons fait pour parvenir à nos décisions. Il s'agissait essentiellement de savoir comment nous allions satisfaire aux exigences, de voir si c’était techniquement réalisable, compte tenu de la façon dont nos systèmes fonctionnent actuellement et des délais et, à dire vrai, de notre tolérance au risque, car nous ne savions pas ce qui arriverait si nous commettions une erreur. Voilà toute l'explication.

Il n’a jamais été question de calcul de rentabilité. En fait, il vaut la peine de le souligner, nous avons choisi de nous retirer de la seule activité liée aux élections qui nous rapporterait des revenus. Au lieu de cela, nous faisons des investissements qui ne nous rapportent pas, comme notre engagement auprès d’Élections Canada pour promouvoir l’information sur les élections au moyen de groupes de recherche et d’information, etc., avec YouTube et par diverses autres mesures, dont une subvention d’un million de dollars au FJC pour la littératie en information, avant les élections canadiennes.

Essentiellement, nous avons redoublé d'efforts sur les éléments qui ne rapportent pas pour compenser le fait que nous ne pouvions tout simplement pas satisfaire aux exigences du projet de loi C-76. [Français]

M. Jacques Gourde:

Dans votre réponse, vous avez parlé de la tolérance au risque. Est-ce que c'était trop risqué, étant donné que certaines dispositions du projet de loi modifiant la Loi électorale du Canada étaient relativement vagues et ne vous permettaient pas d'être certain de la façon de mettre en application de nouvelles plateformes? [Traduction]

M. Jason Kee:

Une partie du libellé est vague. Il y avait donc les préoccupations dont j'ai parlé au sujet de la publicité, mais il y a aussi le délai de mise à jour du registre, étant donné cette idée, énoncée dans la loi, qu'elle doit se faire le même jour. Est-ce que cela signifie littéralement en temps réel ou non? Quelle latitude nous était laissée?

Nous avons eu de solides discussions avec le commissaire aux élections fédérales et Élections Canada sur des questions d’interprétation. Vous avez peut-être vu les directives d’Élections Canada il y a environ une semaine et demie à ce sujet, qui confirmaient en grande partie certaines de nos appréhensions. C'est plutôt cela qui a motivé notre décision. [Français]

M. Jacques Gourde:

Il peut arriver que certaines publicités faites par des tiers directement ou indirectement ne soient pas nécessairement considérées comme des publicités électorales, mais qu'elles attaquent certains partis. Vous avez parlé de contrôle de vos plateformes effectué par des êtres humains. Ces personnes ont-elles l'expertise nécessaire en politique canadienne pour faire la distinction entre une publicité qui attaque réellement d'autres partis et une publicité qui fait la promotion d'un enjeu électoral canadien? En fait, j'aimerais savoir quelle est l'expertise des personnes qui vont surveiller ces plateformes. Ont-elles une expertise en politique canadienne, en politique américaine ou en politique d'un autre pays dans le monde? [Traduction]

M. Jason Kee:

Il s'agit en fait d'une combinaison de tous ces éléments.

Ce qui se passe, c’est que, pour mettre en œuvre l’interdiction, nous mettrons à jour nos politiques publicitaires. Je le répète, il y a des catégories entières de publicités que nous n’accepterons pas, comme la publicité sur le cannabis. Il y a une autre catégorie de publicité qui est assujettie aux exigences d’enregistrement. Tout cela est régi par nos politiques en matière de publicité.

Cette décision se reflétera dans ces politiques publicitaires. Nous aurons des équipes d’application de la loi en matière de publicité dans diverses régions du monde qui seront sensibilisées à ces politiques d’application de la loi.

Quant aux questions précises relatives à l’utilisation de la publicité, chaque catégorie de publicité que vous avez décrite semble relever du projet de loi C-76 et être visée par l’interdiction.

Nous aurons en fait des équipes qui seront formées à cet égard, mais aussi, en tenant compte du point de vue canadien, en nous fondant sur les conseils que nous avons reçus de toutes les équipes fonctionnelles d'ici, au Canada.

(1620)

[Français]

M. Jacques Gourde:

Merci. [Traduction]

Le président:

Monsieur Picard, à votre tour. Vous avez cinq minutes.

M. Michel Picard (Montarville, Lib.):

Merci.

Vous venez de dire à mon collègue que vous n’avez pas calculé le rendement sur l’investissement dans ce cas-ci?

M. Jason Kee:

C’est exact. Cela n'a pas joué dans l'élaboration de la décision.

M. Michel Picard:

Vous ai-je bien compris? Vous avez dit qu'un de vos problèmes d'ordre technique est que, dans la publicité de tiers, lorsqu’on a recours à des « courtiers » publicitaires tiers, ou peu importe comment on les appelle, il est difficile, voire impossible, de savoir d’où vient la publicité? Par conséquent, puisqu'il est impossible de divulguer le nom de l’auteur, le cas de cette publicité est trop compliqué pour l’instant, de sorte que vous refusez de vous avancer et de publier de la publicité pendant la prochaine campagne électorale.

M. Jason Kee:

Le problème ne tient pas tant à la source de la publicité qu'à la capacité de faire une mise à jour en temps réel: celui qui a diffusé la publicité et l'information présentée dans la publicité politique. Puis, il faut communiquer l'information et le nom de l'auteur pour que la mise à jour des registres soit possible.

M. Michel Picard:

La pratique suivie en matière de publicité est-elle la même dans d’autres pays, à l'égard des sources et des intermédiaires?

M. Jason Kee:

Cela dépend de la pratique qui a cours dans les divers pays. J’hésite à parler de la loi électorale d’autres pays parce que je ne la connais tout simplement pas.

En ce qui concerne nos propres politiques sur la publicité politique dans les pays où nous avons déployé un rapport de transparence, un registre, nous avons en fait eu recours à des exigences semblables su sujet de la vérification des annonceurs et de la recherche de moyens de vérifier que l’annonceur en question était autorisé à faire de la publicité politique par l’organisme local de réglementation électorale.

M. Michel Picard:

Qu'y avait-il de différent, là où vous avez pu appliquer ces dispositions? À lumière de cette expérience, quelle est la différence propre à notre situation qui vous empêche de passer à l'action?

M. Jason Kee:

Les systèmes que nous avons déployés aux États-Unis, dans l’Union européenne et en Inde n’auraient pas permis de répondre aux exigences précises du projet de loi C-76. Si nous étions allés de l'avant, nous aurions mis en place un système semblable.

En fait, nous avons eu des entretiens préliminaires avec Élections Canada à ce sujet, mais en fin de compte, il est devenu évident que, étant donné le projet de loi C-76 et l’exigence particulière voulant que chaque éditeur tienne son propre registre, nous aurions beaucoup de mal à satisfaire aux exigences.

M. Michel Picard:

Monsieur le président, je cède le reste de mon temps de parole à M. Erskine-Smith.

M. Nathaniel Erskine-Smith:

Je n'ai pas autant de compétences techniques que M. Graham, mais je peux lire le projet de loi C-76 et je l’ai sous les yeux.

C’est le délai de publication du registre qui est à l'origine de votre problème. Est-ce exact?

M. Jason Kee:

C’est exact.

M. Nathaniel Erskine-Smith:

D’accord.

On ne dit pas « en temps réel ». Vous avez dit « en temps réel » à plusieurs reprises, mais ce n’est pas ce que dit la loi.

La loi dit ceci: « commençant le jour de sa première publication ». C’est de cela que vous parlez.

M. Jason Kee:

C’est exact. Si l’annonce était affichée à 23 h 59, il faudrait que le registre soit mis à jour avant minuit.

M. Nathaniel Erskine-Smith:

C’est une interprétation. On pourrait en donner une autre, plus raisonnable: une période de 24 heures. Vous avez des avocats grassement payés et je présume qu’ils ont raison. Je réfléchis librement, sans avoir fait une analyse détaillée comme la vôtre, mais il est certain qu'une solution consisterait à reporter la publication de la publicité.

Pourquoi ne pourriez-vous pas reporter la publication afin d’avoir un délai de 24 ou de 48 heures avant la première publication? Tout serait alors très facile, n’est-ce pas?

M. Jason Kee:

Je le répète, techniquement, ce n’était pas possible pour nous.

M. Nathaniel Erskine-Smith:

Pourquoi pas?

M. Jason Kee:

Nos ingénieurs nous ont dit que ce ne serait pas réalisable.

M. Nathaniel Erskine-Smith:

Donc quand je fais paraître une annonce sur Facebook, les responsables ne la publient pas tout de suite. Il y a un délai et on essaie de voir s'il y a lieu de la publier.

Vos ingénieurs ne sont pas arrivés à comprendre un processus de report de 24 heures, de 48 heures ou même de sept jours, et vous dites que c'est à cause de nous si les exigences sur la programmation de la publicité électorale sont telles et que nous avons été impitoyables avec vous en imposant des délais serrés. Avec tout votre argent, vous avez été incapables de trouver une solution.

M. Jason Kee:

Il nous aurait été difficile de restructurer en six mois tous les systèmes sous-jacents de la publicité en ligne.

M. Nathaniel Erskine-Smith:

Je dois dire que je trouve les réponses ahurissantes. Par exemple, comment croire qu'un million de dollars représente quelque chose de pharamineux alors que vous avez réalisé des gains de 8 milliards de dollars au quatrième trimestre de l'an dernier. En ne prenant pas les choses assez au sérieux, vous portez préjudice à notre démocratie. Vous auriez dû faire bien mieux que cela.

Merci.

Le président:

Monsieur Gourde, vous avez la parole. Cinq minutes. [Français]

M. Jacques Gourde:

Je vais revenir à une question d'ordre pratique.

Élections Canada portera une attention particulière à toutes les plateformes numériques au cours de cette élection-ci. Si un problème surgit en raison d'une fausse publicité, d'une fausse nouvelle ou d'autre chose du genre, avez-vous un protocole d'entente pour travailler directement avec Élections Canada, le plus rapidement possible, afin de remédier à la situation?

(1625)

[Traduction]

M. Jason Kee:

Nous n’avons rien d’aussi officiel qu’un protocole d’entente. Nous avons eu des échanges extrêmement sérieux avec Élections Canada et le commissaire aux élections fédérales. Le Bureau du commissaire s’occupe de l’application de la loi, tandis qu'Élections Canada administre les élections.

Nous travaillons surtout avec Élections Canada pour trouver l'origine des données sur les candidats et des renseignements qui peuvent apparaître dans Google Search, par exemple, lorsqu'un internaute cherche des renseignements de cette nature.

Chose certaine, avec le commissaire aux élections fédérales, nous travaillons à des mesures d’application de la loi. Nous nous intéressons moins à sa grande préoccupation, la publicité, puisque nous n'en faisons pas, mais il y a aussi des mesures supplémentaires qui ont été prévues dans la loi au sujet de l’usurpation d’identité, par exemple, et nous travaillons avec lui à ces questions. Nous continuerons de travailler en étroite collaboration avec lui. [Français]

M. Jacques Gourde:

Cela m'inquiète tout de même un peu, parce qu'aujourd'hui, tout va si vite à l'ère numérique. S'il se produisait une irrégularité au cours de ma campagne électorale, j'irais faire une plainte auprès d'Élections Canada, et un représentant d'Élections Canada vérifierait peut-être auprès de vous dans la journée même. Vous me dites que vous n'avez aucun protocole d'entente, que vous n'avez jamais négocié afin de mettre en place des façons de fonctionner et que vous n'avez pas désigné des personnes. Un représentant d'Élections Canada va appeler chez vous, mais à qui s'adressera-t-il?

La plainte sera transférée d'une personne à l'autre, et quelqu'un finira par y répondre? Y a-t-il déjà une personne désignée au sein de votre compagnie pendant toute la période d'élections pour parler à un représentant d'Élections Canada et pour répondre aux plaintes? [Traduction]

M. Jason Kee:

Oui. Essentiellement, il y aura une équipe, selon le problème précis en cause, pour répondre aux questions précises qui seront soulevées. Nous parlons à ce sujet de cheminement hiérarchique.

Essentiellement, lorsque nous sommes en présence d'organismes de réglementation établis comme le Bureau du commissaire ou Élections Canada, ceux-ci ont les moyens d’obtenir des réponses immédiates à des questions urgentes simplement parce qu’ils font remonter les problèmes les plus graves. En pareil cas, nous faisons abstraction des circuits ordinaires et accélérerons les processus de rapport normaux.

Il vaut également la peine de noter que, au cas où vous verriez quoi que ce soit dans l’un de nos systèmes, nous avons une grande variété de mécanismes qui permettent de nous le signaler directement. Nous vous encourageons à les utiliser. [Français]

M. Jacques Gourde:

Cette équipe est-elle déjà en place? Existe-t-elle déjà ou sera-t-elle formée pendant l'été? [Traduction]

M. Jason Kee:

Nous sommes en train de mettre l’équipe sur pied. [Français]

M. Jacques Gourde:

Merci.

C'est tout pour moi. [Traduction]

Le président:

Ce sera maintenant M. Baylis. Cinq minutes.

M. Frank Baylis (Pierrefonds—Dollard, Lib.):

Merci, messieurs.

Je voudrais revenir un peu sur ce que disait mon collègue, M. Erskine-Smith. De toute évidence, nous avons du mal à vous croire au sujet de votre capacité de satisfaire aux exigences du projet de loi C-76. Facebook dit pouvoir y arriver. Êtes-vous au courant?

M. Jason Kee:

Nous sommes au courant.

M. Frank Baylis:

Vous savez donc.

Quelles compétences ont ses ingénieurs que les vôtres n’ont pas?

M. Jason Kee:

Ce n’est pas une question de compétences. Ses systèmes de publicité fonctionnent très différemment des nôtres et Facebook a pu répondre aux exigences d'une manière qui est impossible pour nous.

M. Frank Baylis:

Que se passe-t-il si, lorsqu'on veut publier une annonce, qu'on va sur la page, affiche la publicité et coche la petite case pour indiquer qu'il s'agit d’une publicité politique? Ensuite, vos programmeurs font exactement ce que M. Erskine-Smith a décrit, ce qui entraînerait un délai d'au plus 24 heures.

Pourquoi ne pas faire comme cela? C'est une solution qui semble assez simple.

M. Jason Kee:

À cause du mode de fonctionnement de nos systèmes publicitaires, la solution n’est pas aussi simple qu’elle pourrait le sembler à première vue. Ce sont des systèmes extrêmement complexes et le moindre changement a des effets en cascade. Après de longues discussions sur la capacité de mettre en place des systèmes comme ceux-là, il est devenu évident que nous ne pouvions pas y arriver à temps.

M. Frank Baylis:

C’est devenu clair, alors vous avez eu une longue discussion. Bien entendu, lorsque vous avez eu cette discussion, vous avez établi un calendrier raisonnable, n’est-ce pas?

M. Jason Kee:

Nous cherchions à respecter la date limite du 30 juin, date à laquelle les exigences...

M. Frank Baylis:

J’ai compris. Vous avez dit que vous ne pouviez pas respecter cette date.

Lorsque vous avez eu cette solide discussion, vous avez clairement dit que vous aviez tout examiné et que vous ne pourriez pas y arriver cette fois-ci. Vous aviez un calendrier à respecter. Quelle était la date à respecter?

M. Jason Kee:

Le 30 juin était la seule date à prendre en considération parce que c’est celle de l'entrée en vigueur des exigences de la loi.

M. Frank Baylis:

Disons que je dois réaliser un projet et que je dois le faire d’ici le 30 juin. Je me demande comment je vais m’y prendre, je vois les étapes à franchir et je fixe une date, et je me demande si je peux la respecter ou non.

Je ne dis pas simplement qu’en tant qu’ingénieur, je ne peux pas y arriver pour le 30 juin. Les ingénieurs ont dû faire des calculs et des projections. Voilà ce que je vous demande. Ils ont sûrement fait ces calculs pour dire qu’ils ne pouvaient pas atteindre tel ou tel objectif. Quand ils ont fait ces projections, à quelle date sont-ils arrivés?

M. Jason Kee:

Il n’y avait pas d'autre date que le 30 juin, la date d'entrée en vigueur des obligations prévues par la loi. Si le système n'était pas élaboré et mis en place à ce moment-là, nous dérogerions à la loi. Par conséquent, si c’était...

(1630)

M. Frank Baylis:

Comment sont-ils arrivés à la conclusion qu’ils ne pouvaient pas respecter cette date?

M. Jason Kee:

Simplement en examinant la charge de travail à accomplir...

M. Frank Baylis:

D’accord, alors ils ont examiné le travail nécessaire et ils ont dit que c’était une lourde charge. J’ai compris. Ils devaient dire combien de temps il faudrait si le travail s'amorçait aujourd’hui. Combien de temps ont-ils dit qu'il faudrait?

M. Jason Kee:

Ils ne nous ont pas donné cette projection.

M. Frank Baylis:

Je voudrais comprendre quelque chose. Nous avons dit qu’il fallait apporter les changements au plus tard le 30 juin. Les ingénieurs ont fait une sorte de projection, concluant qu'ils ne pouvaient pas y arriver. Mais ils n'ont pas dit quand ils pouvaient y arriver; seulement qu'ils ne pouvaient pas le faire. Mais ils doivent dire, par exemple qu'il leur faut six mois, sept mois, 10 mois, 10 ans, et ajouter ensuite que, s'ils s'y mettent aujourd'hui, ils peuvent achever le travail à une certaine date. Quelle est cette date?

M. Jason Kee:

Je ne peux pas vous donner cette information. On leur a simplement demandé s'ils pouvaient y arriver à une date donnée.

M. Frank Baylis:

Même si on demande: pouvez-vous faire cela d'ici... Disons que je veux me faire construire une maison dans les 10 jours. Le constructeur fait ses calculs et me dit qu'il lui en faut 30. Parfait. Donc, à compter d'aujourd'hui, vous avez 30 jours.

Mettons que je veuille programmer quelque chose, et c’est vraiment compliqué.

Je comprends, monsieur Kee, que ce soit très compliqué. Je fais donc mes calculs, je dis qu'il me faut sept mois alors qu'on me demande de m'en tenir à six. Ce n’est pas possible. Je comprends. Mais je veux un chiffre, que ce soit sept mois ou 10 jours. Je veux connaître la date que donnent les prévisions. C’est une question simple. Les ingénieurs ne peuvent pas se contenter de dire que ce n’est pas possible, parce qu’ils n’ont pas fait le travail.

Me suivez-vous ou non?

A-t-on établi un calendrier pour dire quand cela pourrait se faire? Il faut qu’ils aient fait cette étude pour pouvoir dire qu'il était impossible de respecter le délai.

M. Jason Kee:

Je n’ai pas cette information. Je peux me renseigner.

M. Frank Baylis:

Je ne vous demande pas seulement de vous renseigner. Je vous demande de revenir ici et de nous donner la date précise découlant de leurs calculs. C'est clair?

M. Jason Kee:

Absolument.

M. Frank Baylis:

Comprenez-vous ce que je demande?

M. Jason Kee:

Je vois ce que vous voulez savoir. Pouvons-nous communiquer cette donné, étant donné qu’il s’agit de renseignements techniques confidentiels internes...

M. Frank Baylis:

Vous ne pouvez pas divulguer...

M. Jason Kee:

Je dis que je n’ai pas été informé des dates prévues.

M. Frank Baylis:

Je comprends que vous n’en avez pas été informé, mais ce renseignement existe. Allez-vous le communiquer ou non? Est-ce une sorte de secret qu’il faut... Fait-il partie des secrets de Google?

M. Jason Kee:

Soit dit simplement, je ne peux pas m’engager à divulguer des renseignements sans avoir des échanges à l'interne au préalable.

M. Frank Baylis:

Je voudrais voir les calculs exacts que les ingénieurs ont faits avant de dire qu'ils ne pouvaient respecter une date donnée. Est-ce une question logique ou non? Est-ce une question qui ne tient pas debout? Je suis curieux.

M. Jason Kee:

Étant donné que, à compter du 30 juin, des obligations légales sont en vigueur et que... [Inaudible]

M. Frank Baylis:

Ils ne pouvaient pas respecter les exigences, j’ai compris.

M. Jason Kee:

La question appelait un oui ou un non: « Pouvez-vous y arriver avant cette date? » La réponse a été non. Voilà où nous en étions.

M. Frank Baylis:

D’accord, alors comment les ingénieurs en sont-ils arrivés à dire non? On leur a demandé s'ils pouvaient faire le travail en six mois et ils ont répondu par la négative.

Comment en sont-ils arrivés là? Ont-ils simplement dit: « Non, impossible », ou ont-ils fait un calcul quelconque?

C’est une question simple. Je vous demande: « Pouvez-vous faire le travail dans tel délai? » La réponse est négative. Avez-vous simplement dit non comme ça, ou avez-vous fait un travail quelconque avant de conclure que c'était impossible?

Facebook a dit: « Nos ingénieurs sont peut-être un peu plus intelligents », ou: « Nos systèmes ne sont manifestement pas aussi complexes que leurs merveilleux systèmes » ou encore: « Nous avons plus d’argent que Google pour faire le travail ». J'ignore ce qu'on a fait chez Facebook, mais ces gens-là ont fait des calculs et conclu qu'ils pouvaient y arriver.

Vous avez fait des calculs avant de répondre non, ou avez-vous simplement dit comme ça: « Non, impossible »?

Avez-vous répondu spontanément ou avez-vous au moins fait un certain travail? C’est ce que je demande; et si vous avez fait un certain travail, je voudrais en prendre connaissance.

M. Jason Kee:

Je le répète, nous avons examiné les exigences et il a été évident que nous ne pouvions vraiment pas nous y conformer dans le délai imparti. Soyons clairs: il est également évident que Microsoft ne peut pas y arriver; Yahoo! n'a pas encore annoncé sa décision, mais il probable qu'il ne pourra pas non plus; beaucoup d’autres ne seront pas en mesure de satisfaire aux exigences.

M. Frank Baylis:

Facebook peut le faire; et vous dites que Microsoft...

Yahoo! fait des calculs pour voir s'il est possible d'y arriver.

Vous avez fait des calculs, ou avez-vous pris une décision spontanée?

C’est une question simple: avez-vous fait des calculs ou simplement décidé que c'était impossible?

M. Jason Kee:

Nos équipes d’ingénieurs nous ont dit que nous ne serions pas en mesure de satisfaire aux exigences. C’est cela...

M. Frank Baylis:

Votre équipe d’ingénieurs a-t-elle répondu sans trop réfléchir ou a-t-elle fait un travail quelconque?

Pourquoi ces mystères? Si vous avez fait le travail, répondez simplement: « Écoutez, Frank, nous avons examiné la question; il nous faudrait 2,2 ans et quatre mois. »

Pourquoi êtes-vous si contrarié? Dites-le-moi. Pourquoi ces mystères?

M. Jason Kee:

Il ne s’agit pas d’être contrarié. C’est plutôt qu’il y avait un délai ferme et qu'il fallait répondre par oui ou non. La réponse...

M. Frank Baylis:

D’accord, mais comment êtes-vous parvenus à la réponse?

M. Jason Kee:

J'ai dit qu'il nous faudrait voir.

M. Frank Baylis:

Les ingénieurs ont-ils répondu spontanément ou ont-ils fait des calculs? Vous avez dit que Yahoo! est en train de faire des calculs.

M. Jason Kee:

Je vous ai déjà dit qu’il faudrait nous renseigner.

M. Frank Baylis:

Allez-vous nous communiquer les dates...

M. Jason Kee:

Je dois me renseigner.

M. Frank Baylis:

... et les calculs?

M. Jason Kee:

Je dois me renseigner. Je ne peux pas m’engager à vous communiquer les calculs.

M. Frank Baylis:

S’ils l’ont fait...

Le président:

Merci, monsieur Baylis. Nous aurons encore un peu de temps. Si vous voulez intervenir de nouveau, vous pourrez demander à le faire.

C’est maintenant au tour de M. Dusseault.

Mesdames et messieurs, il nous reste passablement de temps. Nous avons 55 minutes. Les témoins sont là pour le reste de la période. Quoi qu’il en soit, dites-moi. D'habitude, nous essayons de terminer à 17 heures le jeudi, mais nous verrons où cela nous mènera.

Monsieur Dusseault, vous avez trois minutes. [Français]

M. Pierre-Luc Dusseault:

Merci, monsieur le président.

Cette fois-ci, je vais me concentrer davantage sur YouTube, une plateforme très populaire qui a beaucoup d'influence, tout comme Google — dont elle fait partie. J'en parlais d'ailleurs tantôt. YouTube dirige parfois des usagers vers des contenus extrêmes, peu fiables, qui font état de théories conspirationnistes ou qui en font aussi l'éloge à l'occasion. YouTube fait passer ces contenus pour de la véritable information.

Je me demandais si vous aviez quelques détails à nous donner sur l'algorithme utilisé concernant les usagers, une fois qu'ils sont sur une page Web affichant, disons, un contenu de nature politique, puisque c'est le sujet de notre discussion aujourd'hui. L'algorithme va leur donner des suggestions d'autres vidéos à droite de la page qu'ils consultent, ou sous la vidéo s'ils utilisent un téléphone mobile. Quel algorithme est utilisé et quel est le degré de transparence de cet algorithme qui suggère du contenu aux usagers quand ils sont sur une page Web en particulier?

Quel mécanisme y a-t-il pour s'assurer que ce contenu ne fera pas l'éloge de théories de conspiration ou ne donnera pas de fausses nouvelles, de l'information peu fiable ou, peut-être aussi, de l'information non équilibrée, c'est-à-dire de l'information qui fait peut-être juste la promotion d'une idée ou d'une vision, d'un parti politique?

Quel degré de transparence et quel mécanisme avez-vous mis en place pour vous assurer que le contenu qui est suggéré aux usagers est un contenu de qualité, qu'il est équilibré en matière de politique publique, de partis politiques et d'idées politiques également?

(1635)

[Traduction]

M. Jason Kee:

Un certain nombre de facteurs entrent en ligne de compte dans le système de recommandation. Il vaut la peine de souligner que la pondération qui se fait autour des informations et du contenu est différente, disons, de celle qui s'applique au divertissement. Au départ, les recommandations visaient davantage le contenu de divertissement comme la musique, etc. En fait, cela fonctionne extrêmement bien à cet égard.

Lorsque le système a été appliqué à l'information, il est devenu plus évident qu’il y avait des difficultés à surmonter, et c’est même pourquoi nous avons modifié le système de pondération. Ce que cela signifie, c’est qu'il faut examiner le facteur lorsque nous évaluons la vidéo et voir ensuite dans quelle mesure elle fait autorité: surpondération pour ce qui fait autorité et sous-pondération pour l’information qui ne fera pas nécessairement autorité ou qui ne sera pas digne de confiance.

C’est très contextuel. Cela dépend des détails de votre signature. L’information est disponible pendant votre temps de navigation. On se fonde sur l’information sur la vidéo que vous regardez, sur le genre de vidéo que d’autres personnes ont aimé regarder et sur les autres vidéos que les gens qui ont aimé cette vidéo aiment regarder, etc. C’est pourquoi tout est vraiment dynamique, évolue et change constamment.

En plus d’apporter des rajustements et des changements au système au fil du temps pour veiller à ce que nous fournissions de l’information faisant davantage autorité dans le cas des informations, nous ajoutons également des éléments contextuels supplémentaires, grâce auxquels nous aurons en fait des indicateurs clairs, des étiquettes et des cases contextuelles pour indiquer s’il y a des sujets ou des personnes qui font souvent l’objet de désinformation. Par exemple, il y a les théories du complot que vous avez évoqués.

En gros, si l'internaute voit une vidéo qui donne à penser qu'il a une certaine hésitation à l’égard de la vaccination, etc., il obtiendra de l’information disant qu'il n'y a pas de confirmation scientifique et fournissant des données contextuelles sur le sujet de la vidéo. La même chose s’applique par exemple aux théories du complot concernant les attentats du 11 septembre. Ce sera un processus ininterrompu.

Nous voulons surtout nous assurer que, même si un utilisateur voit de l’information, on lui donne le contexte pour qu’il puisse l’évaluer lui-même. [Français]

M. Pierre-Luc Dusseault:

J'aimerais utiliser les secondes qu'il me reste pour discuter de la transparence de cet algorithme. Plus tôt, je pense que M. McKay a parlé de cette question de transparence pour ce qui est des publicités, à savoir pourquoi certaines publicités vous sont présentées. Il y a même, semble-t-il, une nouvelle fonctionnalité du navigateur Chrome qui permet justement aux usagers de voir pourquoi telle publicité leur a été proposée.

Serait-il possible d'avoir cette même fonctionnalité pour ce qui est du contenu recommandé aux utilisateurs de YouTube? Ces derniers pourraient ainsi un peu mieux comprendre pourquoi tel contenu leur est suggéré plutôt qu'un autre. [Traduction]

M. Jason Kee:

Nous cherchons constamment des moyens d’accroître la transparence et de faire en sorte que les utilisateurs comprennent le contexte dans lequel ils reçoivent l’information.

En fait, nous avons publié un rapport — je crois qu’il comptait 25 pages — sur la façon dont Google lutte contre cette information. Cela comprend toute une section consacrée à YouTube qui explique une bonne partie de ce que je vous ai décrit, ainsi que, encore une fois, les facteurs généraux qui entrent en ligne de compte. Nous nous efforcerons d’atteindre cet objectif, comme nous le faisons pour les publicités sur la plateforme YouTube.

(1640)

M. Colin McKay:

Je voudrais ajouter quelque chose à ce que M. Kee vient de dire. Dans le cas du compte Google, l'internaute peut aller dans « myaccount » et il y trouve ce que nous avons identifié comme ses intérêts pour l’ensemble de nos produits et services. Il peut aller dans myaccount et voir qu’en général, il aime la musique des années 1980 et les vidéos de course, par exemple Il y trouve cette observation générale, qu'il peut ensuite corriger. Il peut supprimer cette information ou ajouter des intérêts supplémentaires afin que nous puissions mieux comprendre ce qui l'intéresse et ce qu'il ne veut pas recevoir.

Sur la page elle-même, il y a une petite barre de trois points à côté des vidéos, les vidéos spécialement recommandées — sur les appareils mobiles, comme vous l’avez dit — où l'internaute peut signaler que tel contenu ne l'intéresse pas ou qu'il en voudrait davantage. Il y a un contrôle fin qui permet de ne pas voir telle ou telle chose dans son flux vidéo, sur son fil de nouvelles ou dans les services de Google.

Le président:

Merci.

Nous allons passer au prochain tour, qui sera le dernier. Nous avons quatre autres questions à poser, ou quatre autres créneaux. Sur la liste figurent M. Graham, M. Erskine-Smith, M. Nater et M. Baylis, qui ont chacun cinq minutes.

Cela vous convient-il?

Allez-y, monsieur Graham.

M. David de Burgh Graham:

Merci.

Je voudrais revenir sur d’autres questions concernant les délais. Au tout début, pendant le premier tour, nous avons essayé de savoir si vous seriez prêts pour les prochaines élections, en 2023. Il semblait difficile de répondre à cette question. Je n’ai jamais eu de réponse disant que Google serait prêt à appliquer les dispositions du projet de loi C-76 d’ici les élections fédérales de 2023. À supposer qu'elles aient lieu cette année-là.

Si nous savons que le système sera prêt pour 2023 et ne le sera pas pour le 30 juin 2019, savez-vous à quoi vous en tenir? Y travaillez-vous sérieusement en ce moment? Savez-vous s’il sera prêt à un moment donné entre ces deux dates?

M. Jason Kee:

En termes simples, ce serait clair si je disais que nous allons nous efforcer d'être prêts d’ici 2023. Je ne peux pas prendre d'engagement précis quant à la date.

Il vaut la peine de souligner autre chose: nous sommes une entreprise mondiale et nous travaillons à des élections dans le monde entier. Les équipes chargées de ce travail déploient le rapport de transparence d’un endroit à l’autre. Cela continuera d’évoluer et de croître. De plus, nos propres systèmes de publicité continueront d’évoluer et de croître.

C’est pourquoi il est très difficile de fixer une date ferme, de dire par exemple qu'il faudra deux ans. D'ici là, il y aura un certain nombre de changements, qui ont du reste déjà été amorcés dans le système et qui auront des répercussions à cet égard.

M. David de Burgh Graham:

Compris.

Lorsque le RGPD est entré en vigueur, assez récemment, combien de temps vous a-t-il fallu pour le mettre en place?

M. Colin McKay:

Je crois qu’il a fallu plus de quatre ans pour discuter du RGPD et de son application. La mise en oeuvre se poursuit. Dès le départ, nous nous sommes concentrés sur le RGPD en participant à la discussion sur le contenu, le ton et les objectifs du texte, en travaillant en étroite collaboration avec la Commission européenne et son personnel, puis en veillant à ce que nous ayons les systèmes en place pour pouvoir nous y conformer. C’est un processus qui se poursuit.

Pour faire une analogie, disons qu'il y a une distinction extrême entre la façon dont les amendements au projet de loi C-76 ont été examinés et mis en oeuvre et la manière dont les lois sont normalement étudiées et mises en oeuvre.

M. David de Burgh Graham:

Je comprends ce que vous voulez dire.

Monsieur Kee, pendant le dernier tour, j’ai parlé des changements de 15 mots. Entre les tours, j’ai parcouru mes notes, car je siège au Comité de la procédure et j’ai participé au processus du projet de loi C-76 du début à la fin. Nous avons entendu de nombreux témoins et reçu beaucoup de mémoires, mais je n’en trouve aucun de Google. Sur ces 15 mots, comment...

M. Jason Kee:

C’est parce que les changements ont été apportés lors de l’étude article par article après la clôture de la liste des témoins, de sorte que nous n’avons pas fait de représentations au comité parce que l'on n’étudiait pas les dispositions en question à ce moment-là.

Comme je l’ai dit, je me ferai un plaisir de les distribuer maintenant. C'est à ce stade qu'elles ont été fournies au comité sénatorial.

M. David de Burgh Graham:

D’accord. Merci. C’est bon à savoir.

C’est tout pour l’instant. Je vous remercie de votre participation. La réunion a été intéressante, et je vous en remercie beaucoup.

Le président:

Merci.

Allez-y, monsieur Baylis.

M. Frank Baylis:

Vous n’accepterez pas les publicités politiques. C’est la décision qui a été prise, n’est-ce pas?

M. Jason Kee:

C’est exact.

M. Frank Baylis:

D’accord.

Comment allez-vous m’empêcher de faire de la publicité? Vous ne voulez pas accepter ma publicité, mais je suis, disons, vilain. Je ne suis pas un bon acteur, alors je vais essayer de faire passer une annonce de toute façon. Comment m’en empêcherez-vous?

M. Jason Kee:

Comme je l’ai dit dans ma déclaration préliminaire, toute la publicité entrante sera évaluée par une combinaison de systèmes automatisés et des équipes d'inspecteurs chargées d'en faire la police.

M. Frank Baylis:

D’accord. Pour m’arrêter, vous allez mettre en place ce système permettant d'identifier une publicité, n’est-ce pas?

M. Jason Kee: C’est exact.

M. Frank Baylis: Et à côté vous aurez une équipe de contrôleurs — un système automatisé, une équipe non automatisée —et ils vont aussi identifier ces publicités, n’est-ce pas?

(1645)

M. Jason Kee:

Oui. En général, le système automatisé fait un premier tri dans les publicités basé sur la recherche de signaux ou de balises indiquant qu’il s’agit probablement d’une publicité politique. Puis, éventuellement, l’examen est confié à une équipe humaine, s’il faut par exemple une analyse contextuelle que les machines ne peuvent tout simplement pas fournir.

M. Frank Baylis:

D’accord. Vous n’êtes pas en mesure de créer le registre dans ce délai, mais vous êtes en mesure de mettre en place les programmes, le personnel et les ressources nécessaires pour y mettre fin, n’est-ce pas?

M. Jason Kee:

C’est exact.

M. Frank Baylis:

D’accord. J’arrive avec ma pub. Vous pouvez soit l'accueillir dans le registre, soit tout simplement la bloquer, mais vous pouvez clairement l’identifier, n’est-ce pas? Nous sommes d'accord là-dessus. Vous venez de dire que vous pouvez l’identifier.

M. Jason Kee:

Nous utiliserons nos systèmes pour identifier et appliquer nos politiques publicitaires, oui.

M. Frank Baylis:

Vous avez admis que vous pouvez identifier la publicité.

M. Jason Kee:

C’est exact.

M. Frank Baylis:

D’accord.

Une fois que vous pouvez déterminer qu’il s’agit de la publicité, au lieu de dire: « J’ai toute ma technologie et les gens pour la bloquer » — vous l'avez — pourquoi ne pouvez-vous pas simplement dire: « D’accord, je l’ai identifiée, et je vais simplement la verser au registre »?

M. Jason Kee:

Simplement parce que, encore une fois, on aurait du mal à actualiser le registre en temps réel et, comme je l’ai dit, on fournirait aussi par là cette information à des tiers.

M. Frank Baylis:

Vous ne pouvez pas le faire en temps réel.

Disons que j’arrive. Vous avez votre système automatisé. Voici la pub. elle n’est pas bonne, mais vous ne le savez pas parce que vous ne pouvez pas le faire en temps réel, n’est-ce pas? C’est sur votre page ou votre plateforme Google pour le temps qu’il vous faut... Vous ne pouvez pas le faire en 24 heures, alors combien de temps vous faut-il... Deux jours? Donnez-moi un chiffre.

M. Jason Kee:

Eh bien, comme je l’ai dit, elle serait étiquetée, puis examinée...

M. Frank Baylis:

Je sais, mais combien de temps vous faudra-t-il pour l’identifier? Pas moins de 24 heures, n’est-ce pas? J’ai compris. En combien de temps pouvez-vous le faire? Une semaine? Un jour? Deux jours?

M. Jason Kee:

Encore une fois, je ne pourrais pas vous donner de délais précis.

M. Frank Baylis:

Disons 48 heures. Pouvons-nous dire cela simplement pour les besoins de la discussion?

J’arrive. Voici ma publicité — boum. J’ai un système pour l’identifier. Mais ça prend 48 heures, n’est-ce pas? Ma pub est dans votre système pendant 48 heures avant que vous ne disiez: « Bigre, ça nous a pris 48 heures pour identifier cette pub et maintenant on doit la retirer. » C'est ce qui va se passer?

M. Jason Kee:

Comme je l’ai dit, on aura à la fois les systèmes automatisés et notre équipe d’inspection de publicité pour l'identifier et...

M. Frank Baylis:

Mais seront-ils en mesure de l’identifier en temps réel?

M. Jason Kee: ... qui s’appliqueront essentiellement...

M. Frank Baylis: En temps réel?

M. Jason Kee:

Le plus rapidement possible.

M. Frank Baylis:

D’accord, mais vous devez le faire dans les 24 heures, n’est-ce pas?

M. Jason Kee:

Il y a une différence entre la capacité d’identifier et de supprimer une pub et celle de mettre à jour un registre de publicité.

M. Frank Baylis:

D’accord. Je veux m’assurer de bien comprendre. Il y a une différence entre le fait de pouvoir l’identifier et la retirer dans les 24 heures, aucun problème... Pour l’identifier et la retirer, j’ai un système automatisé et le personnel qui va avec. Disons que j’ai identifié la pub et que je l’ai retirée — Ouf, on a eu chaud. Je peux l’identifier et l’enlever en 24 heures, mais je ne peux pas l’identifier et l’inscrire dans un registre, comme une grosse base de données — d'ailleurs même pas si grande, j’imagine, selon vos normes. Est-ce bien ce que je comprends?

M. Jason Kee:

En raison d’autres aspects complexes liés aux exigences du registre, c’est la raison pour laquelle on n’a pas pu déployer le système. Comme je l’ai dit, nous le faisons dans d’autres pays, n’est-ce pas?

M. Frank Baylis:

Oui, j’en suis sûr.

Soyons clairs sur ce que vous dites. Vous pouvez identifier et bloquer la pub dans les 24 heures, à l’aide d’une combinaison de logiciels et de personnes.

Vous pouvez l’identifier et la bloquer dans les 24 heures. Est-ce exact?

M. Jason Kee:

Comme je l’ai dit, on appliquera la loi de façon très rigoureuse en ce qui concerne la détection et le retrait.

M. Frank Baylis:

Vous avez les systèmes, avez-vous dit. C'est l'oeuvre de vos ingénieurs.

Disons que j’ai identifié et bloqué la pub dans les 24 heures. Une fois que vous l’avez identifié, quelle que soit la programmation... parce qu'il en faut un peu pour dire, « paf, retirez-le dans les 24 heures ». J’imagine que vous pouvez le faire instantanément ou est-ce qu'elle restera 24 heures? Je ne sais même pas. Combien de temps restera-t-elle? C’est la question que je vous pose.

M. Jason Kee:

Comme on le fait pour toutes les catégories de publicité, on essaie de les supprimer immédiatement après la détection.

M. Frank Baylis:

Oh, immédiatement. Qu’est-ce que c’est? Instantanément?

M. Jason Kee:

Immédiatement après la détection.

M. Frank Baylis:

D’accord. Vous pouvez donc la capturer et la supprimer immédiatement, mais vous ne pouvez pas la capturer et, dans les 24 heures, programmer son transfert dans cette base de données? Bien franchement, c’est trop demander. Vos programmeurs ne peuvent pas le faire, mais bien sûr qu'ils peuvent faire le programme, la trouver, constituer une équipe de soutien et la retirer instantanément. Cette pub n'est pas diffusée. Disons que je connais la pub et que je l’ai trouvée instantanément, mais vous voudriez que je programme une base de données? Allons donc, nous ne sommes que Google...

Combien de milliards d’heures êtes-vous regardé par jour, avez-vous dit? Était-ce 500? Quel était votre chiffre?

M. Jason Kee:

Sur YouTube, il y a un milliard d’heures de contenu regardé chaque jour.

M. Frank Baylis:

Un jour? Vous avez donc une assez grosse base de données. Puis-je le supposer?

M. Jason Kee:

Il y a une multitude de bases de données, mais encore une fois...

M. Frank Baylis:

Pour une petite base de données pour un tas de publicités légales à mettre... Je ne peux pas imaginer que cette base de données représente un dixième d’un dixième de votre réseau matériel/logiciel, mais vos ingénieurs ne peuvent pas programmer... Ils peuvent tout faire. Ils peuvent l’attraper et l’identifier instantanément, mais ils ne peuvent tout simplement pas l’inscrire dans une base de données parce que c’est trop compliqué? la gestion des bases de données n’est-elle pas l’une des spécialités de Google? Est-ce que je me trompe?

(1650)

M. Jason Kee:

Comme je l’ai déjà dit, nous ne pouvions tout simplement pas répondre aux exigences particulières.

M. Frank Baylis:

Pouvez-vous mettre...

Le président:

Monsieur Baylis, cela met fin au temps dont vous et M. Erskine-Smith disposiez ensemble.

Nous avons quelqu’un d’autre, puis nous reviendrons à vous.

M. Frank Baylis:

D’accord. C’est juste.

Le président:

Il semble que c’est ce que vous demandez.

Nous passons maintenant à M. Nater, pour cinq minutes.

M. John Nater (Perth—Wellington, PCC):

Merci, monsieur le président.

Je suis heureux de faire partie de ce comité. Je siège habituellement au Comité de la procédure et des affaires de la Chambre, alors c'est bon de changer un peu de décor.

En ce qui concerne YouTube, vous avez des politiques en place touchant ce qui peut être et ne pas être diffusé sur YouTube. Mais bien souvent, il y a des situations où certaines des vidéos les plus virales, ou celles qui frôlent la ligne sans vraiment la franchir... Comment déterminez-vous à quel point vous êtes près de cette ligne? Quel type d’analyse contextuelle y a-t-il? Quels types de mesures de protection sont en place pour établir où se trouve la limite et quand quelqu’un la frôle sans nécessairement la franchir? Quels types de procédures avez-vous mis en place?

M. Jason Kee:

Essentiellement, toute vidéo identifiée comme tangente, au moyen d'un rapport ou de nos systèmes automatisés, qui, on l'a dit, vérifient la conformité des vidéos, est soumise à un examen manuel pour une analyse humaine. L’examen, en gros, conclura, d’accord, ceci ne va pas vraiment jusqu’au discours haineux qui incite à la violence, mais ça a quelque chose de dénigrant et la vidéo sera classée parmi les cas limite.

M. John Nater:

J’aimerais revenir un instant au projet de loi C-76.

Quand on parle de technologie, d’innovation, d’économie numérique, ce n'est pas aux fonctionnaires du Bureau du Conseil privé, ni à ceux d’Élections Canada que je pense en premier lieu. Quand je pense à l'univers de l’économie numérique, je pense à des entreprises comme Google, Facebook, Twitter — celles qui innovent.

Dans votre témoignage, vous avez mentionné que les rédacteurs du projet de loi ne vous avaient pas consulté. Je trouve cela troublant. Le gouvernement est probablement l’un des pires délinquants pour ce qui est de suivre l’évolution de la technologie, surtout lorsqu’il rédige des lois, lorsqu’il ne consulte pas les gens de l’industrie.

La décision de ne pas faire de publicité était surtout d'ordre technique, avez-vous dit, en raison de l'échéance du 30 juin, 1 juillet, impossible à tenir. Je peux l’accepter, et je tiens à préciser pour le compte rendu la raison pour laquelle je l’accepte.

Élections Canada a lui-même dit que les dispositions du projet de loi C-76auraient dû être en vigueur et recevoir la sanction royale au plus tard le 30 avril 2018. Le 30 avril 2018, le projet de loi avait tout juste été déposé à la Chambre des communes. Il n’a reçu la sanction royale qu'en décembre 2018.

Si Google, YouTube, vos entreprises privées décident demain que vous ne voulez plus diffuser de belles vidéos de chats, il n’y a rien que le gouvernement du Canada puisse faire pour vous y forcer. Ce serait la même chose, je suppose, pour n’importe quel type de publicité. Si vous décidez de ne pas faire de publicité pour une raison autre que les violations des droits de la personne, rien ne vous oblige à le faire.

Ce que je trouve fascinant, cependant — et c’est davantage une diatribe qu’une question —, c’est que le gouvernement du Canada, dans sa hâte de mettre en oeuvre ce projet de loi à la toute dernière minute, n’a jamais consulté ceux qui pour l'essentiel devraient le mettre en oeuvre .

Les changements ont été apportés au cours de l’étude article par article. Il y en a eu plus de 200. J’ai participé à la plupart de ces discussions, hormis quelques séances manquées en raison d'une naissance. Ensuite, ils ont été déposés à la dernière minute, après que les témoins aient eu l’occasion de discuter...

Ce n’est pas une question, mais vous pouvez faire des commentaires à ce sujet. Je suis tout simplement incrédule à l’idée que le gouvernement précipite l’adoption de ce projet de loi — la toute dernière période possible avant les élections — pour ensuite s’attendre à ce que toutes les entreprises privées se conforment aux règles pour lesquelles elles n’ont pas eu l’occasion a) d'être consultées ou b) de faire des suggestions pendant l’étude article par article.

Je serais heureux de savoir ce que vous en pensez.

M. Colin McKay:

Je peux répondre par une observation. Nous sommes en train de discuter du fait qu’une entreprise a déclaré ne pouvoir mettre en oeuvre cette mesure, en respectant l'échéance du 30 juin, et du fait que l'on a fourni de l’information sur les raisons pour lesquelles on ne peut pas mettre en place les outils répondant aux exigences de la Loi électorale telle que modifiée.

La réalité, comme vous l’avez décrite, c’est que toutes les entreprises ont des produits et services différents dans cette industrie, que ce soit pour la publicité ou la diffusion de nouvelles, et qu'elles peuvent interpréter leurs obligations et leur capacité de les respecter de multiples façons. Jusqu’à maintenant, une seule entreprise a dit qu’elle allait mettre en oeuvre un outil décrit dans la loi.

Je ne dis pas cela à titre de défense, mais pour refléter la complexité des questions. Comme vous l’avez fait remarquer, il faut beaucoup d’études et de discussions pour être en mesure de déployer des outils qui sont efficaces, qui durent longtemps et qui fournissent l’information de façon prévisible et fiable aux utilisateurs.

On ne veut absolument pas se retrouver dans une situation où l'on ne serait pas en mesure de le faire. Notre travail consiste à fournir de l’information et des réponses aux questions de nos utilisateurs.

Cependant, on est dans une situation inconfortable où le respect de la loi passe par la suppression de la publicité politique. La réalité, comme vous l’avez dit, c’est qu’avec d’autres consultations et une discussion sur les amendements déposés par M. Kee, ainsi qu’une plus grande considération de l’industrie, tant de notre point de vue que de celui des entreprises canadiennes et des sites canadiens, on aurait peut-être pu aboutir à une issue différente sur l’outil approprié pour les Canadiens permettant de leur fournir de l’information pendant ce cycle électoral.

(1655)

Le président:

On va maintenant recourir à une combinaison. On entendra d’abord M. Erskine-Smith, puis M. Baylis pour terminer. Il nous reste environ quatre minutes.

Allez-y, monsieur Erskine-Smith.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

J’aimerais d’abord vous poser une question au sujet de l’équipe chargée de la vérification. Évidemment, beaucoup dépend de l’honnêteté des utilisateurs, d’une certaine façon. On a eu écho de votre expérience dans l’État de Washington où des publicités politiques ont été placées dans certains cas.

Quelle est la taille de l’équipe au Canada qui examinera cette question? Combien d’employés...

M. Jason Kee:

Il y aura une équipe décentralisée qui sera renforcée au besoin pour répondre à la demande et appliquer la politique en matière de publicité.

M. Nathaniel Erskine-Smith:

Vous visez quels effectifs?

M. Jason Kee:

Je n'ai pas de chiffre précis à vous donner: un nombre suffisant pour assurer le respect de la politique.

M. Nathaniel Erskine-Smith:

D’accord.

Je pose la question au sujet des chiffres, parce qu’en ce qui concerne la confiance et la sécurité... Encore une fois, ceci est tiré d’un article de Bloomberg. Je crois savoir qu’il y avait un nombre modeste d’employés — seulement 22, je crois — qui devaient examiner le contenu pour garantir qu'il est fiable et sûr. Ce nombre est maintenant plus élevé.

Quel est le nombre exact de personnes qui examinent actuellement le contenu pour garantir qu'il est fiable et sûr?

M. Jason Kee:

Plus de 10 000.

M. Nathaniel Erskine-Smith:

Vous êtes donc passé de 22 à plus de 10 000. C’est formidable.

Peut-être pourriez-vous m’éclairer... En 2016, un de vos employés a proposé que le contenu frôlant la limite ne soit pas recommandé. YouTube n’a pas pris cet avis au sérieux et l’a rejeté.

Vous dites maintenant qu’en janvier de cette année, ils ont accepté l’avis. Qu’est-ce qui a changé?

M. Jason Kee:

Encore une fois, je ne dirais pas les choses de cette façon.

Cela fait partie de l’élaboration et de l’évolution continue des politiques, je pense, et de la façon dont on aborde le contenu de la plateforme qui est limite, difficile, controversé, non autorisé et de piètre qualité. Il y a actuellement une évolution dans notre approche à cet égard et concrètement un déploiement de technologies supplémentaires, surtout par le biais d’algorithmes, etc. pour chercher à garantir que l'on fournit à nos utilisateurs du contenu de qualité qui fait autorité.

M. Nathaniel Erskine-Smith:

Ce n’est donc peut-être pas parce que personne n’était attentif auparavant et que vous faisiez beaucoup d’argent, et maintenant les gens sont attentifs, vous avez mauvaise presse et vous avez décidé de changer vos pratiques en conséquence.

M. Jason Kee:

Je ne partage pas cette interprétation.

M. Nathaniel Erskine-Smith:

D’accord.

M. Frank Baylis:

Je vais maintenant aborder la question sous un angle différent.

Google, mon collègue a dit que vous avez fait 8 milliards de dollars au dernier trimestre. J’ai vérifié. En fait, c’est 8,5 milliards de dollars américains, alors félicitations. C’est vraiment bon en dollars canadiens. C'est grâce à la vente de publicité, n’est-ce pas? J’aime telle vidéo musicale ou j’aime lire tel journaliste, alors vous me montrez cette information, puis vous lancez une publicité et vous faites beaucoup d’argent avec. Vous faites énormément d’argent.

Cela a très bien fonctionné pour vous. En fait, ce qui est arrivé, c’est que le journaliste, le musicien, le photographe, l’écrivain, l’acteur, le producteur de film — tous ces gens — ne gagnent rien. Mais ça ne fait rien. On leur enlève leur droit d’auteur, ils ne gagnent rien et vous empochez tout, mais ça ne fait rien. Pourquoi ça ne fait rien? Comme vous l’avez bien dit, monsieur Kee, vous êtes une plateforme, pas un éditeur, et tant que vous restez une plateforme, vous bénéficiez de la protection dite de « safe harbour » (refuge sûr).

Ce qui se passe, c’est que tous nos artistes, tous ceux qui ont des droits d’auteur, un photojournaliste... Autrefois, il leur arrivait de prendre une image incroyable, ils la vendaient et gagnaient beaucoup d’argent. Aujourd'hui vous prenez cette photo gratuitement, mais vous n’avez rien fait. Vous me montrez la photo; vous lancez une publicité et vous empochez tout. C’est de là que vient tout ce contenu, que vous ne payez pas et ne voulez pas payer.

Le danger que vous courez — la raison pour laquelle vous ne voulez pas faire cela —, c’est que dès que vous commencez à contrôler ces publicités, vous cessez d’être une plateforme pour devenir incontestablement un éditeur. Une fois que vous êtes éditeur, vous êtes assujetti au droit d’auteur et à tout le reste.

N’est-ce pas là la vraie raison? Le charabia technique que vous venez de me servir sur le fait que vous pouvez saisir instantanément la pub, la bloquer, mais pas la verser dans une base de données, ne vise-t-il pas en réalité à protéger ce modèle d’affaires qui vous permet de faire 8,5 milliards de dollars américains en un trimestre alors que tous ces gens protégés par le droit d’auteur ne peuvent pas faire un sou? Ils crient haut et fort qu’ils ne peuvent pas faire un sou, et que vous prenez tout cet argent. Vous ne voulez tout simplement pas être un éditeur, parce qu’une fois que vous êtes un éditeur, vous ne bénéficiez plus de la clause de « safe harbour ».

N’est-ce pas là la véritable raison?

(1700)

M. Jason Kee:

Pas du tout.

M. Frank Baylis:

C’est ce que je pensais...

M. Jason Kee:

Il y a plusieurs choses ici.

Premièrement, si c’était le cas, il est difficile de comprendre pourquoi on devrait prendre une décision qui nous coûte de l’argent, dans la mesure où on ne tire plus de revenus d’une catégorie de publicités. Plus important encore, en ce qui concerne nos partenaires éditeurs et les créateurs de YouTube, on fonctionne selon un modèle de partenariat dans le cadre duquel on partage les revenus. Dans le cas des sites Web, par exemple, qui utilisent l’infrastructure de Google — c’est pourquoi on a eu du mal à se conformer au projet de loi C-76, parce qu’ils affichent des publicités de Google sur leur contenu —, ils gagnent plus de 70 % des revenus pour chaque publicité diffusée parce que ce sont eux qui fournissent le contenu.

M. Frank Baylis:

Monsieur Kee, vous payez quelques dollars pour protéger votre modèle d’affaires. Vous ne payez pas pour... et n’essayez pas avec ça de vous faire passer pour de bons citoyens.

M. Jason Kee:

L’an dernier seulement, nous avons versé plus de 13 milliards de dollars à des sites Web.

M. Frank Baylis:

Vous payez parce que vous ne voulez pas devenir éditeur. Êtes-vous prêt à dire ici et maintenant que vous êtes prêt à devenir éditeur, à vous appeler éditeur, et à être assujetti...

M. Jason Kee:

Nous ne sommes pas un éditeur.

M. Frank Baylis:

Je sais que vous n’êtes pas éditeur. Je sais que vous vous protégez très bien de cette façon, parce que dès que vous devenez éditeur, vous devez commencer à payer pour tout cet argent que vous volez à tous les autres.

M. Jason Kee:

Comme je l’ai dit, comme on fonctionne sur la base d'un modèle de partenariat, on verse des fonds aux créateurs et à ces éditeurs...

M. Frank Baylis:

Et vous avez négocié... Vous payez, et avec quels artistes avez-vous négocié le montant pour leur...

M. Jason Kee:

On a des milliers d’accords de licence de musique avec toutes les grandes sociétés de gestion collective, les maisons de disques, etc. et on a versé plus de 6 milliards de dollars à l’industrie de la musique l’an dernier.

M. Frank Baylis:

Vous avez payé 6 milliards de dollars, et vous n’avez fait que 8,5 milliards de dollars par trimestre.

M. Jason Kee:

Cela ne concerne que YouTube. Pas nos autres services.

M. Frank Baylis:

Justement! Vous avez gagné encore plus d’argent, je le sais.

M. Jason Kee:

Cela s’ajoute aux plus de 13 milliards de dollars que l'on a versés aux éditeurs qui diffusent nos publicités. Comme on l’a dit, notre modèle fondamental est un modèle de partenariat.

M. Frank Baylis:

Êtes-vous en train de me dire pour le coup que toutes ces personnes ont des droits d’auteur, sont heureuses...

Le président:

M. Baylis...

M. Frank Baylis:

Voici ma dernière question.

Êtes-vous en train de me dire que vous êtes un si bon citoyen corporatif que n'importe quel musicien, journaliste, photographe, écrivain, acteur ou producteur de films, me dirait: « On est tout à fait satisfait de ce que Google et YouTube nous paient »? Vous pouvez répondre à cette question par oui ou par non.

M. Jason Kee:

On continuera de les consulter. On les traite comme des partenaires et c’est ce qu'on fera.

M. Frank Baylis:

Pouvez-vous simplement dire oui ou non? Diront-ils oui, ils sont heureux ou non?

M. Jason Kee:

On continuera de les consulter et on a un partenariat avec eux.

M. Frank Baylis:

C’est une question simple. Seront-ils contents?

M. Jason Kee:

Nous avons un modèle de partenariat avec eux.

M. Frank Baylis:

Merci.

Le président:

Cela nous amène à la fin de nos questions.

Monsieur Erskine-Smith, un dernier commentaire, ou est-ce que c'est bon? D’accord.

Monsieur Graham.

M. David de Burgh Graham:

J’aimerais faire un commentaire sur un autre sujet, sur quelque chose que Google a dit, parce que tout n’est pas mauvais.

Je tiens à féliciter Google, qui a annoncé aujourd’hui que tous les Chromebooks seront bientôt directement compatibles avec Linux. Tout n’est donc pas négatif. Je suis très satisfait de certaines des choses que vous faites. Je vous en remercie.

Le président:

Encore une fois, monsieur McKay et monsieur Kee, merci d’être venus. Nous attendons avec impatience votre comparution et celle de Google à l’IGC. J’espère que les demandes sont prises au sérieux, comme nous l’avons demandé à votre PDG; nous espérons que vous y réfléchissez encore.

Merci d’être venus aujourd’hui.

La séance est levée.

Hansard Hansard

committee ethi foss hansard 35244 words - whole entry and permanent link. Posted at 22:44 on May 09, 2019

2019-02-28 ETHI 139

Standing Committee on Access to Information, Privacy and Ethics

(1530)

[English]

The Vice-Chair (Mr. Charlie Angus (Timmins—James Bay, NDP)):

Good afternoon. We're going to begin.[Translation]

I would like to make an announcement first. There has been an uprising and I am the new captain of this committee. The anarchists have arrived.

An hon. member: Temporarily. [English]

The Vice-Chair (Mr. Charlie Angus): Welcome, my friends, to the Standing Committee on Access to Information, Privacy and Ethics. This is meeting 139, pursuant to Standing Order 108(3)(h)(vii), for the study of the privacy of digital government services.

Today, we have two groups of witnesses. We have, from the Herjavec Group, Matthew Anthony, the vice-president, incident response and threat analysis, and Ira Goldstein, senior vice-president of corporate development. We also have, from SecureKey Technologies Inc., Andre Boysen, chief information officer, and Rene McIver, chief security officer.

Each group will have 10 minutes to present. We are pretty reasonable here, but when you get close to the 10 minutes, I will start to jump up and down very loudly, not to distract you, but just to let you know. Then our first round of questions will go for seven minutes and then we will go to a five-minute round.

Is the Herjavec Group ready to begin?

Mr. Ira Goldstein (Senior Vice-President, Corporate Development, Herjavec Group):

Good afternoon. My thanks to the chair and vice-chairs and the members of the committee for the opportunity to speak today.

My name is Ira Goldstein. I'm the senior vice-president of corporate development at the Herjavec Group. I've spent the last decade working in information security to help companies and governments secure their most critical digital assets.

I'm joined by Matt Anthony, our vice-president of security remediation services at Herjavec Group, whose remarks will follow mine.

Herjavec Group was founded in 2003 by Robert Herjavec, who immigrated to Canada with his parents from eastern Europe. A dynamic entrepreneur, Robert has built Herjavec Group to be one of the largest privately held cybersecurity firms in the world. Our experience includes working with private and public sector organizations in complex multi-technology environments to ensure their data security and privacy.

We are honoured to address the committee today on behalf of Robert, Herjavec Group and our fellow Canadians.

Our statement will address two subject areas related to the committee's study. First, I will outline why digital identity is a key building block in the transformation of government services. I will then outline steps to manage, govern and secure our digital identities.

My recommendation is for the government to tread lightly on the broader transformation path to ensure that privacy and security are top priorities. In parallel, the government should move quickly on a pilot project to expand the existing success of Canada's digital presence.

Digital government services must be built on a foundation of good identity governance. If our identities are to be digitized and managed by government, citizens expect a system that ensures security and privacy. Our identity attributes are assumed to be protected by the issuer, our federal government. In any system, physical or digital, fraud is a risk that must be mitigated through effective and ongoing assessment.

These concepts are not far from realization. When a baby is born or a new immigrant arrives, individuals may request their identity documentation online. Ultimately, physical artifacts are issued as proof of identity, but the fact that we have an online portal today to provision identification means that we have the foundation to leverage that data for use in digital government services.

Several government services are already online. One of the most critical functions of government, tax collection, is digitized through Canada Revenue Agency's EFILE system. Presumably the push to EFILE was supported by efficiency outcomes and stands as a successful case of digital transformation.

Any further steps to digitize citizen identity must consider the perception of the impact on individual privacy. Individuals may perceive digital identity as a threat to privacy despite the expected benefits. One recent example is the speed at which public perception soured over Statistics Canada's plan to collect personal financial information. Despite the involvement of the Privacy Commissioner and plans to anonymize the data, perception quickly turned negative toward this prospect.

The contrast between CRA's EFILE success and Statistics Canada's attempt to gather financial information is a guiding light for the committee. Digitizing government services will be welcomed by the public if managed and messaged thoughtfully. The upside of this effort is more access for historically marginalized groups and geography, so the opportunity cannot be ignored.

Historically, identity-proofing has required a trusted centralized authority to govern provisioning and usage. If I want to prove who I am, I need to show government-issued identification. I foresee this authoritative proof as a permanent feature of modern democracy, so despite the advances in decentralized identity, the government has an important role to play in identity management.

In sum, I strongly recommend that the committee seize the opportunity to further digitize components of citizen identity to enable the efficient and secure delivery of government services, while being cautious in the line that we must draw between centralizing data and ensuring that individual privacy is maintained.

(1535)

Mr. Matthew Anthony (Vice-President, Security Remediation Services, Herjavec Group):

Thanks, Ira.

My name is Matt Anthony. I'm the vice-president of security remediation services. I've been working in information security for over 20 years. I'm honoured to be here today to address the committee. I'll keep my remarks focused on two main areas.

Firstly, I'd like to address the issue of e-government, specifically the pace and volume of change. There have been great successes. Ira has already mentioned tax filing. You can do anything from tax filing to pet registrations at all levels of government. I think we're seeing real advantages from some of those, but I also see that fear of missing out and reputation enhancement are drivers for a lot of the initiatives that influence the adoption of and adaptation to electronic government services.

Mark Zuckerberg, the founder of Facebook, is famous for saying, “Move fast and break things”. While that was taken on as a mantra for global developers in all areas of business and the private sector, I don't think the Government of Canada should or could have that same kind of capability to move fast and break things. Herjavec Group's cyber-incident response teams have see the direct impact of moving fast and breaking things. We come back and sweep some of that up. Breaches are large, costly and very damaging.

Adding to that, there is a global skills shortage in the core capabilities needed to securely govern, develop, test, deploy and maintain complex software systems. Current published figures show that there'll be about three and a half million cybersecurity job openings by 2021—that's worldwide, obviously. The global digital transformation is in direct tension with that. There are more projects, more services and more data being created, stored, managed and mined. Canada and Canadian governments will feel this tension very directly.

The committee has heard a great deal about three case studies. Ira mentioned this already, and I've heard some talk in the corridors about a couple of them. They are Sidewalk Toronto, Estonia and Australia.

I want to address the Estonian example briefly, because it's been held up as a high-water mark for digital transformation, but Estonia has had a few major advantages in doing this that Canada doesn't enjoy. They have a very small population, a very small geography, a relatively green field in the post-Soviet era for technology and a relatively homogenous population accustomed to central control.

When I talk about those things, I think you can reflect on Canada not having many of those advantages in trying to do these kinds of services. The model would look very different for Canada.

While that transformation appears successful, we also don't know a whole lot about the security and privacy concerns. The political and cultural aspects of what would be expected, including how much we might learn about security and privacy aspects, might not be evident for years, or even longer than that. I caution against using Estonia as a North Star for our transformations in Canada.

You can't stand still, obviously, and we have to move forward, but my hope is that we go slowly enough to be assured that the changes we do are fully governed and secured to the appropriate level. Go carefully according to strong principles. Wait for the necessary technology, such as AI and automation controls, to support us better. Don't allow fear of missing out in international comparisons to cause us to hurry ahead of our abilities and capabilities.

Secondly, I'd like to briefly address information-sharing. I want to commend the data strategy road map, in that there are six most important things laid out in that document. I can't do much more than say that they are precise and correct. I would like to amplify them.

The concepts are simple: develop a strategy; provide clarity on data stewardship; develop standards and guidelines for governance; improve recruitment to gather the needed skills; and, develop technology systems that support the strategy. Those are all easy to say, but enormously difficult to do, individually and severally.

In 1984, Stewart Brand presciently wrote, “Information wants to be free.” At the time, he was talking about how the technology costs were going lower and lower, but now it has become synonymous with the difficult problem of keeping access control. Once information is beyond the source's control, it will tend to get distributed widely. It follows, then, that secondary and tertiary uses of the government's data need to be as acutely and astutely controlled as primary use is.

The government faces a monumental task in understanding and managing legacy data and systems. Reconciling inconsistent or undocumented consents for use, information silos, usage rules, data structures, identity platforms and administrative processes will each also be monumental in scale.

I believe that taking a greenfield approach may be advantageous, that is, by establishing rules clearly for new data collection and allowing legacy data to be integrated in the future, as capabilities such as AI and other data collection and tagging can be paired with lower costs for transformation through automation. Don't rush to data lake models, as unexpected de-anonymization and information correlations will emerge—I've seen them—some of which may be contrary to public policy, law or intent.

(1540)



There are a lot of assertions being made that opportunities will emerge and efficiencies will be achieved by aggressively mining, aggregating and sharing data. I urge the committee to show evidence for that. It's easy to get caught up in the rush to take that approach.

You cannot stand still, but I advise, indeed urge, the committee and industry to slow down, be more careful and do not allow ambition to overshadow capability. Go slowly enough to fully understand, measure and manage information risks. Remember, criminals like data, and breaches are messy, complicated and very expensive.

Thank you.

The Vice-Chair (Mr. Charlie Angus):

Thank you very much.

We'll go to SecureKey Technologies, please.

Ms. Rene McIver (Chief Security Officer, SecureKey Technologies Inc.):

Good afternoon. I am Rene McIver, chief security and privacy officer at SecureKey.

I'd like to begin by thanking the committee for giving us the opportunity to participate in its study on privacy and digital government services. My background is in crypto-mathematics, biometric standards and identity. I've spent time at the Communications Security Establishment and have been with SecureKey for the past decade.

I'm joined here today by my colleague Andre Boysen, our chief identity officer and co-founder of SecureKey. Andre's been in the fintech industry for 30 years and is a globally recognized leader in digital identity and privacy. He also serves on the board of the Digital ID & Authentication Council of Canada.

SecureKey is a proud Canadian company. SecureKey has been the provider of record for the Government of Canada's partner login service since 2012, also known as SecureKey Concierge. We are a world leader in providing technology solutions that enable citizens to efficiently access high-value digital services while also protecting the security and privacy of their personal information. We do this by building highly secure networks that span and merge the strengths of the public and private sectors.

As we know, the digital age has ushered in a host of new services, business models and opportunities to participate in the world. Not long ago, it would be unimaginable to order a shared ride from a device in your pocket, or to confidentially access government services from your home. Today, we take these things for granted and often get irritated when we come across something that can't be done online.

It's not just about citizen expectation. Companies, governments and other organizations have strong incentives to move services and transactions online in order to enhance client experiences, realize cost savings and increase business surety. An organization's ability to do this hinges on a single question: Can I trust the person or digital identity at the other end of the transaction?

This digital identity challenge is equally problematic on both sides.

To recognize clients and provide trusted access to services online, organizations typically deploy a mix of analogue and digital measures to confirm identity and mitigate risk. As we have seen, however, these solutions tend to be complex and inadequate. As a result, confidence in them has suffered.

On the other side, citizens are asked to navigate a myriad of identification methods to satisfy the organizations they seek services from, without knowing where the information's going and in the face of a steady stream of news about data breaches and online impersonators.

These concerns are well founded. Fraudsters are collecting information to know as much, and sometimes more than the citizens they are impersonating. Standard physical cards are easily counterfeited, and it's often impossible to check their validity with the issuing sources. Even biometric methods, which have often been touted as the solution to digital fraud, are targeted by hackers, increasing the risk that biometric data may also be compromised.

These factors are driving complexity up, trust in the system down, and adversely affecting privacy—exactly the opposite of what needs to happen. Our siloed system is too hard for consumers to use and too expensive to be sustained.

The challenge we face is not simply a matter of finding the best technology, the right skills or enough money to fix it; rather, everyone with a stake in the system needs to focus on solving the digital identity problem that underpins all digital services. We need to bring data and identity information back under the control of the citizen.

To solve this challenge, we must find ways to combine the prime factors of identity. These factors are the unique things we know, like shared secrets; the unique things we have, like verifiable chip cards or mobile devices; and the unique things we are, like our fingerprints or our face scans. By combining these factors, we can resolve identity and give organizations confidence that their clients are who they say they are.

Experience to date proves that single-factor methods are not up to the task. This means that trusted networks—ecosystems of trusted participants—are needed. All participants must be involved in the solution, including, and perhaps especially, the citizens, whose control over their own data and privacy will underpin its security.

(1545)



Only by combining the best aspects of each system can we solve the digital identity problem and rebuild the trust that is equally required by both organizations and citizens. For example, governments are the initial issuers of individual identities, including birth registries, immigration documents, permits and licences. Governments also can link their records to a living person by issuing a driver's licence or passport. But governments are not as adept as the commercial sector at knowing if that person is actually at the other end of a given digital transaction. Banks, however, successfully conduct billions of authentications a year.

Compared to other organizations, citizens only rarely interact with governments during their lives. They may renew a licence or passport every five years or pay taxes online once a year, but they will log in to their bank accounts several times a week. This frequency generates a higher level of trust and immediacy to that interaction.

Then think about mobile devices, which are both identifiable within a cellular network and tied to subscriber accounts through the user's SIM card. All parts have something valuable to offer within a successful network.

Imagine a scenario where citizens can choose to share information securely within a network made up of organizations that they already trust. This gives the ability to use a layered approach to proving identity. The citizens would access the network using their trusted online banking credentials on a mobile device that the telecommunications operator can validate, all to share reliable information from multiple sources, including information from digitally enabled government issued documents. Using this layered approach, we get a significantly higher level of confidence in the identity of the person conducting the transaction.

The trick is how to do this without becoming a surveillance network or creating a new honey pot of data. We need to establish the basis for privacy and trust while minimizing the level of data sharing going on between the parties.

Triple blind privacy solves this challenge. The receiving organization does not need to know the actual issuer of the information, only that it comes from a trusted source. The issuer does not need to know who the receiving organization is. And the network operators are not exposed to the unprotected personal information. That's triple blind.

What this means is that none of the transaction participants actually gets a complete picture of the user transaction. This proven formula has been recognized by the privacy community worldwide, including by the office of Ontario's information and privacy commissioner.

This is not the distant future. All pieces are already in place to enable a system that has authoritative information, provides receivers of information with confidence in the transaction and allows the citizens to fully trust the system as they control their own data in a privacy-enhanced way. This type of arrangement is the cutting edge and is happening now.

With the information and resources we have, Canada has the opportunity to solve the digital identity challenge and become the model for the world. These include co-operative jurisdictions, technologically advanced telecommunications and world leadership in developing new approaches, such as privacy and security by design, developed by Dr. Ann Cavoukian, as well as the pan-Canadian trust framework that's championed by the Digital Identification and Authentication Council of Canada. We have the opportunity to build services that can provide identity validation claims from multiple parties in a single transaction while ensuring complete privacy and control for the citizen.

Key factors for any solution to be successful will be citizen acceptance and trust and the potential to reach a large user base quickly.

The responsibilities to protect privacy and to provide a sense of security to citizens are fundamental factors in the success of any solution. It is critical that Canada's approach connects together the trusted parts of the digital economy such as finance, telecommunications, government and commerce. Only this will provide citizens with the confidence they demand to use the providers they already trust and to have access to the information they want to securely share.

The cyber-risk around digital identity is high. Any solution that does not involve both private and public sectors will be of limited success. It will perpetrate the siloed approach that is currently under strain and will not have the security or public trust to enable the digital economy of tomorrow.

Thank you.

(1550)

[Translation]

The Vice-Chair (Mr. Charlie Angus):

We will start the round of questions.

Ms. Fortier, go ahead.

Mrs. Mona Fortier (Ottawa—Vanier, Lib.):

Thank you very much, Mr. Chair.

My thanks to the witnesses for being here. I see you have a higher level of expertise than I do. I am very pleased to see that you have the expertise that will allow us to go further in this study and accomplish what we want to do.

Mr. Anthony, your expertise is very important to the committee. You said it was important to go slowly, which is interesting. However, it is also important to go surely. That's my understanding.

Everything in society is moving very fast right now. There is some pressure to move faster to meet the digital service needs of Canadians.

How can we strike a balance to do things right? If we proceed slowly, which government services do you think we should put forward first?

(1555)

[English]

Mr. Matthew Anthony:

I'm afraid that's a very specific question without a very specific answer, which is how you balance a very complex, multi-variant challenge with a simple clear strategy.

When Rene Heller from the Max Plank Institute described an innovation trap, he said it doesn't matter when you might want to launch a spaceship for interstellar travel; it would always be better to wait because you'll always overtake yourself because of technological change.

We can also see that with regard wondering whether or not to buy a personal computer this month or next. That's the same kind of innovation trap.

We're faced with that in public policy as well, in making considered decisions on a case-by-case basis about what data we're comfortable with and whether we can comfortably control the necessary aspects of information security and privacy before we make the decision to move forward. You have to do the research continually, which is the go-slow part, to make an assessment about whether we're ready to go through to production, which is the move-fast part.

Go slowly until you're ready, and then move quickly when you are. [Translation]

Mrs. Mona Fortier:

I understand. Thank you.

The second question I would like to ask the other three witnesses is about cybersecurity.

We know that things will evolve. How far do you think cybersecurity can go? Are there more effective and reliable innovative approaches that you would like to share with us and that we should consider?

Ms. Mclver or Mr. Boysen, do you want to go first?

Mr. Andre Boysen (Chief Information Officer, SecureKey Technologies Inc.):

Yes. Thank you for your question, Ms. Fortier.[English]

I would say that one of the tricks here is that cybersecurity and privacy is a very complex topic, and the challenge with the model today is that everybody in Canada has to understand how the system works in order for the security system to be effective. That to me is fundamentally bad design.

What I'd like to do is pick up on Matt's comments about Estonia. Estonia did an amazing thing for itself, but when it comes to digital ID, I'd say there are two key messages I want to deliver today. Message number one is that every government in the world wants their digital identity information to be sovereign. They don't want to be beholden to some foreign corporation beyond the reach of their jurisdiction. That's one challenge.

However, the bigger challenge is that identity is very cultural. What works in one country won't necessarily work in another. This is particularly acute in the example of Estonia. When it comes to national ID cards, I would say that there are only two types of countries in the world: the countries that have national ID cards, and the countries that hate national ID cards. I would say Canada, the U.S., the U.K., Australia, New Zealand and many parts of Europe are against this idea of a national ID card.

There are several reasons for this. Part of it is because of World War Two. We saw all of the harms that came from governments having these large databases. The government had no intent of harm when it created these systems, but when somebody came in after—the Germans—they created all sorts of unanticipated harms. We saw the danger of having all the data in one place. I would say that this, on balance, is a better scheme, but I'm not here to criticize what Estonia did. I think their model is very good, but they come from a different cultural place, and I think Matt made that point very well.

If we're going to do this right, then rather than looking at a country of a million, why don't we look at the biggest and most successful identity and authentication scheme in the world—the credit card scheme? We have six billion cards in circulation for payments around the world, and we don't see news breaking every week about a credit card being compromised here, or Starbucks having problems there, or users losing credit cards. We don't see that. Why is that?

The reason is that the global payment system is managed very differently from the online identity system we have today. As a consumer, I don't have to understand how the payment scheme works. I just have to know how to tap my card, and if I can do that, I'm good. When it comes to the cards, we've done two very clever things. One is that we made it super simple for the user—when I do this, I know I'm committing myself, so it's hard for a crook to trick me out of it. Moreover, I don't have to understand it. I know the barista can't change my $10 to $1,000 after I leave. That's the first thing that makes the global payment system safe.

The second thing that keeps the global payment system safe is that there's a trusted network operative in the middle. The crook can't pop up in the middle and say, “I'm a crook, I take Visa.” You have to apply to get into that network and you have to behave to stay in the network.

It's not the same as the Internet. On the Internet, it's very different. None of the banks in Canada send SMS messages to their customers for security. The reason is that they don't believe it's secure enough. The problem is that every other service does. Facebook does it, Apple does it, Netflix does it, Google does it. When my dad gets a message on his phone saying “Suspicious activity on your account. Please click on this URL: www.bmo.com.crookURL.com”, my dad doesn't know how a URL works, and he clicks on this thing, thinking it's going to go to BMO. Despite the fact that BMO has very good control—by the way, this is not about BMO, which has very good security controls in place—BMO's got a security breach on its hands because my dad didn't get what was going on.

So hiding the complexity from the user and having a trusted network operator is really important.

Now, I want to bring it back to something Rene said a second ago. The third thing that keeps the global payment system safe is user behaviour. When I lose my payment card, I will call the bank within minutes. I didn't call them up because I promised I would—I don't care about them, I care about me. I'm terrified that the crook who found my card is going to spend my money and I'm going to be responsible. That user behaviour, that self-interest, causes me to do the right thing and turn it off. That's what keeps the global payment system safe, which is very unlike the way we manage digital identity today.

So if we want to look to a model, rather than look at Estonia—though I do think that what they did is good for them—we should look at and learn from what we've done in Canada. We should look at our own experience here. Every other government in the world is looking at us and asking how we got this partner login service with all the banks in Canada. They all want that. Everyone else is looking here, and we're looking over there.

(1600)

The Vice-Chair (Mr. Charlie Angus):

Thank you.

Mr. Andre Boysen:

We have an amazing story to tell here. We need to build upon it rather than trying to reinvent.

Mrs. Mona Fortier:

Thank you.

The Vice-Chair (Mr. Charlie Angus):

Mr. Kent, I'm going to have to take one minute of her time off yours. Is that okay?

Hon. Peter Kent (Thornhill, CPC):

Collegiality prevails at this committee, so I would share my time if you feel it's necessary to do that.

The Vice-Chair (Mr. Charlie Angus):

Continue, continue.

Hon. Peter Kent:

Thank you all for coming in.

To pick up on that point, the Canadian Bankers Association is pursuing a digital ID program, but their CEO, in a speech in January, suggested that the banks could well play a central part in any national digital government network extension. How many levels of proprietary technology could eventually be involved and at what cost? Or would you suggest that after RFPs, after pilot projects, one digital technology vendor would be selected and run the entire show?

Mr. Andre Boysen:

No. In fact, I'd argue that would be a bad thing.

To go back to my example of the global payment scheme, when we look around the world, we see five to 10 global payment brands—Visa, Amex, Mastercard, Discover and others. The reason they all exist is that they all serve their constituencies in a slightly different way. Some are merchant-focused; some are more consumer-focused. Some try to do it all. They all exist because they serve in the right way.

What's good about that model is that all of us can make different choices about our favourite financial provider, and we're not stuck with that choice. If you start with one bank and you say, “I hate this bank. I want to go to another one,” you can, and you can continue on as you were.

I think having a single provider of this whole thing would be dangerous. We want to have an open scheme so that we can have multiple providers. That's quite important. And it has to be based on standards, not on proprietary, lock-in technology.

Hon. Peter Kent:

That would argue against the Estonian single-chip common card technology.

Mr. Andre Boysen:

To draw the difference on that, Estonia is trying to make sure other countries do what it did, so that they're not doing their own thing—which is smart. Otherwise, if the rest of the world goes in a different direction, they're going to have to change. That's why they're out there evangelizing—and doing a good job of it, I would say.

We have that same opportunity. The challenge for us is that if we did what Estonia did, just as an example, and the U.S. decided to go in a different direction, then we'd have to change. The opportunity for Canada is to get our own house in order, get our own economy working, and then we can make this an export standard and create a gold standard for the world, because everyone else will be looking here and saying, “This is really cool. We want this.”

That's our opportunity.

Hon. Peter Kent:

I think, Mr. Goldstein, it was you who suggested starting with a basic-scale pilot project. What size are you talking about? Would it be in one single government department?

Mr. Ira Goldstein:

I think we should look at the services that are already online and the capability that's already in the federal government. The Canadian Centre for Cyber Security was a huge step forward in bringing that capability together. There is immense capability there, even if Canadians are just now starting to learn about it publicly because of that announcement.

We should look at the government services that are already somewhat digitized, and look at how we can leverage those together to get better outcomes for citizens.

I agree with a lot of what everyone has said, but I think interacting with services outside of government may be step three or four. Step one is to enable the digitization of government services that currently aren't digital.

One of the other reasons people are so confident in the banking system is the deposit insurance. There is backing that tells me if money is lost with a financial institution, it's probably not going to come out of my pocket as long as I follow the rules of the game.

I reiterate that I think government has an important role to play as the arbiter of that identity. Let's look at what is already digitized within the government. CRA is an example; let's add to that. Let's go through the federal government services and see how we can bring those together and leverage the existing digitization.

(1605)

Hon. Peter Kent:

The website in Estonia tells us that 98% of their population have been issued digital ID cards. Given human nature in Canada—the reluctance, the skepticism, the cynicism, the fear of or opposition to digital ID—would you suggest making it optional in any pilot project?

Mr. Ira Goldstein:

When I say “pilot”, I mean more that the capability should be piloted, but it should be available to all Canadians. I don't think it should be necessarily a pilot group, or one province or group. The capability should be piloted to a specific-use case. With the CRA example, you could just continue to expand it.

I'm not worried about the government having information about me as a citizen that they already have. Look back to the StatsCan example. The reason there was public outrage was that people said, “Hmm, the government doesn't have this information today. Now they want it. This is outrageous.” Had we said—

Hon. Peter Kent:

It was also the lack of consent.

Mr. Ira Goldstein:

But if the information is anonymized, where is that consent?

If we had said we're embracing open data and we want certain aggregated, anonymized information to make the provision of services cheaper, better and more focused, a lot of people would have been really excited about it. Canadians are progressive with that mindset of moving to digital. It's almost more about how you do it than about what you do.

To Matt's point about treading lightly, you need to go slowly with it in that way, plan your communications carefully, but I think we all firmly believe that Canadians are ready for this. It's just a question of execution.

Hon. Peter Kent:

Okay.

I have a chicken and egg question. The EU has brought in the general data protection regulation, or GDPR. There have been suggestions that Canada is far behind with regard to the protection of privacy, which has now been enabled—perhaps over-enabled or overprotected in some aspects—in Europe. Before digital government is implemented in Canada, would you suggest the writing of regulations similar to the privacy protections and guarantees of the GDPR?

Mr. Ira Goldstein:

That's a big question.

I think Canadian privacy legislation is not something we should just say is insufficient. There are some good privacy frameworks here. It's a question of what are those definitions? What is “real risk of significant harm”? What does that mean to a company like the companies we help, who are trying to determine what they should tell the government when there is a security or privacy breach?

We need to make it more practical for companies and individuals to abide by these frameworks. I'm not saying that we should go all the way to GDPR. I'm sure we all have varying opinions on GDPR. Matt is shaking, now.

The reason people are abiding by GDPR is that there are financial fines behind it, and that's why there are a lot of—

Hon. Peter Kent:

Absolutely.

Mr. Ira Goldstein:

—consultants making a lot of money on it, and all of that.

We shouldn't go all the way in that direction, but we need to make it easier for Canadian business to consume that type of regulation in Canada. We need to keep that strong privacy framework, but make it easier for businesses to consume.

Mr. Matthew Anthony:

Could I just elaborate for a second on Ira's comment and respond to your question on whether we should we go all the way to a GDPR-type answer?

The answer is yes. I think the global push towards having governments protect citizens, balanced with citizens maybe becoming less interested in privacy on an individual point level, raises the interest of government to protect citizenship collectively.

But what Ira said is really important and I tried to address it tangentially as well, which is making the expectations really clear about how to handle and manage data so that people understand what they are expected to do and how they're expected to do it before you start pushing stuff to the online realm. That is really very useful.

I can't tell you whether or not we need to make a change to our regulations, policies and practices, but at the very least making those transparent and easier, so that—

The Vice-Chair (Mr. Charlie Angus):

Thank you very much.

I'll now speak for seven minute. Just to be fair, I will put the gavel beside the clerk and if I go over the time, he will hit me with it.

I find this fascinating, and Mr. Anthony seemed to tread lightly. I find that very surprising.

I used to be a digital believer, and in the digital believing world things were going to be better, we were going to move faster. The longer I am in this job, the more wary I get. I think “tread lightly” is a very interesting example.

I just want to talk a bit about my sense of how Canadians see privacy and digital innovation. I was talking with tech people in the U.S. and they were marvelling about and saying that we really take this stuff seriously.

We had a serious digital copyright battle that involved citizens and letter writing campaigns. The net-throttling issue was a big issue. It was Canada that did the first investigation of Facebook, but at the same time, as Mr. Boysen has pointed out, people here hate identity cards. I think of my voters and they would be up in arms over this.

We look at Statistics Canada as a good example of how not to do this. Statistics Canada has a worldwide reputation and the trust of Canadians. They thought they were doing something in the public interest, but it struck Canadians the wrong way.

What would your advice be to a government that may think that gathering more information is in the best interest? You talked about the danger of the opportunities they say will emerge from increased efficiencies from mining, aggregating and sharing data, but you're saying that we need to require evidence to show that. What are the parameters we need to be looking at on this?

(1610)

Mr. Matthew Anthony:

There is a lot bundled into that question—

The Vice-Chair (Mr. Charlie Angus):

Yes.

Mr. Matthew Anthony:

—and I'll try to set it out.

Firstly, I'll say that when you collect data, it's an addictive process. It's easy to do. You collect large amounts of data and you can't lose what you don't have. When I say “go slowly”, I want to reiterate that I see people on their worst days very often dealing with breach management. I see the outcome and aspects of the failure to do the things that I am advising to do.

How to balance out the issues of what data to collect, why you're collecting it, making sure that there is consent for its use are the real keys to answering your question, I think.

When we have historical data, consent to use might be very difficult to derive. I can't tell you what consent I gave to the data I gave to the federal government five years ago. I don't remember and can't tell you. I don't remember signing anything away. It was probably in the fine print. You can make a studied case that I did somehow give you, the government, my consent to do that, but if I didn't have clarity about that, if it weren't communicated correctly to me, then I am going to be very unhappy with you when you use the data exactly the way you said you might.

I think that communication and clear consent is probably at the centre of the Statistics Canada case in particular. But I would say, don't collect data you don't need, and be very clear about how you're going to use it and get clear consent for how you're going to use it if it's personal information.

The Vice-Chair (Mr. Charlie Angus):

Thank you.

Mr. Boysen, I was interested in what you were talking about with the example of the banks. If I don't like the banks.... Actually, I go to my credit union, the Caisse populaire—

Mr. Andre Boysen:

It's part of the service.

Some hon. members: Oh, oh!

The Vice-Chair (Mr. Charlie Angus):

—and I have good service, and if I have a problem, they call me right away and we deal with that.

Our committee has spent a lot of time looking at how we access online. We don't have choice. This is what we found with Facebook, and this is what we're finding with Google. We've begun to talk about the issue of antitrust, which is not generally in the realm of our committee, but for the rights of citizens and protecting data.... I mean, if you have a problem with Facebook, what are you going to do? You can't do anything. You can't go to WhatsApp, because it's controlled by them. They control all the other avenues.

In terms of overall public policy, do you feel that the issue of having not enough choice in how we engage online and in how our private information is collected and used by the data-opolies has a negative effect overall on where we're moving?

Mr. Andre Boysen:

Yes. The short answer is, yes, it's a problem.

I think we have to think about this in a very different way.

The challenge we have today with the architecture of the Internet is that every web service delivery organization is on its own when it comes to registering customers online. We can see what that's produced for all of us in the room. Some of us have ten passwords, some of us have 25, some of us have 100. Some of us have 100 but it's really just one, because it's all the same password.

So what we see in this model is that when everybody is by themselves, the only way we can have confidence that someone is really who they say they are is by having a very thorough enrolment process. This is particularly acute in government because your duty of care is so high. The consequence is that oftentimes the customer can't get through this process, and when they do, the problem is that you have all of the data. So when you get breached, you have to remediate all of the data.

We only have this problem online. In person, it's not as much of a problem. In person, we already collaborate and co-operate when it comes to identity. When I want to get a bank account, I bring in a government-issued ID and something from somewhere else and I can get a bank account. When I want to prove I've lived in Ontario for six months, I bring my bank statements to show I've been living at that address for that long. We already co-operate in the real world in doing these identity services. It's only online where we have this challenge.

So one of the things I would put to you is that one of the things you should be thinking about is not merely solving this from the government point of view but thinking from an economy point of view. The challenge, and one of the reasons the banks are here and they want to be in on the scheme, is that from a banking point of view, this is not that interesting from a revenue point of view. They want to be able to open bank accounts online and they want to take the risk problem down. The challenge they have is that they can't verify that the driver's licence is real. What the crooks do is to take a real driver's licence like mine, scratch my photo out, stick their photo in it and go get a line of credit; and they're defenceless against that type of attack.

What the banks want the government to do is to get its house in order and to make all government-issued documents ready to participate in the digital economy.

Back in 2008, Minister Flaherty put together a task force here in Canada to talk about how we were going to make digital payments work. That task force ran for about two years. I participated in it and the report that was produced by Pat Meredith—who did a very good job of running the task force—said that you can't have a digital economy and can't do digital payments without having digital identity.

With digital identity, the point is that it has to work across the economy. It's not about solving health care. It's not about solving the CRA's problem. It's about solving it for the consumer across the economy, because when you look at your own life, the counter is that you have to show up with your driver's licence to get the thing you want, and that takes a long time.

(1615)

The Vice-Chair (Mr. Charlie Angus):

I have to stop you there so that I can end five seconds short of my time, just to put that on the record.

Some hon. members: Oh, oh!

The Vice-Chair (Mr. Charlie Angus): Mr. Saini.

Mr. Raj Saini (Kitchener Centre, Lib.):

Thank you very much for your presentation.

I want to get some clarity, because you mentioned that there's an issue whenever we have a national identity card. But I would say to you that we already have subnational identity cards. We have a driver's licence; we have a passport; we have a social insurance number.

Mr. Andre Boysen:

Yes.

Mr. Raj Saini:

In Ontario I have an OHIP card. We might not have one number that's ubiquitous across the whole system, but we have cards underneath.

Mr. Andre Boysen:

Yes.

Mr. Raj Saini:

With regard to the Estonian model, I agree with you. I think the reason we use that or the reason we started with that is that Estonia is one of the countries that are more advanced than are maybe some others.

Mr. Andre Boysen:

Yes.

Mr. Raj Saini:

But as you said—and I agree with you wholeheartedly—or I think Mr. Anthony said, the population of Estonia is 1.3 million. They had a lot of greenfields. They had no legacy systems from the previous regime that they had under Russia. They have four million square hectares of land, half of which is forest. So they don't have any problems compared to what we have.

However, eventually, we will have to move to some sort of digital identifier. I'm asking you this question, Mr. Boysen, because I know your company. I'm looking at a March 2017 press release. In that press release, you wrote that IBM and SecureKey were working together to enable a new digital identity and attribute-sharing network based on IBM blockchain.

I really don't know what that means—

Some hon. members: Oh, oh!

Mr. Raj Saini:—but it sounded good. The reason I mention this is that blockchain would be one of those processes we could look at to see if there's any deviation. You mentioned credit cards. I'm a retailer, a pharmacist, so I know how difficult it was even to get credit card machines in my store, because of all the knowledge, all the paperwork and everything that had to be sent to them. Could blockchain, that technology.... Maybe you can highlight, now that you've been working with IBM for a year, how that has come forward. Could the government not adapt that?

Mr. Andre Boysen:

The short answer is yes. The scheme we're proposing actually sees the government, at both the federal and the provincial level, being a key participant in the scheme. You're required to make it more successful. It could run without you, but it would be way more successful if you participate.

However, your point is right that we already have these documents that we use. We use the documents we have to get the things we want. That's how the current model works. We use the stuff we have to get the new service that we don't yet have and we want.

That's the way the real world works. It's only online where we have this problem because the documents aren't digitize. One of the asks is actually to digitize the government documents so it can participate in the scheme with the banks, the telcos, health care, insurance and the rest of them.

To get to your question about blockchain, there are a couple of things I hear. The first thing I would say is that the best way to be successful with blockchain is not to talk about blockchain, because the problem is that it is very laden. There are a lot of different ideas about what it is and what it isn't.

Secondly about blockchain, one of the things I would bring on is the privacy component. One of the properties and benefits of blockchain is that it's immutable; it will never change. The challenge is that when you put that together with the GDPR, with my right to be forgotten, if I sign up for your service and then say “I want you to forget me”, the only way to honour my agreement is to blow up your blockchain.

Putting personal information on blockchain is a really bad idea. This is standard industry wisdom now. However, what it is good for is integrity proofs.

I want to go back to the credit card example I gave you a few minutes ago. The challenge is, Raj, if I know enough about you today, I can be you on the Internet. The organization that I'm trying to fool is defenceless, because I have all your data. I got it from the dark web.

We don't have that problem in the credit card scheme. There are two types of payments in the credit card scheme. When I go to the store and I pay in person, the risk of fraud is almost zero for the reasons I outlined earlier. However, when I go online and buy something at Amazon, Amazon didn't get to see my credit card, so that transaction is riskier. It's called “card not present”. Today, all e-commerce is “card not present”. It's riskier.

Here's the thing: All identity today is “card not present”. We have no idea if these assertions that are being presented to us at the counter are real.

(1620)

Mr. Raj Saini:

So—

Mr. Andre Boysen:

Sorry. I'm just going to answer your blockchain question.

What we're using blockchain for is integrity proofs. We use it as a method to implement triple blinds so the issuer of the data can demonstrate that they wrote the data and that's the same data that they gave to the user to present. The receiver can get the data and know that it hasn't been altered. Then the consumer can have confidence that we're not oversharing data. That's what blockchain is being used for.

Mr. Raj Saini:

Thank you for that point. I appreciate that.

My second point is that the one benefit that Estonia has is that it has a unitary level of government.

Here in Canada, in the region I come from, southwestern Ontario, there are actually four levels of government, because we have a regional government. Now you have the federal government that is a repository of certain information; you have the provincial government that's a repository of certain information; you have a regional government that does the policing and other things, which is another repository of information; and all my property tax and everything is in another level of government, municipal government.

Mr. Andre Boysen:

As well, you need user IDs and passwords for all of them.

Mr. Raj Saini:

That's fine.

The thing is, though, when you look at taxation or at health, if I have to prove something, I might have to acquire information from different levels of government.

How do you get the interoperability?

It's not just one level of government. You can start off at the federal government level, but eventually, if this is going to work, you should have access to all the information that's reposed, deposited or held through the different levels of government.

Mr. Andre Boysen:

I'm going to comment, and then Rene is going to add something.

The truth is, the way the world works today, every service makes its own rules. The organizations that you just listed all make their own rules. They want to keep that property. They want to force everybody to do the same thing, because they want to make their own business decisions.

However, what's important, as you said, is that when you talk to the driver's licence folks in Canada, they will tell you that the driver's licence is not an identity document. It just proves that you learned how to drive, yet you cannot sign up for any online service without your driver's licence. It's not an identity card; it just gets used that way.

The Vice-Chair (Mr. Charlie Angus):

You have one minute left.

Mr. Andre Boysen:

The important thing here is making sure that we can get a scheme that works for consumers across the economy.

I want to get Rene in, so I will just stop there.

Ms. Rene McIver:

Briefly, the expectation for this service is that all of these departments and authoritative sources of information participate in this ecosystem so that when I as a user need to share information from these multiple sources, I can do that through the service with no expectation that the service is collecting any of that information to now create this new centralized honeypot that becomes another centre of attack.

The authority of the information is where the information stays.

Mr. Raj Saini:

How much time do I have, 20 or 30 seconds?

The Vice-Chair (Mr. Charlie Angus):

You have 15 seconds, but I'm being nice tonight.

Mr. Raj Saini:

Okay.

I agree with you on that point. The one thing I like about the Estonian model is the fact that they have an X-Road system, where you have silos of information along the route. I don't know whether that's safe or not in terms of technology. I would never suggest that information be held in one place where it could be attacked, but I think that's what Estonia did. They have this X-Road that everything diffuses into.

Maybe you could comment. Is that scheme the same?

Mr. Andre Boysen:

The scheme is the same.

Mr. Raj Saini:

Okay.

The Vice-Chair (Mr. Charlie Angus):

Thank you.

Ms. Rene McIver:

Sure. [Translation]

The Vice-Chair (Mr. Charlie Angus):

We'll continue with Mr. Gourde for five minutes.

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

My thanks to the witnesses for being here this afternoon.

The unique digital identifier seems to be a way forward. However, I liked Mr. Anthony's rather moderate position that you have to take the time to do things right, for a number of reasons. First, we already have a digital service infrastructure available to Canadians, unlike Estonia, which started from scratch and went all the way to the unique digital identifier. However, the baby should not be thrown out with the bathwater.

We have already invested a lot of money to build digital infrastructures. Will we have to drop them and gradually replace them with the unique identifier, or will we be able to recover the base of the existing infrastructure? If we have to start from scratch, we will have to spend billions of dollars. Do you have any idea how challenging it is to provide this service to all Canadians across the country?

My questions are for everyone. I'm not sure who wants to answer first.

(1625)

[English]

Mr. Matthew Anthony:

I wouldn't mind answering that question, or at least contributing to the answer to that question. I don't have an opinion about whether it's a private sector or a public sector function to create that single digital identifier. I do know that, when I hear concepts that I'm going to use my bank or perhaps some other identifier, I have to understand that better. I do tend to trust that our public institutions maybe have more information that's more trusted, and might look at that. The scale, though, is immense.

I would start in the federal government at least looking at all of the different identifiers you have now and picking places where you could integrate and create a single authentication system that would allow high-fidelity identification for transactions that are happening within and around the government services. I would start there before I looked outside.

The scale is enormous, and I can't help but hear Andre's comments about how we have a good identifier physically and the problem only exists online. I would argue that our very weak tower of identifiers aggregating into a passport or a driver's licence document are not actually strong authentications. There's very little proof today that I am who I say I am. I am, but there's very little proof of that.

Mr. Andre Boysen:

I just want to add to that by saying that it's not about having a single identifier; it's about having confidence about who's on the other side of the transaction. I have today already in my real life, both online and in person, lots of identifiers, and what's good about that is it allows me to segment and compartmentalize my life so that I can only share this much information with this organization and this much information over there.

A single identifier will allow somebody to see everywhere that I've gone across the Internet. The service that we have with the Government of Canada is that the thing you originally asked for was a service that had a single identifier. You wanted an MBUN service, a meaningless but unique number that I could use across government, and when we looked at this we said this is a terrible idea because you're going to create a surveillance network. You're going to be able to see everywhere: they went to the beer store, the doctor, the beer store, the doctor, the tax department. You could have followed me everywhere. I don't want this thing. We designed triple-blind privacy to solve that problem. It's not about getting to a single identifier. In government, the service we built actually gives you a plurality of identifiers.

When I go to each government department, I have a unique identifier that I only use there and that's a better scheme because my relationship is contextual. I don't have a global view of my data. I have very contextualized, compartmentalized view of my life and I want it to stay that way. I don't want a big honey pot somewhere. Giving people the tools and the capabilities to do this is important.

I just want to pick up on Mr. Anthony's comments for a moment, though. The passport is not an authentication document. We use it for identity to prove that you're in the government's book of names. Let me just share something that's really important when you get to identity. When you are asking who somebody is, you're asking two questions that have to be answered at the same time. The first question is: Does such a person named Andre Boysen exist? The government, without dispute, is the author of that record and has domain over that record.

The second question has to be answered concurrently: Is he Andre Boysen? If you can't answer those two questions at the same time, you can't do a good job. Awesome authentication that's really strong but you don't know who it is, it's not that helpful. You have to be able to bind it to who did it. If you can combine it with self-interest, then the users will do the right thing when they lose access to the credential, which means the crook gets shut down. An identity is three components and they need to be kept separate.

The Vice-Chair (Mr. Charlie Angus):

Thank you.

Mr. Andre Boysen:

The first part is the identity question: who are you? The second question is authentication: are you the person who showed up the first time? The third thing is authorization: what can I do inside your service?

That third domain is mostly what you've been talking about today. The first two questions are what we're arguing: it should be both a public and private service across the economy. We need all of these organizations to participate.

The Vice-Chair (Mr. Charlie Angus):

All right, thank you.

I'm going to turn it over to Mr. Graham.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

It was a good answer.

The Vice-Chair (Mr. Charlie Angus):

Yes, it was a good answer. That's why I've been so reasonable.

Mr. David de Burgh Graham:

That's fair.

I don't have a lot of time, so I'll ask you to use...I'll call it “lossy compression” on your answers.

Voices: Oh, oh!

Mr. David de Burgh Graham: In the digital world, is there privacy without security?

(1630)

Mr. Matthew Anthony:

Yes.

Mr. David de Burgh Graham:

There is privacy without security.

Mr. Matthew Anthony:

Well it depends on how you think about that question. It deals with access, so a record can be kept private. You can talk about making it secure, but you don't.... It's a complicated question.

Ultimately, every aspect of privacy is expressed as a security control of some type. I think academically the answer is yes, but practically, no.

Mr. Ira Goldstein:

I think if you flip that around and say that you can have security with varying levels of privacy, it's more aligned to what we're talking about here.

The reason that companies driven by advertising revenue are so popular is that it allows them to be better at the provision of services or selling you more things. The government should take a page from that book—with respect, obviously, to citizens' privacy—to say that the future of government is going to be a more directed and precise provision of services, and that can be secured at the level of privacy that the citizen is willing to participate in.

If we give citizens a trade-off to say that can do much more with government with the existing information we have if we can derive analysis from that, like the private sector does, and ask whether they are in, I think the overall answer from Canadians is going to be yes, if they understand what we're talking about here.

Mr. David de Burgh Graham:

Okay.

Mr. Anthony, when you started answering the first question from Ms. Fortier, you had trouble hearing because the microphone was on and therefore your speaker was off. It was causing a problem. It ties to a point that I want to make about non-intuitive interfaces and that the biggest problem we have in security is the user. I checked and it's not on the record, and perhaps it should be.

Who is Kevin Mitnick, and could we talk a bit about that?

Mr. Matthew Anthony:

Do you want to talk about Kevin Mitnick?

Mr. David de Burgh Graham:

I think it's a really important point. He hacked a massive number of systems. He wasn't really using a computer to do it; he was using social engineering.

Mr. Matthew Anthony:

Yes. In the industry sometimes, we don't like to talk about Kevin Mitnick being a hacker. He was a social engineer at heart, which meant he was working human and offline systems to get information, and then replaying that into trust relationships with other people and to some extent other computer systems. He got famous. He went to jail. He's now making a career from getting famous and going to jail.

When we look at the entirety of accessing computer information systems and stored data, if you're attacking that, you're going to naturally use the least effort. The least effort is almost always people. So it's not enough just to secure the technologies, you also have to help secure the people.

Mr. David de Burgh Graham:

That's fair.

Yes?

Ms. Rene McIver:

Sorry, I just want to add that we have to get to a point where we make the data almost useless. What is important is the validation that comes with the data. Therefore, if there is an attack—a social engineering attack or otherwise—where the data is collected by the attackers and somehow attempted to be invoked into the system, it's rejected because it's not coming from a validated source.

We want to make our personal information, on its own, useless. Give it to the attackers. Fine. They can't do anything with it it because they can't validate it properly.

Mr. David de Burgh Graham:

That's fair.

Mr. Andre Boysen:

That's the card-present identity idea. The only person who could have done this is somebody who had something that belonged to the real user, and the real user will turn it off when they lose it.

That's where trust and integrity will come from.

Mr. David de Burgh Graham:

Another weakness I see is that when you're processing encrypted data, at some point you have to decrypt data to figure out what you're doing with it.

Is there any way around that? Can we process data without decrypting it? I know the EFF has worked on it a bit, but I don't know if there's been an answer to that.

Ms. Rene McIver:

I think there are a couple of things there. It depends on who the “we” are.

In the service where there's an identity network, the network never needs to see the protected information, right? Sure, it has to send it. It has to hold it temporarily until the receiver of the information picks it up, but the network doesn't need to see the personal information. So, yes, you can process data without having to decrypt it.

Really, the encryption happens at the provider. The receiver of the information should decrypt it.

The other thing is about data minimization. We also need to get to a point where I'm not sending my birthdate to say how old I am or that I'm the age of majority; I'm sending a validated, “Yes, this person is over 19.”

Those two things together can add the security we need from a data-minimizing point and reducing the exposure of personal information.

Mr. David de Burgh Graham:

I want to—

What's that you're telling me?

The Vice-Chair (Mr. Charlie Angus):

Five minutes.

Mr. David de Burgh Graham:

Is time up?

The Vice-Chair (Mr. Charlie Angus):

Yes. Is that okay? You're doing so well.

Mr. David de Burgh Graham:

I have at least five more minutes.

The Vice-Chair (Mr. Charlie Angus):

I know you do, but I have to give them to Mr. Kent.

Hon. Peter Kent:

It's always a hard reality.

Mr. Boysen, I'll come back to your point. The NEXUS card uses biometrics, not at every occasion, but there's a place.... And sometimes the Canadian passport does; we're using the iris or the fingerprint. Is that the sort of double perfect-positive identification that you're talking about?

(1635)

Mr. Andre Boysen:

Yes. What I liked about the NEXUS card is it gave consumers choice. If you told Canadians they had to get a retina scan to get a passport, there would be outrage.

Hon. Peter Kent:

Yes.

Mr. Andre Boysen:

However, when you gave people a choice, saying, “If you want to get through the airport faster, submit your biometrics and you can get through faster”, lots of people made that choice. By providing choice it was accepted.

I would also say your own GC login service, the partner login service, also gave choice. You did not compel Canadians to use the bank account to get to CRA if they didn't want to. They could still use a government-issued user ID and password. By giving choice, that gave comfort. You're not compelling me, so I'll try it out and see what happens. That choice element is a key component to getting the adoption of schemes like this.

Hon. Peter Kent:

The iris identification technology in the NEXUS card, which has to be purchased, would seem to be a huge mountain for the government, for the finance minister and his budget, to climb.

Mr. Andre Boysen:

I would argue that's not really a good thing for online service delivery. It feels heavy-handed to do a retina scan if I'm trying to vote. I would argue that each of these things needs to be used.... We need to look at the spectrum of services and then the level of assurance. Not all of these things are in the same kind of category.

For low-level assurance services, we don't need as much trust, so getting to that higher level is not as important. What's also important about the retina scan and the NEXUS card is that it's done in a controlled environment. I have to go to a controlled kiosk with people watching me so they can see if I'm tampering with the machine or mucking about with the card. It's that controlled environment that gives them the confidence to do it that way. You couldn't do a retina scan from home, as an example, with any kind of confidence, because it could be a replay attack.

Hon. Peter Kent:

Yet.

Mr. Andre Boysen: Yet.

Mr. Ira Goldstein:

Yet maybe you can if we're trying to learn from the private sector and look at one of the more elegant authentication methods that exist today. On a smartphone, it's made biometrics and now face ID just ubiquitous. It is heavy-handed to do a scan of your face every time you want to unlock your phone, but do you know what? Now that's the reality, people don't seem to mind it because the technology is so good that they want access to it and it's easy for them.

I think we need to take a page out of that book. There are ways in which authentication is being handled today where they're doing a biometric every time you want to open your phone. And it's not a new system, but an existing system that's in place today.

Mr. Andre Boysen:

Just to clarify, on-device biometrics is a good idea. Trying to register my biometrics everywhere is a bad idea. That's the point I was trying to make.

Hon. Peter Kent:

Toronto hospitals, the hospital networks, have been trying for more than a decade.... The Ontario government's been encouraging them to have an online exchange of medical information for all sorts of reasons—emergency room access and so forth.

Have either of your companies worked with the hospital networks, with doctors' offices to try to come up with a safe system?

Mr. Andre Boysen:

Yes, we have a pilot going on with UHN right now. One of the challenges...and I've actually done a TEDx talk on health care and identity, because as a country, the biggest need for digital identity is in health care. We need to solve this problem because we can't continue to have health care consume the whole budget.

We are doing pilots now. One of the critical elements in getting this right in health care is that a “health care only” bespoke solution won't work, because most of the population uses the health care system very infrequently, which means they're going to forget the damn password; and then the balance of the population are very heavy users of the scheme and they're always in there in person anyway.

We need a mechanism to access services online that will work for everyday Canadians. We saw how successful the government service was for CRA. We think that model can be extended to other public and private sector services.

The Vice-Chair (Mr. Charlie Angus):

This is the final round.

Mr. Saini is beginning.

Mr. Raj Saini:

I have one quick question. If you can't completely answer today, could you give written answers? I would appreciate that.

We keep talking about Estonia, but I know there are other countries that have begun the process. If you could give us a list of those countries or the countries you would suggest we study, and maybe some relevant reading material, we could include that in our understanding.

Second of all, this is something that fascinates me because coming from the private sector and owning a pharmacy, my technology was always cutting edge. Whatever was the newest, I had to keep up with. Now, you will have a NEXUS point eventually going forward where the private sector is going to interact with the public sector in exchanging information.

How do we keep the technology relevant, because the private sector is always going to be ahead? The public sector comes behind. You might get the policy directive right, you might get the understanding right, you can solve the issues with privacy, but eventually technology is going to be the key because one will always be out of step with the other. If this is really going to work, how do we solve that problem?

Mr. Andre Boysen:

I want to pick up on Matthew's earlier comment about how you've got to go slow and then go fast when you can.

When you compare the Internet and the payment card system, what's interesting is that the way we pay for stuff has barely changed at all in 70 years. It started with a paper card and then we went to a plastic card. Then we had two problems, transaction speed and fraud, so we moved to a mag stripe. Then the crooks figured out how to do the mag stripe, and so we moved to a chip card. Since we've gone to chip card, in-person fraud has gone to zero, but we have this online problem, so now we're putting it in the phone.

What's important is that the way users pay for stuff across the globe has barely changed at all in 70 years. On the Internet, it's changing every single week. Users can't keep up.

(1640)

Mr. David de Burgh Graham:

You were talking a moment ago about face identification for logging in.

If your biometrics are compromised, what can you do about it? An example of that is the famous hacking of Angela Merkel's fingerprints by somebody who had a photograph of her.

Mr. Ira Goldstein:

I would refer back to my depository insurance comment to say that, if we're actually going to roll out biometric authentication for government services, there has to be that buffer zone where citizens believe that if there were some compromise, there's a way to fix it.

How do you get new biometrics? I don't have a good answer for that. Maybe Matt does.

Mr. Matthew Anthony:

I will say that it's become increasingly difficult to fake a biometric, as the technology for sensors has improved. Therefore, as we move away from a thumbprint to a face print to—we're looking now at vein pattern recognition on some new phone systems.... We've had palm print technologies for a long time. It is always perhaps possible to spoof those. Any problem can be solved with enough money and technology. They can be spoofed, but they can't perhaps be overtaken, unless you don't register them yourself.

If you have your phone and don't ever register anything except a four-digit PIN and then somebody comes along and puts their thumbprint in, it's in there. That's on you, not them. The ability to actively impersonate somebody with a biometric, unless it hasn't been registered to you in the first place, is getting to the level of practical impossibility. Fifteen years ago, I could fake a fingerprint and replay it fairly easily. I can't do that anymore.

Mr. David de Burgh Graham:

That's fair.

Ms. Rene McIver:

It really is about the way it's inputted into the system, again. I worked on biometric standards for about 10 years actually and it was interesting. There was always discussion about the input into the system and taking a fingerprint and putting the fingerprint in. There was always a discussion about liveness detection, but really, your input system should have a means to identify whether or not it's a live biometric. Liveness is really about a biometric, so it is increasingly complex to figure out how to accurately get the information in that isn't spoofed. It's not just a static fingerprint.

You see it in some of the face recognition algorithms. The input is that there's actually a request for you to do different things, like smile, turn your head, look down or close your eyes. There are increasingly harder ways to actually get the input.

Mr. Matthew Anthony:

To amplify that, I would just like to say that if the level of access that you need requires you to go to those lengths, I guarantee you there are easier ways to get your data.

Mr. David de Burgh Graham:

Fair enough.

Mr. Andre Boysen:

I don't want to take your time, but I just want to say that with biometrics, don't think of it with silver bullet thinking, believing that you're going to solve it with biometrics. Rather, it's about the use of biometrics with what you have and what you don't have.

The Vice-Chair (Mr. Charlie Angus):

Thank you very much.

I have a deep feeling that my colleague Mr. Graham would like to filibuster if he could, because he's really got a lot to say. I would normally like to continue, but we do have an agreement on Thursdays that for people who are going to head out for flights, we end after this round.

I want to thank you very much. This has been a fascinating discussion with really excellent information. If you have things that you think we should be looking at, or if you're checking our testimony in that regard, certainly feel free to write our committee because we will be preparing a report.

Go ahead, Mr. Saini.

Mr. Raj Saini:

Just to all four of you, I mentioned the one specific issue about the countries, but if there's any other information that any of you think we need, we'd be deeply grateful if you could pass it on in a submission to give us the opportunity to expand our own thinking on this topic.

Mr. Andre Boysen:

We'll share some information for sure.

Thank you for having us.

The Vice-Chair (Mr. Charlie Angus):

The meeting is adjourned.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1530)

[Traduction]

Le vice-président (M. Charlie Angus (Timmins—Baie James, NPD)):

Bonjour. Nous allons commencer.[Français]

Je voudrais d'abord faire une annonce. Il y a eu une révolution et je suis le nouveau capitaine de ce comité. Les anarchistes sont arrivés.

Un député: Temporairement.[Traduction]

Le vice-président (M. Charlie Angus): Bienvenue, mes amis, au Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Il s'agit de la réunion 139, conformément à l'article 108(3)h)(vii) du Règlement, pour l'étude sur la protection des données personnelles dans les services gouvernementaux numériques.

Aujourd'hui, nous recevons deux groupes de témoins. Nous avons, du Herjavec Group, Matthew Anthony, vice-président, Cas d'incident et analyse des menaces, et Ira Goldstein, vice-président directeur, Expansion de l'entreprise. Nous avons également, de SecureKey Technologies Inc., Andre Boysen, dirigeant principal de l'information, et Rene McIver, chef de la sécurité.

Chaque groupe aura 10 minutes pour présenter son exposé. Nous sommes raisonnables, mais quand vous approcherez des 10 minutes, je commencerai à m'agiter bruyamment, non pas pour vous distraire, mais pour que vous le sachiez. Ensuite, nous aurons notre première série de questions de sept minutes, puis une série de cinq minutes.

Le Herjavec Group est-il prêt à commencer?

M. Ira Goldstein (vice-président directeur, Expansion de l'entreprise, Herjavec Group):

Bonjour. Je remercie le président, les vice-présidents et les membres du Comité de nous donner l'occasion de nous exprimer aujourd'hui.

Je m'appelle Ira Goldstein. Je suis vice-président directeur à l'Expansion de l'entreprise du Herjavec Group. Je travaille depuis 10 ans dans la sécurité de l'information afin d'aider les entreprises et les gouvernements à sécuriser leurs actifs numériques les plus précieux.

Je suis accompagné de Matt Anthony, vice-président chargé des mesures correctives en matière de sécurité dans notre groupe, qui s'exprimera après moi.

Le Herjavec Group a été fondé en 2003 par Robert Herjavec, qui a immigré au Canada avec ses parents d'Europe de l'Est. M. Herjavec, entrepreneur dynamique, a fait du Herjavec Group une des plus grandes sociétés privées du monde dans le domaine de la cybersécurité. Nous travaillons avec des organisations des secteurs public et privé dans des environnements multi-technologies complexes afin de garantir la sécurité et la confidentialité de leurs données.

C'est un honneur pour nous de témoigner devant le Comité aujourd'hui au nom de M. Herjavec, du Herjavec Group et de nos concitoyens.

Notre exposé portera sur deux sujets liés à l'étude du Comité. J'expliquerai d'abord que l'identité numérique est un élément essentiel de la transformation des services gouvernementaux. Ensuite, je présenterai les étapes de la gestion et de la sécurisation de nos identités numériques.

Je recommande au gouvernement de procéder avec circonspection sur la voie de la transformation plus générale afin de s'assurer que la protection des données personnelles et la sécurité viennent en tête des priorités. Parallèlement, le gouvernement devrait mettre sur pied sans tarder un projet pilote afin d'élargir le succès existant de la présence numérique du Canada.

Les services gouvernementaux numériques doivent reposer sur une bonne gestion des identités. Si leur identité doit être numérisée et gérée par le gouvernement, les citoyens s'attendent à un système qui garantisse la sécurité et la protection des renseignements personnels. Nous partons du principe que l'émetteur, notre gouvernement fédéral, protège les attributs de notre identité. Dans tout système, physique ou numérique, la fraude est un risque qui doit être atténué par une évaluation efficace et continue.

Ces concepts ne sont pas loin de se réaliser. Quand un enfant naît ou qu'un nouvel immigrant arrive, il est possible de demander des pièces d'identité en ligne. Ensuite, des objets physiques sont délivrés comme preuve d'identité, mais le fait que nous ayons aujourd'hui un portail en ligne pour fournir des pièces d'identité signifie que nous avons les bases pour tirer parti de ces données pour une utilisation dans les services gouvernementaux en ligne.

Plusieurs services gouvernementaux sont déjà en ligne. Une des fonctions les plus essentielles du gouvernement, la perception des impôts, est numérisée dans le cadre du système TED de l'Agence du revenu du Canada. On peut penser que la perspective de gains d'efficacité a facilité l'adoption de TED, qui est un cas de transformation numérique réussie.

Toute autre mesure visant à numériser l'identité des citoyens doit prendre en considération la perception des répercussions sur la protection des renseignements personnels. Malgré les avantages escomptés, certains peuvent voir dans l'identité numérique une menace à leur vie privée. J'en veux pour exemple récent la vitesse à laquelle la perception du public s'est détériorée lorsqu'il a été question que Statistique Canada collecte des données financières personnelles. Malgré l'intervention du commissaire à la protection de la vie privée et les mesures prévues pour rendre les données anonymes, la perception est vite devenue négative à cette perspective.

Le contraste entre le succès de TED de l'Agence du revenu du Canada et la tentative de Statistique Canada de collecter des données financières devrait guider le Comité. La numérisation des services gouvernementaux sera bien accueillie par le public si elle fait l'objet d'une gestion et de messages mûrement réfléchis. Cette démarche a pour aspect positif d'améliorer l'accès de groupes historiquement et géographiquement marginalisés, ce qui fait qu'on ne peut ignorer l'occasion qui se présente.

De tout temps, la vérification d'identité a nécessité qu'un pouvoir centralisé fiable régisse la fourniture et l'utilisation des pièces d'identité. Si je veux prouver qui je suis, je dois présenter une pièce d'identité délivrée par le gouvernement. Je prédis que cette preuve officielle demeurera une caractéristique permanente de la démocratie moderne. Par conséquent, malgré les progrès de l'identité décentralisée, le gouvernement a un rôle important à jouer dans la gestion de l'identité.

En résumé, je recommande vivement que le Comité saisisse l'occasion de poursuivre la numérisation des éléments de l'identité des citoyens afin de permettre la prestation efficace et sûre des services gouvernementaux, tout en étant prudent quant à la limite à établir entre la centralisation des données et la protection des renseignements personnels à assurer.

(1535)

M. Matthew Anthony (vice-président, mesures correctives en matière de sécurité, Herjavec Group):

Merci, Ira.

Je m'appelle Matt Anthony. Je suis vice-président chargé des mesures correctives en matière de sécurité. Je travaille dans la sécurité de l'information depuis plus de 20 ans. C'est un honneur pour moi de témoigner devant le Comité aujourd'hui. Mes observations porteront sur deux principaux domaines.

Je parlerai d'abord de la question du cybergouvernement, en particulier le rythme du changement et son volume. De grands succès ont été enregistrés. Ira a déjà mentionné la production des déclarations de revenu. On peut tout faire, de la production des déclarations de revenu à l'enregistrement des animaux, à tous les paliers de gouvernement. Nous voyons, selon moi, de réels avantages à certaines de ces démarches, mais je vois aussi que la peur de se priver de quelque chose et l'amélioration de la réputation sont les moteurs de bon nombre des initiatives qui influencent l'adoption des services gouvernementaux électroniques et l'adaptation à ces services.

Mark Zuckerberg, le fondateur de Facebook, est célèbre pour avoir dit qu'il faut aller vite, quitte à tout casser. Dans le monde entier, les concepteurs en ont fait un mantra dans tous les domaines des affaires et dans le secteur privé, mais je ne pense pas que le gouvernement du Canada devrait ou pourrait avoir le même type de capacité d'aller vite, quitte à tout casser. Les équipes d'intervention du Herjavec Group en cas de cyberincident voient les conséquences directes quand on est allé vite, quitte à tout casser. Nous revenons recoller les morceaux. Les atteintes à la sécurité sont importantes, coûteuses et très préjudiciables.

En plus, il y a une pénurie générale de compétences dans les capacités principales nécessaires pour gérer, développer, essayer, déployer et entretenir en toute sécurité des systèmes logiciels complexes. Les chiffres actuels publiés montrent qu'on offrira environ 3,5 millions d'emplois dans la cybersécurité d'ici 2021, dans le monde, évidemment. La transformation numérique mondiale est en tension directe avec cela. Il y a plus de projets, plus de services et plus de données créées, entreposées, gérées et exploitées. Le Canada et les administrations canadiennes ressentiront très directement cette tension.

Le Comité a beaucoup entendu parler de trois études de cas. Ira l'a déjà mentionné et j'ai entendu parlé de deux d'entre elles dans les couloirs. Il s'agit de Sidewalk Toronto, de l'Estonie et de l'Australie.

Je parlerai brièvement de l'exemple de l'Estonie parce qu'on le considère comme un record en matière de transformation numérique. Cependant, l'Estonie a engrangé au passage des avantages importants que ne connaît pas le Canada. Le pays est peu peuplé, a une très petite superficie, est assez neuf sur le plan technologique à l'ère post-soviétique et a une population assez homogène habituée à un contrôle central.

Quand je parle de ces choses, je pense qu'on peut réfléchir au fait que le Canada n'a pas beaucoup de ces avantages quand il essaie d'offrir ces genres de services. Le modèle serait très différent au Canada.

Cette transformation semble réussie, mais nous n'en savons pas beaucoup sur les problèmes de sécurité et de protection des renseignements personnels. On ne connaîtra probablement pas avant des années, voire plus, les aspects politiques et culturels relatifs aux attentes, et on devra probablement aussi attendre pour en apprendre plus au sujet des aspects liés à la sécurité et à la protection des renseignements personnels. Je mets en garde contre la tentation de prendre l'Estonie comme point de référence pour nos transformations au Canada.

On ne peut pas rester sans rien faire, c'est évident, et nous devons avancer, mais j'espère que nous procéderons assez lentement pour nous assurer que les changements que nous opérons sont entièrement régis et garantis comme il convient. Il faut procéder doucement en suivant des principes rigoureux. Il faut attendre que la technologie nécessaire, comme l'IA et les commandes d'automatisation, soit prête à mieux nous soutenir. Il ne faut pas laisser la peur d'être à la traîne dans les comparaisons internationales nous pousser à nous précipiter sans avoir les capacités voulues.

Ensuite, je parlerai brièvement de l'échange d'information. Je tiens à saluer la feuille de route de la Stratégie de données pour la fonction publique fédérale, car il y est question de cinq ou six choses importantes. Je me contenterai de dire qu'elles sont précises et correctes. J'aimerais cependant entrer dans plus de détails.

Les concepts sont simples: définir une stratégie; préciser davantage qui est responsable des données; définir des normes et des lignes directrices en matière de gouvernance; améliorer le recrutement afin de réunir les compétences nécessaires; et créer des systèmes technologiques à l'appui de la stratégie. Tout cela est facile à dire, mais beaucoup plus difficile à faire, individuellement et solidairement.

En 1984, Stewart Brand écrivait de façon prémonitoire que l'information veut être libre. Parallèlement, il expliquait comment le coût de la technologie ne cessait de baisser, mais à présent, cela est devenu synonyme de difficulté à contrôler l'accès. Une fois que le contrôle de l'information échappe à sa source, ladite information tend à être largement diffusée. Il faut donc que l'utilisation secondaire et tertiaire des données gouvernementales soit contrôlée d'aussi près que l'utilisation primaire.

Le gouvernement est confronté à une tâche monumentale pour ce qui est de comprendre et de gérer les données et les systèmes anciens. Rapprocher les consentements à l'utilisation contradictoires ou non consignés, le cloisonnement de l'information, les règles d'utilisation, les structures de données, les plateformes d'identité et les processus administratifs, la tâche sera immense dans chacun de ces aspects.

Il peut être avantageux, selon moi, d'adopter une approche nouvelle, c'est-à-dire d'établir clairement les règles pour la collecte de nouvelles données et autoriser dans le futur l'intégration des données anciennes, lorsqu'il sera possible d'associer des capacités telles que l'IA et la collecte et le marquage d'autres données avec des coûts inférieurs pour la transformation, grâce à l'automatisation. Ne vous précipitez pas sur les modèles de type lacs de données, car il se produira une dé-anonymisation et une mise en corrélation d'information imprévues — je l'ai vu arriver — parfois contraires à l'intérêt public, à la loi ou à l'intention.

(1540)



Beaucoup déclarent que l'extraction, l'agrégation et le partage actifs de données ouvriront des possibilités et permettront des gains d'efficacité. Je demande instamment au Comité d'en montrer la preuve. Il est facile de se laisser tenter par cette approche.

On ne peut pas rester sans rien faire, mais je conseille, en fait, j'encourage le Comité et l'industrie à ralentir, à se montrer plus prudents et à ne pas laisser l'ambition l'emporter sur les capacités. Allez assez lentement pour bien comprendre, mesurer et gérer les risques liés à l'information. Rappelez-vous que les criminels aiment les données et que les atteintes à la sécurité sont compliquées et très coûteuses.

Je vous remercie.

Le vice-président (M. Charlie Angus):

Je vous remercie.

Nous allons passer à SecureKey Technologies. Vous avez la parole.

Mme Rene McIver (chef de la sécurité, SecureKey Technologies Inc.):

Bonjour. Je m'appelle Rene McIver, je suis chef de la sécurité et agente à la protection de la vie privée chez SecureKey.

Je tiens d'abord à remercier le Comité de nous donner l'occasion de participer à son étude sur la protection des renseignements personnels dans les services gouvernementaux numérisés. Je suis spécialisée dans les crypto-mathématiques, les normes biométriques et l'identité. J'ai travaillé au Centre de la sécurité des télécommunications et je travaille chez SecurKey depuis 10 ans.

Je suis accompagnée aujourd'hui par mon collègue Andre Boysen, notre dirigeant principal de l'information et cofondateur de SecureKey. M. Boysen travaille dans le secteur de la technologie financière depuis 30 ans et est un chef de file mondialement reconnu dans le domaine de l'identité numérique et de la protection des renseignements personnels. Il siège par ailleurs au conseil d'administration du Digital ID & Authentication Council of Canada.

SecureKey est une fière entreprise canadienne. Depuis 2012, elle est le fournisseur officiel de service de partenaire de connexion du gouvernement du Canada, aussi appelé Service de concierge. Nous sommes parmi les leaders mondiaux dans la fourniture de solutions technologiques qui permettent aux citoyens d'accéder efficacement à des services numériques de grande valeur, tout en assurant la sécurité de l'information et en protégeant leurs renseignements personnels. Pour cela, nous créons des réseaux hautement sécurisés qui conjuguent les points forts des secteurs public et privé.

Comme nous le savons, l'ère numérique a permis de créer quantité de nouveaux services, de modèles d'entreprise et de possibilités de participer aux activités internationales. Il n'y a pas longtemps encore, il aurait été inimaginable de commander un covoiturage sur un appareil qui tient dans la poche ou d'accéder en toute confidence à des services gouvernementaux, de chez soi. Aujourd'hui, nous tenons ces choses pour acquises et souvent, nous sommes irrités quand nous tombons sur quelque chose qui ne peut pas être fait en ligne.

Il ne s'agit pas seulement des attentes des citoyens. Les entreprises, les gouvernements et d'autres organisations ont de très bonnes raisons de mettre en ligne des services et des transactions, comme améliorer l'expérience du client, réaliser des économies et accroître la sécurité des activités. La capacité d'une organisation de faire cela repose sur une seule question: est-ce que je peux faire confiance à la personne ou à l'identité numérique à l'autre bout de la transaction?

Le défi de l'identité numérique est tout aussi problématique des deux côtés.

Pour reconnaître les clients et leur fournir un accès fiable à des services en ligne, les organisations déploient généralement un ensemble de mesures analogiques et numériques afin de confirmer l'identité et d'atténuer les risques. Comme nous l'avons vu, cependant, ces solutions tendent à être complexes et inadéquates. Résultat, elles inspirent moins confiance.

En revanche, on demande aux citoyens de se soumettre à quantité de méthodes d'identification pour satisfaire les organisations dont ils sollicitent les services, sans savoir où va l'information et alors qu'on ne cesse de révéler des atteintes à la sécurité des données et que les imposteurs en ligne sont toujours plus nombreux.

Ces préoccupations sont tout à fait fondées. Les fraudeurs recueillent des données pour en savoir autant et parfois plus que les citoyens dont ils usurpent l'identité. Les cartes physiques standard sont faciles à contrefaire et il est souvent impossible de vérifier leur validité auprès des émetteurs. Même les méthodes biométriques, qu'on vante souvent comme étant la solution à la fraude numérique, sont la cible des pirates, ce qui augmente le risque que des données biométriques soient compromises.

Ces facteurs augmentent la complexité, font douter du système et nuisent à la protection des renseignements personnels, ce qui est exactement l'inverse de ce qui doit se passer. Notre système cloisonné est trop difficile à utiliser pour les consommateurs et trop cher à maintenir.

Le défi pour nous n'est pas seulement de trouver la meilleure technologie, les bonnes compétences ou suffisamment de fonds pour corriger les problèmes; en fait, quiconque a un intérêt dans le système doit chercher à résoudre le problème de l'identité numérique qui sous-tend tous les services numériques. Nous devons redonner au citoyen le contrôle des données et des renseignements concernant l'identité.

Pour relever ce défi, nous devons trouver des moyens d'associer les principaux facteurs de l'identité. Ces facteurs sont les choses uniques que nous connaissons, comme des secrets partagés; les choses uniques que nous avons, comme les cartes à puces vérifiables et les appareils mobiles; et les choses uniques que nous sommes, comme nos empreintes digitales ou nos images faciales. En combinant ces facteurs, nous pouvons résoudre le problème de l'identité et faire en sorte que les organisations sachent que leurs clients sont bien qui ils disent être.

L'expérience à ce jour montre que les méthodes à facteur unique ne suffisent pas. Il faut donc des réseaux sécurisés, autrement dit des écosystèmes de participants de confiance. Tous les participants doivent participer à la solution, y compris, et peut-être surtout, les citoyens, dont le contrôle de leurs propres données et la protection de leurs renseignements personnels en garantiront la sécurité.

(1545)



Ce n'est qu'en associant les meilleurs aspects de tous les systèmes que nous réglerons le problème de l'identité et que nous rebâtirons la confiance dont ont tout autant besoin les organisations et les citoyens. Par exemple, les gouvernements sont les premiers émetteurs de documents d'identité, y compris les registres des naissances, les documents d'immigration, les permis et les licences. Ils peuvent également relier leurs dossiers à une personne vivante en délivrant un permis de conduire ou un passeport. Mais ils ne sont pas aussi aptes que le secteur commercial à savoir si cette personne est bien à l'autre bout de la transaction numérique. Les banques, toutefois, réussissent à effectuer des milliards d'authentifications par an.

En comparaison d'autres organisations, les citoyens ne sont que rarement en contact avec les administrations durant leur vie. Il leur arrive de renouveler un permis ou un passeport tous les cinq ans ou de payer des impôts en ligne une fois par an, mais ils se connectent plusieurs fois par semaine à leurs comptes bancaires. Cette fréquence renforce le degré de confiance et confère à cette interaction plus d'instantanéité.

Pensez aux appareils mobiles, qui sont à la fois identifiables dans un réseau cellulaire et rattachés aux comptes de l'abonné par la carte SIM de l'utilisateur. Tous les éléments ont quelque chose d'utile à offrir au sein d'un réseau performant.

Imaginez un scénario où les citoyens puissent choisir de partager l'information en toute sécurité à l'intérieur d'un réseau constitué d'organisations en qui ils ont déjà confiance. Cela permet d'utiliser une approche multiniveaux de la justification de l'identité. Les citoyens accéderaient au réseau en utilisant sur un appareil mobile leurs identifiants de connexion bancaire fiables que l'opérateur de télécommunications pourra valider, le tout pour partager des données fiables de multiples sources, y compris des renseignements figurant sur des documents numériques émis par le gouvernement. En utilisant cette approche multiniveaux, nous obtenons un degré de confiance nettement supérieur dans l'identité de la personne qui effectue la transaction.

La difficulté, c'est d'y parvenir sans devenir un réseau de surveillance ou sans constituer un nouveau trésor de données. Nous devons établir les bases de la protection des renseignements personnels et de la confiance, tout en réduisant au minimum le partage de données entre les parties.

La protection des renseignements personnels en triple aveugle résout ce problème. L'organisation qui reçoit les renseignements n'a pas besoin de connaître l'émetteur même de l'information, il lui suffit de savoir qu'elle vient d'une source fiable. L'émetteur n'a pas besoin de savoir qui est l'organisation qui reçoit les renseignements. Et les exploitants de réseau ne sont pas exposés aux renseignements personnels non protégés. Voilà comment fonctionne l'approche en triple aveugle.

Autrement dit, aucun des participants à la transaction ne voit, en fait, la totalité de la transaction de l'utilisateur. Cette formule éprouvée est saluée par les spécialistes de la protection des renseignements personnels dans le monde entier, y compris par le commissaire à l'information et à la protection de la vie privée de l'Ontario.

On ne parle pas d'un avenir lointain. Toutes les pièces sont déjà en place pour être capable d'utiliser un système dont l'information est fiable, qui permet à ses destinataires d'avoir confiance dans la transaction et aux citoyens d'avoir totalement confiance dans le système, car ils contrôlent leurs propres données d'une manière qui renforce la protection de leurs renseignements personnels. Ce type d'agencement est à la pointe de ce qui se fait et est actuellement utilisé.

Avec l'information et les ressources dont nous disposons, le Canada a la possibilité de régler le problème de l'identité numérique et de devenir le modèle dont le reste du monde peut s'inspirer. Nous avons des administrations qui coopèrent, des télécommunications avancées sur le plan technologique et un leadership mondial dans le développement de nouvelles approches, comme la confidentialité et la sécurité des renseignements personnels assurés dès la conception, approche mise au point par Ann Cavoukian, et aussi le cadre de fiabilité pancanadien que promeut le Digital Identification and Authentication Council of Canada. Nous avons l'occasion de créer des services capables de présenter les demandes de validation d'identité de multiples parties en une seule transaction, tout en garantissant au citoyen le plein contrôle et l'entière protection des renseignements personnels.

Les facteurs clés du succès de toute solution seront l'acceptation et la confiance des citoyens et le potentiel d'atteindre rapidement un grand nombre d'utilisateurs.

La responsabilité de protéger les renseignements personnels et de donner aux citoyens un sentiment de sécurité est essentielle au succès de toute solution. Il est vital que l'approche du Canada relie ensemble les parties fiables de l'économie numérique, comme la finance, les télécommunications, le gouvernement et le commerce. C'est le seul moyen de donner aux citoyens la confiance qu'ils exigent pour utiliser les fournisseurs auxquels ils se fient déjà et pour avoir accès à l'information qu'ils souhaitent partager de façon sécuritaire.

Les cyberrisques sont grands pour l'identité numérique. Le succès de toute solution à laquelle ne participent pas le secteur privé et le secteur public sera limité. L'approche compartimentée aujourd'hui malmenée sera perpétuée. Elle n'offrira pas la sécurité et n'aura pas la confiance du public nécessaires à l'économie numérique de demain.

Je vous remercie.

(1550)

[Français]

Le vice-président (M. Charlie Angus):

Nous allons commencer la période des questions.

Je vous cède la parole, madame Fortier.

Mme Mona Fortier (Ottawa—Vanier, Lib.):

Merci beaucoup, monsieur le président.

Je vous remercie, chers témoins, d'être présents. Je vois que vous avez un niveau d'expertise supérieur au mien. Je suis très contente de constater que vous possédez une expertise qui nous permettra d'aller plus loin dans cette étude et d'accomplir ce que nous voulons faire.

Monsieur Anthony, votre expertise est très importante pour le Comité. Vous avez dit qu'il était important d'aller lentement, ce qui est intéressant. Toutefois, il faut aussi aller sûrement. C'est ce que je comprends.

Dans la société, tout va très vite présentement. Il y a une certaine pression qui nous pousse à vouloir aller plus vite pour pouvoir répondre aux besoins des Canadiens et des Canadiennes sur le plan des services numériques.

Comment pouvons-nous établir un équilibre pour bien faire les choses? Si nous procédons lentement, quels services gouvernementaux devrions-nous mettre en avant en premier, selon vous?

(1555)

[Traduction]

M. Matthew Anthony:

Je crains qu'il s'agisse d'une question très précise à laquelle je n'ai pas de réponse très précise. C'est ainsi qu'on concilie un défi très complexe à plusieurs variantes avec une stratégie claire et simple.

Quand Rene Heller, de l'Institut Max Plank, décrit le piège de l'innovation, il explique que peu importe le moment où on veut lancer un vaisseau spatial pour un voyage interstellaire, mieux vaut toujours attendre parce qu'on se dépassera toujours à cause de l'évolution de la technologie.

C'est ce qui arrive aussi quand on se demande si on doit acheter un ordinateur personnel ce mois-ci ou le mois prochain. C'est le même genre de piège de l'innovation.

Nous sommes confrontés à ce dilemme en politique publique aussi, lorsque nous prenons au cas par cas des décisions réfléchies par rapport aux données qui ne nous poseraient pas de problème ou à la possibilité de suffisamment contrôler les aspects nécessaires de la sécurité de l'information et de la protection des renseignements personnels avant de décider d'aller de l'avant. Il faut faire la recherche continuellement, ce qui est la partie où l'on procède lentement, pour déterminer si on est prêt à passer à la production, qui est la partie où l'on va vite.

Il faut aller lentement jusqu'au moment où on est prêt, puis passer à la vitesse supérieure. [Français]

Mme Mona Fortier:

Je comprends. Merci.

L'autre question que j'aimerais poser aux trois autres témoins concerne la cybersécurité.

On sait qu'une évolution va se produire. Jusqu'où la notion de cybersécurité peut-elle se rendre, selon vous? Existe-t-il des approches innovantes plus efficaces et plus fiables dont vous aimeriez nous faire part et que nous devrions prendre en considération?

Madame Mclver ou monsieur Boysen, voulez-vous vous exprimer en premier?

M. Andre Boysen (dirigeant principal de l'information, SecureKey Technologies Inc.):

Oui. Merci de votre question, madame Fortier.[Traduction]

La cybersécurité et la protection des renseignements personnels sont un sujet très complexe et, dans le modèle d'aujourd'hui, le fait que tout le monde au Canada doit comprendre la façon dont le système de sécurité fonctionne pour que celui-ci soit efficace est un défaut de conception fondamentale à mon avis.

J'aimerais revenir sur les remarques de Matt au sujet de l'Estonie. Ce pays a fait quelque chose d'extraordinaire pour lui-même, mais j'ai deux points clés à communiquer en ce qui concerne l'identification numérique. Premièrement, tous les gouvernements du monde veulent la souveraineté de leurs données d'identification numérique. Ils ne veulent pas être tributaires d'une société étrangère qui échappe à leur compétence. C'est là un défi.

Cependant, l'identité est une chose qui est très culturelle, ce qui constitue un défi encore plus grand. Ce qui fonctionne dans un pays ne fonctionnera pas nécessairement dans un autre. Ceci est particulièrement prononcé dans l'exemple de l'Estonie. En ce qui concerne les cartes d'identité nationale, je dirais qu'il n'y a que deux types de pays dans le monde: les pays qui ont des cartes d'identité nationale, et les pays qui détestent les cartes d'identité nationale. Je dirais que le Canada, les États-Unis, le Royaume-Uni, l'Australie, la Nouvelle-Zélande et de nombreux pays d'Europe sont contre l'idée d'une carte d'identité nationale.

Plusieurs raisons sont à l'origine de cet état de fait. C'est, en partie, à cause de la Deuxième Guerre mondiale. On a bien vu les préjudices causés par ces grandes bases de données de gouvernements. Le gouvernement n'avait aucune intention de causer du tort en créant ces systèmes, mais quand d'autres autorités sont venues par la suite — les Allemands —, elles ont créé toutes sortes de préjudices imprévus. On a bien vu le danger que représente le regroupement de toutes les données en un seul endroit. Je dirais que ceci, comparativement, est un meilleur mécanisme, mais je ne suis pas ici pour critiquer ce que l'Estonie a fait. Son modèle est très bon, mais son contexte culturel est différent, et je crois que Matt a fort bien souligné ce point.

Si nous voulons bien faire les choses, pourquoi ne regarderions-nous pas le système d'identification et d'authentification le plus grand et le plus réussi au monde, le système des cartes de crédit, plutôt que de contempler ce qu'a fait un pays d'un million d'habitants? Six milliards de cartes de paiement circulent dans le monde et nous ne voyons pas des manchettes toutes les semaines annonçant qu'une carte de crédit a été compromise en un endroit, ou que Starbucks a des problèmes dans un autre, ou encore que des utilisateurs ont perdu leurs cartes de crédit. Pourquoi ne voyons-nous pas cela?

En effet, le système mondial de paiement est géré d'une façon très différente du système d'identification en ligne que nous avons aujourd'hui. En tant que consommateur, je n'ai pas besoin de comprendre comment le mécanisme des paiements fonctionne. Tout ce que j'ai besoin de savoir, c'est comment passer ma carte sur le lecteur et, si j'arrive à le faire, tout est bon. Dans le domaine des cartes, nous avons accompli deux choses très intelligentes. Tout d'abord, c'est super simple pour l'utilisateur: quand il fait ceci, il sait qu'il s'est engagé, et il est donc difficile pour un escroc de profiter de lui. De plus, il n'a pas besoin de comprendre le fonctionnement. Il sait que la serveuse ne peut transformer son 10 $ à 1 000 $ après son départ. C'est la première chose qui fait que le système mondial de paiement est sûr.

La deuxième chose qui le rend sûr, c'est la présence d'un réseau de confiance en intermédiaire. L'escroc ne peut surgir au milieu et déclarer: « Je suis un escroc, j'accepte Visa. » Il faut présenter une demande pour rentrer dans le réseau et bien se comporter pour y rester.

Ce n'est pas la même chose qu'Internet. Sur Internet, c'est très différent. C'est pour des raisons de sécurité qu'aucune des banques du Canada n'envoie des messages textes à ses clients. Ces banques ne croient pas que ce genre de messages est suffisamment sûr. Malheureusement, tous les autres services le font. Facebook le fait, Apple le fait, Netflix le fait et Google le fait. Quand mon père reçoit dans son téléphone un message disant: « Activité suspecte dans votre compte. Veuillez cliquer sur l'URL www.bmo.com.escrocURL.com », mon père ne sait pas comment fonctionnent les URL, et il clique dessus en pensant que cela ira chez BMO. Malgré le fait que BMO a de très bons contrôles — soit dit en passant, il ne s'agit pas de BMO qui a d'excellents mécanismes de sécurité en vigueur —, la Banque se retrouve avec une atteinte à la sécurité sur les bras parce que mon père ne savait pas de quoi il s'agissait.

Par conséquent, cacher la complexité à l'utilisateur et disposer d'un exploitant de confiance du réseau sont des choses extrêmement importantes.

J'aimerais maintenant revenir sur une chose que Rene a mentionnée il y a quelques instants. La troisième chose qui assure la sécurité du système mondial de paiement est le comportement des utilisateurs. Quand je perds ma carte de crédit, j'appelle la banque dans les minutes qui suivent. Je n'appelle pas parce que j'avais promis de le faire; je ne me soucie pas d'eux, je ne me soucie que de moi. Je suis terrifié à l'idée que l'escroc qui a trouvé ma carte va dépenser mon argent et que j'en serai responsable. Ce comportement d'utilisateur, cet intérêt personnel, me conduit à faire ce qu'il faut et à l'annuler. C'est ce qui garantit la sécurité du système mondial de paiement, un aspect qui diffère entièrement de la façon dont nous gérons l'identification numérique aujourd'hui.

Par conséquent, si nous voulons nous inspirer d'un modèle, au lieu de regarder du côté de l'Estonie — bien qu'à mon avis, ce qu'elle a fait est très bon pour elle —, nous devrions nous inspirer et apprendre de ce que nous avons fait au Canada. Nous devrions examiner notre propre expérience ici. Tous les autres gouvernements du monde nous regardent et demandent comment nous avons réussi à établir un tel service d'ouverture de session du partenaire de connexion avec toutes les banques du Canada. C'est une chose qu'ils veulent tous. Tout le monde regarde ici et nous, nous regardons là-bas.

(1600)

Le vice-président (M. Charlie Angus):

Merci.

M. Andre Boysen:

Nous avons ici des antécédents extraordinaires. Nous devons prendre appui sur eux plutôt que tenter de réinventer la roue.

Mme Mona Fortier:

Merci.

Le vice-président (M. Charlie Angus):

Monsieur Kent, je vais devoir retrancher pour elle une minute de votre temps. Êtes-vous d'accord?

L'hon. Peter Kent (Thornhill, PCC):

L'esprit de collégialité régnant à ce comité, je partagerai le temps que vous jugez nécessaire.

Le vice-président (M. Charlie Angus):

Poursuivez, poursuivez.

L'hon. Peter Kent:

Je vous remercie tous de votre présence.

À ce sujet justement, l'Association des banquiers canadiens étudie un programme d'identification numérique, mais son PDG, dans un discours en janvier, a mentionné que les banques pourraient très bien avoir un rôle central dans tout élargissement du réseau national de services gouvernementaux numériques. Combien de niveaux de technologie exclusive cela exigerait-il éventuellement, et quel en serait le prix? Ou encore, diriez-vous que, après la DP, après les projets pilotes, un seul vendeur de technologie numérique sera choisi et mènera la barque à lui seul?

M. Andre Boysen:

Non. En fait, je dirais que ce serait une très mauvaise chose.

Pour revenir à mon exemple du système mondial de paiement, il y a dans le monde 5 à 10 marques mondiales — Visa, Amex, MasterCard, Discover, et d'autres. Ces marques doivent leur existence au fait qu'elles servent toutes leur clientèle d'une façon légèrement différente. Certaines sont axées sur les marchands, d'autres sur les consommateurs. D'autres encore essayent de tout faire. Elles existent toutes parce qu'elles offrent leurs services de la bonne façon.

L'avantage dans ce modèle, c'est que nous pouvons tous choisir notre fournisseur de services financiers préféré, et nous ne sommes pas bloqués dans ce choix. Si l'on commence avec une banque puis découvre qu'on ne l'aime pas du tout, on peut changer de banque et poursuivre comme à l'accoutumée.

À mon avis, il serait dangereux d'avoir un fournisseur unique pour tout cela serait. Il nous faut un mécanisme ouvert pour que nous puissions avoir de multiples fournisseurs. C'est très important. Et ce mécanisme doit reposer sur des normes, et non pas sur de multiples technologies brevetées.

L'hon. Peter Kent:

Cela irait contre la technologie estonienne de cartes courantes monopuces.

M. Andre Boysen:

À la différence près que l'Estonie essaie de convaincre d'autres pays de faire ce qu'elle a fait, pour qu'elle ne soit pas la seule à le faire, ce qui est intelligent. Sinon, si le reste du monde s'oriente différemment, elle devra changer. Voilà pourquoi elle sillonne les routes prêchant pour sa paroisse — et le faisant très bien, à mon avis.

La même occasion s'offre à nous. Dans notre cas, si nous faisons ce que l'Estonie a fait, par exemple, et si les États-Unis décident de se diriger différemment, nous serons obligés de changer. Le Canada peut saisir l'occasion de mettre de l'ordre dans ses affaires, relancer son économie, puis faire de ceci une norme exportable et créer une norme de référence mondiale, parce que tout le monde nous regardera avec admiration, disant: « C'est super, on veut la même chose. »

C'est là l'occasion qui s'offre à nous.

L'hon. Peter Kent:

Monsieur Goldstein, c'est vous, je crois bien, qui avez proposé de commencer avec un projet pilote de petite envergure. Quelle envergure entrevoyez-vous? Un seul ministère?

M. Ira Goldstein:

Je crois qu'il faudrait examiner les services qui sont déjà en ligne et la capacité déjà établie au gouvernement fédéral. Le Centre canadien pour la cybersécurité a été un grand pas vers la concrétisation de cette capacité. Il y a une immense capacité, même si les Canadiens commencent tout juste à la découvrir publiquement en raison de cette annonce.

Nous devrions envisager les services gouvernementaux qui sont déjà quelque peu numérisés et voir comment nous pourrions prendre appui sur eux pour obtenir de meilleurs résultats pour les Canadiens.

J'approuve une grande partie de ce que tout le monde a dit, mais, à mon avis, interagir avec des services hors du gouvernement pourrait être la troisième ou la quatrième étape. La première étape consiste à faciliter la numérisation des services gouvernementaux qui ne sont pas présentement numérisés.

L'assurance-dépôts est une autre raison pour laquelle les gens ont tant confiance dans le système bancaire. C'est une garantie qui leur dit que si une institution financière perd de l'argent, ce n'est probablement pas le leur dans la mesure où ils ont suivi les règles du jeu.

Je répète qu'à mon avis, le gouvernement a un rôle de maître d'oeuvre important dans cette identification. Voyons ce qui est déjà numérisé au gouvernement. L'ARC est un exemple que l'on peut augmenter. Passons en revue les services fédéraux et voyons comment nous pourrions les réunir et prendre appui sur la numérisation existante.

(1605)

L'hon. Peter Kent:

Le site Web de l'Estonie nous informe que 98 % de la population a reçu une carte d'identité numérique. Compte tenu de la nature humaine du Canada — la réticence, le scepticisme, le cynisme, la peur ou le refus à l'endroit de l'identification numérique —, pensez-vous qu'il faudrait que ce soit facultatif dans tout projet pilote adopté?

M. Ira Goldstein:

Quand je dis « pilote », il s'agit plus de la nature pilote de la capacité, mais celle-ci devrait être offerte à tous les Canadiens, et non pas forcément à un groupe pilote ou une province ou un groupe en particulier. Cette capacité pilote devrait porter sur un usage précis. Dans le cas de l'ARC, par exemple, on pourrait tout simplement continuer à l'augmenter.

Le citoyen ne s'inquiète pas de l'information sur lui dont dispose déjà le gouvernement. Reprenons l'exemple de Statistique Canada. Si le public s'est soulevé, c'est que les gens ont dit: « Humm, le gouvernement ne dispose pas de ce renseignement aujourd'hui. Maintenant, il le veut. C'est scandaleux. » Si nous avions déclaré...

L'hon. Peter Kent:

C'était aussi l'absence de consentement.

M. Ira Goldstein:

Mais si les renseignements sont anonymisés, où est ce consentement?

Si nous avions déclaré que nous adoptons les données ouvertes et recherchons certaines données regroupées et anonymisées pour faire en sorte que les services offerts soient moins coûteux, meilleurs et plus ciblés, beaucoup de gens auraient été réellement emballés. Les Canadiens sont de mentalité progressiste pour l'adoption du numérique. Il s'agit plus de la façon dont vous faites les choses plutôt que de ce que vous faites.

Quant à procéder avec circonspection, comme Matt l'a dit, il vous faut avancer lentement, planifier vos communications soigneusement, mais nous sommes tous fermement d'avis que les Canadiens sont prêts pour cela. Il s'agit simplement de la façon de le faire.

L'hon. Peter Kent:

Bon.

J'ai une question du style la poule ou l'oeuf. L'Union européenne a adopté le Règlement général sur la protection des données, le RGPD. Il a été dit que le Canada traîne loin derrière en ce qui concerne la protection des renseignements personnels, ce que l'Europe vient d'instituer, peut-être excessivement, ou exagérant la protection de certains aspects. Avant que l'on ne mette en oeuvre le gouvernement numérique au Canada, devrions-nous élaborer un règlement semblable pour instituer des mesures de protection et de garantie comme celles du RGPD?

M. Ira Goldstein:

C'est une vaste question.

Je ne crois pas que l'on puisse dire simplement que les lois canadiennes sur la protection des renseignements personnels sont insuffisantes. Nous avons quelques cadres stratégiques en la matière valables. Il s'agit de déterminer les définitions. Qu'est-ce que le « risque réel de préjudice grave »? Que cela signifie-t-il pour les sociétés comme celles que nous aidons, qui tentent de déterminer ce qu'elles doivent dire au gouvernement quand il y a eu atteinte à la sécurité ou à la vie privée?

Il faut faire en sorte qu'il soit plus pratique pour les sociétés et les particuliers de respecter ces cadres stratégiques. Je ne dis pas que nous devrions aller jusqu'à un RGPD. Nous avons certainement tous une opinion variée du RGPD. Matt tremble, maintenant.

Si les gens respectent le RGPD, c'est qu'il comporte des pénalités financières, et c'est pourquoi il y a un grand nombre de...

L'hon. Peter Kent:

Tout à fait.

M. Ira Goldstein:

... consultants qui font beaucoup d'argent dans ce domaine et pour toutes ces questions.

Nous ne devrions pas aller jusqu'au bout dans ce sens, mais il faut faire en sorte qu'il soit plus facile pour les entreprises canadiennes de fonctionner avec ce type de règlement au Canada. Nous devons conserver ce solide cadre stratégique de protection des renseignements personnels, mais faire en sorte qu'il soit plus facile pour les entreprises d'en tenir compte.

M. Matthew Anthony:

Puis-je parler un instant de la remarque d'Ira, puis répondre à votre question à savoir si nous devrions aller jusqu'au stade d'une sorte de RGPD?

La réponse est oui. La tendance mondiale à inciter les gouvernements à protéger les citoyens, contrebalancée par le fait que les citoyens sont, peut-être, de moins en moins intéressés à la protection des renseignements personnels sur le plan individuel augmente la motivation pour les gouvernements de protéger les citoyens, collectivement.

Cependant, ce qu'Ira a dit est vraiment important, et j'ai essayé d'en toucher un mot tangentiellement aussi, c'est-à-dire expliquer clairement comment manipuler et gérer les données de sorte que les personnes comprennent ce qui est attendu d'elles et comment elles doivent le faire, avant de commencer à propulser les choses dans l'univers en ligne. C'est une considération réellement très utile.

Je ne saurais vous dire si nous devrions ou non changer nos règlements, politiques et pratiques, mais il faudrait à tout le moins rendre ceux-ci transparents et plus faciles, de sorte que...

Le vice-président (M. Charlie Angus):

Merci beaucoup.

C'est mon tour maintenant pendant sept minutes. Par souci d'équité, je vais placer le marteau à côté du greffier et, si je dépasse mon temps, il s'en servira pour me cogner dessus.

Je trouve cela fascinant, et M. Anthony semblait procéder avec circonspection. Je trouve cela très surprenant.

Il fut un temps où je croyais fermement à la valeur du numérique et que, dans un monde où règne le numérique, les choses iraient mieux, que nous avancerions plus rapidement. Plus je passe du temps dans ce travail, plus je deviens méfiant. Je crois que « procéder avec circonspection » est un exemple très intéressant.

J'aimerais parler un peu de l'opinion qu'ont, d'après moi, les Canadiens de la protection des renseignements personnels et de l'innovation numérique. Je bavardais avec des gens du milieu des technologies aux États-Unis, et ils me disaient être émerveillés de voir à quel point nous prenions ces choses au sérieux.

Nous avons eu une importante bataille sur les droits d'auteur numériques dans laquelle il était question de citoyens et de campagnes épistolaires. La question du ralentissement de la circulation de l'information sur Internet a été toute une affaire. C'est le Canada qui a fait la première enquête sur Facebook, mais, parallèlement, comme l'a précisé M. Boysen, les gens ici détestent les cartes d'identité. Je pense à mes électeurs qui s'insurgeraient contre cette notion.

Nous prenons Statistique Canada comme un bon exemple de la façon de ne pas faire cela. Statistique Canada a une réputation dans le monde entier et les Canadiens lui font confiance. Cette organisation pensait que ce qu'elle faisait était dans l'intérêt public, mais les Canadiens l'ont mal perçu.

Quels conseils donneriez-vous à un gouvernement qui penserait que recueillir davantage de renseignements est dans l'intérêt public? Vous avez parlé des risques éventuels qui pourraient découler d'une augmentation de l'efficacité dans la collecte, le rassemblement et le partage des données, mais vous dites qu'il nous faut des preuves pour le démontrer. Quels paramètres devrions-nous prendre en compte à cet égard?

(1610)

M. Matthew Anthony:

Beaucoup de choses sont réunies dans cette question...

Le vice-président (M. Charlie Angus):

Oui.

M. Matthew Anthony:

... et je vais tenter d'y répondre.

Tout d'abord, recueillir des données, c'est comme une drogue, on s'y accoutume. C'est facile à faire. On recueille de grandes quantités de données et on ne peut pas perdre ce que l'on n'a pas. Quand je dis « Allez-y doucement », c'est que je vois des gens vivre leur plus gros cauchemar pour gérer les retombées d'une atteinte à la vie privée. Je vois ce qui arrive quand ce que j'ai conseillé de faire n'a pas été fait.

La véritable réponse à votre question se situe dans la façon d'atteindre un équilibre entre les diverses questions, soit quelles données recueillir, pourquoi les recueillir et veiller à l'obtention d'un consentement pour leur utilisation.

Le consentement d'utilisation peut être très difficile à dépister dans le cas des données historiques que l'on a déjà. Je ne pourrai pas vous dire quel consentement j'ai donné pour les données que j'ai fournies au gouvernement fédéral il y a cinq ans. Je ne m'en souviens pas et je ne pourrais pas vous le dire. Je ne me rappelle pas avoir signé une autorisation quelconque. C'était probablement caché dans les petits caractères. Le gouvernement pourrait présenter des arguments voulant que je lui aie donné un consentement, mon consentement de le faire, mais si je ne comprenais pas de quoi il s'agissait, si cela ne m'a pas été correctement communiqué, je serais alors très fâché contre vous quand vous utiliserez les données exactement comme vous aviez dit pouvoir éventuellement le faire.

Je crois que la communication et le consentement éclairé sont probablement au coeur même du cas de Statistique Canada. Cependant, je dirais: ne recueillez pas des données dont vous n'avez pas besoin, soyez très clairs dans la description de la façon dont vous les utiliserez et obtenez un consentement éclairé de la façon dont vous les utiliserez s'il s'agit de renseignements personnels.

Le vice-président (M. Charlie Angus):

Merci.

Monsieur Boysen, ce que vous avez dit dans votre exemple des banques m'a interpellé. Si je n'aime pas les banques... En réalité, je traite avec ma coopérative de crédit, la Caisse populaire...

M. Andre Boysen:

Cela fait partie du service.

Des députés: Oh, oh!

Le vice-président (M. Charlie Angus):

... et j'obtiens un bon service; si j'ai un problème, on m'appelle tout de suite et nous réglons le problème.

Notre comité a passé beaucoup de temps à examiner les modalités d'accès en ligne. Nous n'avons pas le choix. C'est ce que nous avons découvert au sujet de Facebook et de Google. Nous avons commencé à débattre de la question de l'antitrust, qui ne relève pas normalement de notre comité, mais pour les droits des citoyens et la protection des données... Autrement dit, si vous avez un problème avec Facebook, qu'allez-vous faire? Rien. Vous ne pouvez pas vous adresser à WhatsApp, parce qu'il est contrôlé par eux. Ils contrôlent toutes les autres voies.

En ce qui concerne l'intérêt public général, estimez-vous que le fait de n'avoir pas suffisamment de choix dans la façon dont nous accédons en ligne et la façon dont nos renseignements personnels sont recueillis et utilisés par les géants de collecte de données nuit dans l'ensemble à la cible que nous tentons d'atteindre?

M. Andre Boysen:

Oui. En bref, oui, c'est un problème.

À mon avis, nous devons aborder ceci tout à fait autrement.

Le défi que nous oppose l'architecture actuelle d'Internet réside dans le fait que chaque organisation de prestation de services Web est livrée à elle-même dans la façon dont elle procède à l'inscription de ses clients en ligne. On sait ce que cela a donné pour nous tous ici dans la salle. Certains d'entre nous ont 10 mots de passe, d'autres en ont 25 et d'autres encore 100. Certains d'entre nous en ont 100, mais c'est en réalité un seul, parce que c'est le même mot de passe.

Par conséquent, dans ce modèle où tout le monde est livré à lui-même, le seul moyen d'avoir la certitude qu'une personne est réellement qui elle prétend être est l'établissement d'un processus d'adhésion très détaillé. Cela est particulièrement vrai au gouvernement, car votre obligation de diligence est extrêmement élevée. Par conséquent, il arrive souvent que le client ne puisse suivre entièrement ce processus et quand il y arrive, le fait que vous possédez toutes les données devient un problème. Par conséquent, lorsqu'il y a brèche, vous devez remédier à toutes les données.

Nous n'avons ce problème qu'en ligne. En personne, ce n'est pas vraiment un problème, parce que nous collaborons et coopérons déjà en ce qui concerne l'identité. Si je veux ouvrir un compte en banque, je présente une pièce d'identité émise par un gouvernement et quelque chose venant d'ailleurs, et j'obtiens un compte en banque. Si je veux prouver que j'ai vécu en Ontario les six derniers mois, je présente mes relevés bancaires pour démontrer que j'ai vécu à cette adresse tout ce temps-là. Nous coopérons déjà dans le monde tangible pour cette identification. Ce n'est qu'en ligne que nous avons le problème.

Je vous dirais donc, entre autres, que vous devriez envisager non seulement de régler cet aspect du point de vue du gouvernement, mais du point de vue de l'économie dans son ensemble. Si les banques sont ici aujourd'hui et souhaitent participer au mécanisme, c'est parce que de leur point de vue, ce n'est pas intéressant sur le plan du revenu. Elles souhaitent ouvrir des comptes en banque en ligne, et elles veulent faire réduire les risques. Le défi pour elles est qu'elles ne peuvent s'assurer que le permis de conduire est authentique. Les escrocs prennent une image d'un permis de conduire, effacent la photo qui s'y trouve, apposent la leur à sa place et vont en ligne obtenir une marge de crédit; les banques sont sans défense contre ce genre d'attaque.

Les banques voudraient que le gouvernement mette de l'ordre dans ses affaires et fasse en sorte que tous les documents émis par le gouvernement soient prêts à participer à l'économie numérique.

En 2008, le ministre Flaherty avait constitué un groupe de travail au Canada chargé de débattre de la façon dont les paiements numériques fonctionneraient. Ce groupe de travail a travaillé pendant deux ans. J'y ai participé et, selon le rapport produit par Pat Meredith — qui a très bien dirigé le groupe de travail —, il ne peut y avoir une économie numérique et des paiements numériques sans une identité numérique.

L'identité numérique doit pouvoir fonctionner dans l'ensemble de l'économie. Il ne s'agit pas de régler le système de soins de santé ni de régler le problème de l'ARC. Il s'agit de régler la situation pour les consommateurs dans l'ensemble de l'économie, parce que, si l'on y pense bien, le contraire signifie qu'il faut se présenter sur les lieux avec son permis de conduire pour obtenir ce que l'on veut, et cela prend beaucoup de temps.

(1615)

Le vice-président (M. Charlie Angus):

Je dois vous arrêter ici, pour que l'on puisse mettre au compte rendu que j'ai arrêté cinq secondes avant la fin de mon temps.

Des députés: Oh, oh!

Le vice-président (M. Charlie Angus): Monsieur Saini.

M. Raj Saini (Kitchener-Centre, Lib.):

Je vous remercie de votre exposé.

J'aimerais tirer une chose au clair, parce que vous avez mentionné un problème chaque fois que l'on parle de carte d'identité nationale. Cependant, nous avons déjà des pièces d'identité infranationales. Nous avons un permis de conduire, un passeport et un numéro d'assurance social.

M. Andre Boysen:

Oui.

M. Raj Saini:

En Ontario, j’ai une carte du Régime d’assurance-maladie de l’Ontario. Il se peut que nous n’ayons pas à utiliser un seul et même numéro pour tous les éléments du système, mais notre système repose sur l’utilisation de cartes.

M. Andre Boysen:

C’est exact.

M. Raj Saini:

En ce qui concerne le modèle estonien, je partage votre avis. La raison pour laquelle nous utilisons cette solution, ou la raison pour laquelle nous avons commencé à l’utiliser est que l’Estonie fait partie d’un groupe de pays plus avancés que d’autres.

M. Andre Boysen:

C’est vrai.

M. Raj Saini:

Mais vous avez dit, et je suis tout à fait d’accord avec vous, en vérité, je crois que c’est M. Anthony qui l’a dit, l’Estonie compte 1,3 million d’habitants et une grande partie de son territoire est à l’état vierge. Le régime antérieur, lorsqu’elle était sous la coupe de la Russie, n’a pas laissé de système patrimonial. Elle dispose d’un territoire d’environ 40 000 km2 dont la moitié est couverte de forêts. Les problèmes auxquels elle doit faire face ne se comparent en rien aux nôtres.

Il faudra toutefois que, un jour, nous adoptions une forme d’identificateur numérique. Si je vous pose cette question, M. Boysen, c’est parce que je connais votre société. J’ai lu un communiqué de presse de mars 2017 dans lequel vous dites qu’IBM et SecureKey collaborent à la mise au point d’une nouvelle identité numérique et d’un réseau de partage des attributs reposant sur la chaîne de blocs d’IBM.

Je n’ai aucune idée de ce que cela veut dire…

Des députés: Oh, oh!

M. Raj Saini: … ,mais cela fait bonne impression. La raison pour laquelle j’y fais allusion est que la technologie des chaînes de blocs est l’une de celles qu’on pourrait envisager d’étudier pour voir s’il y a des écarts. Vous avez parlé des cartes de crédit. Je suis un détaillant, un pharmacien pour être précis, et je sais combien il a été difficile d’obtenir des machines à cartes de crédit dans mon magasin. Il a fallu acquérir des connaissances. Nous avons eu quantité de papiers à remplir qu’il a fallu expédier au fournisseur. Est-il possible que la technologie des chaînes de blocs… Maintenant que cela fait un an que vous collaborez avec IBM, vous pouvez peut-être nous rappeler comment cette technologie est apparue. Le gouvernement pourrait-il se permettre de ne pas s’y adapter?

M. Andre Boysen:

En bref, la réponse est oui. Dans le projet que nous proposons, les gouvernements, aussi bien le fédéral que les gouvernements provinciaux, jouent un rôle important. Ils doivent s’assurer de maximiser la réussite du projet. Le projet pourrait se passer d’eux, mais sa réussite sera beaucoup plus marquante s’ils y participent.

Vous avez toutefois tout à fait raison de rappeler que nous avons déjà ces documents. Nous les utilisons pour obtenir les services dont nous avons besoin. C’est ainsi que fonctionne le modèle actuel. Nous utilisons le modèle à notre disposition pour obtenir de nouveaux services auxquels nous n’avons pas encore accès ou des services que nous voulons.

C’est ainsi que les choses fonctionnent dans le monde réel. Le problème se pose uniquement lorsque nous voulons accéder à ces services en ligne, parce que les documents ne sont pas numérisés. L’une des choses que nous demandons est précisément de numériser les documents des gouvernements afin que leurs diverses entités puissent participer au projet avec les banques, les compagnies de télécommunications, les prestataires de soins de la santé, les compagnies d’assurances et les autres prestataires de services.

Pour revenir à votre question sur les chaînes de blocs, il y a un certain nombre de choses que j’entends dire à ce sujet. Je dirais que la première est que pour assurer la réussite du projet des chaînes de blocs, il vaut mieux ne pas parler de ces dernières, parce qu’on a déjà dit tant de choses à leur sujet. Quantité d’idées différentes de ce qu’elles sont et ne sont pas circulent déjà.

Ensuite, toujours au sujet des chaînes de blocs, l’un des sujets que j’aimerais aborder est celui de la protection des renseignements personnels. L’une des caractéristiques des chaînes de blocs, qui constitue aussi un avantage, est qu’elles sont immuables. Elles ne changeront jamais. La difficulté que cela pose quand on fait intervenir le Règlement général sur la protection des données est le droit à l’oubli. Imaginez que je consente à vos conditions pour utiliser vos services et que je vous dise ensuite: « Je veux que vous m’oubliiez ». La seule façon d’honorer l’entente que nous avions est d’effacer votre chaîne de blocs.

Ce serait vraiment une mauvaise idée que d’inscrire des renseignements personnels dans une chaîne de blocs. Cette forme de sagesse est maintenant devenue la norme. Cependant, ce qui est bien est de disposer de preuves d’intégrité.

Je voudrais revenir à l’exemple de la carte de crédit que je vous ai donné il y a quelques minutes. La difficulté, monsieur Saini, est que si j’apprends assez de choses sur vous aujourd’hui, je peux me substituer à vous sur Internet. L’organisme que j’essaie de tromper est sans défense, parce que je détiens toutes vos données. Je les ai trouvées sur le Web caché.

Nous n’avons pas ce problème avec le système des cartes de crédit. Avec ce système, il existe deux types de paiements. Lorsque je me rends dans un magasin et que je paye en personne, le risque de fraude est pratiquement nul pour les raisons que je vous ai données précédemment. Toutefois, lorsque je vais acheter quelque chose en ligne chez Amazon, Amazon ne peut pas voir ma carte de crédit. Cette transaction est donc plus risquée. On parle ici de « transaction en l’absence de carte ». C’est le cas aujourd’hui de toutes les transactions de commerce électronique. Les risques sont plus élevés.

Voici ce qu’il faut savoir: de nos jours, tout ce qui concerne l’identité se fait « en l’absence de cartes ». Nous ne savons absolument pas si tout ce qu’on nous dit est vrai.

(1620)

M. Raj Saini:

Donc…

M. Andre Boysen:



Je vous demande pardon, mais je vais finir de répondre à votre question sur les chaînes de blocs.

C’est pour vérifier les preuves d’intégrité que nous utilisons les chaînes de blocs. Pour nous, la chaîne de blocs est une méthode pour mettre en place une triple barrière afin de permettre à l’émetteur des données de prouver qu’il en est l’auteur et qu’il s’agit des mêmes données qu’il a fournies à l’utilisateur pour qu’il en fasse état. Le récepteur reçoit alors les données en sachant qu’elles n’ont pas été modifiées. Le consommateur peut alors avoir confiance que ces données n’ont pas été partagées indûment. C’est pour cela qu’on utilise des chaînes de blocs.

M. Raj Saini:

Je vous remercie de cette précision. Je saisis son intérêt.

Mon second point est de rappeler que l’Estonie bénéficie d’un avantage, car elle n’a qu’un seul palier de gouvernement.

Ici au Canada, en tout cas dans la région d’où je viens, le Sud-Ouest de l’Ontario, il y a en vérité quatre paliers de gouvernement parce que nous avons un gouvernement régional. Dans l’état actuel des choses, nous avons donc quatre dépositaires de renseignements, soit le gouvernement fédéral, le gouvernement provincial, le gouvernement régional, qui élabore des politiques et fait d’autres choses, et les administrations municipales, responsables, par exemple, des taxes foncières. Chaque dépositaire gère les informations propres à son palier.

M. Andre Boysen:

Et il vous faut une identification d’utilisateur et un mot de passe pour chacun d’eux.

M. Raj Saini:

C’est exact.

Ce que je voulais dire est que lorsqu’il est question de fiscalité ou de santé, si vous devez prouver quelque chose, il faut que vous obteniez l’information de divers paliers de gouvernement.

Comment allez-vous parvenir à l’interopérabilité?

Vous n’avez pas à traiter avec un seul palier de gouvernement. Vous pouvez commencer par celui du gouvernement fédéral, mais, pour que cela fonctionne, vous allez devoir accéder à toutes les informations détenues par les divers paliers de gouvernement.

M. Andre Boysen:

J’ai quelques commentaires à vous faire et, ensuite, Mme McIver aura quelque chose à ajouter.

En vérité, actuellement, chaque service élabore ses propres règles. C’est le cas des organismes que vous venez d’énumérer. Ils tiennent à continuer à le faire. Ils veulent obliger tout le monde à faire la même chose, parce qu’ils veulent pouvoir prendre leurs propres décisions d’affaires.

Toutefois, il est important de rappeler, comme vous l’avez fait, que lorsque vous parlez aux responsables canadiens des permis de conduire, ils vont vous dire que le permis de conduire n’est pas une pièce d’identité. Il atteste seulement que vous avez appris à conduire et pourtant vous ne pouvez pas accéder à n’importe quel service en ligne sans votre permis de conduire. Ce n’est pas une pièce d’identité, mais il est utilisé comme tel.

M. Charlie Angus:

Il vous reste une minute.

M. Andre Boysen:

Ce qui importe ici est de nous assurer de pouvoir obtenir un projet que les consommateurs de tous les secteurs de l’économie pourront utiliser.

Comme je tiens à céder la parole à Mme McIver, je vais m’en tenir là.

Mme Rene McIver:

En résumé, pour ce service, nous comptons bien que tous les ministères et toutes les sources d’information faisant autorité participent à cet écosystème de façon à ce que moi, comme simple utilisatrice, lorsque j’aurai besoin d’échanger les renseignements provenant de ces sources multiples, je puisse le faire par l’intermédiaire de ce service en sachant qu’il ne recueillera aucune de ces informations pour créer ce nouveau piège à pirates centralisé qui pourrait devenir une autre cible d’attaques.

C’est l’organisme qui détient l’information qui exerce le pouvoir sur celle-ci.

M. Raj Saini:

Combien de temps me reste-t-il, 20 ou 30 secondes?

Le vice-président (M. Charlie Angus):

Vous disposez de 15 secondes, mais je suis tolérant ce soir.

M. Raj Saini:

Très bien.

Je suis d’accord avec vous sur ce point. Il y a une chose qui me plaît dans le modèle estonien: il utilise un système X-Road, avec des silos d’information le long de la route. J’ignore si c’est une solution sécuritaire ou non d’un point de vue technologique. Je ne proposerais jamais que l’information soit conservée à un endroit où elle pourrait être attaquée, mais je crois que c’est ce que l’Estonie a fait. Elle a ce système X-Road sur lequel tous les services sont interconnectés.

Pouvez-vous nous dire ce que vous en pensez? S’agit-il du même type de projet?

M. Andre Boysen:

La nature du projet est la même.

M. Raj Saini:

D’accord.

Le vice-président (M. Charlie Angus):

Je vous remercie.

Mme Rene McIver:

Certainement. [Français]

Le vice-président (M. Charlie Angus):

Nous continuons avec M. Gourde pour cinq minutes.

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Merci aux témoins d'être ici cet après-midi.

L'identifiant numérique unique semble être une avenue d'avenir. Par contre, j'aimais la position assez modérée de M. Anthony selon laquelle il faut prendre le temps de bien faire les choses, et ce, pour plusieurs raisons. Tout d'abord, nous avons déjà une infrastructure de services numériques offerts aux Canadiens, contrairement à l'Estonie, qui est partie de rien pour se rendre à l'identifiant numérique unique. Cependant, il ne faut pas jeter le bébé avec l'eau du bain.

Nous avons déjà investi énormément d'argent pour mettre en place des infrastructures numériques. Serons-nous obligés de les laisser tomber pour les remplacer graduellement par l'identifiant unique, ou serons-nous capables de récupérer la base de l'infrastructure existante? Si nous devons recommencer à zéro, il faudra dépenser des milliards de dollars. A-t-on une idée de l'ampleur du défi que représente ce service qu'on veut offrir à tous les Canadiens partout au pays?

Mes questions s'adressent à tous. Je ne sais pas qui veut y répondre en premier.

(1625)

[Traduction]

M. Matthew Anthony:

Je n'ai pas de problème à répondre à cette question ou, du moins, à contribuer à y répondre. Je ne sais pas si c’est au secteur public ou au secteur privé qu’il incombe de créer un identificateur numérique unique. Je sais, par contre, que quand j’entends parler de concepts impliquant l’emploi de mon identificateur à la banque, ou peut-être d’un autre identificateur, je veux mieux comprendre de quoi il s’agit. J’ai tendance à croire que nos institutions publiques peuvent disposer de plus d’informations qui sont davantage fiables, et qu’elles pourraient s’occuper de cette question. Mais il faut être conscient de l’ampleur de la tâche: énorme!

Je commencerai par suggérer au gouvernement fédéral d’au moins examiner l’ensemble des différents identificateurs qui sont utilisés actuellement et de choisir des endroits où il pourrait les intégrer à un système d’identification unique qui garantirait une identification de haute qualité pour les transactions qui se font au sein des services gouvernementaux et dans leur environnement. C’est par là que je commencerai avant de m’attaquer à l’extérieur.

C’est un projet d’une ampleur énorme, et je ne peux que me souvenir des commentaires de M. Boyson voulant que nous ayons un bon identificateur matériel et que le problème se pose uniquement en ligne. Je prétendrai que l’ensemble très fragile des identificateurs qui s’agrègent dans un passeport ou dans un permis de conduire ne constituent pas en vérité des authentifications rigoureuses. On ne dispose aujourd’hui que de très peu de preuves confirmant que je suis qui je dis être. J’existe, mais il n’y en a que très peu de preuves.

M. Andre Boysen:

Je veux seulement ajouter qu’il ne s’agit pas d’avoir un identificateur unique, mais bien d’avoir confiance dans l’identité de la personne à l’autre bout de la transaction. Je possède déjà aujourd’hui, dans ma vraie vie, quantité d’identificateurs. L’avantage est que cela me permet de segmenter et de compartimenter ma vie afin de ne partager que certaines informations avec cet organisme et certaines autres avec d’autres.

Un identificateur unique permettrait à quelqu’un de voir tous les endroits où je suis allé sur Internet. L’entente que nous avons avec le gouvernement du Canada est que la demande formulée au départ visait à accéder à un service précis utilisant un identificateur unique. Vous vouliez un service avec un numéro unique non significatif, un MBUN, que je pourrais utiliser partout au gouvernement. Quand nous avons examiné cette solution, nous avons conclu qu’il s’agissait là d’une idée abominable parce que nous allions mettre en place un vrai réseau de surveillance. Vous pourrez savoir tous les endroits où des gens sont allés: au magasin de bière, chez le médecin, au centre fiscal. Vous auriez pu me suivre partout. Je ne veux pas de cela. Nous avons conçu un système de protection des renseignements personnels à triple barrière pour résoudre ce problème. Nous ne l’avons pas fait pour obtenir un identificateur unique. Au gouvernement, le service que nous élaborons actuellement vous donne une pluralité d’identificateurs.

Lorsque je veux accéder au service d’un ministère donné, je dispose d’un identificateur unique que je n’utilise que pour ce ministère et c’est un meilleur modèle parce que ma relation est contextuelle. Je n’ai pas une vision complète de l’ensemble de mes données. J’ai une vision très contextualisée et compartimentée de ma vie et je veux que cela reste ainsi. Je ne veux pas un gros piège à pirates quelque part. Il est important de donner aux gens les outils et les moyens de faire cela.

J’aimerais cependant revenir un instant sur les commentaires de M. Anthony. Le passeport n’est pas un document d’authentification. Nous l’utilisons à des fins d’identité, pour prouver que nous sommes bien inscrits dans les répertoires du gouvernement. Permettez-moi de partager avec vous un élément vraiment important quand il est question d’identité. Lorsque vous demandez qui est une personne donnée, vous posez en réalité deux questions auxquelles il faut répondre en même temps. La première question est: « Existe-t-il bien une personne qui s’appelle Andre Boysen? » Il ne fait aucun doute que le gouvernement est l’auteur de ce dossier et que c’est lui qui en est responsable.

La seconde question à laquelle il faut répondre en même temps est: « Est-il Andre Boysen? » Si vous ne pouvez pas répondre en même temps à ces deux questions, vous ne parviendrez pas à faire un bon travail. Vous avez une authentification impressionnante qui est vraiment rigoureuse, mais si vous ne savez pas de qui il s’agit, cela n’est pas très utile. Il faut que vous soyez en mesure de faire le lien avec la personne qui l’a fait. Si vous pouvez combiner ce mécanisme avec le propre intérêt de la personne, les utilisateurs feront alors ce qui convient lorsqu’ils perdront l'accès à la pièce d'identité, ce qui signifie que l’escroc est éliminé. Une identité est composée de trois éléments qu’il faut garder isolés les uns des autres.

Le vice-président (M. Charlie Angus):

Merci.

M. Andre Boysen:

La première partie est la question sur l'identité: qui êtes-vous? La deuxième question vise l'authentification: êtes-vous la même personne que celle qui s'est présentée la première fois? Le troisième élément est l'autorisation: que suis-je autorisé à faire à l'intérieur de votre service?

Ce troisième domaine englobe majoritairement ce dont vous avez parlé aujourd'hui. Les deux premières questions correspondent à ce dont nous discutons: il devrait s'agir d'un service à la fois public et privé à l'échelle de l'économie. Il faut que toutes ces organisations participent.

Le vice-président (M. Charlie Angus):

Très bien, merci.

Je vais céder la parole à M. Graham.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

C'était une bonne réponse.

Le vice-président (M. Charlie Angus):

Oui, c'était en effet une bonne réponse. C'est pourquoi je me suis montré si raisonnable.

M. David de Burgh Graham:

C'est juste.

Je ne dispose pas de beaucoup de temps, aussi je vous demanderais de recourir à ce que j'appelle la « compression de données avec perte » dans vos réponses.

Des voix: Oh, oh!

M. David de Burgh Graham: Dans le monde numérique, la protection des renseignements personnels peut-elle exister sans la sécurité?

(1630)

M. Matthew Anthony:

Oui.

M. David de Burgh Graham:

La protection des renseignements personnels existe sans la sécurité.

M. Matthew Anthony:

Tout dépend de l'angle sous lequel vous considérez la question. Il est question de l'accès, afin qu'un dossier puisse demeurer confidentiel. On peut discuter des moyens de le sécuriser, mais dans ce cas... C'est une question assez compliquée.

En fin de compte, tous les aspects de la protection des renseignements personnels s'expriment sous la forme d'une certaine mesure de contrôle de la sécurité. Je pense que, théoriquement, la réponse est oui, mais que, concrètement, la réponse est non.

M. Ira Goldstein:

Je pense que si l'on inverse cette affirmation et que l'on dit plutôt que l'on peut se doter de certaines mesures de sécurité assorties de divers niveaux de protection des renseignements personnels, ce serait davantage en phase avec ce dont nous sommes en train de discuter.

La raison pour laquelle les sociétés motivées par les revenus publicitaires sont si populaires est simple; c'est parce que ces revenus leur permettent d'améliorer leur prestation de services ou de vous vendre davantage de choses. Le gouvernement devrait s'en inspirer— en ce qui concerne, évidemment, la protection des renseignements personnels des citoyens — pour dire que le gouvernement de l'avenir se caractérisera par une prestation de services plus précise et plus ciblée, et une prestation de services pouvant être sécurisée en fonction du niveau de protection des renseignements personnels les concernant que les citoyens sont prêts à accepter.

Si on offre aux citoyens un compromis, notamment en leur affirmant que l'on peut faire beaucoup plus au gouvernement avec les renseignements dont on dispose déjà en en faisant l'analyse, à l'instar du secteur privé, et en leur demandant s'ils sont d'accord, je pense que la majorité des Canadiens répondront positivement s'ils comprennent de quoi il retourne.

M. David de Burgh Graham:

Très bien.

Monsieur Anthony, lorsque vous avez commencé à répondre à la première question de Mme Fortier, vous aviez de la difficulté à entendre parce que le microphone était allumé et, par conséquent, le haut-parleur était fermé. Ce qui était à la source du problème. Ce qui me permet de faire un lien avec un point que j'aimerais soulever au sujet des interfaces non intuitives et du fait que notre plus grand problème en matière de sécurité tient à l'utilisateur. J'ai vérifié, et cela ne figure pas au compte rendu, peut-être que ce devrait y être consigné.

Qui est Kevin Mitnick, et pourriez-vous nous en parler un peu?

M. Matthew Anthony:

Vous voulez que nous parlions de Kevin Mitnick?

M. David de Burgh Graham:

Je pense qu'il s'agit d'un point très important. Il a piraté un nombre impressionnant de systèmes. Il ne se servait pas vraiment d'un ordinateur pour le faire, il avait plutôt recours au piratage psychologique.

M. Matthew Anthony:

En effet. Dans l'industrie, il arrive que l'on évite de qualifier Kevin Mitnick de pirate informatique. Au fond, il s'agissait d'un pirate psychologique, ce qui signifie qu'il manipulait les systèmes hors ligne et les individus pour obtenir de l'information, et qu'il s'en servait ensuite pour établir des relations de confiance avec d'autres personnes et, dans une certaine mesure, avec d'autres systèmes informatiques. Il est devenu célèbre. Il a fait de la prison. Aujourd'hui, il gagne sa vie grâce à sa célébrité et pour être allé en prison.

Si l'on considère l'ensemble de l'accès aux systèmes informatiques et aux données qui y sont stockées, et la possibilité de s'y attaquer, le mouvement naturel consistera à se diriger vers ce qui demande le moins d'effort. Et ce qui demande le moins d'effort est presque toujours le facteur humain. Donc, il ne suffit pas de sécuriser les technologies, il faut aussi contribuer à sécuriser les personnes.

M. David de Burgh Graham:

C'est juste.

Oui?

Mme Rene McIver:

Désolée, je voulais seulement ajouter que nous devons en arriver à un point où nous pourrons rendre les données pratiquement inutilisables. Parce que, ce qui compte vraiment, c'est la validation qui vient avec les données. Par conséquent, s'il y a une attaque — qu'il s'agisse de piratage psychologique ou autre — au cours de laquelle les agresseurs s'emparent de données et tentent de quelque manière de les réintroduire dans le système, elles seront rejetées parce qu'elles ne proviennent pas d'une source validée.

Nous voulons faire en sorte que les renseignements personnels proprement dits deviennent inutiles. Laissez les attaquants s'en emparer. Pas de problème. Ils ne peuvent rien en tirer parce qu'ils sont incapables de les valider correctement.

M. David de Burgh Graham:

Tout à fait.

M. Andre Boyson:

C'est l'idée sous-jacente de l'identité dans les transactions avec carte. La seule personne susceptible d'avoir effectué la transaction est quelqu'un qui avait en sa possession une chose qui appartient au véritable utilisateur, et le véritable utilisateur va annuler sa carte s'il la perd.

C'est de là que viendront la confiance et l'intégrité.

M. David de Burgh Graham:

Une autre faiblesse que je vois tient au traitement des données chiffrées; tôt ou tard, il faut déchiffrer ces données pour savoir quoi faire avec.

Existe-t-il un moyen de contourner cela? Est-il possible de traiter des données sans avoir à les déchiffrer? Je sais que FFE a travaillé sur la question, mais j'ignore si on a trouvé une solution.

Mme Rene McIver:

Il faut tenir compte de deux facteurs pour répondre à cette question. Tout dépend de qui veut traiter les données en question.

Dans le service où il existe un réseau d'identité, il n'est pas nécessaire que le réseau voie les renseignements protégés, n'est-ce pas? Bien entendu, il doit les transmettre. Il doit les stocker temporairement jusqu'à ce que le destinataire de l'information vienne les récupérer, mais le réseau n'a pas à voir les renseignements personnels. Donc, oui, il est possible de traiter des données sans avoir à les déchiffrer.

En réalité, le chiffrement s'effectue au niveau du fournisseur. Le destinataire de l'information devrait la déchiffrer.

L'autre facteur concerne la minimisation des données. Nous devons aussi en arriver à un point où je ne transmets pas ma date de naissance pour révéler mon âge ou que j'ai atteint la majorité; je devrais plutôt transmettre la réponse validée suivante: « Oui, cette personne est âgée de plus de 19 ans. »

Ces deux facteurs réunis peuvent contribuer à la sécurité dont nous avons besoin, du point de vue de la minimisation des données et de la réduction de l'exposition des renseignements personnels.

M. David de Burgh Graham:

J'aimerais...

Qu'est-ce que vous dites?

Le vice-président (M. Charlie Angus):

Cinq minutes.

M. David de Burgh Graham:

Mon temps est écoulé?

Le vice-président (M. Charlie Angus):

Oui. Est-ce que c'est correct? Vous vous débrouillez si bien.

M. David de Burgh Graham:

Il me reste encore au moins cinq minutes.

Le vice-président (M. Charlie Angus):

Je sais, mais je dois les accorder à M. Kent.

L'hon. Peter Kent:

C'est la dure réalité.

Monsieur Boysen, j'aimerais revenir à votre point. Le programme de cartes NEXUS utilise les données biométriques, pas dans tous les cas, mais dans certaines situations... Et parfois, le service des passeports canadiens le fait également; nous utilisons les empreintes digitales ou les images d'iris. Diriez-vous qu'il s'agit du genre d'identification positive parfaite et double dont vous nous parliez?

(1635)

M. Andre Boysen:

En effet. Ce qui me plaisait dans le programme de la carte NEXUS, c'est qu'il laissait le choix aux consommateurs. Si vous disiez aux Canadiens qu'ils doivent subir un balayage biométrique de l'iris pour obtenir un passeport, cela susciterait une vive indignation.

L'hon. Peter Kent:

En effet.

M. Andre Boysen:

Cependant, si vous donnez le choix aux gens en leur disant: « Si vous voulez accélérer le service dans les aéroports, il suffit de soumettre vos données biométriques, et vous franchirez les contrôles beaucoup plus rapidement ». Et beaucoup de gens ont fait ce choix. En laissant la possibilité de faire un choix, ces contraintes ont été acceptées.

J'ajouterais que votre propre service de connexion au gouvernement du Canada, le service des partenaires de connexion, lui aussi donne le choix. Vous n'avez pas forcé les Canadiens à utiliser leur compte de banque pour avoir accès à l'ARC s'ils ne le souhaitaient pas. Ils pouvaient toujours continuer d'utiliser un ID utilisateur fourni par le gouvernement et un mot de passe. En leur donnant le choix, vous les avez rassurés. Je ne suis pas forcé, donc je vais l'essayer et je verrai bien comment les choses se passent. Cet élément de choix est une composante clé dans l'adoption de systèmes comme celui-ci.

L'hon. Peter Kent:

La technologie de reconnaissance de l'iris utilisée pour la carte du programme NEXUS, dont l'acquisition n'a pas encore été effectuée, semble représenter une énorme montagne à gravir pour le gouvernement, le ministre des Finances et son budget.

M. Andre Boysen:

Je me permettrais de dire que ce n'est pas vraiment un bon outil pour la prestation de services en ligne. Ça me semble un peu exagéré d'exiger un balayage de la rétine si tout ce que je veux c'est me prévaloir de mon droit de vote. J'ajouterais que chacun de ces outils doit être utilisé... Il faut considérer l'ensemble des services et également, le niveau d'assurance. Toutes ces choses ne relèvent pas de la même catégorie.

En ce qui concerne les services exigeant un faible niveau d'assurance, il n'est pas nécessaire de se doter d'un tel niveau de confiance; dans ces situations, l'atteinte d'un tel niveau de fiabilité n'est pas aussi importante. Dans le cas du balayage de la rétine et de la carte du programme NEXUS, il faut également tenir compte du fait que les activités se déroulent dans un environnement contrôlé. Il faut se rendre à un poste contrôlé où des gens nous observent pour s'assurer que l'on n'essaie pas de trafiquer la machine ou de tripoter la carte. C'est cet environnement contrôlé qui est garant du processus. Vous ne pourriez pas procéder à un balayage de la rétine à partir de chez vous, par exemple, sans aucune forme de garantie, parce qu'il pourrait s'agir d'une attaque par réinsertion.

L'hon. Peter Kent:

Déjà.

M. Andre Boysen: Oui, déjà.

M. Ira Goldstein:

Mais peut-être pourriez-vous le faire finalement si nous nous inspirons du secteur privé et si nous examinons l'une des méthodes d'authentification les plus élégantes qui existent aujourd'hui. Avec les téléphones intelligents, les données biométriques et la reconnaissance faciale sont désormais monnaie courante. Effectuer un balayage de votre visage chaque fois que vous souhaitez déverrouiller votre téléphone peut sembler une approche indûment rigoureuse, mais vous savez quoi? Maintenant, c'est la réalité; les gens ne s'en formalisent pas parce que la technologie est tellement avancée, et qu'ils veulent y avoir accès, et que ça leur facilite les choses.

Je pense que nous devrions nous en inspirer. L'authentification est utilisée aujourd'hui de bien des manières, notamment lorsque l'on utilise les données biométriques chaque fois que l'on veut ouvrir son téléphone. Et il ne s'agit pas d'un nouveau système, mais d'un système existant, qui est déjà en place.

M. Andre Boysen:

Permettez-moi d'ajouter des précisions, l'utilisation des données biométriques sur un appareil est une bonne idée. Mais essayer d'enregistrer ses données biométriques à droite et à gauche n'est pas une bonne idée. C'est l'argument que j'essayais de faire valoir.

L'hon. Peter Kent:

À Toronto, les hôpitaux, les réseaux d'hôpitaux tentent depuis plus d'une décennie de... Le gouvernement de l'Ontario les encourage à mettre en place un système d'échange en ligne de renseignements d'ordre médical pour un éventail de raisons — accès à l'urgence et ainsi de suite.

Est-ce que l'une ou l'autre de vos entreprises a travaillé avec les réseaux d'hôpitaux, les cabinets de médecins pour tenter de parvenir à un système sûr?

M. Andre Boysen:

Oui, nous avons actuellement un projet pilote en cours avec le Réseau universitaire de santé. L'une des difficultés que... et j'ai d'ailleurs présenté un exposé TED sur les soins de santé et l'identité, parce que, à l'échelle du pays, le besoin le plus important en matière d'identité numérique se trouve dans les soins de santé. Nous devons résoudre ce problème parce que nous ne pouvons pas continuer à laisser les soins de santé gruger le budget.

Nous menons des projets pilotes actuellement. L'un des éléments cruciaux pour redresser la situation dans les soins de santé est qu'une solution sur mesure visant les « soins de santé seulement » ne fonctionnera pas. La raison en est que la majorité de la population utilise le système de soins de santé très rarement, ce qui signifie que les gens vont finir par oublier leur fichu mot de passe. Quant au reste de la population, il est constitué d'utilisateurs très assidus du système de santé qui, de toute façon, se rendent toujours sur place.

Il nous faut un mécanisme d'accès aux services en ligne qui fonctionnera pour les Canadiens ordinaires. Nous avons vu à quel point le service gouvernemental a donné de bons résultats pour l'ARC. C'est pourquoi nous pensons que ce modèle pourrait être étendu à d'autres services des secteurs public et privé.

Le vice-président (M. Charlie Angus):

Il s'agit cette fois du dernier tour.

C'est M. Saini qui commence.

M. Raj Saini:

J'ai une question rapide. Si vous ne pouvez pas me fournir une réponse complète aujourd'hui, pourriez-vous le faire ultérieurement par écrit? Je I'apprécierais beaucoup.

Nous parlons de l'Estonie, mais je sais que d'autres pays ont amorcé le processus. Si vous pouviez nous fournir la liste de ces pays ou nous suggérer une liste de pays que nous devrions étudier, et peut-être de la documentation pertinente, nous pourrions nous en servir dans le cadre de notre étude.

Et ensuite, voilà une chose qui me fascine, parce que, étant issu du secteur privé, et propriétaire d'une pharmacie, ma technologie était toujours à la fine pointe. Peu importe ce qu'il y avait de plus récent, je devais emboîter le pas. Maintenant, il est question d'un point NEXUS qui ira de l'avant, et dans ce contexte, le secteur privé et le secteur public vont échanger de l'information.

Comment faire pour que la technologie demeure à jour parce que le secteur privé sera toujours en avance? Le secteur public tire de l'arrière. Peu importe si les directives en matière de politique sont justes, si tout le monde a bien compris, on peut régler les problèmes en lien avec la protection des renseignements personnels, mais tôt ou tard la technologie deviendra l'élément clé parce que l'une des deux parties sera toujours en décalage avec l'autre. Si nous voulons que tout cela fonctionne correctement, comment devrions-nous procéder pour régler ce problème?

M. Andre Boysen:

J'aimerais revenir sur le commentaire de Matthew tout à l'heure, comme quoi il faut procéder lentement parfois, et ensuite rapidement, lorsque c'est possible.

Si on compare Internet et le système de paiement par carte, il est intéressant de souligner que notre manière de régler nos achats a à peine changé depuis 70 ans. Au début, nous avions une carte en papier, puis plus tard elle a été remplacée par une carte en plastique. Ensuite, nous avons fait face à deux problèmes, la vitesse des transactions et la fraude, alors nous sommes passés à la bande magnétique. Puis les escrocs ont compris comment fonctionnait la bande magnétique, et c'est alors que nous sommes passés à la carte à puce. Depuis l'adoption de la carte à puce, la fraude en personne est devenue quasi nulle, mais il reste le problème des transactions en ligne, c'est pourquoi maintenant nous la mettons dans le téléphone.

Ce qui importe, c'est que la manière dont les acheteurs paient leurs achats partout dans le monde a à peine changé en 70 ans. Sur Internet, ce mode de paiement change pratiquement toutes les semaines. Les utilisateurs ont du mal à suivre.

(1640)

M. David de Burgh Graham:

Vous parliez tout à l'heure de la reconnaissance faciale pour l'ouverture de session ou la connexion.

Si vos données biométriques ont été compromises, que pouvez-vous y faire? J'en prends pour exemple le célèbre cas du piratage des empreintes digitales d'Angela Merkel à partir d'une photographie de cette dernière.

M. Ira Goldstein:

J'aimerais vous reporter à mon exemple de l'assurance-dépôts pour vous dire que, si nous décidons d'y aller avec le déploiement de l'authentification à l'aide de données biométriques dans le contexte des services gouvernementaux, il faudra prévoir une zone tampon grâce à laquelle les citoyens seront persuadés qu'en cas de compromission, il y aura toujours un moyen de corriger le problème.

Comment faut-il faire pour obtenir de nouvelles données biométriques? Je n'ai malheureusement pas de bonne réponse à cette question. Peut-être que Matt peut répondre.

M. Matthew Anthony:

D'entrée de jeu, je dirais qu'il devient de plus en plus difficile de falsifier des données biométriques compte tenu de la sophistication de la technologie des capteurs. Par conséquent, alors que nous délaissons les empreintes digitales pour les images du visage — il est même question d'utiliser la reconnaissance du réseau veineux sur certains nouveaux systèmes téléphoniques... Nous avons utilisé la technologie de l'empreinte palmaire pendant longtemps. Peut-être qu'il est toujours possible de créer quelque mystification avec ces données. N'importe quel problème peut être résolu si on y consacre suffisamment de temps et la technologie nécessaire. On peut les trafiquer, mais je doute que l'on puisse les usurper, à moins que vous ne les ayez pas enregistrées vous-même.

Je m'explique. Si vous possédez un téléphone et que vous n'enregistrez rien, sauf un NIP à quatre chiffres, et qu'une personne s'empare de votre téléphone et y enregistre l'empreinte de son pouce, c'est trop tard, son empreinte est enregistrée dans votre appareil. Cela vous incombe, et pas à eux. La capacité de se faire passer pour quelqu'un d'autre à l'aide de données biométriques, à moins que vous n'ayez enregistré les vôtres au départ, est en train de devenir pratiquement impossible. Il y a 15 ans, je pouvais falsifier une empreinte digitale, et la réexécuter assez facilement. Mais désormais ce n'est plus possible.

M. David de Burgh Graham:

Je comprends.

Mme Rene McIver:

Tout tourne autour de la manière dont elles sont entrées dans le système, encore une fois. J'ai travaillé sur les normes relatives aux données biométriques pendant près de 10 ans en fait, et c'était intéressant. Il y avait toujours une discussion au sujet de l'entrée dans le système et de la prise de l'empreinte et de l'insertion de l'empreinte. Il y avait toujours une discussion au sujet de la détection du caractère vivant. Mais dans les faits, le système d'entrée doit comporter un moyen de détecter s'il s'agit vraiment de données biométriques réelles. Le caractère vivant caractérise vraiment les données biométriques; il devient donc de plus en plus complexe de trouver comment obtenir avec précision l'information qui prouve qu'elle n'a pas été trafiquée. Il ne s'agit pas seulement d'une empreinte digitale statique.

On peut voir la même chose dans les algorithmes de reconnaissance faciale. L'entrée des données passe par une requête vous demandant d'exécuter diverses choses, comme sourire, tourner la tête, regarder vers le bas ou fermer les yeux. Il devient de plus en plus difficile de mettre la main sur les données saisies.

M. Matthew Anthony:

Si je peux me permettre, j'ajouterais simplement que si le niveau d'accès dont vous avez besoin exige de telles précautions, je vous garantis qu'il existe des moyens plus simples d'obtenir vos données.

M. David de Burgh Graham:

Je comprends.

M. Andre Boysen:

Je ne veux pas prendre trop de votre temps, mais j'aimerais ajouter qu'en ce qui concerne les données biométriques, il ne faut pas les voir comme une solution miracle, et s'imaginer que l'on va régler tous les problèmes grâce à elles. Il faut plutôt penser à l'utilisation des données biométriques avec ce que vous avez déjà, et ce que vous n'avez pas.

Le vice-président (M. Charlie Angus):

Merci beaucoup.

J'ai vraiment l'impression que mon collègue M. Graham se lancerait dans l'obstruction, s'il le pouvait, parce qu'il a vraiment beaucoup de choses à dire. Normalement, j'aimerais bien poursuivre, mais comme nous avons pris l'engagement de finir tôt les jeudis, afin d'accommoder ceux qui ont des vols à prendre, nous allons mettre fin à la séance après cette série de questions.

Je vous remercie énormément. Nous avons eu une discussion fascinante et obtenu d'excellents renseignements. Si vous pensez à des éléments d'information susceptibles de nous être utiles dans notre étude ou si vous consultez nos témoignages à ce sujet, n'hésitez pas à nous faire part de vos commentaires parce que nous allons préparer un rapport.

Je vous en prie, monsieur Saini.

M. Raj Saini:

Je m'adresse à vous quatre, j'ai mentionné la question au sujet des pays, mais si vous pensez à tout autre renseignement susceptible de nous aider, nous vous serions très reconnaissants de nous le transmettre dans une déclaration pour que nous ayons la possibilité d'élargir notre réflexion sur ce sujet.

M. Andre Boysen:

Nous vous transmettrons de l'information, soyez-en sûrs.

Merci de nous avoir invités.

Le vice-président (M. Charlie Angus):

La séance est levée.

Hansard Hansard

committee ethi hansard 27825 words - whole entry and permanent link. Posted at 22:44 on February 28, 2019

2019-01-31 ETHI 133

Standing Committee on Access to Information, Privacy and Ethics

(1530)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

Welcome, everybody.

Per the notice of meeting this is meeting 133 of the Standing Committee on Access to Information, Privacy and Ethics. The study is on the privacy of digital government services.

Today we have with us somebody we've had several times before, Daniel Therrien, Privacy Commissioner of Canada. We also have Gregory Smolynec, deputy commissioner, policy and promotion sector, and Lara Ives, executive director, policy, research and parliamentary affairs directorate.

Before I go to Mr. Therrien, I want to go to Mr. Kent quickly.

Hon. Peter Kent (Thornhill, CPC):

Thank you, Chair.

Colleagues, I hope I'll get unanimous consent on this. In light of yesterday's announcement by the Minister of Democratic Institutions of this new panel to screen advertising, messaging and reporting during the upcoming election, I'd like to suggest that we allocate at least one meeting to call representatives of some of the seven organizations that the minister said would be looking to screen acceptable reportage and advertising.

The Chair:

Mr. Angus.

Mr. Charlie Angus (Timmins—James Bay, NDP):

If I hear the suggestion correctly, I think it would be worth our while. As with all-party unanimous recommendations about protecting the electoral system, our committee brought forward recommendations. I think it's worth our having a view on this.

It seems to me that I'm looking at something that's probably much more fitted to a plan right now that deals with cybersecurity and cyber-threats, whereas what we've found in threats to elections are much more subtle. The manipulations might be harder to find.

It would be good to see if these representatives have looked at our work and we can question them on it. I would be very much in favour of that.

The Chair:

Mr. Saini.

Mr. Raj Saini (Kitchener Centre, Lib.):

I don't mind, but I'd prefer a formal motion so at least I can think about exactly what you want and which organizations they are.

Hon. Peter Kent:

Sure.

Mr. Raj Saini:

We would absolutely entertain it.

Hon. Peter Kent:

It's not required. I've moved it now. Let's vote on it now. If you see fit to defeat it, then we'll do a formal vote.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Can you repeat the exact language?

Hon. Peter Kent:

In light of the announcement made by the minister yesterday with regard to the special panel being created with representatives across—

The Chair:

The security task force, I think it is.

Hon. Peter Kent:

—the security task force, including Privy Council, CSIS—the seven organizations that were named.. We would invite them to find out exactly how they consider their new assignment, and perhaps give them a few weeks to get their heads around it. I assume they knew about it before the minister announced it yesterday, but it would be to have them talk about what they consider their mission to be, and how they'll carry it out.

The minister yesterday wasn't able to speak about where the red lines would be drawn in alerting Canadians to potential violation, or the intention of the panel, but I think it would be helpful, particularly given the work that we've done on this specifically for the past year.

The Chair:

Is it Raj next and then Charlie?

Mr. Charlie Angus:

I have language for a motion.

The Chair:

Okay. Go ahead, Mr. Angus.

Mr. Charlie Angus:

It's, “That the committee invite the appointed security task force of the seven organizations”—we could name them—“to brief the committee on their role in protecting the integrity of the Canadian electoral system for the 2019 election.”

The Chair:

Just to be clear, are you providing words for Mr. Kent?

Mr. Charlie Angus:

Yes. He was explaining what he wanted, but I think what we want very simply is a briefing from the appointed security task force on their role and plan for protecting the integrity of Canada's electoral system.

Hon. Peter Kent:

Chair, I can give you the specific list now; the app has loaded: the Clerk of the Privy Council, the federal national security and intelligence adviser, the deputy minister of justice, the deputy minister of public safety, and the deputy minister of global affairs Canada. It's a pretty esteemed panel.

The Chair:

Ms. Fortier.

(1535)

Mrs. Mona Fortier (Ottawa—Vanier, Lib.):

I would like to adjourn the debate on the motion and let the commissioner present.

The Chair:

We're going to Mr. Therrien's testimony first, and then we'll come back to it after. Is that fine?

Hon. Peter Kent:

The Liberals wish to seek guidance.

The Chair:

Is that fair, Mr. Angus?

Mr. Charlie Angus:

I just want to clarify the rules. Asking to adjourn debate, I don't believe it does. I would imagine that Peter would agree to defer it.

The Chair:

We're going to vote.

Mr. Nathaniel Erskine-Smith:

Assuming we're going to get back to the question....

The Chair:

We're voting on adjourning the debate.

(Motion agreed to)

The Chair:

I guess we'll get—

Hon. Peter Kent:

As long as we vote by the end of the meeting....

The Chair:

Okay. Sure.

Mr. Therrien, go ahead. [Translation]

Mr. Daniel Therrien (Privacy Commissioner of Canada, Office of the Privacy Commissioner of Canada):

Thank you, Mr. Chair.

Members of the committee, thank you for inviting me to provide my views in the context of your study of the privacy implications and potential legal barriers relating to the implementation of digital government services in Canada.

A good starting point for this study, given that it defines the government's approach, is the government data strategy roadmap, published in November 2018, which was shared with us late last year.

In that document, the government indicates:

Data have the power to enable the government to make better decisions, design better programs and deliver more effective services. But, for this to occur, we need to refresh our approach.

Today, individual departments and agencies generate and hold a vast, diverse and ever-expanding array of data. These data are often collected in ways, based on informal principles and practices, that make it difficult to share with other departments or Canadians. Their use is inconsistent across the government and their value sub-optimized in the decision-making process and in day-to-day operations.

We of course support the use of technology to improve government decision-making and service-delivery but, as mentioned in your mandate, this must be done while protecting Canadians' privacy. In that regard, it is important to remember that privacy is a fundamental human right and that it is also a prior condition to the exercise of other fundamental rights, such as freedom, equality and democracy.

The government's roadmap underlines the difficulty of sharing data across departments and attributes this either to informal principles and practices or, in other circumstances, to legal barriers. I understand that there is in fact an exercise within government to identify these legal barriers with a view to potentially eliminating those found inconsistent with the new approach that the government feels is required to extract value from data.

I would say that what is a legal barrier to some may be seen as a privacy safeguard by others. The terminology that the government or other interveners use in this debate is not neutral. Many of the presumed barriers are found in sections 4 to 8 of the current Privacy Act. Should these rules be re-examined with an eye to improved government services in a digital age? Certainly. Should some of these rules be amended? Probably.

But, as you go about your study, I would ask you to remember that, while adjustments may be desirable, any new legislation designed to facilitate digital government services must respect privacy as a fundamental human right. I can elaborate on this point in the question period, if you wish. In other words, modalities may change but the foundation must be solid and must respect the rights to privacy. The foundation must be underpinned by a strengthened privacy law. As you know, we made recommendations to that effect in 2016. I would add a new recommendation here: that the public sector adopt the concept of protecting privacy from the design stage.

(1540)

[English]

I reviewed with interest the testimony before you by officials from Estonia at the launch of your study. While the Estonian model is often discussed for its technological architecture, I was struck by the fact that officials emphasized the greater importance, in their view, of attitudinal factors, including the need to overcome silos in state administration leading to reuse of personal information for purposes other than those for which it was collected.

This could be seen as validation of the view that our Privacy Act needs to be re-examined and that—quote, unquote—“legal barriers” should be eliminated. I would note, however, that in Estonia the elimination of silos did not lead to a borderless, horizontal management of personal data across government. Rather, in the Estonian model, reuse, or what we would call sharing of information, appears to be based on legislation that sets conditions generally consistent with internationally recognized fair information practice principles and with the GDPR, although I would encourage you to follow up with Estonia as to what these legal conditions actually are.

As to the technological aspects of the Estonian model, our understanding is that there is an absence of a centralized database. Rather, access is granted through the ability to link individual servers through encrypted pathways with access or reuse permitted for specific lawful purposes. This purpose-specific access by government agencies likely reduces the risk of profiling.

We understand that further privacy and security safeguards are attained through encryption and the use of blockchain. This is in line with one of our recommendations for revisions of the Privacy Act in 2016, namely, to create a legal obligation for government institutions to safeguard personal information.

I note that the Estonian model is based in part on a strong role for their data protection authority, which includes an explicit proactive role as well as powers to issue binding orders, apply for commencement of criminal proceedings and impose fines where data is processed in an unlawful manner or for violations of the requirements for managing or securing data. Similarly, the OPC should have a strong oversight and proactive role in line with our Privacy Act reform recommendations.

I'd like to conclude with some questions for you to consider as you take a deeper dive into the Estonian model or discuss its applications in a Canadian context.

First, we've heard officials say that the success of the system is based on strong trust, which requires strong safeguards. But no system, as you know, is totally safe. What mitigation measures are in place in Estonia when, and not if, there is a breach?

Second, Canada's data strategy road map posits that one of the valued propositions of a model such as Estonia's is the intelligence to be gathered from data analytics, but it is unclear to us how, given the segregated set-up of the data sets and the legislative regime in which it operates, providing for specific reuse for specific purposes, this could be accomplished. You may wish to explore this issue further.

Finally, we would suggest that obtaining clarity from Estonian officials on the legal conditions for reuse of data would help, because that's an important safeguard to ensure there is no overall profiling and what I refer to as borderless, horizontal data sharing.

Thank you for your attention. I'll be glad to answer your questions.

The Chair:

Thank you again, Mr. Therrien.

First up for seven minutes, we have a combination of Nate and David to start.

Go ahead.

Mr. Nathaniel Erskine-Smith:

Thanks very much.

My first question is about the Estonian model and legal pathways.

When Michael Geist was before us, he said that technological measures put in place sound great, but we couldn't trust in those measures and we needed to revisit the Privacy Act. I take it you are of the same view.

Revisiting the Privacy Act and the clarity of pathways for sharing of information, I understand in Estonia, yes, they have a tell-us-once model, but you require specific statutory authorities for that reuse, so your point about our clarifying what the Estonian legislation says is important.

With respect to the Privacy Act, it's also your view, I suppose, that we should clarify the pathways of sharing information here in Canada as well.

Mr. Daniel Therrien:

Yes. We have long-standing rules, of course, to govern the conditions under which data can be shared between departments. Those are essentially sections 4 to 8 of the current public sector Privacy Act.

Your mandate speaks to legal barriers. The federal government's data strategy road map talks about potential legal barriers. I assume that when the government refers to barriers, they are referring to revisiting or reviewing whether sections 4 to 8 are still fit for a purpose. I accept that, but I say at the same time that these are important rules, and although certain adjustments and modalities can be envisaged, let's not lose sight of the main principle, which is that privacy should be respected.

(1545)

Mr. Nathaniel Erskine-Smith:

Has the government come to you at all to discuss a digital ID project in any way?

Mr. Daniel Therrien:

We had some discussions with government late last year about their data strategy road map, at a high level of generality, I would say. We were invited recently to offer views on strategies that individual departments are required or invited to adopt pursuant to the road map. That process has not started, but I welcome the invitation by government for us to give our advice.

Mr. Nathaniel Erskine-Smith:

With respect to digital ID specifically, I understood that maybe there were some conversations under way at the federal level to pursue a digital ID project in concert with provinces. Have you been consulted on this specifically?

Mr. Daniel Therrien:

This has been going on for a number of years. Perhaps Ms. Ives wants to add to this.

Ms. Lara Ives (Executive Director, Policy, Research and Parliamentary Affairs Directorate, Office of the Privacy Commissioner of Canada):

Yes. I'll just add that there have been various iterations over the years. I think the most recent was in 2012. We reviewed privacy impact assessments for authentication rather than a digital ID: means to access online government services. One of them is issued by the Government of Canada and the other one utilizes banking credentials, but it's not exactly on point with the digital ID.

Mr. Nathaniel Erskine-Smith:

I have a last question and then I'll turn it over to David.

Simply, are there examples of this government or previous governments implementing and moving off-line services online, providing greater digital services and doing it right by coming to you and saying, “Let's address privacy concerns”? Can we point to any Canadian example where there's been a service that's gotten it right? Take your time.

Voices: Oh, oh!

Mr. Daniel Therrien:

In the spirit of being optimistic and positive, I would say that the Estonian model is interesting to look at from that perspective. It has many positive features. The devil is in the details, obviously, but it's not a bad place to start.

Mr. Nathaniel Erskine-Smith:

All right. Thanks very much.

David.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you.

I think data is easier to share than time, but we'll do what we can.[Translation]

I would like to understand how we can define the parameters for the permission that people give. On Tuesday, I used automatic vehicle licence plate readers as an example. When a car goes by, the reader records the plate number. That is being done by the government. We provide that data in a way that is not really voluntary, given that we have no other choice.

If departments or police services all over the country use that data without really having obtained people's permission to do so, how can we determine whether they have given their consent? Where do we draw the line?

Mr. Daniel Therrien:

I will assume that your question is based on the principle that this is information in the public domain. Licence plates are public, in a sense, because the cars are travelling on public roads. People—the government, but companies too—rely on the public nature of that environment to collect data and then to use them in a way that does not see them as personal information. In that case, the rules on the use and disclosure of that information are more permissive.

Mr. David de Burgh Graham:

At each stage of a trip, the plate number can be read, revealing who it belongs to, where they live, and their record. Even if the data is not collected every time, individuals can be followed from one end of the country to the others, and their travels known.

That is not what licence plates are for, but, if we say they are in the public domain, are we allowed to use the data in that way? The United States is already doing it.

(1550)

Mr. Daniel Therrien:

We have to be careful in calling this information public. As you have just said, it is still possible to identify the person associated with a car, their behaviour, and so on. So, even if the information is called public, we have to wonder whether the information is actually personal, and what authority a given department has to collect it. It varies from department to department. Even though the information is in the public domain, collecting it has to be linked to a mandate of the department in question. That is a very important condition in the current legislation. It could be made stronger, along the lines of some recommendations we made in connection with amending the Privacy Act.

In summary, we have to be careful with data in the public domain. We have to make sure that each department collecting and using the information actually has a mandate to do so.

Mr. David de Burgh Graham:

Thank you.[English]

Do I have any time left?

The Chair:

You're out of time. [Translation]

Mr. David de Burgh Graham:

Thank you. [English]

The Chair:

We'll go to Mr. Kent for the next seven minutes.

Hon. Peter Kent:

Thank you, Chair.

It's good to see you again, Commissioner, and your partners today at the table.

Given the significant differences between the Estonian model and Canada today.... The digital identity in Estonia covers literally a person's entire lifetime, not just their health and tax information but their education.... It covers just about every aspect of their daily life.

From reading your remarks, you seem to see the first stage of digital government, should it come to Canada, as beginning at the federal government level alone. Is there any practicality in trying to get into those areas where there is a sharp divide and no overlap with provincial and municipal jurisdictions?

Mr. Daniel Therrien:

A very significant difference, of course, between Estonia and Canada is that we're a federal state whereas they're a unitary state. That creates certain difficulties in Canada in setting up a system, difficulties of various orders. These could be technological, but there are also different administrations and different legislation. I don't think it's inconceivable that there could be a system that would share information between the federal and provincial governments, but given the complexity of the Canadian federal state, it's probably more practical to start at one level.

Hon. Peter Kent:

Did you observe or have you read the transcript of Dr. Cavoukian's and Dr. Geist's appearance before committee this week?

Mr. Daniel Therrien:

Yes.

Hon. Peter Kent:

Could you offer some of your general observations? Dr. Cavoukian had some very significant concerns.

Mr. Daniel Therrien:

I'll put it in my terms.

I think the Estonian model is interesting in that the risk of digitized government services based on a common digital identifier, in the worst-case scenario, would be that the government, whether only the federal government or governments generally, would have a single profile of that individual. That is, of course, very difficult to reconcile with privacy.

One of the apparent virtues of the Estonian model is that the data is not centralized. It continues to reside in a large number of institutions, and there's a technological pathway with appropriate legal authority authorizing the information to be reused from one department to another. The decentralized aspect of the Estonian model, I think, at first blush, seems a positive feature that reduces what would otherwise be a risk.

You mentioned concerns that were expressed.

Hon. Peter Kent:

Yes.

Mr. Daniel Therrien:

Can you be more specific?

Hon. Peter Kent:

I don't have the transcript in front of me, but basically, as I read many of the remarks that Dr. Cavoukian returned to, the cybersecurity of that digital information as it moves from the several repositories to whoever is requesting or accessing that information is vulnerable. The guarantees of absolute security do not yet exist.

(1555)

Mr. Daniel Therrien:

There is no question that technological systems are vulnerable to breaches. I'm not sure there will ever be a system that is free of that risk. I think, legally speaking, if digital services occur, it's important that there be a legal obligation for government to apply strong technological safeguards. Technologically, in Estonia, as you know, there are blockchains and encryption. These are state-of-the-art systems. Do they guarantee that there will not be breaches? No.

Hon. Peter Kent:

In your opening remarks you mentioned trust and consent. Again, a significant difference between Estonia and Canada is a very compliant population after the breakup of the Soviet Union, and a very forceful new democracy determined to create digital government from scratch.

Given Canadians' natural skepticism and generational cynicism about the digital world, and given Cambridge Analytica, Facebook, Aggregate IQ, all of the scandals and now controversy over Sidewalk Labs and people's concern about exposure, privacy, personal content, who owns what and how it's accessed, do you think that on that level alone it will be an uphill battle to get the consent of Canadians for this kind of digital government in any reasonable period of time? I'm talking about perhaps a decade, in our lifetimes.

Mr. Daniel Therrien:

I think Estonian officials mentioned that even in Estonia, the systems are not implemented overnight. There are a number of steps.

I think technological safeguards are crucial. Legal safeguards are crucial. I will say that probably incremental implementation, where government has a chance to demonstrate that the system deserves trust, may lead us towards trust in the population. There's no question that currently, Canadians are concerned that their privacy is not being respected.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Mr. Kent.

Next up for seven minutes is Mr. Angus.

Mr. Charlie Angus:

Thank you, Mr. Chair.

Mr. Therrien, it's always a pleasure to have you at our committee.

I want to follow up on your final statement about the question of trust and whether or not Canadians should be expected to trust a system such as this.

On my beat in this file over the years, I've seen that every year we have data breaches. Some are extremely significant data breaches, such as the loan information of a quarter million or more students, and recently, 80,000 individuals compromised through CRA.

In your work, is the number of breaches changing because technology is changing? Is it a standard...? Year in and year out, are we seeing some pretty significant, plus smaller, breaches? In terms of government departments, are you seeing much of a change?

Mr. Daniel Therrien:

I would not say that we're seeing significant improvement in these matters. It's a huge challenge to build that trust; there's no question.

I'll use an example, because I think it's telling on many levels. As you know, the government implemented a pay system called Phoenix that was criticized on a number of levels. We, the OPC, investigated the security and privacy safeguards that were in place, or not, with respect to the Phoenix system. One of the very concerning things we found during that investigation was that there was a deliberate decision by government officials not to put in place strong monitoring of who had access to personal information in the system, because it would be costly, would delay the system, and so on and so forth.

Directly to your question, I don't see many improvements. I would say it is absolutely essential that before these systems are implemented more broadly—to go back to attitudes—that government officials have an attitude of ensuring that safeguards are in place before the systems are implemented.

(1600)

Mr. Charlie Angus:

I thank you very much for that response. It leads me into where I was concerned.

I've been here 15 years. I see my colleagues on the other side and they're flush with the hope of new believers that we have finally come to the kingdom of salvation and government will work; whereas, over the years I've become a skeptic, an agnostic.

Some hon. members: Oh, oh!

Mr. Charlie Angus: I'm like the St. Thomas of government operations. I've sat on committee after committee where we were sure that bigger was better, that government always.... Whenever they were looking for who was going to get the contracts, they wanted to go as big as possible. Bigger was not better. Bigger was much more expensive. Bigger was always tied with deals, and the deputy ministers and who got the deals and who didn't.

Then we had Phoenix. I guess I would turn around to citizens in my riding and say, “Look at Phoenix. Do you trust?” In terms of the safeguards that need to be in place, would you not think it would be an extremely complex set of safeguards, that we would be able to assure Canadians that they can trust all their financial information, all their personal information, their life history with a department or a government that has, year in and year out, serious breaches in many and almost all of the serious, major departments?

Mr. Daniel Therrien:

It's complex, but I would say it's within human capacity. It probably speaks to the need to implement this incrementally because systems cannot be changed overnight, so you start incrementally, I think. Of course, I would start with...there is no choice but to make government services digital for all kinds of reasons, including to improve services to the population. It's not a question of not doing it because it's too complex and daunting, but in implementing this policy there should not be short shrift given to policy safeguards, legal and technological safeguards.

Mr. Charlie Angus:

Thank you for that.

Certainly, I know the people I deal with would prefer to have people actually answering phones if they had questions as opposed to getting their digital data quicker. We will always see them go with digital solutions as opposed to having people answer the phones.

I'm concerned about whether this is a one-way path or a two-way path. If I want to find my CRA information and I have a digital card, I can find that. It was suggested by one of my Liberal colleagues that it would be a great way for government to contact citizens.

To me, that's very concerning. If I am obligated to do everything online, if I have to give all this information online, there's the necessity, I think, of saying that this is so I can obtain services I want, but not necessarily for government to be able to contact me about what they want.

Do you see that if we have a two-way communication, it changes the nature of this, and the privacy rights of citizens become much more at risk from potential abuse?

Mr. Daniel Therrien:

The situation you describe is exactly why I say it is essential to look very closely at the legal framework within which either data will be shared from one department to another, or a second department will be able to reuse data that the first department has à la Estonia.

It starts with the right legal framework, which limits the circumstances where a department calls on a citizen because another department has offered a service. That's extremely important. We have rules already in sections 4 to 8 of the Privacy Act. Yes, they can be reviewed, but it's not a bad place to start either. That's an important part of the foundation. Then I think the technology follows the principles that have been adopted with safeguards ensuring that, technologically speaking, data banks cannot talk to each other unless there's a legal authority to do that.

It starts with a well-defined and well-thought-out framework. Call it sharing. Call it reuse of information.

(1605)

Mr. Charlie Angus:

Thank you very much.

The Chair:

Thank you, Mr. Angus.

Next up for seven minutes is Mr. Saini.

Mr. Raj Saini:

Good afternoon, Mr. Therrien. It's always a pleasure to have you here. I think you're the witness who visits this committee the most so that's great.

You made a submission to ISED dated November 23. I read it through. It was very interesting. One thing you did write was, “It is not an exaggeration to say that the digitization of so much of our lives is reshaping humanity.” I would go even further that once that march towards technology has started, it's very difficult for anybody to stop it. Eventually it will succeed.

I know the model we have been using is Estonia, but if you look at Estonia right now, you see there are 1.3 million people, four million hectares of land, and half of it is forest, so broadband connectivity is not really a big issue there. When we look at Canada right now and the latest UN survey on leading countries in e-government development, we see that we rank 23rd, so eventually the world is moving in this direction.

You indicated in the notes I have read that privacy is a big concern for you. There has to be a point as to where we start from and what the objective is. The majority of countries, especially advanced countries, are moving towards more digitization of government. Let's leave Estonia aside for a second. Where do we start from?

I'm going to frame this in two ways. The one frame I had is because in Estonia you have two levels of government. In some cases, we have four levels of government. How do we protect privacy? As Mr. Angus said, people want to have security of their data, but different governments do different roles. It's not one government that's a repository. The provincial government deals with health. The federal government has the CRA. How do we protect the privacy of Canadians going through different levels of government? How do we make the system interoperable among different departments within one level of government?

Mr. Daniel Therrien:

I think an appropriate starting point might be to define what the specific circumstances are where government believes that it is inhibited from delivering efficient services because of what are often referred to as silos between departments that prevent information sharing. What are the practical problems? What do citizens actually want other than more efficient government generally? What kinds of services cannot be delivered efficiently in a timely way because of legal and bureaucratic impediments? I think that would be a start.

Mr. Raj Saini:

Also, the working theory in Estonia is that the public or the citizens own the data. It's up to them how they dispense that data and who they allow it to be shared with.

If we go one step forward, if we start off with the public sector, obviously the private sector is going to have some involvement, whether it be bank information or other information. If the private sector has different technology and the public sector has different technology.... One of the examples that has been given is blockchain technology.

One entity is governed by PIPEDA and another entity is governed by the Privacy Act. How would you mesh both of them together? Where would the touchpoint be where you could allow the public sector and the private sector to maintain privacy but also to maintain their own jurisdiction?

Mr. Daniel Therrien:

I'm not a technologist, although now I'm gaining a bit more knowledge about technology after being in this position for a few years, but I think we're back to an incremental approach. The systems will be interoperable not overnight but gradually. Technology is a means. I would start with what government wants to do and what the impediments are to efficient services. Then I would determine what the required technology is to get you to the proper place.

(1610)

Mr. Raj Saini:

Obviously, the digitization of government is going to move forward. Whether we do it quickly or slowly, it's going to go forward. What role should there be and where should the insertion point be for the Office of the Privacy Commissioner in terms of the leading the way, making sure that the system has not been developed? Then afterward your office would come in and say there are points here that we have difficulty with.

Where do you see your insertion point? You're talking about technology. You're talking about privacy. You're talking about in some cases portability. You're talking about different levels of government. You're talking about interoperability within government. Where do you feel your office should insert itself to make sure that this becomes an effective approach?

Mr. Daniel Therrien:

I will use the word “proactivity”, which I have used in this committee previously with respect to Privacy Act reform.

We have approached current officials to ask them to give advice as departments develop their individual strategies. I think that's part of it. If laws are amended, we should be consulted in the development of laws. Once laws are adopted, we should have the stronger powers that we have sought to ensure that legal privacy principles are actually being implemented. It's going to be a long journey.

My answer is that with our limited resources we're willing and able to play as proactive a role as possible. We will not define the objectives. Government will define the objectives, but we are able within our means to give advice as early as possible, and once systems are adopted, to play an oversight role with legal powers to play that role.

Mr. Raj Saini:

I have a final question.

You're talking about different actors and players. Do you think it would be better to start at a baseline where you had government, private sector, public sector, technologists sitting together to form a pathway going forward so that everybody is on the same page? In that way it would be done in step, in line, and proactively but intermittently in a way that makes sure that if iteratively there are changes that have to be made, they won't be made at the end of the development of a system, but at the beginning where it goes step by step.

Mr. Daniel Therrien:

I think there's a place for that kind of overarching discussion at a level of principles, be they legal, bureaucratic, operational or technological. But in terms of implementing these, on balance, I think it's going to be done incrementally.

Mr. Raj Saini:

Thank you.

The Chair:

Next up for five minutes is Mr. Gourde. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

Thank you for being here, Mr. Therrien.

Do you think there is an economic study on digitizing data in Canada in the future, so that Canadians can have some idea about the issue? Is it in the millions, the billions?

Mr. Daniel Therrien:

I did not hear the start of your question. Are you asking me about the cost of digitization?

Mr. Jacques Gourde:

Is there a study that establishes the cost of a digital world that will make sense in the future? We know that the firearms registry cost almost $2 billion, just to enter the data on long guns. Imagine how much it could cost to enter digital data for all of Canada.

Mr. Daniel Therrien:

To my knowledge, there is no such study. It would be quite the undertaking to do one.

One of the reasons why I am in favour of the government digitizing its services is that health care, for example, could be improved. We may have to invest in technology, for example, but there would be a return on the investments, since health care would be more efficient.

To my knowledge, no such study exists. First, it is difficult to imagine the future without digitization. Second, even though there would be a significant cost, there would surely be a return on the investments.

Mr. Jacques Gourde:

Our departments' services are already digitized, but it is done piecemeal. Services are already being provided to Canadians, but everyone does their own thing.

(1615)

Mr. Daniel Therrien:

Yes.

Mr. Jacques Gourde:

Some things could probably be kept. What should be our approach? We could probably provide Canadians with many more services without throwing the baby out with the bathwater or starting everything from square one.

Mr. Daniel Therrien:

I agree with you. That is why I talk about an approach in stages, where systems that work would be maintained. The government should identify where things are not working so well and make improvements. That does not mean opening everything to question and starting again from zero, technologically at least.

Mr. Jacques Gourde:

In an ideal digitized world, which of Canadians' confidential or more sensitive information would be less protected in that new world?

Mr. Daniel Therrien:

The government has all kinds of extremely sensitive information. I have just talked about the area of health. Medical information is among the most important. Identification can depend on biometrics. This information is very sensitive. The government has no choice but to collect and use sensitive information that is the very essence of privacy. All the information that the government has will obviously contain sensitive data, such as financial information. As a result, the protections must be at a very high level.

Mr. Jacques Gourde:

Thank you, Mr. Therrien.

Mr. Chair, I just want to make a brief comment. When discussions are going on at the back of the room, it is tiring for those asking questions. Perhaps we could ask those who need to hold the discussions to leave the room. If the discussions are necessary, then let's stop the meeting completely. Personally, it bothers me. [English]

The Chair:

Yes, I think it has subsided now. I ask everybody in the room that if you're going to have a conversation that's loud enough to hear from the table here, to move into the hallway.

Thank you.

Go ahead, Mr. Gourde. [Translation]

Mr. Jacques Gourde:

That's it for me. Thank you. [English]

The Chair:

Okay, thank you.

Next up for five minutes is Mr. Baylis.

Mr. Frank Baylis (Pierrefonds—Dollard, Lib.):

It's good to have you back, Mr. Therrien, because you're very private and we don't get a lot of information.

There are a couple of statements that I would like to refute. One is that Canadians are afraid of technology or digitization. I point to the statistic that 85% of people do their taxes online. They're not forced to; they have the right to do it on paper. They choose to do it online for all types of efficiency reasons.

Have you any evidence, other than what's been stated, that Canadians are anti-technology or against digitization per se?

Mr. Daniel Therrien:

I don't think I've said that Canadians are concerned with the use of technology.[Translation]

I did not say that they distrust technology.

Studies consistently show that Canadians are concerned that their privacy is not being protected, in both the public and the private sectors, and that they do not have control over their information. That is not to say that they do not use technology or that they distrust it. It is rather that they believe that their privacy is not being sufficiently protected, by the public or the private sectors.

Services have to be digitized, but with the use of different means, legal, technological or whatever, to make completely sure that the information is secure.

Mr. Frank Baylis:

You are making quite an important distinction.[English]

Although there is the ability to be abused through digitization, people were stealing identities and doing all this long before we had computers and digitization. People aren't against digitization, but they just have a concern about their privacy and want to ensure that if we do go that route, we do what we can to protect their privacy. Is that what...?

Mr. Daniel Therrien:

Yes, there was theft of information before, but clearly with digitization, the scope of the consequence of a breach is magnified greatly.

(1620)

Mr. Frank Baylis:

It is right now. That's true.

Ms. Cavoukian, who is an expert in this area, testified at the last session. She made the argument that security and privacy are not incompatible. It's not one or the other. In fact, we have to stop thinking this way. If things were done correctly, we could actually have more privacy with better security as opposed to always saying, “Well, if we had a lot more security, we'd lose on this side or that side.”

Do you have thoughts along those lines?

Mr. Daniel Therrien:

I agree. It's not a zero-sum game between privacy and security, nor between privacy and innovation, nor between privacy and improved service delivery. It is possible to have all of that, provided that the systems, including the legal systems, are designed properly. That leads me to privacy by design, which is an important concept that should be in the law but should also be applied on the ground by the bureaucracy, by departments, in the delivery of services

Mr. Frank Baylis:

In a way, we find ourselves right now where we've heard comparisons to the wild west or whatever. When something is new, the people go out, prospect, run, grab territory and all that, and then afterwards the law comes in and we slowly structure things around it. We're living in an era right now where there are not sufficient laws certainly in the digital world, and we have to catch up, if I can say that. However, I would ask you to underline that we cannot, as some people say, go back or even just stay static. We have to go forward, but we can go forward with what Ms. Cavoukian came up with as a concept, which is rather new, and that is privacy by design, so that we start to think about privacy as we're designing the next one.

What are your thoughts there?

Mr. Daniel Therrien:

I agree. I totally support the principle of privacy by design. I would say this with regard to the fact that digitization is something that will necessarily happen—that's true—but privacy by design means that, again, the way in which we proceed needs to be thought out seriously and rigorously.

One of the issues to be considered is the role of the private sector in the delivery of services by government. You mentioned the wild west. You're well placed to know there are important problems with the way in which certain corporations are handling the personal data of individuals. Improving government services is being thought out in terms of relying on technology owned by the private sector in the delivery of services. That's fine, but the way in which these services will be delivered, calling on the private sector—say, the Alexas of this world—the government needs to be very careful as to how this will happen for many reasons, including who owns or controls the information that goes through Alexa when a citizen is asking for services from its government. What happens to that information? Is this information under public control or private control? Is it monetized or not? These are very important and fundamental questions.

Mr. Frank Baylis:

Thank you.

The Chair:

Thank you, Mr. Baylis.

Mr. Kent, you're next up for five minutes.

Hon. Peter Kent:

Thanks.

Commissioner, this committee has tabled three reports with the government over the past year or so recommending in each of those reports that your powers be expanded, that you have order-making powers, that there be more serious and significant penalties for violations, that in terms of the act itself, the government consider the GDPR and upgrade, renovate, and stiffen Canadian privacy regulations from the very barely acceptable level we're at today.

Would you recommend that your office be a direct participant, a hand on the pen at the table, as the design of digital government is considered and written? In other words, do you think it's essential that the Privacy Commissioner be a key partner in any project going ahead, either in the early stages or certainly in later stages of digital government?

(1625)

Mr. Daniel Therrien:

We have value to add, for sure, and we have made our services available to government. Sometimes they have accepted that offer. Is it necessary? That might not be for me to say, but I do generally believe that we have value to add and that systems that would consider our recommendations have a better chance of being privacy sensitive.

Where it is not a question of choice is at the back end, where once a law is designed that, for instance, talks about the conditions under which data will be shared between departments, there needs to be a strong regulator to ensure that these conditions are respected. That is the OPC.

Hon. Peter Kent:

If digital government is the property of the government and if there was hypothetically a significant and serious data breach, a damaging data breach, involving the privacy of Canadian citizens or anyone in the digital government system, would you think it would be the Privacy Commissioner that would level penalties against those responsible for that data breach? How would that work if government is actually the corporate controller of that system?

Mr. Daniel Therrien:

You're raising the issue—

Hon. Peter Kent:

It's about accountability.

Mr. Daniel Therrien:

Okay, so government needs to be accountable in the way in which it manages information in relation to citizens. We, the OPC, are well placed to ensure that in individual circumstance the government is called to be accountable and that a breach of data be identified and remedied.

Does it need to lead to a financial penalty? I'm less certain of that in the public sector, but there needs to be somebody to identify violations of the law and to ensure that these violations are remedied, and we are well placed to do that.

Hon. Peter Kent:

The Estonian model has repositories. As you said, there are many silos that are hooked into the central system and the single citizen chip. There will almost certainly be competition for financial gain by a variety of parties to participate in digital government. Neil Parmenter, the president of the Canadian Bankers Association, in a speech that I attended last month, made a point of saying Canada's banks are trusted. There is the double-factor log-in, and he expressed an interest in the banks being a central participant in digital government. Do you have any thoughts on that type of proposition?

Mr. Daniel Therrien:

It is true that banks offer services that, compared to others, are well protected. I have no problem in principle with banks or other reputable organizations, private organizations, being responsible, say, to manage the common identifier. That's one element of the system. What type of information they actually get when the government delivers services to the citizens, for me, is a different issue, but in terms of managing a secure common identifier, banks are probably well placed to do that.

Hon. Peter Kent:

Thank you.

The Chair:

Thank you, Mr. Kent.

Last up is Monsieur Picard. [Translation]

Mr. Michel Picard (Montarville, Lib.):

Good afternoon, Mr. Therrien.

Let me put something to you; I would like to know your opinion.

I am not criticizing the work we have done at all. I have thought for a long time that the committee has been doing valuable, excellent work. However, I want to suggest to you another way of looking at things.

We have been studying the protection of personal data for six or eight months. But I feel that we are spinning our wheels and getting nowhere, because we have not managed to define the problem we are trying to fix, by which I mean defining what personal information is. Let me explain.

People panic at the idea that a licence plate can be read, pretending that it is private. But all that plate can do is identify the vehicle on which it is mounted, not the person at the wheel. In the same way, an IP address does not reveal the identity of the person at the computer keyboard, just where the computer is located.

People gladly provide a lot of personal information. For example, you may remember when, in the first video clubs, we did not hesitate to provide our driving license numbers so that we could rent movies.

The reason why I feel that we do not want to touch the problem of defining personal information is that most of the witnesses we have heard from for almost a year have replied that the best way to protect our personal information was not through technology, but through transparency. Companies understand that people are ready to give them almost any personal information but, in return, they have to commit to telling them what they are going to do with it. So that means that the range of the data that you are ready to provide to anyone at all is not defined. As a result, if we are not able to define the problem that we want to fix, it will be difficult to define the measures that we want to take. Why not just simply stop right there and prevent any data transactions? If someone wants to conduct such a transaction, they would have to communicate with you to find out how to manage the information that is being communicated. That is the first part of my question.

(1630)

Mr. Daniel Therrien:

In law, I am afraid I must tell you that you are wrong when you suggest that IP addresses are not personal information. The Supreme Court decided otherwise in a judgment some years ago. Since an IP address can be linked to an individual, it is personal information that must be protected as such.

With licence plates, the issue is somewhat not quite the same. After all, 800 people do not drive my vehicle, just my wife and I. Perhaps that is personal information as well.

So personal information is defined. It is pretty simple; it is any information, including a number, that can be linked to an identifiable person. We can discuss it, but I am inclined not to accept your premise.

Is transparency part of the solution in protecting privacy? Yes, it is part of the solution but it is far from the entire solution. You can be transparent, but you can still damage someone's reputation. However, transparency is part of the solution.

This certainly is a complex question, and if we are having difficulty moving forward, it is because it is complex on a number of levels, including conceptual and technological. That is why, more recently, I have focused on privacy as a human right. So let's start with basic principles.

When I say that privacy is a fundamental right, it is a concept that should be recognized, not only in the law, but also by government bodies that, day after day, implement technological and other systems to collect data and to administer public programs, including by technology. That brings us back to the importance of protecting privacy from the design stage, a concept that we should always keep in mind. If we have a choice between providing a service in a way that endangers privacy and providing the same service differently, but just as effectively, in a way that protects privacy, the concept of protecting privacy from the design stage tells us that we should choose the latter option.

All these privacy issues may seem nebulous, but, in law, what constitutes personal information is quite clear. We have to keep in mind which aspects of privacy we want to protect, so that we make sure that it is protected in government activities and in legislation.

(1635)

[English]

The Chair:

Thank you, Mr. Picard.

I have Mr. Angus for the last few minutes. I was asked to split some time by two other members who haven't had a chance to ask a question. We'll do that following Mr. Angus, and then we'll go to the motion that was brought up before.

We'll go to Mr. Angus for three minutes.

Mr. Charlie Angus:

Thank you, Mr. Chair.

Thank you, Mr. Therrien.

We began a study much earlier in this Parliament on a data breach with Cambridge Analytica and Facebook. Since then, I sometimes feel we've become the parliamentary committee on Facebook. We followed them halfway around the world trying to get answers, and we're still being buffaloed, and I think we'll invite half the world to come here to meet with us again in Ottawa when it's a little warmer to maybe get some more answers from Facebook. But it seems we go week in, week out with new questions and seemingly a continual lack of accountability.

I want to ask you a specific question, though, whether or not you've looked into it. We had the explosive article in The New York Times about the privileges given to certain Facebook users, to be able to read the personal, private messages of Facebook users. They mentioned that RBC was one of them. We've heard from RBC. They said they never had those privileges, that they never did that. The Tyee is now reporting that Facebook has told them that RBC had the capacity to read, write and delete private messages of Facebook users who were using the banking app.

Have you looked into that? Do you think that requires follow-up? Should we take RBC's word for it? Should we, as a committee, be considering this as some of our unfinished business on the Facebook file?

Mr. Daniel Therrien:

The short answer is yes, in two respects.

When the British parliamentary committee published the documents from Six4Three, we saw references to the Royal Bank, and we considered whether to look at this particular aspect in the context of our investigation into Facebook and AIQ. As we were doing this, we received complaints from individuals on whether or not the Royal Bank was violating PIPEDA in some way in receiving information in that way. So that question is the subject of a separate investigation.

Mr. Charlie Angus:

Just to be clear, you received complaints about RBC violations—

Mr. Daniel Therrien:

About RBC's alleged role in receiving information from Facebook, allegedly in violation of PIPEDA.

Mr. Charlie Angus:

Okay. From your knowledge of this back channel that was given to certain preferred customers with Facebook, would it have been possible to read the private messages of Facebook users if you had access to that?

Mr. Daniel Therrien:

I can't comment on that. We're investigating. We'll find out for sure.

Mr. Charlie Angus:

You're investigating. Okay, fair enough.

Thank you very much for that.

The Chair:

Thank you, Mr. Angus.

We're going to go to Ms. Vandenbeld for two and a half minutes, and then....

Mrs. Mona Fortier:

She'll take it all.

The Chair:

Okay.

Go ahead.

Ms. Anita Vandenbeld (Ottawa West—Nepean, Lib.):

Thank you, Mr. Chair, for your indulgence on my getting the last question. It's very important and interesting testimony.

I'd like to pick up on this idea of ownership and consent in the context of government. If I go on Air Canada, and they ask me for my email and cellphone number so they'll text me when my flight is delayed or anything, I have a choice to do that. However, there are things in government where you don't have a choice. You have to provide information. Your taxes are required. The idea of consent immediately has a different implication when something has to be provided.

In that context, how do you see consent, or even who owns that data? If I go to Air Canada, I can take my profile off. I have a choice. But with government, if there's a criminal record, you can't say you want to delete this or change that. The information no longer really belongs to the person.

Where does ownership and consent go when you're dealing with government?

(1640)

Mr. Daniel Therrien:

You're absolutely right that in a government context, consent is not always required for a government to collect information. The situation doesn't arise in quite the same way. We have rules already in the Privacy Act for this.

One rule is that, as it stands, government should collect information, to the extent possible, directly from the person interested in the information, either with or without consent, say, in a law enforcement situation. The principle is to collect directly from the individual, which then leads to questions around what's on social media or potentially publicly available. That's a difficult area to navigate under the current act. But the first principle is to collect normally from the individual concerned, with or without consent. That's not the quite the same situation as for the private sector. I agree that consent is not always required.

Ms. Anita Vandenbeld:

Given that, we heard that government is using things like predictive analytics and could also use more in the future. I think the example that was given is that CRA can even use some form of AI with predictive analytics to determine where fraud is more likely to be occurring, so they can target and look at those sorts of things.

However, if you think of the concept of privacy by design, that is specifically saying that data is used for the purpose for which it's collected. If you're providing information to CRA about your taxes, but CRA has a mandate to investigate tax fraud, it may not necessarily be the purpose for which it was collected, but it might be a legitimate use of the information by government. That's just one example.

In this world of more predictive analytics and more AI, where does the idea of privacy by design fit with that?

Mr. Daniel Therrien:

In a tax context, there is information that CRA obtains directly from the taxpayer. It is possible that the CRA looks at social media and other environmental information to gather intelligence and may put all of this information towards artificial intelligence. It's important. Data analytics is a new reality and it has many advantages.

However, AI systems need to be implemented in a way such that the information that feeds the system is reliable and has been lawfully obtained, so that leads to certain consequences. If CRA looks at information on social media, and let's assume for a second that it is truly publicly available, that says nothing about the reliability of the information.

To answer your question, in an AI context, privacy by design ensures that AI is implemented in such a way that the information that feeds the system, first, has been lawfully obtained, second, is reliable, and third, does not discriminate on the basis of prohibited grounds of discrimination, but is based on objective factors of analysis.

Ms. Anita Vandenbeld:

It's also been suggested that for many purposes we would de-identify data before you would go through this. Is that something you think is feasible?

Mr. Daniel Therrien:

That is preferable but not always possible. It's conceivable that AI could work with personal information, but the preference would be to start with anonymized information.

Ms. Anita Vandenbeld:

Thank you.

The Chair:

Thank you, all.

Thanks to the commissioner and his staff for appearing before us today. It's always thoughtful and this issue seems to be ever growing, so again, thanks for coming today.

Mr. Daniel Therrien:

You're welcome.

The Chair:

For the rest of the committee, we're going to stay for a minute, just to address the motion that was presented prior to Mr. Therrien's testimony.

We'll go back to Mr. Kent, first, and then to Mr. Angus.

Hon. Peter Kent:

Thank you, Chair.

I understand the Liberals would like 48 hours to consider the request, so in the interest of collegiality, I would accept that 48 hours.

However, I would put forward a motion saying that this original motion from today be dealt with as the first item of our next meeting.

The Chair:

Go ahead, Mr. Angus.

Mr. Charlie Angus:

I am absolutely outraged by my colleague's collegiality, so I am going to have to talk to my colleague beside me to decide if we are going to filibuster.

(1645)

The Chair:

It sounds like it's been a discussion that's been rather loud during the committee meeting, so next time, I would ask that it be a little quieter. It sounds like we're going to deal with this on Tuesday, so have a good weekend, everybody.

Yes, Mr. Angus.

Mr. Charlie Angus:

I have one other element. We were supposed to discuss my motion today, which is that we are going to have to plan for a parallel study to happen. Nathaniel has asked to be able to work on the language of my motion in advance of a public meeting.

Just in the interest of being really collegial—you get one out of the whole four years in Parliament, and this is it and you can put it in your pocket.

Mr. Frank Baylis:

We can put that on Twitter.

Mr. Charlie Angus:

Yes, you could put it on Twitter. I'm being collegial today.

I will come back with some language that hopefully works for everyone and I'll pass it to Peter to look at it.

Thank you.

The Chair:

Thanks, everybody. Have a good weekend.

The meeting is adjourned.

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1530)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

Bienvenue, tout le monde.

Selon l'avis de convocation, il s'agit de la 133e réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. L'étude porte sur la protection des données personnelles dans les services gouvernementaux numériques.

Aujourd'hui, nous accueillons une personne qui a comparu à plusieurs reprises dans le passé, Daniel Therrien, commissaire à la protection de la vie privée du Canada. Nous recevons également Gregory Smolynec, sous-commissaire, Secteur des politiques et de la promotion, et Lara Ives, directrice exécutive, Direction des politiques, de la recherche et des affaires parlementaires.

Avant de céder la parole à M. Therrien, je veux laisser M. Kent intervenir rapidement.

L'hon. Peter Kent (Thornhill, PCC):

Merci, monsieur le président.

Chers collègues, j'espère que j'obtiendrai le consentement unanime à ce sujet. À la lumière de la récente annonce de la ministre des Institutions démocratiques selon laquelle un nouveau groupe de travail sera mis sur pied pour surveiller la publicité, les messages et les renseignements divulgués au cours des prochaines élections, je suggère de prévoir au moins une réunion pour convoquer des représentants de quelques-unes des sept organisations qui assureront une surveillance pour veiller à ce que les reportages et les publicités soient acceptables.

Le président:

Monsieur Angus.

M. Charlie Angus (Timmins—Baie James, NPD):

Si je comprends bien, je pense que ce serait avantageux pour nous. Comme avec les recommandations unanimes des parties pour protéger le système électoral, notre comité a formulé des recommandations. Je pense qu'il vaudrait la peine de faire valoir notre point de vue à ce sujet.

Je pense que c'est probablement plus adapté à un plan qui porte sur la cybersécurité et les cybermenaces, étant donné que les menaces visant les élections sont beaucoup plus subtiles. Les manipulations peuvent être plus difficiles à repérer.

Il serait bien de savoir si ces représentants ont examiné nos travaux et de les interroger. Je serais très favorable à ce que l'on procède ainsi.

Le président:

Monsieur Saini.

M. Raj Saini (Kitchener-Centre, Lib.):

Je n'y vois pas d'inconvénient, mais je préférerais une motion officielle pour que je puisse savoir exactement ce que vous voulez et quelles sont les organisations.

L'hon. Peter Kent:

D'accord.

M. Raj Saini:

Nous l'envisagerons.

L'hon. Peter Kent:

Ce n'est pas nécessaire. J'en fais la proposition. Passons au vote. Si vous jugez bon de rejeter la motion, alors nous procéderons à un vote en bonne et due forme.

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Pouvez-vous répéter le libellé exact?

L'hon. Peter Kent:

À la lumière de l'annonce faite par la ministre hier selon laquelle un nouveau groupe de travail composé de représentants soit créé...

Le président:

C'est le groupe de travail sur la sécurité, je crois.

L'hon. Peter Kent:

... le groupe de travail sur la sécurité, qui comprend le Conseil privé, le SCRS —, les sept organisations qui ont été nommées... Nous les inviterions à expliquer comment elles perçoivent leur nouvelle fonction, et nous pourrions leur accorder quelques semaines pour y réfléchir. Je suppose qu'elles ont été mises au courant avant que la ministre en fasse l'annonce hier, mais on les inviterait à discuter de leur mission et de la façon dont ils la réaliseront.

La ministre n'a pas été en mesure de dire hier quand les Canadiens seront prévenus de violations éventuelles ou quel est l'objectif du groupe de travail, mais je pense que ce serait utile, plus particulièrement compte tenu des travaux que nous avons menés dans ce dossier au cours de la dernière année.

Le président:

Raj est le prochain intervenant, et ensuite Charlie?

M. Charlie Angus:

J'ai un libellé pour une motion.

Le président:

D'accord. On vous écoute, monsieur Angus.

M. Charlie Angus:

« Que le Comité invite le groupe de travail sur la sécurité composé de sept organisations » — nous pourrions les nommer — « pour expliquer au Comité son rôle afin de protéger l'intégrité du système électoral canadien pour les élections de 2019 ».

Le président:

Par souci de clarté, fournissez-vous le libellé pour M. Kent?

M. Charlie Angus:

Oui. Il expliquait ce qu'il voulait, mais je pense que nous voulons seulement que le groupe de travail sur la sécurité nous décrive son rôle et son plan pour protéger l'intégrité du système électoral du Canada.

L'hon. Peter Kent:

Monsieur le président, je peux maintenant vous donner la liste car l'application a téléchargé. C'est le greffier du Bureau du Conseil privé, la conseillère à la sécurité nationale et au renseignement, la sous-ministre de la Justice, le sous-ministre de la Sécurité publique et le sous-ministre d'Affaires mondiales Canada. C'est un groupe de personnes estimées.

Le président:

Madame Fortier.

(1535)

Mme Mona Fortier (Ottawa—Vanier, Lib.):

J'aimerais qu'on ajourne le débat sur la motion et qu'on laisse le commissaire faire sa déclaration.

Le président:

Nous allons d'abord entendre le témoignage de M. Therrien, puis nous reviendrons à la motion plus tard. Est-ce que cela vous va?

L'hon. Peter Kent:

Les libéraux veulent demander conseil.

Le président:

Est-ce juste, monsieur Angus?

M. Charlie Angus:

Je veux seulement clarifier les règles. Je ne crois pas que demander l'ajournement du débat clarifie quoi que ce soit. Je suppose que Peter sera d'accord pour reporter le débat.

Le président:

Nous allons passer au vote.

M. Nathaniel Erskine-Smith:

Supposons que nous allons revenir à la question...

Le président:

Nous nous prononçons sur l'ajournement du débat.

(La motion est adoptée.)

Le président:

J'imagine que nous...

L'hon. Peter Kent:

Tant que nous passons au vote d'ici la fin de la réunion...

Le président:

D'accord. Entendu.

Monsieur Therrien, on vous écoute. [Français]

M. Daniel Therrien (commissaire à la protection de la vie privée du Canada, Commissariat à la protection de la vie privée du Canada):

Merci, monsieur le président.

Messieurs les membres du Comité, je vous remercie de m'avoir invité à vous donner mon point de vue dans le cadre de votre étude sur les répercussions sur la protection de la vie privée et les obstacles juridiques éventuels liés à la mise en œuvre de services gouvernementaux numériques au Canada.

La Feuille de route de la Stratégie de données pour la fonction publique fédérale, qui a été publiée en novembre 2018 et qui nous a été communiquée à la fin de l'année dernière, constitue un bon point de départ pour cette étude, puisqu'elle définit l'approche du gouvernement.

Dans ce document, le gouvernement indique ce qui suit: Les données ont le pouvoir de permettre au gouvernement de prendre de meilleures décisions, de concevoir de meilleurs programmes et d'offrir des services plus efficaces. Mais pour que cela se produise [...] nous devons renouveler notre approche. Aujourd'hui, chaque ministère et organisme produit et détient un vaste éventail de données diversifiées et en constante expansion [...] Ces données sont souvent recueillies d'une manière, fondée sur des pratiques et des principes informels, qui rend difficile leur communication à d'autres ministères ou aux Canadiens. Leur utilisation est inégale dans l'ensemble du gouvernement et leur valeur est sous-optimisée dans le processus décisionnel et dans les opérations quotidiennes.

Nous appuyons, bien sûr, l'utilisation de la technologie pour améliorer la prise de décision du gouvernement et la prestation des services, mais, comme il est indiqué dans votre mandat, cela doit être effectué tout en protégeant la vie privée des Canadiens. À cet égard, il est important de se rappeler que la protection de la vie privée est un droit fondamental de la personne qui est également une condition préalable à l'exercice d'autres droits fondamentaux, comme la liberté, l'égalité et la démocratie.

La Feuille de route du gouvernement souligne la difficulté de communiquer les données dans tous les ministères et attribue cette situation aux pratiques et principes informels ou, parfois, à des obstacles juridiques. Je comprends qu'il existe en fait, au sein du gouvernement, un exercice servant à cerner ces obstacles juridiques en vue d'éliminer ceux qui seraient jugés incompatibles avec la nouvelle approche qui, selon le gouvernement, est nécessaire pour tirer parti des données.

Je dirais que ce qui est un obstacle juridique pour certains peut être considéré par d'autres comme une garantie de protection de la vie privée. La terminologie que le gouvernement ou d'autres intervenants utilisent dans ce débat n'est pas neutre. Plusieurs des obstacles présumés se trouvent aux articles 4 à 8 de la Loi sur la protection des renseignements personnels actuelle. Ces règles devraient-elles être réexaminées en vue d'améliorer les services gouvernementaux à l'ère du numérique? Certainement. Certaines de ces règles devraient-elles être modifiées? Probablement.

Cependant, je vous demanderais de vous rappeler lors de votre étude que, bien que des rajustements puissent être souhaitables, toute nouvelle mesure législative conçue pour faciliter les services gouvernementaux numériques doit respecter la vie privée en tant que droit de la personne. Je pourrai préciser ce point au cours de la période des questions, si vous le voulez. Autrement dit, les modalités peuvent changer, mais la fondation doit être solide et respecter le droit à la vie privée. Cette fondation doit reposer sur une loi renforcée sur la protection des renseignements personnels. Comme vous le savez, nous avons fait des recommandations en ce sens en 2016. J'ajouterais ici une nouvelle recommandation, soit celle d'adopter, dans le secteur public, le concept de protection de la vie privée dès la conception.

(1540)

[Traduction]

J'ai examiné avec intérêt le témoignage qui vous a été présenté par des représentants de l'Estonie au lancement de votre étude. On parle souvent du modèle estonien en raison de son architecture technologique, mais j'ai remarqué que les représentants ont plutôt mis l'accent sur l'importance des facteurs liés à l'attitude, y compris le besoin de surmonter les cloisonnements administratifs de l'État afin de réutiliser des renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis.

Cela pourrait être considéré comme une validation de l'opinion selon laquelle notre Loi sur la protection des renseignements personnels doit être réexaminée et les « obstacles juridiques » doivent être éliminés. J'aimerais toutefois souligner qu'en Estonie, l'élimination des cloisonnements n'a pas entraîné une gestion horizontale tout azimut des données personnelles à l'échelle du gouvernement. Dans le modèle estonien, la réutilisation — ou la communication des renseignements personnels — semble plutôt fondée sur des lois généralement conformes aux principes de vie privée reconnus à l'échelle mondiale et au Règlement général sur la protection des données. Je vous encourage toutefois à faire un suivi sur les conditions juridiques qui sont en place en Estonie concernant la réutilisation.

En ce qui concerne les aspects technologiques du modèle estonien, nous comprenons qu'il n'existe pas de base de données centralisée. L'accès est plutôt accordé grâce à la capacité de relier des serveurs individuels au moyen de voies d'accès cryptées avec accès ou réutilisation autorisés à des fins légitimes déterminées. Ce système qui limite l'accès à des fins précises par les organismes gouvernementaux est susceptible de réduire le profilage.

Nous comprenons également que des mesures de protection de la vie privée et de sécurité sont prises au moyen du cryptage et de l'utilisation de la chaîne de blocs. Cela est conforme à l'une de nos recommandations de 2016 concernant la refonte de la Loi sur la protection des renseignements personnels, à savoir de créer une obligation juridique pour les institutions gouvernementales de protéger les renseignements personnels.

Je constate que l'autorité chargée de la protection des données occupe une place importante dans le modèle estonien, ce qui comprend un rôle proactif explicite, ainsi que le pouvoir de rendre des ordonnances contraignantes, de demander l'ouverture de poursuites criminelles et d'imposer des amendes lorsque des données sont traitées de façon non conforme à la loi. De même, la place qu'occupe le Commissariat à la protection de la vie privée pour ce qui est de son rôle proactif et de surveillance devrait être tout aussi importante, conformément à nos recommandations concernant la réforme de la Loi sur la protection des renseignements personnels.

J'aimerais conclure avec des questions que je veux que vous preniez en considération lorsque vous examinerez plus attentivement le modèle estonien ou discuterez de son application dans le contexte canadien.

Premièrement, nous avons entendu des représentants dire que le succès du système repose sur la confiance, laquelle requiert des protections solides. Toutefois, aucun système n'est entièrement sécuritaire. Quelles mesures d'atténuation sont en place dans le modèle estonien lorsque, et non pas si, il y a une atteinte à la sécurité?

Deuxièmement, la feuille de route de la stratégie de données du Canada suppose que la valeur d'un modèle comme celui de l'Estonie réside dans l'analyse des données détenues par l'ensemble du gouvernement. Étant donné la décentralisation des ensembles de données et le régime législatif qui limite la réutilisation à des fins précises, nous ne voyons pas bien comment cela pourrait être réalisé. Vous pourriez peut-être considérer cet enjeu.

Enfin, je suggère d'obtenir des éclaircissements de la part des fonctionnaires estoniens au sujet des conditions juridiques régissant la réutilisation des données, car c'est une mesure de protection importante pour veiller à ce qu'il n'y ait aucun profilage global et d'échange de données horizontales sans frontières, comme je l'appelle.

Merci de votre attention. Je me ferai un plaisir de répondre à vos questions.

Le président:

Merci encore une fois, monsieur Therrien.

Pour les sept premières minutes, nous entendrons Nate et David.

Allez-y.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Ma première question porte sur le modèle estonien et sur les voies légales.

Lorsque Michael Geist a comparu devant nous, il a dit que la mise en place de mesures technologiques semble être une excellente idée, mais que nous ne pourrions pas avoir confiance dans ces mesures et que nous devons revoir la Loi sur la protection des renseignements personnels. Je crois que vous êtes du même avis.

Pour revoir la Loi sur la protection des renseignements personnels et assurer la clarté de l'échange de renseignements, je crois savoir qu'en Estonie, ils ont un modèle « une fois suffit », mais il faut des autorisations législatives précises pour pouvoir réutiliser les renseignements. Donc, votre argument selon lequel la loi en Estonie doit être clarifiée est important.

En ce qui concerne la Loi sur la protection des renseignements personnels, vous croyez que nous devrions clarifier les voies légales pour l'échange de renseignements au Canada également.

M. Daniel Therrien:

Oui. Nous avons des règles de longue date, bien entendu, pour régir les conditions en vertu desquelles les données peuvent être communiquées entre les ministères. Ce sont essentiellement les articles 4 à 8 de la Loi sur la protection des renseignements personnels de la fonction publique.

Votre mandat traite des obstacles juridiques. La feuille de route de la stratégie de données énonce les obstacles juridiques éventuels. Je présume que lorsque le gouvernement parle d'obstacles, il fait référence à l'examen pour déterminer si les articles 4 à 8 sont encore appropriés. J'en conviens, mais je dis aussi que ce sont des règles importantes, et bien que certaines modalités ou certains ajustements peuvent être envisagés, ne perdons pas de vue l'objectif principal, à savoir qu'il faut respecter la vie privée.

(1545)

M. Nathaniel Erskine-Smith:

Le gouvernement a-t-il communiqué avec vous pour discuter d'un projet d'identification numérique?

M. Daniel Therrien:

Nous avons eu des discussions très générales avec le gouvernement à la fin de l'année dernière à propos de la feuille de route de la stratégie de données. Nous avons été invités récemment à présenter nos points de vue sur les stratégies que les ministères doivent ou peuvent adopter conformément à la feuille de route. Ce processus n'a pas été entamé, mais j'accueille favorablement cette invitation du gouvernement.

M. Nathaniel Erskine-Smith:

En ce qui concerne l'identification numérique plus précisément, je crois savoir que des conversations sont en cours au fédéral pour réaliser un projet conjointement avec les provinces. Vous a-t-on consulté à ce sujet?

M. Daniel Therrien:

Ces discussions sont en cours depuis un certain nombre d'années. Mme Ives a peut-être quelque chose à ajouter à ce sujet.

Mme Lara Ives (directrice exécutive, Direction des politiques, de la recherche et des affaires parlementaires, Commissariat à la protection de la vie privée du Canada):

Oui. J'ajouterais qu'il y a eu diverses versions au fil des ans. Je pense que la plus récente était en 2012. Nous avons passé en revue les évaluations des facteurs relatifs à la vie privée plutôt qu'un projet d'identification numérique: des moyens d'accès aux services gouvernementaux en ligne. L'une d'elles est publiée par le gouvernement du Canada et l'autre utilise les justificatifs bancaires, mais cela ne coïncide pas tout à fait avec l'identification numérique.

M. Nathaniel Erskine-Smith:

J'ai une dernière question, puis je vais céder la parole à David.

Y a-t-il des exemples qui démontrent que le gouvernement actuel ou les gouvernements précédents ont mis en ligne des services pour offrir de meilleurs services numériques en s'adressant directement à vous et en vous disant, « Réglons les problèmes liés à la protection des renseignements personnels »? Avons-nous un exemple canadien d'un service qui a fait tout ce qu'il fallait? Prenez votre temps.

Des voix: Oh, oh!

M. Daniel Therrien:

Dans un esprit d'optimisme et de positivisme, je dirais qu'il est intéressant d'examiner le modèle estonien de ce point de vue. Il renferme de nombreux aspects positifs. Ce sont les détails qui posent problème, de toute évidence, mais le modèle n'est pas si mal.

M. Nathaniel Erskine-Smith:

Très bien. Merci beaucoup.

David.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci.

Je pense qu'il est plus facile de partager des données que du temps, mais nous allons faire ce que nous pouvons. [Français]

J'aimerais comprendre comment on peut définir les paramètres de l'autorisation donnée par une personne. Mardi, j'ai donné comme exemple les lecteurs automatiques de plaques d'immatriculation des véhicules. Lorsqu'une auto passe, le lecteur enregistre le numéro de la plaque. C'est le gouvernement qui fait cela. Ce sont des données que nous fournissons sans que ce soit vraiment volontaire, étant donné que nous n'avons pas d'autre choix que de les fournir.

Si, partout au pays, les ministères ou les services de police utilisent ces données sans vraiment avoir obtenu l'autorisation des gens pour le faire, comment peut-on déterminer si ceux-ci ont donné leur consentement? Où tire-t-on la ligne?

M. Daniel Therrien:

Je vais considérer que votre question repose sur le principe voulant qu'il s'agisse d'informations du domaine public. Les plaques d'immatriculation sont publiques, dans un sens, puisque les voitures circulent sur les voies publiques. Des gens — le gouvernement, mais aussi des compagnies — se prévalent de la nature publique de l'environnement pour recueillir des données et les utiliser ensuite de façon à ce qu'elles ne soient pas considérées comme des renseignements personnels. Dans ce cas, les règles concernant l'utilisation et la divulgation de ces renseignements sont plus permissives.

M. David de Burgh Graham:

À chaque étape du déplacement, on peut lire le numéro de la plaque et savoir à quel individu elle appartient, quelle est son adresse et quel est son historique. Même si on ne recueille pas chaque fois ces données, on peut suivre l'individu d'un bout à l'autre du pays et savoir quels sont ses déplacements.

Ce n'est pas le but des plaques d'immatriculation, mais, en déterminant que c'est du domaine public, a-t-on l'autorisation d'utiliser les données de cette façon? Les États-Unis le font déjà.

(1550)

M. Daniel Therrien:

Il faut être prudent avant de considérer des renseignements comme étant publics. En effet, comme vous venez de le dire, il est quand même possible d'identifier l'individu qui est associé au véhicule, son comportement, et ainsi de suite. Donc, même si les renseignements sont soi-disant publics, il faut se demander si ce sont néanmoins des renseignements personnels et quelle est l'autorité du ministère en question pour colliger les renseignements. Cela se fait ministère par ministère. Même si ces renseignements sont du domaine public, le fait de les recueillir doit être lié à un mandat du ministère en question. C'est une condition très importante prévue dans la loi actuelle. Elle pourrait être renforcée, selon certaines recommandations que nous avons faites en vue de modifier la LPRP.

Bref, il faut être prudent à l'égard des données qui sont du domaine public. En outre, il est important de s'assurer que chaque ministère qui collige et utilise de tels renseignements a bel et bien un mandat pour le faire.

M. David de Burgh Graham:

Merci.[Traduction]

Me reste-t-il du temps?

Le président:

Vous n'avez plus de temps. [Français]

M. David de Burgh Graham:

Merci. [Traduction]

Le président:

Nous allons maintenant entendre M. Kent pour les sept prochaines minutes.

L'hon. Peter Kent:

Merci, monsieur le président.

Je suis ravi de vous revoir, monsieur le commissaire, ainsi que vos partenaires qui sont ici aujourd'hui.

En raison des importantes différences entre le modèle estonien et le Canada à l'heure actuelle... L'identité numérique en Estonie couvre littéralement la vie entière des gens, pas seulement les données relatives à leur santé et leurs renseignements fiscaux, mais aussi leur éducation... Elle couvre pratiquement tous les aspects de leur vie quotidienne.

J'ai lu votre déclaration, et vous semblez considérer la première étape d'un gouvernement numérique, si on en vient à cela au Canada, comme étant le début au niveau fédéral. Est-il pratique d'essayer de se lancer dans des secteurs où il y a un écart marqué et aucun chevauchement entre les administrations provinciales et municipales?

M. Daniel Therrien:

Bien entendu, une très grande différence entre l'Estonie et le Canada est que c'est un État unitaire tandis que nous sommes un État fédéral. Cela crée diverses difficultés au Canada pour mettre sur pied un système. Ce sont des problèmes d'ordre technologique, mais les administrations et les lois sont différentes aussi. À mon avis, il n'est pas inconcevable d'avoir un système qui communiquerait les renseignements entre les gouvernements fédéral et provinciaux, mais en raison de la complexité de l'État fédéral canadien, il est probablement plus pratique de commencer à un niveau.

L'hon. Peter Kent:

Avez-vous lu la transcription des témoignages de M. Cavoukian et de M. Geist, qui ont comparu devant le Comité cette semaine?

M. Daniel Therrien:

Oui.

L'hon. Peter Kent:

Pourriez-vous nous faire part de vos observations générales? M. Cavoukian avait des préoccupations très importantes.

M. Daniel Therrien:

Je vais vous les présenter à ma façon.

Je pense que le modèle estonien est intéressant, car le risque des services gouvernementaux numérisés basés sur un identificateur numérique commun serait que le gouvernement, que ce soit le gouvernement fédéral ou les gouvernements en général, aurait un seul profil par personne. Il est alors très difficile d'assurer la protection des renseignements personnels.

L'un des avantages évidents du modèle estonien est que les données ne sont pas centralisées. Elles sont encore entre les mains d'un grand nombre d'institutions, et il y a une voie technologique avec des autorités judiciaires pertinentes qui autorisent que les renseignements soient réutilisés d'un ministère à un autre. La décentralisation du modèle estonien, à première vue, semble être un aspect positif qui réduit ce qui serait un risque autrement.

Vous avez mentionné des préoccupations qui ont été exprimées.

L'hon. Peter Kent:

Oui.

M. Daniel Therrien:

Pouvez-vous être plus précis?

L'hon. Peter Kent:

Je n'ai pas la transcription devant moi, mais essentiellement, après avoir lu bon nombre des remarques formulées par M. Cavoukian, la cybersécurité est vulnérable lorsque des renseignements numériques sont transférés de dépôts de données à une entité qui demande d'y avoir accès. Les garanties de sécurité absolue n'existent pas encore.

(1555)

M. Daniel Therrien:

Il ne fait aucun doute que les systèmes technologiques sont vulnérables aux atteintes à la sécurité. Je ne suis pas certain s'il existera un jour un système exempt de ce risque. D'un point de vue juridique, je pense que s'il y a des services numériques, il est important qu'il y ait une obligation légale du gouvernement d'appliquer de robustes mesures de protection technologiques. Sur le plan technologique, en Estonie, comme vous le savez, il y a des chaînes de blocs et du cryptage. Ce sont des systèmes de pointe. Garantissent-ils qu'il n'y aura aucune atteinte à la sécurité? Non.

L'hon. Peter Kent:

Dans votre exposé, vous avez parlé de confiance et de consentement. Encore une fois, l'une des principales différences entre l'Estonie et le Canada, c'est que l'Estonie a une population très docile depuis l'effondrement de l'Union soviétique et une nouvelle démocratie très énergique au sein de laquelle on est déterminé à créer un gouvernement numérique à partir de zéro.

Lorsqu'on tient compte du scepticisme naturel des Canadiens et du cynisme générationnel à l'égard de l'environnement numérique, ainsi que de Cambridge Analytica, de Facebook, d'Aggregate IQ, de tous les scandales et maintenant de la controverse liée à Sidewalk Labs et des préoccupations des gens liées à l'exposition, à la vie privée, au contenu personnel, à la question de savoir qui possède quelles données et comment elles sont accessibles, pensez-vous qu'étant donné tous ces facteurs, il sera difficile d'obtenir le consentement des Canadiens pour ce type de gouvernement numérique dans un délai raisonnable? Je parle peut-être d'une décennie — de notre vivant.

M. Daniel Therrien:

Je crois que les hauts fonctionnaires estoniens ont mentionné que même en Estonie, les systèmes n'ont pas été mis en oeuvre du jour au lendemain. Il faut suivre plusieurs étapes.

Je crois qu'il est essentiel d'avoir des mesures de protection sur le plan technologique. Les mesures de protection sur le plan juridique sont également essentielles. Je dirais probablement qu'une mise en oeuvre graduelle, dans laquelle le gouvernement a l'occasion de démontrer que le système mérite qu'on lui fasse confiance, pourrait rassurer davantage la population. Il ne fait aucun doute qu'actuellement, les Canadiens craignent que leur vie privée ne soit pas respectée.

L'hon. Peter Kent:

Merci.

Le président:

Merci, monsieur Kent.

La parole est maintenant à M. Angus. Il a sept minutes.

M. Charlie Angus:

Merci, monsieur le président.

Monsieur Therrien, nous sommes toujours heureux de vous accueillir au Comité.

J'aimerais revenir sur votre dernière déclaration au sujet de la confiance et sur la question de savoir si on devrait s'attendre à ce que les Canadiens fassent confiance à un tel système.

Au fil des ans, dans le cadre de mes travaux liés à ce dossier, j'ai observé que nous avions des fuites de données chaque année. Certaines d'entre elles sont des fuites de données extrêmement importantes, par exemple les renseignements liés aux prêts contractés par un quart de million d'étudiants ou plus, et récemment, les renseignements personnels de 80 000 personnes ont été compromis par l'entremise de l'ARC.

Vos travaux laissent-ils croire que le nombre de fuites change à mesure que la technologie évolue? Est-ce une norme...? D'une année à l'autre, observons-nous certaines fuites assez importantes, mais également des fuites plus petites? Observez-vous un grand changement au sein des ministères?

M. Daniel Therrien:

Je ne dirais pas que nous voyons de grandes améliorations à cet égard. Il ne fait aucun doute qu'inspirer cette confiance représente un énorme défi.

J'aimerais utiliser un exemple qui est représentatif sur de nombreux plans, selon moi. Comme vous le savez, le gouvernement a mis en oeuvre un système de paie appelé Phénix qui a fait l'objet de critiques à plusieurs niveaux. Au Commissariat à la protection de la vie privée du Canada, nous avons mené une enquête sur les mesures de sécurité et de protection de la vie privée qui avaient été mises en oeuvre, ou qui ne l'avaient pas été, dans le système Phénix. L'une des conclusions très préoccupantes auxquelles nous sommes parvenus au cours de notre enquête, c'est que des hauts fonctionnaires du gouvernement ont délibérément décidé de ne pas surveiller étroitement l'accès aux renseignements personnels dans le système, car cela aurait été coûteux, cela aurait entraîné des retards dans le système, etc.

Pour répondre directement à votre question, je ne vois pas beaucoup d'amélioration. Je dirais qu'il est essentiel, avant de mettre en oeuvre ces systèmes à plus grande échelle — pour revenir aux attitudes —, que les hauts fonctionnaires du gouvernement adoptent une attitude qui consiste à veiller à ce que des mesures de sécurité soient déployées avant la mise en oeuvre des systèmes.

(1600)

M. Charlie Angus:

Je vous remercie beaucoup de cette réponse, car elle m'amène à ma préoccupation.

Je suis ici depuis 15 ans. Je vois mes collègues de l'autre côté et ils rayonnent de l'espoir des nouveaux croyants qui pensent que nous avons finalement atteint le salut et que le gouvernement fonctionnera. Mais moi, au fil des ans, je suis devenu sceptique et agnostique.

Des députés: Oh, oh!

M. Charlie Angus: Lorsqu'il s'agit des activités du gouvernement, je suis comme saint Thomas. J'ai fait partie d'un comité après l'autre où nous étions certains que les plus gros joueurs étaient les meilleurs, que le gouvernement avait toujours... Chaque fois qu'on cherchait à attribuer des contrats, on tenait à choisir les plus gros fournisseurs possible. Mais les plus gros n'étaient pas les meilleurs. Les plus gros étaient beaucoup plus dispendieux. Mais les contrats, ainsi que les sous-ministres, favorisaient toujours les plus gros... et qui avait obtenu les contrats et qui ne les avait pas obtenus.

Ensuite, nous avons eu Phénix. Je présume que je demanderais aux citoyens de ma circonscription s'ils font confiance à Phénix. Ne croyez-vous pas qu'il faudrait mettre en oeuvre un ensemble extrêmement complexe de mesures de sécurité pour pouvoir rassurer les Canadiens sur le fait que tous leurs renseignements financiers, tous leurs renseignements personnels et tous les renseignements les concernant sont en sécurité, même s'ils se retrouvent dans un ministère ou un gouvernement qui subit, tous les ans, des fuites graves dans presque tous les grands ministères?

M. Daniel Therrien:

C'est complexe, mais je dirais que c'est humainement faisable. Cela indique probablement qu'il est nécessaire de mettre en oeuvre ce système de façon graduelle, car les systèmes ne peuvent pas être modifiés du jour au lendemain, et il faut donc y aller graduellement, selon moi. Manifestement, je commencerais par... On n'a pas le choix, il faut numériser les services gouvernementaux pour toutes sortes de raisons, notamment pour améliorer les services à la population. On ne peut pas refuser de le faire parce que c'est une tâche colossale ou trop complexe, mais lorsqu'on mettra cette politique en oeuvre, on ne devrait pas négliger les mesures de sécurité sur le plan politique, juridique et technologique.

M. Charlie Angus:

Merci.

Les gens auxquels je parle préféreraient certainement que des personnes répondent au téléphone lorsqu'ils ont des questions plutôt que d'obtenir leurs données numériques plus rapidement. Mais des solutions numériques seront toujours adoptées plutôt que des solutions qui favoriseraient l'embauche de gens pour répondre au téléphone.

J'aimerais savoir s'il s'agit d'un processus unidirectionnel ou bidirectionnel. Si je veux trouver mes renseignements personnels liés à l'ARC et que j'ai une carte numérique, je peux les trouver. L'un de mes collègues libéraux a laissé entendre que ce serait une excellente façon pour le gouvernement de communiquer avec les citoyens.

Pour moi, c'est très inquiétant. Si je suis obligé de tout faire en ligne et si je dois fournir tous mes renseignements en ligne, je crois qu'il est nécessaire de préciser que c'est dans le but de me fournir les services que je souhaite obtenir, mais pas nécessairement pour que le gouvernement soit en mesure de communiquer avec moi.

Comprenez-vous que si nous avons une communication bidirectionnelle, cela change la nature du processus, car le risque que les droits relatifs à la protection de la vie privée des citoyens soient bafoués augmente considérablement?

M. Daniel Therrien:

La situation que vous décrivez est exactement la raison pour laquelle je soutiens qu'il est essentiel d'examiner très attentivement le cadre juridique dans lequel des données seront échangées d'un ministère à l'autre ou dans lequel un ministère sera en mesure de réutiliser des données recueillies par un autre ministère, comme c'est le cas en Estonie.

Cela commence avec un cadre juridique approprié qui limite les circonstances dans lesquelles un ministère peut communiquer avec un citoyen parce qu'un autre ministère lui a offert un service. C'est extrêmement important. Nous avons déjà des règlements à cet égard dans les articles 4 à 8 de la Loi sur la protection des renseignements personnels. Oui, ces articles peuvent faire l'objet d'un examen, mais c'est aussi un bon endroit pour commencer. C'est une partie importante du fondement. Ensuite, je crois que la technologie suit les principes qui ont été adoptés avec les mesures de sécurité nécessaires pour veiller à ce que, sur le plan technologique, les banques de données ne puissent pas communiquer entre elles, à moins qu'une loi les autorise à le faire.

Cela commence avec un cadre bien défini et bien conçu. On peut appeler cela un échange ou la réutilisation de renseignements.

(1605)

M. Charlie Angus:

Merci beaucoup.

Le président:

Merci, monsieur Angus.

Nous entendrons maintenant M. Saini. Il a sept minutes.

M. Raj Saini:

Bonjour, monsieur Therrien. Nous sommes toujours heureux de vous accueillir. Je crois que vous êtes le témoin qui comparaît le plus souvent devant notre comité, et c'est très bien.

Le 23 novembre, vous avez présenté un mémoire à ISDE. Je l'ai lu. C'était très intéressant. Vous avez notamment écrit ceci: « Il n'est pas exagéré d'affirmer que la numérisation de tant d'aspects de nos vies est en train de redéfinir l'humanité. » J'irais encore plus loin en disant qu'une fois que cette marche vers la technologie est amorcée, il est très difficile de l'arrêter. Elle finira par réussir.

Je sais que nous utilisons le modèle de l'Estonie, mais si vous examinez la situation actuelle de ce pays, vous constaterez qu'il y a 1,3 million d'habitants sur 4 millions d'hectares, dont la moitié est recouverte de forêts. Il s'ensuit que la connectivité à large bande ne cause pas vraiment de grandes difficultés là-bas. Lorsque nous examinons la situation actuelle du Canada et la plus récente enquête des Nations unies sur les pays dominants dans la mise en oeuvre du gouvernement électronique, nous constatons que le Canada se trouve au 23e rang et que le reste du monde finira par s'engager dans cette voie.

Dans les notes que j'ai lues, vous indiquez que la protection de la vie privée vous préoccupe beaucoup. Nous devons établir un point de départ et un objectif. La majorité des pays, surtout les pays avancés, numérisent de plus en plus leur gouvernement. Laissons de côté l'exemple de l'Estonie pour l'instant. Où commençons-nous?

J'aborderai la question sous deux angles différents. Tout d'abord, l'Estonie a deux paliers de gouvernement. Dans certains cas, nous avons quatre paliers de gouvernement. Comment protégeons-nous la vie privée? Comme M. Angus l'a dit, les gens veulent que leurs données soient protégées, mais différents paliers de gouvernement jouent différents rôles. Les données ne sont pas toutes confiées à un seul palier de gouvernement. Par exemple, le gouvernement provincial s'occupe de la santé. Le gouvernement fédéral s'occupe de l'ARC. Comment protégeons-nous les renseignements personnels des Canadiens d'un palier de gouvernement à un autre? Comment favorisons-nous l'interopérabilité du système entre les différents ministères d'un même palier de gouvernement?

M. Daniel Therrien:

Je crois qu'il serait bon de commencer par définir les circonstances précises dans lesquelles le gouvernement croit qu'il ne peut pas fournir des services efficaces en raison de ce qu'on appelle souvent le cloisonnement entre les ministères, ce qui nuit à l'échange de renseignements. Quels sont les problèmes d'ordre pratique? À part un gouvernement plus efficace, que souhaitent obtenir les citoyens? Quels types de services ne peuvent pas être fournis de façon efficace et rapide en raison d'obstacles juridiques et bureaucratiques? Je crois que ce serait un bon début.

M. Raj Saini:

De plus, selon l'hypothèse utilisée en Estonie, la population ou les citoyens sont propriétaires des données. Il leur revient de déterminer comment ces données sont distribuées et qui a le droit de les consulter.

Si nous allons à l'étape suivante, si nous commençons par le secteur public — manifestement, le secteur privé participera dans une certaine mesure, qu'il s'agisse de renseignements bancaires ou d'autres types de renseignements. Si le secteur privé a un type de technologie et que le secteur public a un autre type de technologie... L'un des exemples qui ont été utilisés est celui de la technologie des chaînes de blocs.

Une entité est régie par la LPRPDE et une autre entité est régie par la Loi sur la protection des renseignements personnels. Comment peut-on intégrer ces deux entités? Quel serait le point de contact où on pourrait permettre au secteur public et au secteur privé de protéger les renseignements personnels, tout en leur permettant de continuer à exercer leur compétence respective?

M. Daniel Therrien:

Je ne suis pas technologue — même si, après avoir occupé ce poste pendant quelques années, j'ai maintenant acquis un peu plus de connaissances technologiques —, mais je crois que nous sommes revenus à une approche graduelle. Les systèmes seront interopérables — pas du jour au lendemain, mais graduellement. La technologie nous permettra d'y arriver. Je commencerais par déterminer ce que le gouvernement souhaite accomplir et par cerner les obstacles à la prestation de services efficaces. Ensuite, je déterminerais la technologie nécessaire pour y arriver.

(1610)

M. Raj Saini:

La numérisation du gouvernement ira manifestement de l'avant. Que les progrès soient rapides ou lents, elle ira de l'avant. Quel rôle devrait jouer le Commissariat à la protection de la vie privée et à quel moment devrait-il s'intégrer au processus, afin d'ouvrir la voie et de veiller à ce que le système n'ait pas été mis au point? Ensuite, votre Commissariat pourrait intervenir et indiquer les choses qui posent problème.

À votre avis, à quel moment votre Commissariat devrait-il intervenir? Vous parlez de technologie. Vous parlez de protection de la vie privée. Vous parlez, dans certains cas, de transférabilité. Vous parlez de différents paliers de gouvernement. Vous parlez d'interopérabilité au sein du gouvernement. À votre avis, où votre Commissariat devrait-il s'intégrer, afin de veiller à ce que cela devienne une approche efficace?

M. Daniel Therrien:

J'utiliserai le mot « proactivité », car je l'ai déjà utilisé devant votre comité lorsque j'ai parlé de la réforme de la Loi sur la protection des renseignements personnels.

Nous avons communiqué avec des hauts fonctionnaires actuellement en poste pour leur demander de conseiller les ministères pendant qu'ils élaborent leurs stratégies. Je crois que cela fait partie de ce processus. Si des lois sont modifiées, nous devrions être consultés au sujet de l'élaboration de ces lois. Une fois les lois adoptées, nous devrions obtenir les pouvoirs plus accrus que nous avons demandés, afin de veiller à ce que des principes juridiques en matière de protection de la vie privée soient mis en oeuvre. Ce sera un long processus.

Ma réponse, c'est qu'avec nos ressources limitées, nous sommes prêts et disposés à jouer un rôle aussi proactif que possible. Nous ne déterminerons pas les objectifs. Le gouvernement déterminera les objectifs, mais nous sommes disposés, dans la mesure de nos moyens, à fournir des conseils aussitôt que possible, et une fois les systèmes adoptés, nous pourrons jouer un rôle de surveillance tout en ayant les pouvoirs juridiques nécessaires pour assumer ce rôle.

M. Raj Saini:

J'aimerais poser une dernière question.

Vous parlez de différents intervenants. À votre avis, serait-il préférable de commencer par réunir des intervenants du gouvernement, du secteur privé, du secteur public et du secteur de la technologie pour qu'ils déterminent la voie à suivre, afin que tout le monde soit sur la même longueur d'onde? De cette façon, le processus suivrait les étapes appropriées, mais de façon proactive et intermittente, de façon à veiller, si des changements répétitifs doivent être apportés, à ce qu'ils ne soient pas apportés à la fin du processus de développement d'un système, mais au début, lorsque ce développement suit les étapes appropriées.

M. Daniel Therrien:

Je crois qu'il y a lieu d'avoir ce type de discussion générale sur les principes, qu'ils soient juridiques, bureaucratiques, opérationnels ou technologiques. Toutefois, en ce qui concerne leur mise en oeuvre, je crois que cela sera fait de façon graduelle.

M. Raj Saini:

Merci.

Le président:

La parole est maintenant à M. Gourde. Il a cinq minutes. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Monsieur Therrien, je vous remercie d'être ici.

Pensez-vous qu'il existe une étude économique sur la numérisation future des données au Canada, afin que les Canadiens aient un aperçu de la question? Cela représente-t-il des millions, des milliards?

M. Daniel Therrien:

Je n'ai pas entendu le début de votre question. Me demandez-vous quel est le coût de la numérisation?

M. Jacques Gourde:

Existe-t-il une étude qui établit le coût d'un environnement numérique qui soit sain dans l'avenir? On sait que le registre des armes à feu a coûté presque 2 milliards de dollars, et ce, juste pour entrer les données sur les armes d'épaule. Imaginez combien cela pourrait coûter pour faire l'entrée des données numériques pour l'ensemble du Canada.

M. Daniel Therrien:

À ma connaissance, il n'y a pas de telle étude, et ce serait toute une entreprise d'en faire une.

L'une des raisons pour lesquelles je suis d'accord pour que le gouvernement numérise les services, c'est que cela permettrait d'améliorer les soins de santé, par exemple. Il peut y avoir des investissements dans la technologie, entre autres, mais il y aurait un rendement des investissements, puisque les soins de santé seraient d'une plus grande efficacité.

À ma connaissance, il n'y a pas de telle étude. Premièrement, il est difficile d'envisager l'avenir sans numérisation. Deuxièmement, même si les coûts sont importants, il y aura sûrement un rendement des investissements.

M. Jacques Gourde:

Les services de nos ministères sont déjà numérisés, mais cela se fait en vase clos. Ils donnent déjà des services aux Canadiens, mais chacun de son côté.

(1615)

M. Daniel Therrien:

Oui.

M. Jacques Gourde:

Il y a des choses qu'on pourrait sans doute garder. Quelle approche devrait-on avoir? On pourrait donner beaucoup plus de services aux Canadiens, mais sans jeter le bébé avec l'eau du bain ou tout recommencer à zéro.

M. Daniel Therrien:

Je suis d'accord avec vous. C'est pour cela que je parle d'une approche par étapes, où les systèmes qui fonctionnent seraient maintenus. Le gouvernement devrait cerner là où cela fonctionne moins bien et faire des améliorations. Cela ne veut pas dire de tout remettre en question et de repartir à zéro, sur le plan technologique du moins.

M. Jacques Gourde:

Dans un monde idéal de numérisation, quelles données confidentielles ou plus sensibles des Canadiens seraient moins bien protégées dans ce nouveau monde?

M. Daniel Therrien:

Le gouvernement possède toutes sortes de renseignements extrêmement sensibles. Je viens de parler du domaine de la santé. Les renseignements médicaux font partie des renseignements très importants. L'identification peut dépendre de la biométrie; ce sont des renseignements très sensibles. Le gouvernement ne peut faire autrement que de colliger et d'utiliser des renseignements sensibles qui sont au coeur de la vie privée et de l'intimité. Le lot d'informations que le gouvernement va détenir contiendra nécessairement des renseignements sensibles, par exemple des renseignements financiers. Par conséquent, il faut que les protections soient très élevées.

M. Jacques Gourde:

Merci, monsieur Therrien.

Monsieur le président, je veux juste faire une petite remarque. Quand il y a des conciliabules en arrière de la salle, c'est fatigant pour ceux qui posent des questions. Il faudrait peut-être demander à ceux qui ont besoin de discuter de sortir de la salle. S'il faut qu'il y ait de telles discussions, alors arrêtons la réunion complètement. Personnellement, cela me dérange. [Traduction]

Le président:

Oui. Je crois que c'est mieux maintenant. Je demanderais à tous les gens dans la salle d'aller parler dans le corridor s'ils souhaitent avoir une conversation assez forte pour que nous l'entendions à la table.

Merci.

Allez-y, monsieur Gourde. [Français]

M. Jacques Gourde:

J'ai terminé. Merci. [Traduction]

Le président:

D'accord. Merci.

La parole est maintenant à M. Baylis. Il a cinq minutes.

M. Frank Baylis (Pierrefonds—Dollard, Lib.):

Je suis heureux de vous revoir, monsieur Therrien, car vous êtes très réservé et nous n'obtenons pas beaucoup de renseignements.

J'aimerais tout d'abord réfuter quelques affirmations. L'une d'entre elles, c'est que les Canadiens craignent la technologie ou la numérisation. J'aimerais invoquer la statistique selon laquelle 85 % des citoyens remplissent leur formulaire d'impôt en ligne. Ils ne sont pas obligés de le faire, car ils ont le droit de le faire sur papier. Toutefois, ils choisissent de le faire en ligne pour toutes sortes de raisons liées à l'efficacité.

Avez-vous des preuves, à part celles qui ont été fournies, que les Canadiens sont contre la technologie ou contre la numérisation?

M. Daniel Therrien:

Je ne pense pas avoir dit que les Canadiens sont préoccupés par l'utilisation de la technologie.[Français]

Je n'ai pas dit non plus qu'ils se méfiaient de la technologie.

Les sondages démontrent constamment que les Canadiens sont préoccupés du non-respect de leur vie privée, que ce soit par le secteur public ou le secteur privé, et du fait qu'ils n'ont pas le contrôle de leurs informations. Cela ne veut pas dire qu'ils n'utilisent pas la technologie ou qu'ils s'en méfient. C'est plutôt qu'ils croient que leur vie privée n'est pas suffisamment protégée par le secteur public et le secteur privé.

Il faut numériser les services, mais en utilisant différents moyens, qu'ils soient légaux, technologiques ou autres, pour bien assurer la sécurité des informations.

M. Frank Baylis:

Vous faites une distinction assez importante.[Traduction]

Même si la numérisation peut permettre une mauvaise utilisation des données, il reste que le vol d'identité et ce genre de chose existaient bien avant la venue des ordinateurs et la numérisation. Les gens ne s'opposent pas à la numérisation; ils sont simplement préoccupés par la protection de leurs renseignements personnels et ils veulent s'assurer que, si nous nous engageons dans cette voie, nous fassions tout ce que nous pouvons pour protéger leur vie privée. Est-ce ce que...?

M. Daniel Therrien:

Oui, le vol d'information existait auparavant, mais il est clair qu'avec la numérisation les conséquences d'une atteinte à la protection des données sont beaucoup plus grandes.

(1620)

M. Frank Baylis:

Oui, effectivement. C'est vrai.

Mme Cavoukian, qui est une spécialiste du domaine, a témoigné lors de la dernière réunion. Elle a fait valoir que la sécurité et la vie privée ne sont pas incompatibles. Nous n'avons pas à choisir l'un ou l'autre. En fait, nous devons cesser de penser cela. Si nous faisons les choses correctement, il est possible de mieux protéger la vie privée grâce à de meilleurs moyens d'assurer la sécurité. Il faudrait cesser de dire « Eh bien, si nous améliorons la sécurité, ce sera au détriment de telle ou telle chose. »

Qu'avez-vous à dire à ce sujet?

M. Daniel Therrien:

Je suis d'accord. Ce n'est pas un jeu à somme nulle en ce qui concerne la vie privée et la sécurité, ou la vie privée et l'innovation ou bien la vie privée et l'amélioration de la prestation des services. Nous pouvons faire tout cela, pourvu que les systèmes, y compris les systèmes juridiques, soient bien conçus. Cela m'amène à mentionner l'important concept qu'est la protection de la vie privée dès la conception, qui devrait exister en droit et qui devrait aussi être appliqué sur le terrain par la bureaucratie, les ministères, dans le cadre de la prestation des services.

M. Frank Baylis:

D'une certaine façon, nous sommes dans une situation où on a fait des comparaisons avec le Far West, par exemple. Lorsqu'il y a quelque chose de nouveau, les gens évaluent les possibilités et adoptent cette nouveauté. Ensuite, on légifère et lentement les choses se structurent en fonction des lois. Actuellement, la législation n'est pas suffisante, surtout dans le monde numérique, alors nous avons du rattrapage à faire, si je puis dire. Ainsi, j'aimerais que vous souligniez, comme certaines personnes l'affirment, que nous ne pouvons pas retourner en arrière ou même rester immobiles. Nous devons aller de l'avant, mais nous pouvons le faire de la façon qu'a proposé Mme Cavoukian, c'est-à-dire en assurant la protection de la vie privée dès la conception. C'est un concept plutôt nouveau qui nous permet de commencer à penser à la protection des renseignements personnels lors de l'étape de la conception.

Qu'en pensez-vous?

M. Daniel Therrien:

Je suis d'accord. Je suis tout à fait en faveur du concept de la protection de la vie privée dès la conception. Je dirais qu'il est vrai que la numérisation aura forcément lieu, mais la protection de la vie privée dès la conception signifie que la façon dont nous procédons doit faire l'objet d'une sérieuse et rigoureuse réflexion.

Il faut notamment tenir compte du rôle du secteur privé dans la prestation de services gouvernementaux. Vous avez parlé du Far West. Vous êtes bien placé pour savoir qu'il existe d'importants problèmes en ce qui a trait à la façon dont certaines entreprises gèrent les renseignements personnels des gens. L'amélioration des services gouvernementaux se fait grâce à la technologie appartenant au secteur privé et qui est utilisée pour la prestation de services. C'est très bien, mais en ce qui a trait à la prestation des services, par l'entremise du secteur privé — par exemple, à l'aide des Alexa de ce monde — le gouvernement doit faire très attention à la façon dont cela se fera, et ce, pour de nombreuses raisons. Il doit notamment savoir à qui appartient l'information transmise par Alexa, ou qui gère cette information, lorsqu'un citoyen demande des services gouvernementaux. Qu'arrive-t-il à cette information? Est-ce qu'elle est gérée par le gouvernement ou le secteur privé? Est-ce qu'elle est monétisée? Ce sont là des questions très importantes et fondamentales.

M. Frank Baylis:

Je vous remercie.

Le président:

Merci, monsieur Baylis.

Monsieur Kent, vous disposez de cinq minutes.

L'hon. Peter Kent:

Merci.

Monsieur le commissaire, le Comité a déposé trois rapports auprès du gouvernement au cours de la dernière année environ. Dans chacun de ces rapports, il recommande d'élargir vos pouvoirs, de vous conférer le pouvoir de rendre des ordonnances et d'accroître la sévérité des sanctions dans les cas de violation. Il recommande également, en ce qui concerne la loi, que le gouvernement tienne compte du RGPD et qu'il actualise et renforce la réglementation canadienne sur la protection des renseignements personnels, qui est à peine acceptable actuellement.

Recommanderiez-vous que votre commissariat participe directement à la conception du gouvernement numérique? Autrement dit, pensez-vous qu'il est essentiel que le commissaire à la protection de la vie privée soit un partenaire clé dans tout projet lié au gouvernement numérique, dès les premières étapes ou certainement les étapes ultérieures?

(1625)

M. Daniel Therrien:

Nous pouvons constituer une valeur ajoutée, c'est certain, et nous avons offert nos services au gouvernement. Parfois, il a accepté notre offre. Est-ce nécessaire? Ce n'est peut-être pas à moi de répondre à cette question, mais je peux dire que je crois de façon générale que nous constituons une valeur ajoutée et que les systèmes conçus en fonction de nos recommandations risquent de mieux assurer la protection des renseignements personnels.

Lorsque ce n'est pas une question de choix, lorsqu'une loi précise, par exemple, les conditions dans lesquelles les données sont échangées entre les ministères, il est nécessaire qu'un organisme de réglementation solide veille au respect de ces conditions. Cet organisme est le commissariat.

L'hon. Peter Kent:

Si le gouvernement numérique est la propriété du gouvernement et qu'il survient une atteinte grave et importante à la protection des données, qui cause des torts et qui a des conséquences sur la protection des renseignements personnels de citoyens canadiens ou de quiconque, pensez-vous que ce serait le commissaire à la protection de la vie privée qui imposerait des sanctions aux responsables de cette atteinte à la protection des données? Comment cela fonctionnerait-il si le gouvernement est celui qui gère le système?

M. Daniel Therrien:

Vous soulevez la question...

L'hon. Peter Kent:

Je parle de la responsabilité.

M. Daniel Therrien:

D'accord. Le gouvernement doit être tenu responsable de la façon dont il gère les renseignements des citoyens. Le commissariat est bien placé pour veiller à ce que, dans une situation en particulier, le gouvernement soit tenu responsable et qu'il remédie à une atteinte à la protection des données.

Est-ce qu'une sanction pécuniaire doit être imposée? Je n'en suis pas certain en ce qui concerne le secteur public, mais quelqu'un doit repérer les infractions à la loi et veiller à ce que des mesures soient prises à cet égard. Nous sommes très bien placés pour faire cela.

L'hon. Peter Kent:

En Estonie, il y a des dépôts de données. Comme vous l'avez dit, il y a de nombreux silos liés au système central et il y a la carte d'identité avec puce. Il est presque certain que diverses entités vont se livrer concurrence pour bénéficier des gains financiers qu'on peut retirer de la participation au gouvernement numérique. Neil Parmenter, le président de l'Association des banquiers canadiens, dans un discours qu'il a prononcé le mois dernier et auquel j'ai assisté, a pris soin de souligner que les banques canadiennes sont dignes de confiance. Elles utilisent l'authentification à double facteur. M. Parmenter a fait valoir l'intérêt des banques à jouer un rôle central au sein du gouvernement numérique. Que pensez-vous de cela?

M. Daniel Therrien:

Il est vrai que les banques offrent des services qui, contrairement à d'autres, sont bien sécurisés. Je n'ai pas de problème en principe avec le fait que des banques ou d'autres organismes réputés, des organismes privés, soient responsables, par exemple, de la gestion de l'identificateur commun. C'est un des éléments du système. Le type d'information qu'ils obtiennent lorsque le gouvernement fournit des services aux citoyens constitue à mon sens une autre question, mais pour ce qui est de la gestion d'un identificateur commun sécurisé, j'estime que les banques sont sans doute bien placées pour effectuer cette tâche.

L'hon. Peter Kent:

Merci.

Le président:

Merci, monsieur Kent.

La parole est maintenant à M. Picard. [Français]

M. Michel Picard (Montarville, Lib.):

Bonjour, monsieur Therrien.

Je vais vous soumettre une prémisse, au sujet de laquelle j'aimerais connaître votre point de vue.

Je ne critique pas du tout le travail que nous avons fait. Je pense depuis longtemps que le Comité fait un travail respectable et excellent. Cependant, je vais vous proposer une autre façon de voir les choses.

Depuis environ six ou huit mois, nous étudions la protection des données personnelles, mais j'ai l'impression que nous pédalons dans le beurre et que nous travaillons pour rien, parce que nous n'avons pas été foutus de définir le problème à régler, c'est-à-dire de définir ce qui constitue une donnée personnelle. Je m'explique.

On panique à l'idée qu'on puisse lire une plaque d'immatriculation, sous prétexte que c'est de nature privée. Or, tout ce que cette plaque permet de faire, c'est identifier le véhicule sur lequel elle est installée, et non la personne qui est au volant. De la même manière, une adresse IP ne révèle pas l'identité de la personne qui tape au clavier de l'ordinateur, mais seulement l'endroit où se trouve ce dernier.

Les gens communiquent allégrement bien des données personnelles. Par exemple, rappelez-vous que, dans les premiers clubs vidéo, nous donnions sans hésiter notre numéro de permis de conduire pour avoir le droit de louer un film.

La raison pour laquelle j'ai l'impression qu'on ne veut pas toucher au problème de la définition d'une donnée personnelle, c'est que la plupart des témoins que nous avons entendus depuis presque un an nous ont répondu que la meilleure façon de protéger nos données personnelles n'était pas le recours à des moyens technologiques, mais la transparence: une entreprise comprend qu'un individu est prêt à lui donner à peu près n'importe quel renseignement personnel, mais elle s'engage en contrepartie à lui dire ce qu'elle en fera. Cela signifie donc que le spectre des données que vous êtes en mesure de fournir à quiconque n'est pas défini. Par conséquent, si nous ne sommes pas capables de définir le problème que nous voulons gérer, il sera difficile de définir les mesures que nous voulons prendre. Pourquoi ne pas simplement arrêter tout cela et interdire toute transaction de données? Si quelqu'un voulait faire une telle transaction, il devrait alors communiquer avec vous pour savoir comment gérer l'information transmise. C'est la première partie de ma question.

(1630)

M. Daniel Therrien:

En droit, je regrette de devoir vous dire que vous avez tort quand vous suggérez que les adresses IP ne sont pas des renseignements personnels. La Cour suprême en a décidé autrement dans un jugement, il y a quelques années. L'adresse IP pouvant être reliée à un individu, il s'agit d'un renseignement personnel qui doit être protégé à ce titre.

En ce qui a trait à la plaque d'immatriculation, la question ne se pose pas tout à fait de la même façon. Il n'y a quand même pas 800 personnes qui conduisent mon véhicule; il y a seulement mon épouse et moi. Il s'agit peut-être de renseignements personnels aussi.

Les renseignements personnels sont donc définis. Ce n'est pas sorcier: il s'agit de tout renseignement, y compris un numéro, qui se rapporte à une personne identifiable. Nous pourrions en discuter, mais je ne suis pas enclin à adhérer à votre prémisse.

Est-ce que la transparence fait partie de la solution pour protéger la vie privée? Oui, elle fait partie de la solution, mais elle n'est pas toute la solution, loin de là. On peut être transparent, mais quand même porter atteinte à la réputation d'un individu. Cela dit, la transparence fait partie de la solution.

Il s'agit effectivement d'une question complexe, et si nous avons de la difficulté à progresser, c'est parce qu'elle est complexe sur différents plans, notamment conceptuel et technologique. C'est pour cela que, plus récemment, j'ai mis l'accent sur la vie privée comme étant un droit de la personne. Commençons donc par les principes de base.

Quand je dis que la vie privée est un droit fondamental, il s'agit d'un concept qui devrait être reconnu non seulement par la loi, mais aussi par les instances gouvernementales qui, jour après jour, mettent en place des systèmes de collecte de données et d'administration de programmes publics, technologiques ou autres. Cela nous ramène à l'importance de la protection de la vie privée dès l'étape de la conception, un concept que nous devrions toujours garder à l'esprit. Si nous avons le choix entre offrir un service d'une façon qui met en danger la vie privée et offrir ce même service d'une autre façon tout aussi efficace, mais qui, elle, respecte la vie privée, le concept de protection de la vie privée dès l'étape de la conception nous dit que nous devrions choisir la deuxième option.

Toutes ces questions de vie privée peuvent sembler nébuleuses, mais, en droit, ce qui constitue un renseignement personnel est assez clair. Il faut nous rappeler quels éléments de la vie privée nous voulons protéger pour nous assurer de ce respect dans les activités du gouvernement et dans les lois.

(1635)

[Traduction]

Le président:

Je vous remercie, monsieur Picard.

La parole est à M. Angus pour les dernières minutes. On m'a demandé d'accorder un peu de temps à deux autres membres qui n'ont pas eu l'occasion de poser une question. C'est ce que je vais faire lorsque M. Angus aura terminé. Ensuite, nous allons passer à la motion qui a été présentée tout à l'heure.

La parole est à M. Angus pour trois minutes.

M. Charlie Angus:

Merci, monsieur le président.

Je vous remercie, monsieur Therrien.

Plus tôt au cours de la présente session parlementaire, nous avons entamé une étude sur une atteinte à la protection des données qui concerne Cambridge Analytica et Facebook. Depuis, j'ai parfois l'impression que nous sommes devenus le comité parlementaire spécialiste de Facebook. Nous avons parcouru la moitié de la planète pour essayer d'obtenir des réponses de la part de cette entreprise et nous nous faisons encore berner, et je crois que nous allons inviter la moitié de la planète à venir nous rencontrer encore une fois à Ottawa lorsque le temps sera plus clément afin d'obtenir peut-être davantage de réponses de la part de Facebook. Il me semble que toutes les semaines de nouvelles questions surgissent et qu'il semble y avoir continuellement une absence de reddition de comptes.

J'aimerais vous demander précisément si vous vous êtes ou non penchés là-dessus. Il y a eu cet article qui a fait grand bruit dans le New York Times à propos des privilèges accordés à certains utilisateurs de Facebook leur permettant de lire des messages personnels et privés de certains autres utilisateurs de Facebook. On mentionnait que la RBC en faisait partie. Nous avons entendu des représentants de la RBC. Ils ont affirmé qu'ils n'ont jamais bénéficié de tels privilèges, qu'ils n'ont jamais fait cela. La revue The Tyee affirme que Facebook lui a déclaré que la RBC est en mesure de lire, d'écrire et de supprimer des messages privés dans les comptes d'utilisateurs de Facebook qui utilisent l'application de la banque.

Vous êtes-vous penchés là-dessus? Croyez-vous que cette situation mérite d'être examinée? Devrions-nous croire la RBC sur parole? Devrions-nous, en tant que comité, considérer cela comme un autre dossier à étudier en ce qui concerne Facebook?

M. Daniel Therrien:

Je dirais oui pour répondre brièvement, pour deux raisons.

Lorsque le comité parlementaire britannique a publié les documents de Six4Three, on y a vu le nom de la Banque royale, et nous nous sommes demandé si nous devions examiner cela dans le cadre de notre enquête sur Facebook et AIQ. Nous avons à ce moment-là reçu des plaintes de la part de personnes qui se demandaient si la Banque royale se trouvait à enfreindre la LPRPDE d'une certaine façon étant donné qu'elle recevait de l'information de cette manière. Cette question fait donc l'objet d'une enquête distincte.

M. Charlie Angus:

Soyons clairs, vous dites que vous avez reçu des plaintes à propos d'infractions commises par la RBC...

M. Daniel Therrien:

Des plaintes au sujet du fait que la RBC recevait présumément des renseignements de Facebook et qu'elle enfreignait semble-t-il la LPRPDE.

M. Charlie Angus:

D'accord. D'après ce que vous savez de ces privilèges accordés à certains clients de Facebook, pouvez-vous me dire s'il était possible de lire des messages privés d'utilisateurs de Facebook grâce à ces privilèges?

M. Daniel Therrien:

Je ne peux pas faire de commentaires à ce sujet, car nous sommes en train de mener une enquête. Nous allons le déterminer, c'est certain.

M. Charlie Angus:

Vous êtes en train d'effectuer une enquête. D'accord, c'est très bien.

Je vous remercie beaucoup.

Le président:

Je vous remercie, monsieur Angus.

La parole est maintenant à Mme Vandenbeld pour deux minutes et demie, et ensuite...

Mme Mona Fortier:

Elle va prendre tout le temps de parole.

Le président:

D'accord.

Allez-y.

Mme Anita Vandenbeld (Ottawa-Ouest—Nepean, Lib.):

Je vous remercie, monsieur le président, de m'accorder la dernière question. Le témoignage du commissaire est très important et très intéressant.

J'aimerais revenir sur l'idée de la propriété et du consentement dans le contexte du gouvernement. Si Air Canada me demande mon adresse courriel et mon numéro de téléphone cellulaire pour que je puisse recevoir des messages m'informant que mon vol est retardé, par exemple, j'ai le choix de donner ou non cette information. Toutefois, en ce qui concerne le gouvernement, vous n'avez pas toujours le choix. Vous devez fournir l'information, notamment à des fins fiscales. L'idée de consentement n'a automatiquement plus la même signification lorsque l'on doit fournir des renseignements.

Cela dit, comment envisagez-vous le consentement et même la propriété des données? Si je vais dans le site d'Air Canada, je peux supprimer mon profil. J'ai le choix. Mais en ce qui a trait au gouvernement, s'il s'agit d'un casier judiciaire, on ne peut pas décider de le supprimer ou de le modifier. L'information n'appartient plus réellement à la personne.

Qu'en est-il de la propriété et du consentement lorsqu'il s'agit du gouvernement?

(1640)

M. Daniel Therrien:

Vous avez tout à fait raison de dire qu'il n'est pas toujours nécessaire de donner son consentement à un gouvernement pour qu'il recueille des renseignements sur nous. La situation est différente. La Loi sur la protection des renseignements personnels contient déjà des dispositions à cet égard.

Une des dispositions stipule que le gouvernement devrait recueillir des renseignements, dans la mesure du possible, directement auprès de la personne concernée, avec ou sans le consentement, par exemple, dans une situation d'application de la loi. Le principe est que le gouvernement doit recueillir l'information directement auprès de la personne, mais des questions se posent quant aux renseignements qui se trouvent dans les médias sociaux ou qui sont potentiellement publics. C'est difficile à gérer dans le cadre de la loi actuelle. Quoi qu'il en soit, le premier principe est que le gouvernement doit recueillir l'information auprès de la personne concernée, avec ou sans le consentement. Dans le secteur privé, ce n'est pas tout à fait la même chose. Je conviens que le consentement n'est pas toujours nécessaire.

Mme Anita Vandenbeld:

Cela étant dit, nous avons entendu dire que le gouvernement a recours notamment à l'analytique prédictive et qu'il pourrait le faire davantage dans le futur. Je crois qu'on a donné comme exemple l'ARC, qui peut même utiliser une certaine forme d'intelligence artificielle et l'analytique prédictive pour déterminer où le risque de fraude est le plus probable, afin qu'elle puisse cibler ce genre de situation.

Par contre, le concept de la protection de la vie privée dès la conception implique précisément que les données sont utilisées aux fins pour lesquelles elles sont recueillies. Si vous fournissez des renseignements à l'ARC à propos de vos impôts, et que l'ARC a le mandat d'enquêter sur les fraudes fiscales, vos renseignements pourraient ne pas nécessairement être utilisés aux fins pour lesquelles ils ont été recueillis, mais il pourrait s'agir d'une utilisation légitime de l'information par le gouvernement. Ce n'est qu'un exemple parmi d'autres.

Dans un monde où on a davantage recours à l'analytique prédictive et à l'intelligence artificielle, qu'en est-il du concept de la protection de la vie privée dès la conception?

M. Daniel Therrien:

Dans le domaine fiscal, l'ARC obtient directement du contribuable certains renseignements. Il est possible que l'ARC utilise les médias sociaux et d'autres sources pour obtenir des renseignements et qu'elle recueille toute cette information pour alimenter un système d'intelligence artificielle. C'est quelque chose d'important. L'analytique est une nouvelle réalité et elle a de nombreux avantages.

Cependant, en ce qui concerne les systèmes d'intelligence artificielle, l'information qui alimente ces systèmes doit être fiable et avoir été obtenue légalement, ce qui entraîne certaines conséquences. Si l'ARC recueille des renseignements dans les médias sociaux, et présumons un instant qu'il s'agit d'information réellement publique, cela ne signifie pas que ces renseignements sont fiables.

Pour répondre à votre question, je dirais que, dans le contexte de l'intelligence artificielle, la protection de la vie privée dès la conception vise à faire en sorte que l'intelligence artificielle soit utilisée de façon à ce que l'information qui alimente le système ait premièrement été obtenue légalement, deuxièmement, soit fiable et, troisièmement, n'entraîne pas de discrimination pour des motifs interdits et soit fondée sur des facteurs d'analyse objectifs.

Mme Anita Vandenbeld:

On a aussi proposé, pour de nombreuses utilisations, d'anonymiser les données avant de les examiner. Croyez-vous que c'est faisable?

M. Daniel Therrien:

C'est préférable, mais ce n'est pas toujours possible. Je peux concevoir que l'intelligence artificielle utilise des renseignements personnels, mais il est préférable de commencer avec des renseignements anonymisés.

Mme Anita Vandenbeld:

Je vous remercie.

Le président:

Je vous remercie tous.

Je remercie le commissaire et son personnel d'avoir comparu devant nous aujourd'hui. Vos propos nous éclairent toujours. C'est un sujet qui semble prendre continuellement de l'ampleur. Je vous remercie donc pour votre présence aujourd'hui.

M. Daniel Therrien:

Je vous en prie.

Le président:

Nous allons continuer un peu pour traiter de la motion qui a été présentée avant le témoignage de M. Therrien.

La parole est d'abord à M. Kent, et ensuite, ce sera au tour de M. Angus.

L'hon. Peter Kent:

Je vous remercie, monsieur le président.

Je crois comprendre que les libéraux aimeraient disposer de 48 heures pour examiner la demande, alors, au nom de la collégialité, j'accepte d'accorder 48 heures.

Cependant, j'aimerais présenter une motion visant à faire en sorte que la motion originale d'aujourd'hui figure comme premier point à l'ordre du jour de notre prochaine réunion.

Le président:

Allez-y, monsieur Angus.

M. Charlie Angus:

Je suis absolument outré par la collégialité dont fait preuve mon collègue, alors je vais devoir consulter mon voisin pour décider si nous allons faire de l'obstruction.

(1645)

Le président:

Il me semble que la discussion a été plutôt bruyante durant la réunion, alors, la prochaine fois, je vous demanderais d'être un peu plus calmes. Il semble que nous allons traiter de cela mardi prochain, alors je vous souhaite à tous une bonne fin de semaine.

Oui, monsieur Angus.

M. Charlie Angus:

Il y a une autre chose. Nous étions censés discuter de ma motion aujourd'hui, qui porte sur la planification d'une étude parallèle. Nathaniel souhaite travailler le libellé de ma motion avant la séance publique.

Au nom de la collégialité, comme on a dit, on vous accorde cela une fois pendant les quatre ans et c'est tout, alors profitez-en.

M. Frank Baylis:

Vous pouvez mettre cela sur Twitter.

M. Charlie Angus:

Oui, sur Twitter. Je fais preuve de collégialité aujourd'hui.

Je vais vous proposer une formulation qui, je l'espère, sera acceptable pour tout le monde et que je vais soumettre à Peter.

Je vous remercie.

Le président:

Je vous remercie tous. Bon week-end.

La séance est levée.

Hansard Hansard

committee ethi hansard 21612 words - whole entry and permanent link. Posted at 22:44 on January 31, 2019

2019-01-29 ETHI 132

Standing Committee on Access to Information, Privacy and Ethics

(1535)

[English]

The Chair (Mr. Bob Zimmer (Prince George—Peace River—Northern Rockies, CPC)):

Good day, everybody. Welcome back—it's 2019—to the Standing Committee on Access to Information, Privacy and Ethics, meeting 132.

Before we get to our guests, we have some committee business. We have a couple of things. It's not necessary to go in camera.

Most of us in this room know about the international grand committee and the work we did in London. Charlie, Nathaniel and I went over in late November to join eight other countries to talk about this. Canada is picking up the torch where they left off. We're going to host it in Ottawa on May 28; that's what we're proposing. We looked at a date that would work for everybody, or as much as we could make that work, and May 28 seems to be the date.

I wanted to put that before the committee to make sure that we have your approval to move forward with it. It will be an all-day meeting, similar to what happened in London. It will start in the morning. We'll have meetings all throughout the day. We'll likely end the day at 4:30. Then we'll proceed into other things.

Mr. Raj Saini (Kitchener Centre, Lib.):

What day of the week is that?

The Chair:

It's a Tuesday.

Mr. Raj Saini:

Okay. Good.

The Chair:

I wanted to get some feedback on that. Perhaps you could raise your hand or give me a, “Yes, we're good to go”.

Mr. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Yes, we're good to go.

The Chair:

Nate, you wanted to speak to it. Go ahead.

Mr. Nathaniel Erskine-Smith:

To the extent that you need direction from the committee, I would say that your direction as chair is to act on our behalf to make arrangements as necessary to make this happen in Canada, to invite the parliamentarians and the countries that participated in the U.K., at a bare minimum, and if we want to expand it further, to work to do so.

The Chair:

Perfect.

Is that enough direction?

Mr. Kent.

Hon. Peter Kent (Thornhill, CPC):

Mr. Chair, what are the requirements with regard to the financial support for a meeting like this? Would this have to go to the liaison committee ?

The Chair:

It's a good question. There's a limit of about $40,000, so it's keeping it below that. I don't think that will be a problem.

Mike.

The Clerk of the Committee (Mr. Michael MacPherson):

Basically, this is what we would be looking for. We would be reimbursing witnesses who appeared at committee just as we would for a regular committee meeting. However, members coming from other jurisdictions, let's say from the House of Commons in England or from Australia or wherever, would be paying their own way to come here, just as we paid our own way to go to the first one.

Hon. Peter Kent:

What about for our facility usage?

The Chair:

Go ahead, Mike.

The Clerk:

We'll be fine. We'll have a budget to cover all that.

Hon. Peter Kent:

Good.

The Chair:

We'll be working a lot with Mike and the analysts to make sure it all comes to fruition. We want to make it an event that is really the next step in what we've already done. We look forward to it.

Hon. Peter Kent:

Yes.

The Chair:

Do you have any comments, Mr. Angus?

Mr. Charlie Angus (Timmins—James Bay, NDP):

No. We certainly want to move ahead with this, so I say you have the mandate to take the steps necessary. We can come back and discuss the theme and what it is the international community is going to want to talk about. We can do that at a later date.

Mr. Nathaniel Erskine-Smith:

Perhaps the analysts can mock up a proposal for us. I only would note that Sheryl Sandberg is on an apology tour; so there you have it.

The Chair:

We will keep a list of witnesses and keep you informed about who we're asking to the function. I think that name came up as one that will be on the list.

Do members have anything more to say about the international grand committee? Do we have sufficient direction?

Thank you, everybody. We'll pursue that.

Now we have the notice of motion. We talked a little bit about this.

Mr. Angus, go ahead.

Mr. Charlie Angus:

The subcommittee of the committee did meet to talk about direction in terms of taking us over the final few months. We have our study on digital governance. We have a whole bunch of other pieces that we have talked about that actually would fit under the rights of citizens in the age of big data. It could be ethical issues around AI or it could deal with people's financial information and what's happening. I will bring that forward.

Nathaniel said he wanted to look at some of the language. I don't want to take it up today, but I want to put it on the record that we're looking to do this. Some of the questions that we may be asking Dr. Geist or Ms. Cavoukian today, on the larger question of the rights of citizens in the age of big data, may be germane to that as well as what they may want to speak to on the issues of digital governance. We'll have the two studies going in parallel, so some of the evidence may be more germane to one study than another.

I'll bring that back on Thursday.

(1540)

The Chair:

You'll just withhold it for now?

Mr. Charlie Angus:

Yes.

The Chair:

Thank you, Mr. Angus.

Getting back to the regular agenda, today we welcome two witnesses: as an individual, Dr. Geist, Canada Research Chair in Internet and E-Commerce Law, Faculty of Law, University of Ottawa; and via teleconference, Ann Cavoukian, Privacy by Design Centre of Excellence, Ryerson University.

We'll start off with you, Ms. Cavoukian.

Dr. Ann Cavoukian (Privacy by Design Centre of Excellence, Ryerson University, As an Individual):

Thank you very much.

Good afternoon, ladies and gentlemen. It's a pleasure to be here to speak to you today. I've worked with Michael for many years, so it's wonderful to be here with him to speak on these important issues.

What struck me in what you will be doing—I'm just going to read it out—is that your committee is to “undertake a study of digital government services, to understand how the government can improve services for Canadians while also protecting their privacy and security”.

That is so vitally important. That's how I want to address something which I created years ago and is called privacy by design, which is all about abandoning the zero-sum models of thinking that prevail in our society. Zero-sum just means that you can only have a positive gain in one area, security, always to the detriment of the other area, privacy, so that the two total to a sum of zero.

That either-or, win-lose model is so dated. What I would like you to embrace today is something called positive sum. Positive sum just means that you can have two positive gains in two areas at the same time. It's a win-win proposition.

It was started years ago. I did my Ph.D. at the U of T when the father of game theory, Anatol Rapoport, was there. We used to discuss this. I always remember saying, “Why do people embrace zero-sum?” I am the eternal optimist. I would much rather deliver multiple wins than an either-or compromise. He said, “It's simple, Ann. Zero-sum is the lazy way out, because it's much easier just to deliver one thing and disregard everything else.”

I want you to do more, and I think you want to. You want to deliver privacy and security as well as government improvements that can improve services to Canadians.

My privacy by design framework is predicated on proactively embedding much-needed privacy protective measures into the design of your operations and the design of your policies for whatever new services you want to develop and whatever you want to do in terms of data utility, but we do that along with privacy/security. It's a multiple-win model. It's privacy and data utility services to individuals. You can fill in the blanks, but it's “and” not “versus”. It's not one to the exclusion of the other. But how do you do both?

I know that I only have 10 minutes and I've probably used up five, so I'm going to keep the rest short.

In the privacy world, there's a key concept called data minimization. It's all about de-identifying data so that you can benefit from the value of the data to deliver much-needed services in other areas of interest to Canadians and individuals without forfeiting their privacy. When you de-identify personally identifiable data, both the direct and indirect identifiers, then you free the data, if you will, from the privacy restrictions, because privacy issues arise and end with the identifiability of the data. If the data are no longer personally identifiable, then there may be other issues related to the data, but they're not going to be privacy-related issues.

Data minimization and de-identification will drive this goal of having what I call multiple positive gains at the same time, making it a win-win proposition. I think it will make governments more efficient. You will be able to use the data that you have available and you will always be protecting citizens' personal information at the same time. That's absolutely critical.

I am happy to speak more. I can speak on this issue forever, but I want to be respectful of my time restrictions. I will gladly turn it over to you and answer any questions that you may have.

(1545)

The Chair:

Thank you, Ms. Geist. I'm sorry, Ms. Cavoukian. I'm a little ahead of myself.

Voices: Oh, oh!

The Chair: We will move to Dr. Geist for 10 minutes, please.

Dr. Michael Geist (Canada Research Chair in Internet and E-Commerce Law, Faculty of Law, University of Ottawa, As an Individual):

All right. Great. I don't think my wife is listening in.

Voices: Oh, oh!

Dr. Michael Geist: Good afternoon, everybody. My name is Michael Geist. I'm a law professor at the University of Ottawa, where I hold the Canada research chair in internet and e-commerce law and am a member of the Centre for Law, Technology and Society.

My areas of speciality include digital policy, intellectual property and privacy. I served for many years on the Privacy Commissioner of Canada's external advisory board. I have been privileged to appear many times before committees on privacy issues, including on PIPEDA, Bill S-4, Bill C-13, the Privacy Act and this committee's review of social and media privacy. I'm also chair of Waterfront Toronto's digital strategy advisory panel, which is actively engaged in the smart city process in Toronto involving Sidewalk Labs. As always, I appear in a personal capacity as an independent academic representing only my own views.

This committee's study on government services and privacy provides an exceptional opportunity to tackle many of the challenges surrounding government services, privacy and technology today. Indeed, I believe what makes this issue so compelling is that it represents a confluence of public sector privacy law, private sector privacy law, data governance and emerging technologies. The Sidewalk Labs issue is a case in point. While it's not about federal government services—it's obviously a municipal project—the debates are fundamentally about the role of the private sector in the delivery of government services, the collection of public data and the oversight or engagement of governments at all levels. For example, the applicable law of that project remains still somewhat uncertain. Is it PIPEDA? Is it the provincial privacy law? Is it both? How do we grapple with some of these new challenges when even determining the applicable law is not a straightforward issue?

My core message today is that looking at government services and privacy requires more than just a narrow examination of what the federal government is doing to deliver the services, assessing the privacy implications and then identifying what rules or regulations could be amended or introduced to better facilitate services that both meet the needs of Canadians and provide them with the privacy and security safeguards they rightly expect.

I believe the government services really of tomorrow will engage a far more complex ecosystem that involves not just the conventional questions of the suitability of the Privacy Act in the digital age. Rather, given the overlap between public and private, between federal, provincial and municipal, and between domestic and foreign, we need a more holistic assessment that recognizes that service delivery in the digital age necessarily implicates more than just one law. These services will involve questions about sharing information across government or governments, the location of data storage, transfer of information across borders, and the use of information by governments and the private sector for data analytics, artificial intelligence and other uses.

In other words, we're talking about the Privacy Act, PIPEDA, trade agreements that feature data localization and data transfer rules, the GDPR, international treaties such as the forthcoming work at the WTO on e-commerce, community data trusts, open government policies, Crown copyright, private sector standards and emerging technologies. It's a complex, challenging and exciting space.

I would be happy to touch on many of those issues during questions, but in the interest of time I will do a slightly deeper dive into the Privacy Act. As this committee knows, that is the foundational statute for government collection and use of personal information. Multiple studies and successive federal privacy commissioners have tried to sound the alarm on the legislation that is viewed as outdated and inadequate. Canadians understandably expect that the privacy rules that govern the collection, use and disclosure of their personal information by the federal government will meet the highest standards. For decades we have failed to meet that standard. As pressure mounts for new uses of data collected by the federal government, the necessity of a “fit for purpose” law increases.

I would like to point to three issues in particular with the federal rules governing privacy and their implications. First is the reporting power. The failure to engage in meaningful Privacy Act reform may be attributable in part to the lack of public awareness of the law and its importance. Privacy commissioners played an important role in educating the public about PIPEDA and broader privacy concerns. The Privacy Act desperately needs a similar mandate for public education and research.

Moreover, the notion of limiting reporting to an annual report reflects really a bygone era. In our current 24-hour social media-driven news cycle, restrictions on the ability to disseminate information—real information, particularly that which touches on the privacy of millions of Canadians—can't be permitted to remain outside the public eye until an annual report can be tabled. Where the commissioner deems it in the public interest, the office must surely have the power to disclose in a timely manner.

(1550)



Second is limiting collection. The committee has heard repeatedly that the Privacy Act falls woefully short in meeting the standards of a modern privacy act. Indeed, at a time when government is expected to be the model, it instead requires less of itself than it does of the private sector.

A key reform, in my view, is the limiting collection principle, a hallmark of private sector privacy law. The government should similarly be subject to collecting only that information that is strictly necessary for its programs and activities. This is particularly relevant with respect to emerging technologies and artificial intelligence.

The Office of the Privacy Commissioner of Canada, which I know is coming in later this week, recently reported on the use of data analytics and AI in delivering certain programs. The report cited several examples, including Immigration, Refugees and Citizenship Canada's temporary resident visa predictive analytics pilot project, which uses predictive analytics and automated decision-making as part of the visa approval process; the CBSA's use of advanced analytics in its national targeting program with passenger data involving air travellers arriving in Canada; and the Canada Revenue Agency's increasing use of analytics to sort, categorize and match taxpayer information against perceived indicators of risks of fraud.

These technologies obviously offer great potential, but they also may encourage greater collection, sharing and linkage of data. That requires robust privacy impact assessments and considerations of the privacy cost benefits.

Finally, we have data breaches and transparency. Breach disclosure legislation, as I'm sure you know, has become commonplace in the private sector privacy world and it has long been clear that similar disclosure requirements are needed within the Privacy Act. Despite its importance, it took more than a decade in Canada to pass and implement data breach disclosure rules for the private sector, and as long as that took, we're still waiting for the equivalent at the federal government level.

Again, as this committee knows, data indicate that hundreds of thousands of Canadians have been affected by breaches of their private information. The rate of reporting of those breaches remains low. If the public is to trust the safety and security of their personal information, there is a clear need for mandated breach disclosure rules within government.

Closely related to the issue of data breaches are broader rules and policies around transparency. In a sense, the policy objective is to foster public confidence in the collection, use and disclosure of their information by adopting transparent open approaches with respect to policy safeguards and identifying instances where we fall short.

Where there has been a recent emphasis on private sector transparency reporting, large Internet companies, such as Google and Twitter, have released transparency reports. They've been joined by some of Canada's leading communications companies such as Rogers and Telus. Remarkably, though, there are still some holdouts. For example, Bell, the largest player of all, still does not release a transparency report in 2019.

Those reports, though, still represent just one side of the story. Public awareness of the world of requests and disclosures would be even better informed if governments would also release transparency reports. These need not implicate active investigations, but there's little reason that government not be subject to the same kind of expectations on transparency as the private sector.

Ultimately, we need rules that foster public confidence in government services by ensuring there are adequate safeguards and transparency and reporting mechanisms to give the public the information it needs about the status of their data and appropriate levels of access so the benefits of government services can be maximized.

None of that is new. What may be new is that this needs to happen in an environment of changing technologies, global information flows and an increasingly blurry line between public and private in service delivery.

I look forward to your questions.

The Chair:

Thank you, Dr. Cavoukian and Dr. Geist.

We'll start off with Mr. Saini for seven minutes.

Mr. Raj Saini:

Good afternoon, Ms. Cavoukian and Dr. Geist. It's always a pleasure to have esteemed eminent experts here. I will do my best to keep my questions succinct.

Dr. Geist, in one of the things you brought up, you talked about the different levels of government. I come from a region of the country that has four levels of government: federal, provincial, regional and municipal. In the model we looked at earlier, the Estonian model, they have what they call a once-only principle, where there is one touch and all the information is disseminated, albeit Estonia is a small country and probably has only two levels of government. In some cases, we have three or four.

How do we protect Canadians' privacy? Each level of government has a different function and a different responsibility. Rather than giving all the information once to the federal government, then the provincial government, then the regional government and then the municipal government—and that information, as you know, can be shared, whether it be tax records, health records or criminal records—how can we have a way of protecting Canadians' privacy but also making our government services more efficient?

(1555)

Dr. Michael Geist:

You raise an interesting point. In some ways it highlights—and Ann will recall this and I'm sure may have comments—that when we were setting out to create private sector privacy law in Canada at the federal level, we were in a sense grappling with much the same question: How do we ensure that all Canadians have the same level of privacy laws regardless of where they happen to live and which level of government they're thinking about?

The sad reality is that decades later, the answer is they don't, and they still don't. We can certainly think about whether there are mechanisms we can find through which governments can more actively work together with respect to these issues. I think if we're candid about it, though, the reality is that provinces have taken different approaches with respect to some of these privacy rules, and that's just one other layer of government. Quebec's private sector privacy law predated the federal law. A couple of provinces have tried to establish similar kinds of laws. Other provinces have done it on a more subject-specific basis. The mechanism within PIPEDA that we use for that is to see whether the law is substantially similar, but the practical reality is that there are still many Canadians in many situations who don't, practically speaking, have privacy protections today because they don't have provincial laws that have filled those gaps. That's not even getting into the other layers you've talked about. It's a thorny constitutional issue and it is also one that raises really different questions around some of the substance as well.

Mr. Raj Saini:

Ms. Cavoukian, the next question is for you.

Some of the benchmarks of the Estonian model were that there had to be the once-only principle; they had to have a strong digital identity, but also more importantly, there had to be interoperability between different government departments. The way they structured it was to have not one singular database but different databases that held very specific and particular information that could be accessed. Their infrastructure is called X-Road. Is that a model we should be pursuing?

Also, what is the benefit or disadvantage of having data spread out? There are certain advantages, but there are also certain disadvantages. What would be the advantage or disadvantage of having that data spread out and, more importantly, of making it easier for Canadians to access the information they need?

Dr. Ann Cavoukian:

I think it's an excellent model and it's one you're going to be seeing more of. It's called a model of decentralization, in which all the data isn't housed in one central database that different arms of government can access. The problem with centralization is that it is subject to far greater risk in terms of data breaches, privacy infractions, unauthorized access to the data by curious employees, inside jobs and all of that. All of the data is placed at far greater risk if it's in one central location.

You may recall about six months ago that Tim Berners-Lee, who created the World Wide Web, was aghast and said he was horrified at what he'd created because it is a centralized model that everyone can basically break into more easily and access everyone's data in an unauthorized manner. Centralization also lends itself to surveillance and tracking of citizens' activities and movements. It is fraught with problems from a privacy and security perspective.

In Estonia, the decentralized model is superior, with different pots of information. Each database contains information that can be accessed for a particular purpose. Often that's referred to as the primary purpose of the data collection, and individuals within the government are limited as to the uses of the data. They have to use the data for the intended purposes. The more you have decentralized pots of information the greater the likelihood the data will remain and will be retained for the purposes intended and not used across the board for a variety of purposes that were never contemplated.

You have far greater control and people, citizens, can be assured of a greater level of privacy and security associated with that data. It's a model that is proliferating and you're going to see much more of it in the future. It doesn't mean that other arms of government can't access it. They just can't automatically access it and do whatever they want with it.

(1600)

Mr. Raj Saini:

That's great. Thank you.

I have one final question, Dr. Geist. You mentioned that there will be an interface or nexus between the private sector and the public sector. Obviously the two different sectors are governed by two different privacy regimes. More importantly, when we look at the Estonian model, we look at blockchain technology. It's a technology that's safe and accountable.

If you're going to have two different systems, the public sector and the private sector, the technology has to be equal. As we know, sometimes the private sector technology is greater than the public sector technology. How do we get both to change to make sure there's accountability and that the interface will work efficiently for the citizen?

Dr. Michael Geist:

I see accountability as being a legal principle and not a technological one, and that speaks to the accountability of the information that gets collected.

In terms of ensuring that both public and private are using best of breed security, for example, I think we've seen some of the mechanisms, at least in the public sector where we can try to do that, with the government's efforts to try to embrace different cloud computing services. It's a good illustration of how the government has recognized that cloud may offer certain concerns around where the data is stored and those kinds of localization issues, but it also may offer, depending on the provider, some of the best security mechanisms with regard to where that data's being stored. So how do you get the benefits of that, while at the same time creating some of the safeguards that may be necessary? We've seen some efforts in that regard.

Some of that comes down to identifying different kinds of data or perhaps, especially at the federal government level, different kinds of rules for different kinds of data. I think it does require an openness to blurring those lines sometimes, within the context of recognizing that we still need to ensure that Canadian rules are applicable.

The Chair:

Thank you, Mr. Saini.

Next is Mr. Kent for seven minutes.

Hon. Peter Kent:

Thank you, Mr. Chair.

Thank you both for attending before this committee.

The study of digital government is a huge topic. We began it last year and then back-burnered it, because of the Cambridge Analytica, Facebook and AggregateIQ study.

I was fascinated when I spent some time last year with Prime Minister Juri Ratas of Estonia. He showed me the card, the chip it contains and the fact that it's basically cradle-to-grave data. They've had a couple of breaches and glitches with their chip manufacturer, but it's a fascinating concept.

I'd like to ask both of you this. Whereas the Estonian digital government model is built on a fledgling democracy after the collapse of the Soviet Union, with a still compliant society that accepted the decision of its new government leaders to democratically impose this new digital government on the population, in our context, our wonderful Canadian Confederation has had, through 150 plus years, democratic challenges to government, with skepticism and cynicism in many ways, with regard to significant changes in government and referenda on any number of issues. I'm just wondering, for any government, whether federal, provincial, regional or municipal, in any of the contexts, how practical the pursuit of a single card with a chip à la Estonia is for Canada and Canadians.

Dr. Cavoukian, would you like to go first?

Dr. Ann Cavoukian:

Forgive me; I was shaking my head. Estonia is highly respected, no question. I personally would not want to go with one card with one chip that contained all your data. That's a centralized model that is just going to be so problematic, in my view, not only now but especially in the future.

There are so many developments. You may have heard of what's happening in Australia. They've just passed a law that allows the government there to have a back door into encrypted communications. Why do you encrypt communications? You want them to be secure and untouched by the government or by third parties, unauthorized parties. Australia has passed a law that allows it to gain back-door access into your encrypted communications and you won't know about it. No one can tell you about it. It is appalling to me.

Personally, I am not in favour of one identity card, one chip, one anything.

Having said that, I think we have to go beyond the existing laws to protect our data and find new models, and I say this with great respect. I was privacy commissioner of Ontario for three terms, 17 years. Of course we had many laws here and I was very respectful of them, but they were never enough. It's too little too late. Laws always seem to lag behind emerging technologies and developments. That's why I developed privacy by design. I wanted a proactive means of preventing the harms from arising, much like a medical model of prevention. Privacy by design was unanimously passed as an international standard in 2010. It has been translated into 40 languages and it has just been included in the latest law that came into effect last year in the European Union called the General Data Protection Regulation. It has privacy by design in it.

The reason I'm pointing to this is that there are things we can do to protect data, to ensure access to the data, digital access by governments when needed, but not across the board, and not create a model of surveillance in which it's all in one place, an identity card, that can be accessed by the government or by law enforcement.

You might say that the police won't access it unless they have a warrant. Regrettably, to that I have to say nonsense. That's not true. We have examples of how the RCMP, for example, has created what are called Stingrays. These impersonate cellphone towers so they can access the cellphone communications of everyone in a given area when they're looking for the bad guy. Of course, if they have a warrant, I'd say to them, “Be my guest, by all means. Go search for him.” Did they have a warrant? No. They did this without anyone knowing, but CBC outed them, and they finally had to come clean that they were doing this.

With the greatest of respect and not to say anything negative about Estonia, that's not the direction I would want us to take here, one of greater centralization. I would avoid that.

(1605)

Hon. Peter Kent:

Thank you.

Dr. Geist.

Dr. Michael Geist:

Ann has raised a number of really important issues, especially around that issue of centralization.

I couldn't help, as you were talking about that, thinking about the experience so far on the digital strategy advisory panel for Waterfront Toronto, which I must admit has been more than I bargained for. As chair of that panel for the past year—

Hon. Peter Kent:

I'm sure we'll get to that.

Dr. Michael Geist:

I have to say when you take a look at that, that isn't a single identity card. That is taking a relatively small piece of land and wanting to embed some of the kinds of technologies, emerging technologies, that allow for smart government. Both the controversy that has arisen in association with it, and even more, just the kind of public discussion around what we're comfortable with, which vendors we're comfortable with and what role we want government to play in all of this highlight some of the real challenges. That's in a sense a small pilot project for some of the smart city technologies. Talking about a single card for all data to me is a force multiplier behind that which raises a whole series of issues in our environment.

Hon. Peter Kent:

I'm sure in the two hours the committee will get back to the larger digital government question, but to come back to Sidewalk Labs, there's a bit of a David and Goliath situation in Sidewalk Labs, given the way Alphabet, the parent company to Google, has been dictating its dealings with the city and the other potential partners. Dr. Cavoukian's departure would speak to that, I would think.

Dr. Michael Geist:

Sure, she departed from her position as an adviser to Sidewalk Labs. My role has been on the advisory panel to Waterfront Toronto, and I still feel that it's early days in terms of trying to identify precisely what the final development project looks like and whether it gets approved. That's really what this advisory panel is all about: trying to better understand what kinds of technology are being proposed, what sort of data governance we have around the intellectual property and privacy, and ensuring that the terms are not dictated but rather better reflect what the community is thinking about.

(1610)

The Chair:

Thank you, Mr. Kent.

Next up is Mr. Angus for seven minutes.

Mr. Charlie Angus:

Thank you, Mr. Chair.

I would certainly like to begin with a discussion of Sidewalk Labs, because it's a very interesting proposal and it's certainly been fraught with a number of questions.

Dr. Cavoukian, your decision to step down from Sidewalk Labs raised a lot of eyebrows and a lot of questions. Can you explain why you felt that you no longer wanted to be part of this project?

Dr. Ann Cavoukian:

I didn't resign lightly. I want to assure you of that.

Sidewalk Labs retained me as a consultant to embed privacy by design—my baby, which I've been talking to you about—into the smart city they envisioned. I said, “I'd be very pleased to do that, but know that I could be a thorn in your side, because that will be the highest level of privacy, and in order to have privacy in a smart city...”. In a smart city, you're going to have technologies on 24-7, with sensors and everything always on. There's no opportunity for citizens to consent to the collection of their data or not. It's always on.

I said that in that model we must de-identify data at source, always, meaning that when the sensor collects your data—your car, yourself, whatever—you remove all personal identifiers, both direct and indirect, from the data. That way, you free the data from privacy considerations. You still have to decide who's going to do what with the data. There are a lot of issues, but they're not going to be privacy-related issues.

I didn't have any push-back from them, believe it or not. I didn't. They agreed to those terms. I said that to them right at the initial hiring.

What happened was that they were criticized by a number of parties in terms of the data governance and who was going to control the uses of the data, the massive amounts of data. Who will exercise control? It shouldn't just be Sidewalk Labs.

They responded to that by saying they were going to create something called a civic data trust, which would consist of themselves and members of various governments—municipal, provincial, etc.—and various IP companies were going to be involved in the creation of it. But they said, “We can't guarantee that they're all going to de-identify data at source. We'll encourage them to do that, but we can't give any assurance of that.”

When I heard that, I knew I had to step down. This was done at a board meeting in the fall. I can't remember when. Michael will remember. The next morning, right after the meeting, I issued my resignation, and the reason was this: The minute you leave this as a matter of choice on the part of companies, it's not going to happen. Someone will say, “No, we're not going to de-identify the data at source.”

Personally identifiable data has enormous value. That's the treasure trove. Everybody wants it in an identifiable form. You basically have to say what I said to Waterfront Toronto afterwards. They called me, of course, right after my resignation, and I said to them, “You have to lay down the law. If there is a civic data trust, or whoever is involved in this, I don't care, but you have to tell them that they must de-identify data at source, full stop. Those are the terms of the agreement.” I didn't get any push-back from Waterfront Toronto.

That's why I left Sidewalk Labs. I'm now working for Waterfront Toronto to move this forward, because they agree with me that we need to de-identify data at source and protect privacy. You see, I wanted us to have a smart city of privacy, not a smart city of surveillance. I'm on the international council of smart cities—smart cities all around the world—and virtually all of them are smart cities of surveillance. Think of Dubai, Shanghai and other jurisdictions. There is no privacy in them. I wanted us to step up and show that you can create a smart city of privacy. I still believe we can do that.

Mr. Charlie Angus:

Thank you. I want to step in here.

One of the concerns I've been hearing from citizens in Toronto is about the need not just for privacy by design but democratic engagement by design; if this is a city, they're citizens' public spaces. We have a problem. We have a provincial government that is at war with the City of Toronto and has trashed a number of councillors, so there's a democratic deficit. We see Waterfront Toronto in an in-between place with a province that may be against it. We see the federal government continually dealing with this through Google lobbyists, so there are a lot of backroom dealings.

Where is the role for citizens to have engagement? If we're going to move forward, we need to have democratic voices to identify what is public, what is private, what should be protected and what is open. In terms of the other big players, we're dealing with the largest data machine company in the universe, which makes its money collecting people's data, and they're the ones who are designing all of this.

I'd like to ask you that, Dr. Cavoukian—I don't have much time, maybe one minute—and then Dr. Geist. Then maybe we'll get another round on this.

(1615)

Dr. Ann Cavoukian:

I want to make sure I leave time for Michael.

We need enormous transparency on exactly who's doing what and how this information is being disseminated in terms of the data and the decisions being made on the part of the various levels of government you talked about that always seem to be at each other. I'm not here to defend government, because there has to be a way that there can be an interplay in which citizens are allowed to participate and have an understanding of what the heck is going on. That is absolutely essential. I'm not suggesting that's not important; I just think we should be focusing on the privacy issues to at least make sure that privacy is addressed.

Mr. Charlie Angus:

Dr. Geist, what are your thoughts?

Dr. Michael Geist:

I could really just comment on the role that my panel has been playing. All our meetings are open. The materials are made publicly available. In fact, we've learned about some of Sidewalk's plans from a technological perspective. They have come via the panel as they present to us. Anyone can attend those meetings. Those meetings are actively recorded. In fact, someone shows up to each meeting and records it themselves and then posts it to YouTube. There have been additional meetings. We have a meeting at MaRS next month that deals specifically with civic trusts.

This notion that there aren't avenues or there isn't public discussion taking place, I must admit with respect, is at odds with my experience in the year or so to date that I've been there, where literally anyone in Toronto can come out to any meeting they want.

Mr. Charlie Angus:

Dr. Geist, with respect—and I've had this from Google—they tell me that people are frustrated because Google wants to talk about how much wood is being used in the building. Come on. Eric Schmidt cares about wood products in Toronto? They're talking about data. That's what people tell me. They come out of this and they're not getting answers.

Dr. Michael Geist:

That's precisely what we talk about at our committee. We spend our time talking about data governance issues, privacy issues, IP issues. In fact, we try to identify what the technologies are that they say they're going to put into place and what the implications are for IP, for privacy, for data governance. For example, the proposal for a civic trust came first to our panel.

As I say, could more be done? I'm sure it could, but I can say from my own perspective, from where I sit, that I see the media coming. I see citizens showing up. I see blog posts and otherwise coming out of that. All of this is taking place completely in the open.

The Chair:

Thank you, Mr. Angus.

Next up is Mr. Erskine-Smith for seven minutes.

Mr. Nathaniel Erskine-Smith:

Thank you very much.

Thank you both for attending.

To begin I want to clarify a bit of a misconception in some of the questions from Mr. Kent with respect to the e-ID in Estonia. It is not a mini computer that centralizes all personal information. In fact, the very foundation of the Estonian digital government is decentralization. The digital ID is an identity card that allows them to access the system, but it's not storing mountains of personal information.

What I really want to get at, and I think the usefulness of this study, is to ask how we can apply the idea of privacy by design to digital government so that we can actually improve services for Canadians.

At the outset I would note that according to Estonia's public information, nearly 5,000 separate e-services enable people to run their daily errands without having to get off their computer at home. As a Canadian who wants better service out of his government, I want that. How do we alleviate privacy concerns from the get-go so we get better service?

If we look at the Estonian model, we have a digital ID. We have a separation of information between departments using X-Road and blockchain technology. Then we have transparency in the sense that when a government employee accesses my information, I can see who did it and it's time-stamped as to when they did it. If you add those layers of detail into a digital government system, is that sufficient to address privacy concerns? Are there other things we should be doing if we're looking to digital government?

I'll start with Dr. Cavoukian and then Dr. Geist.

Dr. Ann Cavoukian:

You have a number of elements that are very positive in what you've described in terms of the transparency associated with each service that's provided and the ease of access to this online by citizens.

I want to make one comment about blockchain. Let us not assume that blockchain is this great anonymous technology. It's not. It has benefits, but it also may have negatives. It's also been hacked. I'm going to read one very short sentence that came out from a text on the GDPR. GDPR is this new law that came into effect in the European Union. They said, “Especially with blockchain, there is no alternative to implementing privacy by design from the start, as the usual add-on privacy and enhancements simply will not satisfy the requirements of the GDPR.” GDPR has raised the bar on privacy dramatically. They're saying, “Sure, use blockchain, but don't do it without privacy by design because you have to make sure privacy is embedded into the blockchain.” There are some companies, like Enigma, that do it beautifully. They have an additional privacy layer.

I just want us to be careful not to embrace blockchain and other technologies without really looking under the hood and seeing what's happening in terms of privacy.

(1620)

Mr. Nathaniel Erskine-Smith:

My understanding is that in Estonia they were using this technology before it was called blockchain, but it was in 2002 that they implemented a system. The idea is that when they use blockchain as a technology, it's actually when information is being transferred as between departments on a back end. As a citizen, I log on and it's one portal for me, but on the back end, my information is housed in a number of different departments. If they want to share information, those pathways are only open by way of blockchain to ensure that it's private. If I'm at the CBSA, I can't see information that is at employment services...but duly noted on the blockchain concern.

With respect to, I guess, my fundamental question.... I have more specific questions, but this is the broad question. If we build in a digital ID, if we build in anonymization as between departments when they're sharing information and I can log on it and have user control of my information, if those are the three fundamental building blocks of this, am I missing something? Am I missing something else?

Dr. Ann Cavoukian:

It sounds very positive. You're going to have security embedded in [Technical difficulty—Editor]

Mr. Nathaniel Erskine-Smith:

The digital ID is itself an encryption device, exactly.

Dr. Ann Cavoukian:

Yes.

Mr. Nathaniel Erskine-Smith:

As I understand it, in Estonia it's itself a microprocessor and it's an encryption device, so it verifies my identity.

By the way, on Estonia, the biggest sales pitch—and I know Mr. Kent might have been worried about it—when they came to our committee was that they said there's been no identity theft since they implemented this system—no identity theft. Why? Because if they lose the digital ID, the certificate can easily be revoked, so nobody can use that digital ID to access services in faking to be someone else.

If those are the three building blocks, and if you don't have a clear answer to any...and you say those all sound positive, the overarching question is, are there other layers we should be building in to make sure we have privacy by design built into digital government services, as Estonia does it? Is Estonia missing something or should we do what Estonia does?

Dr. Ann Cavoukian:

Estonia is very, very positive—

Mr. Nathaniel Erskine-Smith:

The—

Dr. Michael Geist:

If I could respond, I'm not going to speak specifically to Estonia, but I will say that there are two elements to it. When you're a hammer, everything looks like a nail, and when you're a law professor, everything looks like a legal issue. In terms of describing largely technological standards and saying that's how we're going to effectively preserve.... I understand why that has a great deal of appeal, but my view would be that you need a commensurate law in place as well.

The other thing is that one of my other issues that I focus on is access, of course, so what else do you need? You need to ensure that all Canadians have access to the network if we're going to be able to embrace these kinds of services. We still find ourselves with too many Canadians who do not have affordable Internet access. We need to recognize that part of any conversation about asking how we can provide these kinds of services to Canadians must include how we ensure that all Canadians have affordable access.

Mr. Nathaniel Erskine-Smith:

I appreciate those comments.

Because I'm running out of time, the last question I have is about data minimization. On the one hand, Estonia I think generally adopts this rule, but when we look at government services, we might say in the same way companies do that more data is better to deliver better services for consumers. As a government, we say that more data in certain instances is better. I want to use one example.

Very few Canadians take up the Canada learning bond. Everyone is eligible for the Canada child benefit because it's automatic, provided they file their taxes. Now, if we know who all the individuals are who have received the Canada child benefit, we also know that they're eligible for the Canada learning bond. By using that kind of information to proactively reach out to citizens to say, “Hey, by the way, there's free money here for your kid's education that you are eligible for, so please apply if you haven't applied”, we are having to use their information, ideally to improve services. Are there risks here that I should be worried about?

(1625)

Dr. Ann Cavoukian:

I don't think more data is better at all.

The example you give is a very worthwhile one. You want to reach out to people, but there are so many risks in using data for purposes never intended. Theoretically, we give data to the government for a particular purpose. We pay our taxes or we do whatever. That's the intent. It's the primary purpose of the data collection. The intention is that you're supposed to use that data for that purpose and limit your use of data to that unless you have the additional consent of the data subject, the citizen.

The minute you start deviating for what you might think is the greater good, and that it's better for them if you have access to all their data and can send them additional services or information.... They may not want you to do that. They may not want.... Privacy is all about control: personal control relating to the uses of your information. The minute you start stretching that out because you think—I don't mean you personally—the government knows better, that's going to take you down the path of surveillance and tracking, which is the completely wrong way to go. I say that with great respect, because I know you mean well here, but I would not go.... Plus, when you have data at rest, massive amounts of data at rest, it's a treasure trove.

The Chair:

Thank you, Dr. Cavoukian—

Dr. Ann Cavoukian:

It's a treasure trove for hackers. People are going to hack into that data. It's just going to be a magnet for the bad guys.

The Chair:

Thank you.

We have votes coming up at 5:30 p.m., and we have a bit of committee business that I have to take in camera for about five minutes, so I would look to be done at about 4:50 p.m., if that's possible.

We'll go to Mr. Gourde for five minutes. [Translation]

Mr. Jacques Gourde (Lévis—Lotbinière, CPC):

Thank you, Mr. Chair.

Thank you to the witnesses for being here today.

My question is very simple: can the Estonian model be applied in Canada, given our challenges, the various levels of governance and of access to the Internet on such a vast territory?

There are regions of Canada that are not connected. If we choose this, we will have to provide Canadians with two levels of service, to take those who have no access into account. Is it really worth it?

Ms. Cavoukian, you may answer first. [English]

Dr. Ann Cavoukian:

Improving service levels to citizens is, of course, extremely important and not everyone, as [Technical difficulty—Editor], has equal access to the Internet and different levels of technology. I think improving services to individuals, to citizens, is a very valid pursuit. It's the means by which you do it. This is always the question mark that arises. How do you reach out to individuals and direct more services in their direction without invading their privacy, without looking into what additional needs they may have? If they provide you with that information, then by all means, that's wonderful. That's positive consent. You can then direct additional services to them. But I don't want the government fishing into the data they already have about citizens to find out if some additional services might be of value to them.

I think you need to ask citizens if they would like to pursue these additional services, and then by all means direct them to work with you, etc. I don't think we should do it by means of digging into drifting databases of information on our citizens.

Dr. Michael Geist:

I'm glad you raised again the issue of access. As I've been writing for some time, I've long believed that one of the real reasons that governments.... This is not a partisan issue at all. We've had successive governments struggle with this issue. One of the reasons that there's a need to make real investments in ensuring universal, affordable access is that the cost savings in being able to shift to more and more e-services from a government perspective, I believe, depends upon ensuring that you have universal, affordable access.

Until you reach that point, I think you're quite right that you basically have to run parallel service sets to ensure that everybody does have access. You can't have certain kinds of government services that some people are effectively excluded from being able to access because they don't have access to the network. It makes sense to invest where the private sector has been unwilling to do so, and for a myriad of reasons. One of them is that there is a payoff from a government perspective, because I think it better facilitates the shift to some of those more efficient electronic services.

We are clearly not there yet. Studies repeatedly have found that we do not have universal, affordable access on the broadband side, and on the wireless side we continue to pay some of the highest wireless fees in the world. That tells us that we continue to have a significant policy problem when it comes to affordable communications in Canada.

(1630)

[Translation]

Mr. Jacques Gourde:

My last question is also quite simple.

Do we have the required level of programming expertise in Canada? I believe the industry is experiencing a crisis, a shortage of programmers. We have to look outside Canada. It seems that finding very competent people is quite complicated. The new generation does not seem to like this kind of work.

Would it be difficult to implement such services for and by Canadians? [English]

Dr. Michael Geist:

Well, speaking as a proud father of two kids who are doing engineering at the University of Waterloo, I'm not so sure that's true. I think we do see a lot of people increasingly move in that direction. When I take a look at my own campus at the University of Ottawa, and frankly at campuses across the country, there is an enormous interest in the STEM fields and the like. If there is a shortage of that expertise, I think it only serves to highlight just how in demand these skills are. It's not that we don't have people developing and moving into that area. I think we unquestionably do.

Dr. Ann Cavoukian:

I agree with Michael. I think we have very strong resources here in Canada. Perhaps they will be insufficient in the future, but certainly in terms of the younger generation, I mentor a lot of students and I always tell them, “Make sure you learn how to code.” You don't have to become a coder, but learn how the technology works. Learn how you can use various coding techniques to advance your interests in completely different areas, etc. The fundamentals are associated with understanding some of the emerging technology. I think that's pretty widely accepted now.

The Chair:

Thank you, Monsieur Gourde.

Next up is Mr. Baylis for five minutes.

Mr. Frank Baylis (Pierrefonds—Dollard, Lib.):

Thank you, Chair.

I'd like first of all to follow up on a bit of clarification that Nate did with respect to what Peter was asking in regard to Estonia. I think that's the foundation. If we're going to go to a digital government, we need a digital identity.

Are you in agreement with that, Ms. Cavoukian, or do you have a concern with starting off with a digital identity?

Dr. Ann Cavoukian:

Forgive me, but I'm going to say it depends, because it depends on how it's constructed.

A digital identity, if it's strongly protected and is unique and encrypted and has very restrained access, may facilitate greater access to services, etc., but identity theft is huge. It's the fastest-growing form of consumer fraud ever. If you have a digital identity, that can also be subject—

Mr. Frank Baylis:

Yes, but the new digital identities have biometrics. In the end, you can never stop a thief, but for someone finding my number, my SIN, say, versus finding that I have a properly encrypted digital identity that has biometrics and my eye scan and all of this, the likelihood of them stealing that is an order of magnitude less than what they can do today. I would say that —

Dr. Ann Cavoukian:

As long as the biometric is a strong biometric or uses biometric encryption, which encrypts the data automatically in a way that only the individual with their own biometric can decrypt it.... Unfortunately, there's a lot of association of biometrics with risk, so it's not a slam dunk that your biometrics are linked to your digital identity. You have to use biometric encryption and you have to ensure that it's properly kept. It's not that I'm disagreeing with you, sir. I'm just saying that the devil is all in the detail, and that's what we have to answer here.

Mr. Frank Baylis:

I understand.

Would you like to weigh in on that, Dr. Geist?

Dr. Michael Geist:

Yes. I guess I would use the opportunity to again reiterate that for me the policy frameworks around the technology are in some instances just as important as the technology itself. Even in the way you phrased your question, you made a compelling case for why those technologies—

Mr. Frank Baylis:

Let's assume that we're going to use the latest technology. The latest technology has all these things built into it—

Dr. Michael Geist:

Precisely.

Mr. Frank Baylis:

—versus, say, my social insurance number. If I give it to you today, it's done.

Dr. Michael Geist:

I get that, so that notion of using best of breed technology makes a whole lot of sense, but there is still a full policy layer that comes around that. I think there certainly will be many who will voice some amount of concern given that our previous experience is that sometimes there are assurances that we are going to use certain kinds of encryption or other sorts of technologies, so “don't you worry, there will be no access”. Until you come across a particular use case where you say it would be really great if law enforcement had access just under this circumstance or under that circumstance—

(1635)

Mr. Frank Baylis:

I think I understand. We're skating a little further ahead.

Let's say we start today. Estonia's benefit is that they were a new country and they were starting fresh, so they wouldn't have to convert. They're a small country with a small number of people, relatively speaking. Let's say we start today. It seems to me that the first step we have to do.... I agree with Ms. Cavoukian that we can keep the silos, and I agree that it's the safer approach. What Estonia does is they have a backbone so you can come in and go here or you can come in and go there, but it's not all one big database.

I also believe it will be a lot easier to build out from our existing silos, as opposed to trying to do it.... I'm in agreement with that, but it seems to me that if we're going to do it, we have to start off with a digital link, okay? Let's say I'm Frank Baylis and I just showed up on the system. “Okay,” it says, “prove to me you're Frank Baylis.” Right now, it says to type in my SIN, that number, and that's pretty easy to rip off, right? Whereas if it says, “Let's get a scan of your eyes” or “Let's get some biometrics” and some questions asked and all of that, it seems to me that, to your point, you could have privacy and security.

I think that was the first statement you made, Ms. Cavoukian. Can we not start there and have an agreement on that before we get into all the other stuff?

I'll pass it back. I cut you off. I'm sorry.

Dr. Michael Geist:

At the risk of saying that this is a chicken or egg kind of issue, I'm not comfortable giving you my biometric information unless we have a legal and privacy framework established in Canada that meets current privacy standards.

Mr. Frank Baylis:

Okay, so you're saying that before we get there, before we start down that path, we better be darn sure that the privacy is just locked hard.

Dr. Michael Geist:

It's not just a matter of locked hard. We have a decades-old set of rules that effectively apply to that system.

Mr. Frank Baylis:

It doesn't work.

Dr. Michael Geist:

I don't think you can make an argument to say we're as modern and as digital as can be while using 1980s laws that provide the safeguards around the system that you've just created.

Mr. Frank Baylis:

Do you want to weigh in, or am I out of time?

The Chair:

If she can answer in 20 seconds that would be great.

Dr. Ann Cavoukian:

I just want to say, Mr. Baylis, that I agree with you. We have to explore these new technologies. There's no question. We just have to ensure that in addition to what Michael said, we have to update our laws. They're so dated. We have to ensure the technology is such that we can truly safeguard the information and it won't be accessed by others.

I gave the example of biometric encryption. There's now a lot of concern about facial recognition technologies that are happening everywhere, obtaining your facial recognition, and using it for purposes never intended. I'm working with an amazing company out of Israel, an Israeli company called D-ID, which can actually obscure the personal identifier so it's not picked up by facial recognition.

There are a number of complexities. I'm sure we could address them as long as we address them up front, proactively, to prevent the harms from arising.

The Chair:

Thank you, Mr. Baylis.

Next up, for another five minutes, is Mr. Kent.

Hon. Peter Kent:

Thank you very much, Chair.

This is a very interesting conversation. I apologize that votes are going to cut it short. You may anticipate being recalled, both of you, in the days and months ahead.

This committee has recommended to government in a couple of reports now that the General Data Protection Regulation be examined and that Canadian privacy regulations across the board and the Privacy Commissioner's powers be greatly strengthened and contemporized.

I wonder, just in the final few minutes we have, if you could offer cautions. I'm hearing signals from the government side that digital government is coming down the track: Stand back; it's about to be presented in some form or another. I wonder if you could both offer cautions to the government before they get too far down this track.

Dr. Cavoukian.

Dr. Ann Cavoukian:

I totally support Commissioner Daniel Therrien's call to the federal government to upgrade the PIPEDA, for example, which dates from the early 2000s. He also said we need to add privacy by design to the new law because, after all, they have embedded it in the GDPR. We need new tools. We need to be proactive. We need to identify the risks and address them up front. We can do this.

Upgrading the laws is absolutely essential. Giving the commissioner the much-needed authority that he needs but now lacks is essential. I can say, having been a privacy commissioner for three terms, that I had order-making power. I rarely used it, but that was the stick that enabled me to engage in informal resolution with organizations, government departments that were in breach of the privacy law. It was a much better way to work.

I had the stick. If I had to issue an order, I could do that. That's what Commissioner Therrien lacks. We have to give him that additional authority and embed privacy by design into the new law so we can have additional measures available to the government to proactively address a prevention model, much like a medical model of prevention. It would be much easier if we had that. Then far less would go to the already extended Privacy Commissioner to be addressed.

Thank you.

(1640)

Hon. Peter Kent:

Dr. Geist.

Dr. Michael Geist:

I would like to start by commending this committee for the reports it has put out over the last year or so, which I think have been really, really strong and have helped fuel a lot of the public discussion in this area. I think it's been really valuable.

I would say that I don't know what the government is thinking on this. I do know that they have held a consultation on a national data strategy. I guess in some ways I'm waiting to see what comes out of that. To me a national data strategy, to harken back to my comments off the top, really, if they take a holistic approach that recognizes that part of what you're dealing with in that context, includes data governance-related issues, PIPEDA-related issues, private sector-, public sector-, and Privacy Act-related issues including some of the enforcement types of issues that have been raised repeatedly by the Privacy Commissioner. That tells me there's a recognition that it's critically important to get that piece right for any number of reasons, including the prospect of trying to embrace some of the e-services that the government might want to move toward.

Hon. Peter Kent:

How critical is consent in that process?

Dr. Michael Geist:

Consent has long been viewed as a bedrock principle. I think one of the reasons we really struggle with some of these issues comes back to Mr. Erskine-Smith's question about why we can't find a way to inform someone and I think try to do good with that prospect. Part of the problem is that in theory we might ask if we can find a mechanism for our citizens to provide consent to allow the service provider, in this case the government, to inform them about the services they're eligible for. I would say that our standards of consent have become so polluted by the low standards found in PIPEDA, which I think have been widely abused, that few people actually trust what consent means at this stage.

One of the things I think we have to seize back is to try to find mechanisms to ensure that meaningful consent is truly meaningful, informed consent. We have strayed badly in that regard. It's possible that the GDPR will be part of the impetus for trying to do that.

The Chair:

You have 30 seconds, Mr. Kent.

Hon. Peter Kent:

Dr. Cavoukian.

Dr. Ann Cavoukian:

I couldn't agree more with Michael. He's absolutely right that the notion of consent is almost non-existent the way it's been whittled down.

You see, consent is essential to control. Privacy is all about personal control over the uses of your data. If you're not consenting to it in a positive way, with positive, affirmative consent, you don't know what's happening with your data. As for expecting people to search through all the legalese in the terms of service and the privacy policy to find the opt-out clause to say no to additional uses of these data and negative consent, life is too short. No one does that, but it's not because they don't care deeply about privacy.

In the last two years, all of the public opinion poll surveys from Pew Internet research have come in at the 90th percentile for concerns about privacy. I've been in this business for well over 20 years, and that's the first time I've seen such high levels of concern, with 91% very concerned about their privacy and 92% concerned about the loss of control over their data.

Positive consent, strong consent, is essential.

The Chair:

Thank you, Dr. Cavoukian.

Next up is Mr. de Burgh Graham for five minutes.

Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):

Thank you.

Anita had a very quick question to start. I'll then take it from there.

Ms. Anita Vandenbeld (Ottawa West—Nepean, Lib.):

Thank you.

I'm sharing my time, so I would be grateful if the answers could be short.

I want to express my pleasure that we once again have expertise on the panel from the University of Ottawa, which is right here in Ottawa. It's good to see Dr. Geist here.

Dr. Geist, you spoke about the predictive analytics that are already being used by government. There's the example of the CRA fraud and being able to predict. If we were to go to data minimization and to only using data for the purposes for which it was collected, would that preclude the ability of government to use this kind of predictive analysis or AI?

(1645)

Dr. Michael Geist:

Not necessarily; I'll start by saying that. Think back to the controversy we saw last year with respect to StatsCan and the banking data. I thought one of the real weaknesses with respect to StatsCan was that they had never made enough of a compelling case that they couldn't achieve what their end goals were by collecting less than massive amounts of banking data from Canadians. Similarly, with respect to your question, I suppose it depends. If there is a compelling case that the existing data doesn't provide a sufficient level of information to be as effective as having more data would be, then it becomes part of that cost-benefit analysis. Maybe in some instances it does make sense to collect more, but I think it's incumbent on you to do part of that analysis before you simply collect and say, “Hey, the more data we have, the better this will be.”

Ms. Anita Vandenbeld:

Thank you.

Mr. David de Burgh Graham:

Dr. Geist, I first of all want to thank you for your point on Internet access. As I've said in many fora on many occasions, less than half my riding currently has 10 megabits or better. A good deal have satellite or even dial-up to this day in my riding. We're pretty tired of being left behind on this kind of file, so thank you for making that point.

How do we predict, define and declare what data is necessary and what is not necessary on the collection side? We say we only collect necessary data. How do we define that?

Dr. Ann Cavoukian:

May I speak?

Mr. David de Burgh Graham:

Whoever would like to.

Dr. Ann Cavoukian:

The whole point is that when you're collecting data from members of the public, they don't give you their personal data to do whatever the heck you want with it. They give it to you for a particular purpose. They have to pay their taxes. They're required to do that. They realize that. They're law-abiding citizens. They give you the information necessary, but that doesn't mean that you, as the government, can do whatever the heck you want with it. They give it to you for a particular purpose. It's called purpose specification. It's use limitation. You are required to limit your use of the information to the purpose identified. That's fundamental to privacy and data protection. Personally identifiable data, which has sensitivity associated with it, must be used for the purposes intended.

Michael mentioned the Stats Canada debacle when they wanted to collect everyone's financial data from the banks. Are you kidding me? I'm sure you know how much outrage that created. They wanted to collect this from 500,000 households. Multiply that times four. It's completely unacceptable.

You have to be very clear what you want to do with the data and obtain consent for that legitimate purpose.

Mr. David de Burgh Graham:

I think that's my point.

I want to hark back to something that happened in the U.S. recently.

The EFF, the Electronic Frontier Foundation, recently found that the ALPR systems, automatic licence plate readers, are networked across the United States and are exchanging data on where people have been across the country, which is obviously not the intention of those devices.

Where is the line between voluntary and involuntary collection of data? Should you be informed, for example, if an ALPR picks up your licence plate while you pass it? If that's the case, should you have the right to opt out by locking your licence plate, which we know is not the intent at all of these things and it's illegal in a number of ways? Where are the lines on these things?

I have only about a minute.

Dr. Ann Cavoukian:

Licence plates are not supposed to be used for that purpose. They're not supposed to be used to track you coming and going. That's how surveillance and tracking grow enormously.

I have a quick, funny story. Steve Jobs, who, of course, was the creator of Apple, used to buy a new white Mercedes every six months less a day. Then he would take it in and buy the new model of exactly the same thing. Why? Because at that time in California you didn't have to have a licence plate on your car. You had six months after you bought a new car. He didn't want to be tracked. So six months minus a day, he took it in, bought another one, and that continued.

That's just to give you an example. People do not want to be tracked. That's not the purpose of licence plate numbers. We have to return the uses of personal information to the purposes for which they were intended. That's the goal.

Mr. David de Burgh Graham:

Okay.

If we don't have some degree of centralization and we retain the siloing that we currently have in government, what's the purpose of moving to a smart government in the first place, if we don't add any convenience?

Dr. Ann Cavoukian:

Well, smart government doesn't mean you identify everybody and track what they're doing. With due respect, that's not what smart government means. If that's what it means, then it's no longer free. It's not a free and open society any longer. We have to oppose that. Smart means you can deliver smart services to lots of citizens without invading their privacy. We can do both, but that has to be the goal.

The Chair:

Thank you. That's it.

Next up, for another three minutes, is Mr. Angus.

Before you get going, we do have a bit of time. The bells don't start until 5:15 p.m., and we're going to push that to about the 5:05 p.m. range, so don't feel rushed. I think we have time to get everybody finished.

Go ahead, Mr. Angus.

(1650)

Mr. Charlie Angus:

Thank you.

One of the questions we've raised in opposition over the years is about giving police more tools, because if you give police tools, they use them. My colleague Mr. Erskine-Smith suggests that if we get everybody's data and information, government can help them by sending information to them.

I've been in opposition for 15 years and I've seen government often use those resources to say, “Hey, have we told you about our great climate change plan? Have we told you about the great child tax benefit?” To me, if you had everyone's data, the power you would have to send that out in the months leading up to an election is very disturbing.

I represent a rural region in which a lot of people have real difficulty obtaining the Internet, and yet seniors are told, “We're not taking your paper anymore. You're not filling this out. You're going to have to go online.”

We're forcing citizens to become digital. What protections do we need to have in place to say that citizens are being forced to use digital means to discuss with government, but they don't want to hear back from government, so that we limit the ability of government to use that massive amount of data to promote itself in ways that would certainly be disadvantageous to other political parties?

Dr. Michael Geist:

Maybe I'll start.

You've raised two separate issues. You've raised the issue of people being forced into digital, which we've talked a little bit about already. I think it's striking how this issue gets raised by members on this side and by members on that side, and that has been true for many years. I've been coming to committees and we have talked about this access issue. I must admit that to me it remains a bit of a puzzle how we haven't been able to move forward more effectively in ensuring we close the digital divide—

Mr. Charlie Angus:

It's still there.

Dr. Michael Geist:

—that continues to exist. Part of the solution is to say that everybody does need affordable access. That is the full stop of what we have to do, and we have to make the commitment to make sure that happens.

You've also essentially raised the question of what happens when data gets used for purposes that go well beyond what people would have otherwise expected or anticipated. On the private sector side, we would say that's a privacy violation. You collect the data. You tell me what you're going to use it for, and if you turn around and start using it for other purposes you haven't obtained appropriate consent for, then I, in theory, can try to take action against you or at least file a complaint.

Part of the shortcoming—and this comes back to even the exchange with Mr. Baylis—is that we still don't have good enough laws at the federal level to ensure that data isn't misused in certain ways. We have seen over many years, especially the years with debates around lawful access and the like, very often the notion that if we have the data, surely we need to use it. There is always going to be a reason for that. You need to establish both, I think, the rule sets and the frameworks to ensure there are the appropriate safeguards in place and there's the appropriate oversight on top of that. I think at the end of the day you need to ensure you have governments, just like companies, that recognize that where they become overly aggressive with using data, because they feel they can, they cause enormous harm to that information ecosystem, and ultimately undermine public confidence not only in them but also, I think, in governments more broadly.

Mr. Charlie Angus:

It's also a question of democracy, because even if they say they'll get consent, and 10% of the public decides to opt in, they are still obtaining information—good stuff, and good news stories, potentially—that can sway them democratically.

There is a whole different question that I think we haven't talked about in terms of the need to protect the democratic equality of citizens, both those who choose to opt in and those who choose not to. If they are dealing with government, it's because they have to deal with government and because they have to fix a problem with their SIN card or CRA. That's why they obtain it, not so they're receiving that information.

To me, it's like the consent boxes that we have for private business right now. If government used them, they'd be laughing all the way to the election.

Dr. Michael Geist:

I think you're right. I think consent remains very weak, but let's recognize—and I know this has been discussed before this committee as well—that we still don't have political parties subject to those sorts of privacy rules.

Mr. Charlie Angus:

Do you want to put that on the record?

Voices: Oh, oh!

Dr. Michael Geist:

On the idea that we're going to say this is an issue of democracy, yes, it's an issue of democracy. It's a real problem when our political parties will collect data and aren't subject to the same kinds of privacy standards that they would subject any private company to.

The Chair:

Thank you, Mr. Angus.

We have a couple of questioners left, which will take us to the end of our time.

We have Anita Vandenbeld and Monsieur Picard.

(1655)

Mr. Michel Picard (Montarville, Lib.):

I'll turn to Mona.

The Chair:

Go ahead. [Translation]

Mrs. Mona Fortier (Ottawa—Vanier, Lib.):

Thank you, Mr. Chair.

I have two questions.

We touched on this briefly, but it's important that it be understood. Collecting data and having access to it is viewed in a negative light by part of the Canadian population. It's unfortunate that some of these tools, including some of the work undertaken by Statistics Canada, are used by political parties to frighten Canadians. I'm talking about third parties here.

How can we win the trust of Canadians, so as to be able to put some of these measures into effect, measures that are intended, ultimately, to allow Canadians to access the government and the services it provides? [English]

Dr. Ann Cavoukian:

I just want to say one thing. There are a variety of things, of course, that we can do, but you asked how we can regain the trust of the public in terms of what government is doing. With due respect, there was one thing that took place last year that further eroded that trust. Prime Minister Trudeau was asked by the federal Privacy Commissioner to include political parties under the privacy laws. Mr. Trudeau said no. He basically did not go in that direction.

That was a most disappointing thing. Why wouldn't political parties be subject to privacy laws just like businesses and other government departments are? Unfortunately, there is not a lot that is increasing trust in government. With due respect, I think that was a very negative point. I think these are the things....

Also, Mr. Trudeau defended Stats Canada in their pursuit of very sensitive financial data from the public. There was a huge push-back to that. This has not been really disclosed: the banks offered the chief statistician at Stats Canada.... They said, “Okay, we will de-identify the data and remove all personal identifiers and then we will give you the data. You can have the data you need but it will be privacy protected because we're going to strip the identifiers.” What did Stats Canada say to that? They said, “No, we want the data in identifiable form.” From what I heard confidentially, there were a lot of data linkages that Stats Canada wanted to make with the very sensitive financial data of citizens. That is completely unacceptable.

I just give you that, ma'am, as an example of things that are eroding trust as opposed to increasing trust.

Thank you. [Translation]

Mrs. Mona Fortier:

Mr. Geist, what would you do? [English]

Dr. Michael Geist:

It's hard to follow Ann in this regard. She has pointed to a couple of examples. I'll give you another one, which is very small and is not one that generates headlines.

I've been actively involved in the creation of legislation that created things like the do-not-call list and the anti-spam law. Political parties have consistently exempted themselves in the name of democracy. If you want to talk about how you ensure respect, stop exempting yourselves as political parties from annoying phone calls at dinner and the ability to spam people.

I think that respect starts with respecting the privacy of Canadians. It's fair to say that when presented with the prospect of real restrictions and the ability to use information, the political parties—and I think this needs to be absolutely clear: This has occurred under Conservative governments and under Liberal governments. This is not about this particular government. It is about the history of governments that, I think, have consistently said that when it comes to privacy-related issues, they are much more comfortable setting high standards for everybody other than themselves. We see that in the exemptions. We've seen that in the inability to get the Privacy Act updated in any meaningful way for decades, and we see it with some of the examples that Dr. Cavoukian just raised. [Translation]

Mrs. Mona Fortier:

Thank you.

Mr. Picard, do you want to ask the next question? [English]

The Chair:

Thank you. I think we're done for time.

Thank you very much, Dr. Cavoukian and Dr. Geist, for coming. This subject is a big one. We've stumbled upon this iceberg, as we've mentioned, many times, and it just seems to be growing, but thank you for your time today.

We're going to go in camera to do some committee business for five minutes.

[Proceedings continue in camera]

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique

(1535)

[Traduction]

Le président (M. Bob Zimmer (Prince George—Peace River—Northern Rockies, PCC)):

Bonjour à tous. Nous sommes en 2019, donc je vous souhaite à nouveau la bienvenue au Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique dont c'est la réunion 132 .

Avant de nous tourner vers nos invités, nous avons quelques affaires du Comité à régler. Il n'est pas nécessaire de passer à huis clos.

La plupart d'entre nous connaissent le grand comité international et le travail que nous avons accompli à Londres. Charlie, Nathaniel et moi-même y sommes allés fin novembre pour en discuter avec les représentants de huit autres pays. Le Canada reprend le flambeau. Nous serons l'hôte de cette réunion, le 28 mai, à Ottawa; voilà ce que nous proposons. Nous avons cherché une date qui conviendrait à tout le monde, dans la mesure du possible, et cela semble être le 28 mai.

Je voulais la soumettre au Comité pour m'assurer que vous êtes d'accord avant de passer à la prochaine étape. Il s'agira d'une réunion d'une journée entière, semblable à celle de Londres. Elle commencera le matin. Nous tiendrons des réunions pendant toute la journée. Nous terminerons probablement vers 16 h 30. Ensuite, nous passerons à d'autres activités.

M. Raj Saini (Kitchener-Centre, Lib.):

Cela tombe quel jour de la semaine?

Le président:

Un mardi.

M. Raj Saini:

D'accord. C'est bien.

Le président:

Je voulais avoir de la rétroaction là-dessus. Peut-être que vous pourriez lever la main ou me dire « C'est bon. Nous pouvons procéder ».

M. Nathaniel Erskine-Smith (Beaches—East York, Lib.):

Oui, c'est bon. Nous pouvons procéder.

Le président:

Nate, vous vouliez en parler. Allez-y.

M. Nathaniel Erskine-Smith:

Dans la mesure où vous avez besoin de l'opinion du Comité, je dirais que votre mandat comme président est de décider en notre nom de prendre les arrangements nécessaires pour que la réunion se tienne au Canada, d'inviter les parlementaires et les pays qui ont participé au Royaume-Uni, à tout le moins, et si nous voulons élargir la réunion, de prendre les mesures nécessaires, pour ce faire.

Le président:

Parfait.

Est-ce que cela suffit?

Monsieur Kent.

L'hon. Peter Kent (Thornhill, PCC):

Monsieur le président, quelles sont les exigences concernant le soutien financier dans le cas d'une réunion comme celle-là? Faudrait-il faire appel au comité de liaison?

Le président:

C'est une bonne question. Il y a une limite d'environ 40 000 $, alors il faut rester en deçà de ce montant. Je ne pense pas que cela pose problème.

Mike.

Le greffier du Comité (M. Michael MacPherson):

En gros, c'est ce que nous chercherions à faire. Nous rembourserions les témoins qui ont témoigné devant le Comité comme nous le ferions dans le cadre d'une réunion régulière. Cependant, les députés d'ailleurs, par exemple ceux de la Chambre des communes en Angleterre ou en Australie, paieraient leur propre déplacement pour se rendre ici, comme nous avons assumé les coûts du nôtre lorsque nous avons assisté à la première réunion.

L'hon. Peter Kent:

Qu'en est-il de l'utilisation de nos installations?

Le président:

Allez-y, Mike.

Le greffier:

Nous n'avons pas à nous inquiéter: nous aurons un budget pour tout couvrir.

L'hon. Peter Kent:

C'est bien.

Le président:

Nous allons travailler beaucoup avec Mike et les analystes à nous assurer que tout se réalise. Nous voulons que cet événement soit vraiment la prochaine étape de ce que nous avons déjà accompli. Nous nous réjouissons à cette perspective.

L'hon. Peter Kent:

Oui.

Le président:

Avez-vous des commentaires, monsieur Angus?

M. Charlie Angus (Timmins—Baie James, NPD):

Non. Il est clair que nous voulons que les choses avancent, alors je dis que c'est à vous qu'il revient de prendre les mesures nécessaires. Nous pouvons discuter plus tard du thème et de ce dont la communauté internationale voudra parler. Nous pouvons le faire à une date ultérieure.

M. Nathaniel Erskine-Smith:

Peut-être que les analystes peuvent nous élaborer un modèle de proposition. J'aimerais simplement faire remarquer que Sheryl Sandberg fait une tournée pour s'excuser; alors voilà. Vous savez tout.

Le président:

Nous allons dresser une liste de témoins et vous tenir informés des personnes que nous inviterons à la réunion. Je pense que ce nom fera partie de ceux qui figureront sur la liste.

Les membres ont-ils quelque chose à ajouter concernant le grand comité international? Avons-nous suffisamment d'information pour prendre une décision?

Merci à tous. Nous allons poursuivre dans cette lancée.

Nous avons maintenant l'avis de motion. Nous en avons parlé brièvement.

Monsieur Angus, la parole est à vous.

M. Charlie Angus:

Les membres du sous-comité se sont réunis pour parler de l'orientation à suivre au cours des derniers mois. Nous avons notre étude sur la gouvernance numérique. Nous avons aussi discuté d'un certain nombre d'autres dossiers qui entreraient dans la rubrique des droits des citoyens à l'ère des mégadonnées. Il pourrait s'agir des questions d'éthique concernant l'intelligence artificielle ou des renseignements financiers des gens et ce qui se passe à cet égard. Je vais soulever ces sujets.

Nathaniel a dit qu'il voulait se pencher sur une partie de la terminologie. Je ne veux pas le faire aujourd'hui, mais je veux dire officiellement que nous envisageons de le faire. Une partie des questions que nous pourrions poser à M. Geist ou à Mme Cavoukian aujourd'hui, en ce qui concerne les droits des citoyens à l'ère des mégadonnées en général, pourrait s'y rapporter ainsi que les questions qu'ils pourraient vouloir aborder concernant la gouvernance numérique. Nous mènerons les deux études en parallèle, si bien que certains des témoignages pourraient être plus pertinents dans une étude que dans l'autre.

Je vais y revenir jeudi.

(1540)

Le président:

Vous allez mettre la question en veilleuse pour l'instant?

M. Charlie Angus:

Oui.

Le président:

Merci, monsieur Angus.

Pour en revenir à l'ordre du jour régulier, aujourd'hui nous accueillons deux témoins: M. Geist, titulaire de la Chaire de recherche du Canada en droit d'Internet et du commerce électronique, Faculté de droit, Université d'Ottawa, à titre personnel; et par téléconférence, Ann Cavoukian, Privacy by Design Centre of Excellence, Université Ryerson.

Nous allons commencer par vous, madame Cavoukian.

Mme Ann Cavoukian (Privacy by Design Centre of Excellence, Ryerson University, à titre personnel):

Merci beaucoup.

Bonjour, mesdames et messieurs. Je suis ravie de pouvoir m'adresser à vous aujourd'hui. J'ai travaillé avec Michael pendant de nombreuses années, alors c'est merveilleux d'être ici avec lui pour parler de ces questions importantes.

Ce qui m'a frappée en ce qui concerne vos travaux — je vais simplement le lire à haute voix — est que votre comité doit « entreprendre une étude sur les services gouvernementaux numériques afin de comprendre comment le gouvernement peut améliorer les services offerts aux Canadiens tout en protégeant leur vie privée et leur sécurité ».

C'est d'une importance vitale. C'est ainsi que je veux aborder quelque chose que j'ai créé il y a des années et qu'on appelle la « privacy by design », soit la protection intégrée de la vie privée, qui vise à abandonner les modes de pensée à somme nulle qui dominent notre société. La somme nulle signifie qu'il est uniquement possible de réaliser des gains dans un secteur, la sécurité, mais toujours au détriment de l'autre, la protection de la vie privée, si bien que la somme des deux est nulle.

Ce modèle gagnant-perdant, fondé sur une solution au détriment d'une autre, est dépassé. J'aimerais aujourd'hui que vous adoptiez un modèle de somme positive. Une somme positive signifie simplement qu'on peut réaliser deux gains positifs dans deux secteurs en même temps. C'est une proposition gagnante sur toute la ligne.

Cela a commencé il y a des années. J'ai fait mon doctorat à l'Université de Toronto lorsque le père de la théorie du jeu, Anatol Rapoport, s'y trouvait. Nous avions l'habitude d'en discuter. Je me souviens d'avoir demandé pourquoi les gens optaient pour les sommes nulles. Je suis une éternelle optimiste. Je préfère nettement offrir de multiples solutions gagnantes que des compromis entre deux choses. Il m'a répondu que c'était simple, que les sommes nulles étaient la solution facile, car c'est beaucoup plus facile de donner une seule chose et d'ignorer tout le reste.

Je veux que vous en fassiez davantage et je pense que c'est ce que vous souhaitez. Vous voulez assurer le respect de la vie privée et la sécurité tout en améliorant les services gouvernementaux offerts aux Canadiens.

Mon cadre de protection intégrée de la vie privée est fondé sur l'intégration proactive de mesures de protection de la vie privée très nécessaires à l'élaboration de vos opérations et de vos politiques s'agissant de tous les nouveaux services que vous voulez élaborer ou de tout ce que vous voulez faire en matière d'utilité des données, mais nous le faisons en tenant compte des questions de protection de la vie privée et de sécurité. Il s'agit d'un modèle qui offre de multiples solutions gagnantes. Il fournit des services de protection de la vie privée et d'utilité des données aux particuliers. Vous pouvez remplir l'espace vide, mais il est inclusif et non exclusif. Un n'exclut pas l'autre. Mais comment faire les deux?

Je sais que je n'ai que 10 minutes et que j'en ai probablement déjà utilisé jusqu'à cinq, alors je serai brève pour la suite.

Dans le monde de la protection de la vie privée, il existe un concept clé appelé la minimisation des données, qui consiste à anonymiser les données pour pouvoir en tirer parti afin d'offrir aux Canadiens et aux particuliers des services très nécessaires dans d'autres secteurs d'intérêt sans qu'ils doivent renoncer à la protection de leur vie privée. Lorsqu'on anonymise des données personnelles identifiables, c'est-à-dire qu'on élimine les identifiants directs et indirects, on libère les données, si vous voulez, des restrictions en matière de protection de la vie privée, car c'est l'identifiabilité des données qui est à l'origine des questions de protection de la vie privée. Si les données ne peuvent être personnellement identifiées, d'autres questions pourraient y être associées, mais il ne s'agira pas de questions de protection de la vie privée.

La minimisation et l'anonymisation des données appuieront l'objectif d'obtenir ce que j'appelle de multiples gains simultanément, donc d'avoir une proposition gagnante sur toute la ligne. Je pense qu'elles accroîtront l'efficacité des gouvernements. Vous serez en mesure d'utiliser les données dont vous disposez tout en protégeant toujours les renseignements personnels des citoyens. C'est absolument essentiel.

Je serais ravie de vous en dire plus. Je pourrais parler sans fin de cette question, mais je tiens à respecter les limites de temps qui m'ont été imposées. Je me ferai un plaisir de répondre à vos questions.

(1545)

Le président:

Merci, madame Geist. Désolé, madame Cavoukian. Je me suis un peu emballé.

Des voix: Oh, oh!

Le président: La parole est maintenant à M. Geist pour 10 minutes.

M. Michael Geist (titulaire de la Chaire de recherche du Canada en droit d'Internet et du commerce électronique, Faculté de droit, Université d'Ottawa, à titre personnel):

Très bien. C'est parfait. Je ne crois pas que ma femme nous écoute.

Des voix: Ha, ha!

M. Michael Geist: Bonjour à tous. Je m'appelle Michael Geist. Je suis professeur de droit à l'Université d'Ottawa, où j'occupe la Chaire de recherche du Canada en droit d'Internet et du commerce électronique. Je suis également membre du Centre de recherche en droit, technologie et société.

Mes domaines de spécialité sont, entre autres, la politique numérique, la propriété intellectuelle et la protection des renseignements personnels. J'ai siégé pendant de nombreuses années au conseil consultatif externe du Commissaire à la protection de la vie privée du Canada. J'ai eu le privilège de comparaître à maintes reprises devant des comités au sujet de questions liées à la protection des renseignements personnels, notamment en ce qui concerne la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, le projet de loi S-4, le projet de loi C-13, la Loi sur la protection des renseignements personnels, ainsi que l'étude réalisée par votre comité sur les médias sociaux et la protection de la vie privée. Je préside également le groupe consultatif sur la stratégie numérique de Waterfront Toronto, qui participe activement au processus de création d'une ville intelligente à Toronto, en collaboration avec Sidewalk Labs. Comme toujours, je suis venu témoigner à titre personnel, en tant qu'universitaire indépendant, et je ne représente que mes propres opinions.

L'étude menée par votre comité sur les services gouvernementaux et la protection des renseignements personnels offre une occasion exceptionnelle: celle de relever bon nombre des défis qui se posent aujourd'hui au chapitre des services gouvernementaux, de la protection des renseignements personnels et de la technologie. En effet, ce qui rend cette question si impérieuse, c'est qu'elle représente la convergence de plusieurs domaines: le droit relatif à la protection des renseignements personnels dans les secteurs public et privé, la gouvernance des données et les technologies émergentes. Le cas de Sidewalk Labs en est un bon exemple. Bien que ce projet ne concerne pas les services du gouvernement fédéral — il s'agit, bien entendu, d'un projet municipal —, les débats portent fondamentalement sur le rôle du secteur privé dans la prestation de services gouvernementaux, la collecte de données publiques et la surveillance ou l'engagement des gouvernements à tous les échelons. Ainsi, on ne sait pas encore tout à fait quelle est la loi applicable à ce projet. Est-ce la LPRPDE? Est-ce la loi provinciale sur la protection des renseignements personnels? Est-ce les deux? Comment pouvons-nous relever certains de ces nouveaux défis si le simple fait de déterminer la loi applicable nous donne toujours du fil à retordre?

Le message principal que je veux vous transmettre aujourd'hui est le suivant: l'étude des services gouvernementaux et de la protection des renseignements personnels exige plus qu'un examen étroit des mesures que prend le gouvernement fédéral pour fournir des services, évaluer les répercussions sur la protection des renseignements personnels et, par la suite, déterminer les règles ou règlements qui pourraient être modifiés ou adoptés en vue d'améliorer la prestation de services qui répondent aux besoins des Canadiens et qui s'accompagnent des garanties de confidentialité et de sécurité auxquelles les citoyens s'attendent à juste titre.

Selon moi, les services gouvernementaux de demain feront intervenir un écosystème beaucoup plus complexe qui s'étend au-delà des questions habituelles liées à la pertinence de la Loi sur la protection des renseignements personnels à l'ère du numérique. En raison du chevauchement entre les régimes public et privé, entre le fédéral, le provincial et le municipal, ainsi qu'entre les affaires intérieures et étrangères, il nous faut plutôt une évaluation globale qui reconnaît que la prestation des services dans un monde numérique suppose nécessairement plus qu'une seule loi. Ces services porteront sur des questions concernant l'échange d'information au sein d'un gouvernement ou entre plusieurs gouvernements, l'endroit où les données sont stockées, le transfert d'information au-delà des frontières et l'utilisation de l'information par les gouvernements et le secteur privé pour, entre autres, l'analyse des données et l'intelligence artificielle.

En d'autres termes, cela comprend la Loi sur la protection des renseignements personnels, la LPRPDE, les accords commerciaux qui contiennent des règles sur la localisation et le transfert des données, le Règlement général sur la protection des données, les traités internationaux, notamment les travaux qui seront entrepris à l'OMC sur le commerce électronique, les fiducies de données communautaires, les politiques en matière de gouvernement ouvert, le droit d'auteur de la Couronne, les normes du secteur privé et les technologies émergentes. C'est un domaine complexe et difficile, mais non moins exaltant.

Je serai heureux de revenir sur bon nombre de ces sujets durant la période des questions, mais vu que le temps passe, je vais aborder un peu plus en profondeur la Loi sur la protection des renseignements personnels. Comme les membres du Comité le savent, il s'agit de la loi fondamentale pour la collecte et l'utilisation de renseignements personnels par le gouvernement. À l'instar de nombreux auteurs d'études, les commissaires fédéraux à la protection de la vie privée qui se sont succédé ont essayé de sonner l'alarme au sujet de cette loi, qui est jugée dépassée et inadéquate. Les Canadiens s'attendent avec raison à ce que les règles de protection des renseignements personnels qui régissent la collecte, l'utilisation et la communication de leurs renseignements personnels par le gouvernement fédéral répondent aux normes les plus strictes. Cependant, depuis des décennies, nous ne répondons pas à de telles normes. À mesure qu'augmente la pression pour de nouvelles utilisations des données recueillies par le gouvernement fédéral, il devient de plus en plus nécessaire d'instaurer une loi « adaptée aux fins visées ».

J'aimerais souligner trois problèmes en particulier concernant les règles fédérales régissant la protection des renseignements personnels et leurs répercussions. Le premier a trait au pouvoir d'établissement de rapports. L'incapacité de procéder à une véritable réforme de la Loi sur la protection des renseignements personnels pourrait être attribuable, en partie, au manque de sensibilisation du public à la loi et à son importance. Les commissaires à la protection de la vie privée ont joué un rôle important pour ce qui est de sensibiliser la population à la LPRPDE et aux préoccupations générales en la matière. La Loi sur la protection des renseignements personnels a désespérément besoin d'un mandat similaire pour l'éducation du public et la recherche.

De plus, l'idée de prévoir simplement un rapport annuel est vraiment le reflet d'une époque révolue. Dans notre contexte actuel où les nouvelles nous parviennent 24 heures sur 24 grâce aux médias sociaux, il n'y a pas lieu de restreindre la capacité de diffuser de l'information — de la vraie information, surtout celle qui touche la vie privée de millions de Canadiens — afin qu'elle demeure à l'abri du public tant qu'un rapport annuel n'est pas déposé. Si le commissaire juge qu'il est dans l'intérêt public de le faire, le Commissariat doit certes avoir le pouvoir de divulguer l'information en temps utile.

(1550)



Le deuxième point consiste à limiter la collecte de renseignements. Comme vous l'avez entendu à maintes reprises, la Loi sur la protection des renseignements personnels est malheureusement loin de répondre aux normes d'une loi moderne sur la protection des renseignements personnels. En fait, à une époque où le gouvernement est censé servir de modèle, il en demande beaucoup moins de lui-même que du secteur privé.

Toute réforme valable devrait, à mon sens, limiter la collecte de renseignements, ce qui caractérise les mesures législatives s'appliquant au secteur privé. Le gouvernement devrait, lui aussi, être tenu de ne recueillir que les renseignements qui sont strictement nécessaires à ses programmes et activités. C'est particulièrement pertinent en ce qui concerne les nouvelles technologies et l'intelligence artificielle.

Le commissaire à la protection de la vie privée du Canada — qui, je le sais, viendra comparaître plus tard cette semaine —, a récemment présenté un rapport sur le recours à l'analyse des données et à l'intelligence artificielle pour l'exécution de certains programmes. Le rapport fait mention de plusieurs exemples, dont le projet pilote d'analyse prédictive pour les visas de résident temporaire d'Immigration, Réfugiés et Citoyenneté Canada, qui utilise l'analyse prédictive et la prise de décision automatisée dans le cadre des processus d'approbation des visas; l'utilisation, par l'Agence des services frontaliers du Canada, de l'analyse avancée dans le cadre de son Programme national de ciblage afin d'évaluer l'information sur les passagers pour tous les voyageurs aériens arrivant au Canada; et l'utilisation croissante de l'analyse avancée par l'Agence du revenu du Canada pour trier, catégoriser et coupler les renseignements sur les contribuables en fonction des indicateurs perçus de risque de fraude.

Ces technologies offrent évidemment un énorme potentiel, mais elles peuvent aussi encourager une augmentation de la collecte, de l'échange et du couplage des données. Cela exige des évaluations rigoureuses des facteurs relatifs à la vie privée et des analyses des coûts-avantages connexes.

Enfin, il y a la question de la transparence en ce qui concerne les atteintes à la sécurité des données. Comme vous le savez sûrement, l'adoption de lois obligeant la notification en cas d'atteinte à la sécurité est devenue chose courante dans le domaine de la protection des renseignements personnels dans le secteur privé, et il est évident depuis longtemps qu'il faut exiger la même chose dans la Loi sur la protection des renseignements personnels. Malgré l'importance d'une telle mesure, il a fallu plus d'une décennie pour adopter et mettre en oeuvre, au Canada, des règles de notification en cas d'atteinte à la sécurité des données dans le secteur privé et, en dépit de cela, nous attendons toujours l'équivalent au niveau du gouvernement fédéral.

Encore une fois, comme vous n'êtes pas sans le savoir, les données révèlent que des centaines de milliers de Canadiens ont été touchés par des atteintes à la sécurité de leurs renseignements personnels. Le taux de signalement de ces cas demeure faible. Si nous tenons à ce que la population ait confiance en la sécurité de leurs renseignements personnels, il faut clairement des règles sur la notification obligatoire en cas d'atteinte au sein du gouvernement.

À cela s'ajoutent les règles et les politiques générales sur la transparence, un sujet qui est étroitement lié à la question des atteintes à la sécurité des données. En un sens, l'objectif stratégique consiste à favoriser la confiance des citoyens à l'égard de la collecte, de l'utilisation et de la communication de leurs renseignements grâce à l'adoption d'approches transparentes et ouvertes en matière de mesures de protection stratégiques et au recensement de cas où nous n'avons pas été à la hauteur.

Ces derniers temps, l'accent a été mis sur la production de rapports de transparence dans le secteur privé. Ainsi, les grandes sociétés Internet comme Google et Twitter ont publié des rapports de transparence, et d'importantes entreprises canadiennes de communications comme Rogers et Telus leur ont emboîté le pas. Toutefois, aussi étonnant que cela puisse paraître, il y a encore des entreprises récalcitrantes. Par exemple, Bell, le plus grand joueur parmi ce groupe, ne publie toujours pas de rapport de transparence en 2019.

Cependant, ces rapports ne représentent qu'un côté de la médaille. Les gens seraient bien mieux informés des demandes et des notifications si les gouvernements publiaient, eux aussi, des rapports de transparence. Il n'est pas nécessaire d'y inclure les enquêtes en cours, mais il n'y a pas vraiment de raison pour que le gouvernement ne soit pas tenu de répondre aux mêmes attentes que le secteur privé en matière de transparence.

Au bout du compte, nous avons besoin de règles qui favorisent la confiance de la population à l'égard des services gouvernementaux en veillant à ce qu'il y ait des mesures de protection adéquates et des mécanismes de transparence et de notification pour donner aux citoyens l'information dont ils ont besoin au sujet de l'état de leurs données et des niveaux d'accès appropriés afin de maximiser les avantages des services gouvernementaux.

Il n'y a là rien de nouveau. Le seul aspect qui est peut-être nouveau, c'est que ce travail doit se faire dans un contexte caractérisé par des technologies changeantes, des flux d'information à l'échelle mondiale et une ligne de démarcation de plus en plus floue entre les secteurs public et privé sur le plan de la prestation des services.

Je me ferai un plaisir de répondre à vos questions.

Le président:

Merci, madame Cavoukian et monsieur Geist.

Nous allons commencer par M. Saini. Vous avez sept minutes.

M. Raj Saini:

Bonjour, madame Cavoukian et monsieur Geist. C'est toujours un plaisir de recevoir ici d'éminents experts. Je ferai de mon mieux pour poser des questions succinctes.

Monsieur Geist, relativement à l'un des points que vous avez soulevés, vous avez parlé des différents ordres de gouvernement. Je viens d'une région du pays où il existe quatre paliers de gouvernement: fédéral, provincial, régional et municipal. Dans le modèle que nous avons étudié auparavant, soit le modèle estonien, il y a ce qu'on appelle le principe de la demande unique, par lequel tous les renseignements sont diffusés une seule fois, même s'il faut reconnaître que l'Estonie est un petit pays qui ne compte probablement que deux niveaux de gouvernement. Au Canada, dans certains cas, nous en comptons trois ou quatre.

Comment pouvons-nous protéger les renseignements personnels des Canadiens? Chaque ordre de gouvernement a une fonction différente et une responsabilité différente. Au lieu de fournir toute l'information une seule fois au gouvernement fédéral, puis au gouvernement provincial, puis au gouvernement régional et, enfin, à l'administration municipale — et, comme vous le savez, il est possible d'échanger les renseignements, qu'il s'agisse de dossiers d'impôt, de dossiers de santé ou de casiers judiciaires —, par quel moyen pouvons-nous protéger les renseignements personnels des Canadiens, tout en améliorant l'efficacité des services gouvernementaux?

(1555)

M. Michael Geist:

Vous soulevez là un point intéressant. À certains égards, cela fait ressortir un aspect — comme Ann s'en souviendra, et je suis sûr qu'elle aura des observations à faire là-dessus —, car lorsque nous nous apprêtions à créer une loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, nous étions aux prises, en quelque sorte, avec presque la même question: comment faire en sorte que tous les Canadiens aient le même niveau de protection des renseignements personnels aux termes des lois, peu importe l'endroit où ils vivent et le palier de gouvernement en cause?

La triste réalité, c'est que, des décennies plus tard, cela n'est toujours pas le cas. Nous pouvons certes nous demander s'il y a lieu de trouver des mécanismes qui permettent aux gouvernements de collaborer plus activement pour régler ces questions. Il faut bien admettre pourtant, si nous voulons être sincères, que les provinces ont adopté différentes approches en ce qui concerne certaines des règles en matière de protection des renseignements personnels, et ce n'est là qu'un autre palier de gouvernement. Ainsi, la loi du Québec sur la protection des renseignements personnels dans le secteur privé a été adoptée avant la loi fédérale. Quelques provinces ont essayé d'établir des lois de nature semblable. D'autres ont instauré des lois portant sur des sujets plus précis. Le mécanisme prévu par la LPRPDE à cette fin consiste à déterminer si la loi est essentiellement similaire, mais dans la pratique, il y a encore de nombreux Canadiens qui, dans bien des cas, n'ont concrètement aucun moyen de protéger leurs renseignements personnels aujourd'hui, faute de lois provinciales ayant réussi à combler ces lacunes. C'est sans compter les autres paliers dont vous avez parlé. Il s'agit donc d'un enjeu constitutionnel épineux, qui soulève également diverses questions sur la teneur de certaines des dispositions.

M. Raj Saini:

Madame Cavoukian, la prochaine question s'adresse à vous.

Parmi les caractéristiques fondamentales du modèle estonien, outre le principe de la demande unique, mentionnons la présence d'une forte identité numérique, mais par-dessus tout, l'interopérabilité entre les différents ministères gouvernementaux. Le modèle estonien est structuré de telle sorte qu'au lieu de recourir à une seule base de données, on en utilise plusieurs qui contiennent des renseignements très précis auxquels il est possible d'accéder. Cette infrastructure est appelée X-Road. Est-ce un modèle que nous devrions chercher à reproduire?

Par ailleurs, quel est l'avantage ou le désavantage d'avoir des données éparpillées? Cela comporte certains avantages, mais il y a aussi des désavantages. Quel serait l'avantage ou le désavantage de répartir les données et, surtout, de permettre aux Canadiens d'accéder plus facilement à l'information dont ils ont besoin?

Mme Ann Cavoukian:

Je crois que c'est un excellent modèle, qui sera d'ailleurs de plus en plus répandu. C'est ce qu'on appelle un modèle de décentralisation: ainsi, toutes les données ne sont pas stockées dans une seule base de données centrale à laquelle peuvent accéder les diverses branches du gouvernement. Le problème avec la centralisation, c'est qu'elle présente un risque bien plus grand en ce qui concerne les atteintes à la sécurité des données et à la vie privée, l'accès non autorisé aux données par des employés curieux, les coups montés de l'intérieur, et j'en passe. Toutes les données seront exposées à un risque beaucoup plus élevé si elles sont entreposées dans un seul endroit central.

Vous vous souviendrez peut-être qu'il y a environ six mois, Tim Berners-Lee, l'inventeur du World Wide Web, s'était dit atterré et horrifié de voir que sa création soit devenue un modèle centralisé dans lequel tout le monde peut essentiellement s'introduire avec facilité et accéder sans autorisation aux données d'autrui. La centralisation prête également le flanc à la surveillance des activités et des mouvements des citoyens. Il y a donc plein de problèmes du point de vue de la protection des renseignements personnels et de la sécurité.

En Estonie, le modèle décentralisé est hors pair. On y trouve différentes grappes d'information. Chaque base de données contient des renseignements auxquels on peut accéder pour un but précis. C'est ce qu'on appelle souvent le but premier de la collecte des données, et les fonctionnaires sont astreints à des limites quant à l'utilisation des données. Ils doivent s'en servir aux fins prévues. Plus vous avez des grappes d'information décentralisées, plus il est probable que les données restent intactes et qu'elles soient conservées aux fins prévues, au lieu d'être utilisées systématiquement pour une foule de raisons qui n'avaient jamais été envisagées.

Vous avez ainsi beaucoup plus de contrôle, et les gens, c'est-à-dire les citoyens, peuvent être assurés de profiter d'un niveau accru de confidentialité et de sécurité relativement à ces données. C'est un modèle qui se répand, et vous en verrez beaucoup plus à l'avenir. Cela ne signifie pas que les autres branches du gouvernement ne peuvent pas accéder aux données. Elles ne peuvent tout simplement pas y accéder automatiquement et en faire ce que bon leur semble.

(1600)

M. Raj Saini:

C'est formidable. Merci.

J'ai une dernière question, monsieur Geist. Vous avez mentionné qu'il y aura une interface ou un lien entre le secteur privé et le secteur public. De toute évidence, les deux secteurs sont régis par deux régimes de protection des données personnelles différents. Plus important encore, lorsque nous examinons le modèle estonien, nous constatons qu'il s'agit de la technologie de la chaîne de blocs, une technologie sécuritaire et fiable.

Si l'on veut garder deux systèmes distincts, un pour le secteur public et un pour le secteur privé, la technologie doit être d'égale qualité de part et d'autre. Comme nous le savons, la technologie du secteur privé est parfois supérieure à celle du secteur public. Comment pouvons-nous transformer les deux afin de nous assurer que la fiabilité et l'efficacité de l'interface seront au rendez-vous pour le citoyen?

M. Michael Geist:

Selon moi, la fiabilité est un principe juridique plutôt que technologique, et elle a tout à voir avec la fiabilité des données qui sont recueillies.

Pour ce qui est de veiller à ce que les secteurs public et privé utilisent la meilleure sécurité possible, je pense que nous avons vu certains des mécanismes, du moins dans le secteur public, grâce auxquels nous pourrions viser cela en conjonction avec les efforts que déploie le gouvernement pour tenter d'intégrer différents services de l'informatique en nuage. C'est une bonne illustration de la façon dont le gouvernement a reconnu que l'informatique en nuage pouvait susciter certaines préoccupations en ce qui concerne l'endroit où les données sont stockées et d'autres problèmes de localisation semblables. Toutefois, selon le fournisseur, cette technologie peut aussi offrir certains des meilleurs mécanismes de sécurité concernant l'emplacement des données stockées. Alors, la question est de savoir comment il est possible de profiter de cela tout en mettant en place les mesures de protection nécessaires. Nous avons vu certains efforts à cet égard.

Cela se résume en partie à l'étiquetage des différents types de données ou peut-être, surtout au niveau du gouvernement fédéral, à la création de différents types de règles pour différents types de données. Par ailleurs, je pense qu'il faudra être prêt à brouiller ces lignes de démarcation de temps à autre, tout en reconnaissant la nécessité de veiller à ce que les règles canadiennes soient applicables.

Le président:

Merci, monsieur Saini.

Nous avons maintenant M. Kent, pour sept minutes.

L'hon. Peter Kent:

Merci, monsieur le président.

Merci à vous deux d'être venus témoigner.

L'étude du gouvernement numérique est un vaste sujet. Nous l'avons amorcée l'an dernier, puis nous l'avons reléguée au second plan à cause de l'étude au sujet de Cambridge Analytica, Facebook et AggregateIQ.

Ma rencontre, l'année dernière, avec le premier ministre estonien, Juri Ratas a été une expérience fascinante. Il m'a montré la carte et la puce qu'elle contient. Essentiellement, ce sont à peu près toutes les informations d'une vie qui y sont stockées. Il y a eu quelques manquements et quelques pépins avec leur fabricant de puces, mais c'est un concept fascinant.

Ma question s'adresse à vous deux. Le modèle de gouvernement numérique estonien repose sur une démocratie naissante, compte tenu de l'effondrement relativement récent de l'Union soviétique. La société y est encore soumise, et elle a accepté la décision de ses nouveaux dirigeants d'imposer démocratiquement ce nouveau gouvernement numérique à la population. Or, ici, notre merveilleuse Confédération canadienne a été pendant plus de 150 ans le théâtre de remises en question démocratiques — non sans une certaine dose de scepticisme et de cynisme — à l'endroit du gouvernement relativement aux changements importants qu'il a tenté d'opérer et aux référendums qu'il a tenus sur diverses questions. Je me demande simplement, pour n'importe quel gouvernement, qu'il soit fédéral, provincial, régional ou municipal, et dans n'importe quel contexte, à quel point il est réaliste pour le Canada et les Canadiens de chercher à obtenir une seule carte à puce comme cela se fait en Estonie.

Madame Cavoukian, voulez-vous commencer?

Mme Ann Cavoukian:

Pardonnez-moi, je secouais la tête. L'Estonie est très respectée, cela ne fait aucun doute. Personnellement, je ne miserais pas sur une seule carte avec une seule puce où seraient stockées toutes vos données. C'est un modèle centralisé qui, à mon avis, va être très problématique — et qui l'est déjà —, surtout à long terme.

Il y a tant d'avancées. Vous avez peut-être entendu parler de ce qui se passe en Australie. Les Australiens viennent d'adopter une loi qui permet au gouvernement d'accéder par voie dérobée aux communications chiffrées. Pourquoi les gens cherchent-ils à chiffrer leurs échanges? C'est parce qu'ils veulent les protéger et les mettre à l'abri du gouvernement ou de tierces parties, de parties non autorisées. L'Australie a adopté une loi qui lui permet d'accéder par la porte de derrière et à votre insu à vos communications chiffrées, et personne ne pourra vous dire si cela s'est fait ou non. Pour moi, c'est une situation consternante.

Personnellement, je ne suis pas en faveur d'une carte d'identité unique, d'une puce unique, de n'importe quoi d'unique.

Cela dit, je pense que nous devons aller au-delà des lois existantes pour protéger nos données et trouver de nouveaux modèles, et je le dis avec beaucoup de respect. J'ai été commissaire à l'information et à la protection de la vie privée de l'Ontario pendant trois mandats, soit durant 17 ans. Bien sûr, nous avions beaucoup de lois et je les observais scrupuleusement, mais elles n'étaient jamais suffisantes. C'est trop peu, trop tard. Les lois semblent toujours à la traîne des technologies et des dernières découvertes. C'est pourquoi j'ai créé Privacy by Design, c'est-à-dire la protection de la vie privée à l'étape de la conception. Je voulais un moyen proactif de prévenir les préjudices, un peu comme un dispositif de prévention médical. La protection de la vie privée à l'étape de la conception a été adoptée de manière unanime comme norme internationale, en 2010. Ses préceptes ont été traduits en 40 langues et ils viennent d'être inclus dans la dernière mesure législative à être entrée en vigueur l'année dernière, en Union européenne, nommément le Règlement général sur la protection des données. Les préceptes de la protection de la vie privée à l'étape de la conception y sont enchâssés.

La raison pour laquelle j'insiste là-dessus, c'est qu'il y a des choses que nous pouvons faire pour protéger les données, pour permettre l'accès aux données — dont l'accès numérique par les gouvernements, au besoin —, mais pas de façon systématique. Il n'est pas nécessaire de créer un modèle de surveillance aux termes duquel toute l'information se retrouverait au même endroit — une carte d'identité —, endroit auquel le gouvernement ou la police pourrait avoir accès.

Vous pourriez me dire que la police n'y aurait pas accès à moins d'avoir un mandat. Malheureusement, je dois dire que cela est absurde. Ce n'est pas vrai. Nous avons des exemples de la façon dont la GRC, par exemple, a créé ce que l'on appelle des Stingrays, c'est-à-dire des capteurs d'IMSI, pour International Mobile Suscriber Identity. Ces tours de téléphonie mobile usurpent l'identité des personnes afin de permettre aux agents d'accéder aux communications cellulaires de tout le monde dans un secteur donné. C'est ce qu'ils font lorsqu'ils recherchent un « méchant ». Bien sûr, s'ils avaient un mandat, je leur dirais: « Je vous en prie, soyez les bienvenus. Allez le chercher. » Mais en ont-ils un? Non. C'est quelque chose qu'ils faisaient sans que personne le sache, mais la CBC les a exposés et ils ont finalement dû reconnaître qu'ils le faisaient.

Avec tout le respect que je vous dois et sans vouloir dénigrer l'Estonie de quelque façon que ce soit, sachez que ce n'est pas la direction que je voudrais que nous prenions ici, c'est-à-dire celle d'une plus grande centralisation. C'est quelque chose que j'éviterais.

(1605)

L'hon. Peter Kent:

Merci.

Monsieur Geist, nous vous écoutons.

M. Michael Geist:

Ann a soulevé un certain nombre de points très importants, notamment en ce qui concerne la centralisation.

En vous écoutant, je ne pouvais m'empêcher de penser à ce qui s'est passé jusqu'ici relativement au comité consultatif d'experts sur la stratégie numérique de Waterfront Toronto qui, je dois le reconnaître, a pris plus de place que ce à quoi je m'attendais. En tant que président de ce comité depuis la dernière année...

L'hon. Peter Kent:

Je suis convaincu que nous aurons l'occasion d'en reparler.

M. Michael Geist:

Je dois dire que lorsque l'on se penche là-dessus, il n'est pas question d'une carte d'identité unique. Il s'agit de prendre une parcelle de terrain relativement petite et de chercher à y intégrer certains types de technologies, des technologies émergentes, qui permettront la mise en oeuvre d'un « gouvernement intelligent ». La controverse qui en a découlé, et plus encore, le genre de discussion publique sur ce que nous sommes prêts à tolérer, sur les fournisseurs avec lesquels nous sommes à l'aise et sur le rôle que nous voulons que le gouvernement joue dans tout cela font ressortir certains des vrais défis. Il s'agit en un sens d'un petit projet pilote pour mettre à l'essai certaines technologies appuyant la notion de ville intelligente. L'évocation d'une carte unique pour toutes les données est un puissant catalyseur qui soulève toute une série de questions quant à notre environnement.

L'hon. Peter Kent:

Je suis convaincu que dans les deux heures dont nous disposons, le Comité reviendra à la question plus générale du gouvernement numérique, mais pour l'instant, j'aimerais revenir à Sidewalk Labs. Il y a un peu de David et Goliath dans Sidewalk Labs, vu la façon dont Alphabet, la société mère de Google, a imposé sa façon de traiter avec la ville et les autres partenaires potentiels. Je pense que le départ de Mme Cavoukian témoigne de cela.

M. Michael Geist:

Bien sûr, elle a quitté son poste de conseillère chez Sidewalk Labs. J'ai siégé au comité consultatif de Waterfront Toronto, et j'ai l'impression qu'il est encore tôt pour essayer de déterminer précisément à quoi ressemblera le projet d'aménagement définitif et s'il sera approuvé. C'est vraiment le but de ce groupe consultatif: essayer de mieux comprendre quels types de technologie sont proposés, quel type de gouvernance des données nous avons au chapitre de la propriété intellectuelle et de la protection des renseignements personnels, et veiller à ce que les conditions ne soient pas dictées. L'objectif est plutôt de chercher à ce qu'elles reflètent mieux ce à quoi la communauté pense.

(1610)

Le président:

Merci, monsieur Kent.

La parole est maintenant à M. Angus, pour sept minutes.

M. Charlie Angus:

Merci, monsieur le président.

J'aimerais bien sûr commencer par une discussion sur Sidewalk Labs, car c'est une proposition très intéressante qui a assurément ouvert la porte à beaucoup de questions.

Madame Cavoukian, votre décision de quitter Sidewalk Labs a soulevé beaucoup de questions. Pouvez-vous expliquer pourquoi vous ne vouliez plus faire partie de ce projet?

Mme Ann Cavoukian:

Je n'ai pas démissionné à la légère. Je tiens à vous en assurer.

Sidewalk Labs m'a engagée comme consultante pour intégrer la protection de la vie privée à l'étape de la conception — mon bébé, dont je vous ai parlé — dans la ville intelligente qu'ils projetaient de réaliser. J'ai dit: « Je serais très heureuse de le faire, mais sachez que je pourrais être un caillou dans votre chaussure, parce que cela nécessitera le plus haut degré de protection, et que pour avoir cette protection dans une ville intelligente... » Dans une ville intelligente, les technologies, les capteurs et tout le reste doivent être en fonction 24 heures sur 24, 7 jours par semaine. Les citoyens n'ont pas la possibilité de consentir ou non à la collecte de leurs données. Cela se fait en permanence.

J'ai dit que dans ce modèle, nous devons toujours dépersonnaliser les données à la source, ce qui signifie que lorsque le capteur recueille vos données — sur votre voiture, sur vous-même, peu importe —, vous devez les purger de tous les identificateurs personnels, qu'ils soient directs ou indirects, de manière à les rendre neutres. Vous devez encore décider qui va faire quoi avec ces données. Il y a beaucoup d'enjeux à considérer, mais ils ne seront pas liés à la protection des renseignements personnels.

Ils ne m'ont pas repoussée, croyez-le ou non. Je ne l'ai pas fait non plus. Ils ont accepté ces conditions. Je leur ai expliqué tout cela dès l'embauche initiale.

Ce qui s'est passé, c'est qu'ils ont été critiqués par un certain nombre d'intervenants en ce qui concerne la gouvernance des données. On voulait aussi savoir qui allait contrôler l'utilisation des données, de ces énormes quantités de données. Qui exercera le contrôle? On arguait que ça ne devait pas être seulement Sidewalk Labs.

Ils ont répondu qu'ils allaient créer une « fiducie de données civiques », qui se composerait d'eux-mêmes et de membres de divers gouvernements — municipaux, provinciaux, etc. —, et que diverses sociétés s'occupant de propriété intellectuelle allaient participer à sa création. Par ailleurs, ils ont dit: « Nous ne pouvons pas garantir qu'ils vont dépersonnaliser complètement les données à la source. Nous les encouragerons à le faire, mais nous ne pouvons en donner l'assurance. »

Quand j'ai entendu cela, j'ai su que je devais me retirer. Cela a été fait lors d'une réunion du conseil d'administration, à l'automne. Je ne sais plus quand. Michael s'en souviendra. Le lendemain matin qui a suivi la réunion, j'ai remis ma démission. Voici la raison que j'ai donnée: si vous laissez cette question à la discrétion des entreprises, vous pouvez être certains que cela ne se fera pas. Quelqu'un dira: « Non, nous n'allons pas anonymiser les données à la source. »

Les données qui ne sont pas anonymisées ont une valeur énorme. C'est le nec plus ultra. Tout le monde veut des données sous une forme qui permet d'identifier les gens. En gros, vous devez dire ce que j'ai dit à Waterfront Toronto par la suite. Ils m'ont appelée juste après ma démission, cela va de soi, et je leur ai dit: « Vous devez faire la loi. S'il y a une fiducie de données civiques — et peu importe qui est sur le coup, je m'en fiche —, vous devez leur dire qu'ils doivent anonymiser les données à la source, point final. Ce sont les conditions de l'accord. » Waterfront Toronto ne m'a pas repoussée.

C'est pour cette raison que j'ai quitté Sidewalk Labs. Je travaille maintenant pour Waterfront Toronto pour faire avancer les choses, parce qu'ils sont d'accord avec moi lorsque j'affirme qu'il faut anonymiser les données à la source et protéger les renseignements personnels. Je voulais qu'on ait une ville intelligente sur le plan de la confidentialité, pas sur le plan de la surveillance. Je fais partie du conseil international des villes intelligentes — des villes intelligentes de partout dans le monde — et presque toutes sont des villes intelligentes de surveillance. Pensez à Dubaï, à Shanghai et d'autres municipalités. La confidentialité y est absente. Je voulais que nous nous mobilisions pour montrer qu'il est possible de créer une ville intelligente où la vie privée n'est pas menacée. Je crois toujours que nous pouvons le faire.

M. Charlie Angus:

Merci. Permettez-moi d'intervenir.

L'une des préoccupations que j'ai entendues de la part des citoyens de Toronto concerne la nécessité de protéger la vie privée dès la conception, certes, mais aussi celle d'avoir un engagement démocratique dès la conception. Dans le cas d'une ville, il s'agit d'avoir des espaces publics à l'intention des citoyens. Nous avons un problème. Nous avons un gouvernement provincial qui est en guerre avec la ville de Toronto et qui a supprimé un certain nombre de conseillers municipaux. Il y a donc un déficit sur le plan démocratique. Nous voyons Waterfront Toronto dans une situation intermédiaire, avec une province qui pourrait s'y opposer. Nous constatons que le gouvernement fédéral s'occupe continuellement de cette question par l'entremise des lobbyistes de Google, de sorte qu'il y a beaucoup de choses qui se passent en coulisse.

Quel est le rôle des citoyens en matière d'engagement? Si nous voulons aller de l'avant, nous avons besoin de voix démocratiques pour établir ce qui est public, ce qui est privé, ce qui devrait être protégé et ce qui est ouvert. Quant aux autres gros joueurs, nous avons affaire à la plus grande machine de données de l'univers. Cette société amasse de l'argent en recueillant les données des gens et c'est elle qui conçoit tout cela.

Madame Cavoukian, j'aimerais vous poser la question suivante — je n'ai pas beaucoup de temps, peut-être une minute — et j'aimerais ensuite entendre la réponse de M. Geist. Nous aurons peut-être une autre série de questions à ce sujet.

(1615)

Mme Ann Cavoukian:

Je tiens à m'assurer que je laisse à Michael du temps pour intervenir.

Nous avons besoin d'une grande transparence afin de déterminer au juste qui fait quoi et comment cette information est diffusée en ce qui concerne les données et les décisions prises par les divers ordres de gouvernement dont vous avez parlé, des ordres de gouvernement qui semblent toujours être à couteaux tirés. Je ne suis pas ici pour défendre les gouvernements, car il faut qu'il y ait un moyen d'interagir qui permet aux citoyens de participer et de comprendre ce qui peut bien se passer. C'est absolument essentiel. Je ne sous-entends pas que cette question n'est pas importante; je pense simplement que nous devrions nous soucier surtout des questions de protection de la vie privée afin de nous assurer qu'elles sont au moins cernées.

M. Charlie Angus:

Monsieur Geist, qu'en pensez-vous?

M. Michael Geist:

En réalité, je pourrais simplement formuler des observations à propos du rôle que joue mon groupe d'experts. Toutes nos réunions sont ouvertes au public. Le public peut avoir accès aux documents étudiés. En fait, d'un point de vue technologique, nous avons pris connaissance de certains des plans de Sidewalk Labs. Ils sont venus nous faire un exposé dans le cadre d'une réunion du groupe d'experts. Tout le monde peut assister à ces réunions, qui sont assidûment filmées. En fait, quelqu'un se présente à chaque réunion, filme son déroulement, puis affiche la vidéo sur YouTube. Des réunions supplémentaires ont été organisées. Le mois prochain, nous nous réunirons dans les locaux de MaRS, et la réunion portera précisément sur les fondations civiques.

Avec tout le respect que je vous dois, je dois admettre que la notion selon laquelle aucune discussion publique n'a lieu et aucun moyen d'avoir des discussions publiques n'existe contredit l'expérience que j'ai vécue jusqu'à maintenant au cours de la dernière année que j'ai passée ici, en ce sens que littéralement n'importe qui à Toronto peut assister à n'importe quelle réunion qui lui plaît.

M. Charlie Angus:

Monsieur Geist, je dois dire, avec tout le respect que je vous dois, qu'on m'a appris — j'ai appris cela de Google — que les gens étaient frustrés parce que Google souhaite parler de la quantité de bois utilisée pour construire l'édifice. Voyons donc! Eric Schmidt se préoccupe maintenant de l'utilisation des produits du bois à Toronto? Ils parlent des données. Voilà ce que me disent les gens. Ils reviennent de ces réunions sans avoir obtenu de réponses.

M. Michael Geist:

Voilà précisément ce dont nous parlons au cours des réunions de notre comité. Nous passons notre temps à parler des questions de gouvernance des données, de protection de la vie privée et de propriété intellectuelle. En fait, nous cherchons à déterminer les technologies qu'ils mettront en place, selon leurs dires, et les conséquences qu'elles auront sur la propriété intellectuelle, la protection de la vie privée et la gouvernance des données. Par exemple, l'idée de créer une fondation civique a été proposée à notre groupe en premier.

Comme je l'ai dit, est-ce que nous pourrions en faire davantage? Je suis certain que nous le pourrions mais, de mon point de vue, je peux dire que je vois les médias participer à nos réunions. Je vois des citoyens y assister. Je vois des articles publiés dans des blogues ou ailleurs qui découlent de ces réunions. Tout cela se déroule de façon complètement ouverte.

Le président:

Merci, monsieur Angus.

Le prochain intervenant est M. Erskine-Smith, qui aura la parole pendant sept minutes.

M. Nathaniel Erskine-Smith:

Merci beaucoup.

Je vous remercie tous deux de votre présence.

Pour commencer, j'aimerais clarifier un léger malentendu qui s'est immiscé dans certaines des questions de M. Kent en ce qui concerne l'identité électronique en Estonie. Les renseignements personnels ne sont pas centralisés dans un mini-ordinateur. En fait, le fondement même du gouvernement numérique estonien est la décentralisation. L'identité numérique est une carte d'identité qui permet aux Estoniens d'accéder au système, mais elle ne contient pas une foule de renseignements personnels.

Là où je veux vraiment en venir, c'est qu'à mon avis, l'utilité de notre étude consiste à demander comment nous pourrions appliquer le cadre de protection de la vie privée dès la conception à un gouvernement numérique, afin que nous puissions en fait améliorer les services que nous offrons aux Canadiens.

D'emblée, je vous ferais remarquer que, selon l'information publique produite par l'Estonie, près de 5 000 services électroniques distincts permettent aux gens de faire quotidiennement leurs courses sans jamais quitter leur ordinateur à la maison. En ma qualité de Canadien qui souhaite recevoir de meilleurs services de la part de son gouvernement, je veux avoir accès à ces services. Comment pouvons-nous atténuer dès le début du processus les préoccupations relatives à la protection de la vie privée afin que nous puissions bénéficier de meilleurs services?

Si nous examinons le modèle estonien, nous voyons qu'il y a une identité numérique. Les renseignements dont disposent les ministères sont séparés au moyen d'X-Road et de la technologie des chaînes de blocs. Puis il y a une transparence en ce sens que, lorsqu'un employé du gouvernement consulte mes renseignements, je peux voir qui l'a fait et quand cela a été fait grâce à l'horodatage. Si l'on ajoutait ces niveaux de détail à un système d'un gouvernement numérique, cette mesure suffirait-elle à répondre aux préoccupations relatives à la protection de la vie privée? Y a-t-il d'autres mesures que nous devrions prendre si nous envisageons de passer à un gouvernement numérique?

Je vais commencer par interroger Mme Cavoukian, puis M. Geist.

Mme Ann Cavoukian:

Il y a un certain nombre d'éléments très positifs dans ce que vous avez décrit, dont la transparence associée à chaque service offert et la facilité avec laquelle les citoyens peuvent avoir accès à ces services en ligne.

Je tiens à formuler une observation à propos de la technologie des chaînes de blocs. Ne présumons pas qu'il s'agit là d'une merveilleuse technologie qui garantit l'anonymat, car ce n'est pas le cas. Cette technologie présente des avantages, mais elle peut aussi avoir des côtés négatifs. De plus, elle a été piratée. Je vais vous lire une phrase très courte tirée d'un texte portant sur le Règlement général sur la protection des données, le RGPD. Le RGPD est la nouvelle loi qui est entrée en vigueur en Union européenne. La phrase en question dit ce qui suit: « En particulier dans le cas de la technologie des chaînes de blocs, il n'y a pas d'autre solution que celle de mettre en oeuvre le cadre de protection de la vie privée dès la conception, étant donné que les ajouts habituels en matière d'amélioration et de protection de la vie privée ne satisferont pas aux exigences du RGPD ». Le RGPD a radicalement relevé la barre au chapitre de la protection des renseignements personnels. Les gens disent: « Utilisez bien entendu la technologie des chaînes de bloc, mais ne le faites pas sans mettre en oeuvre le cadre de protection de la vie privée dès la conception, car vous devez vous assurer que cette protection est intégrée dans la technologie des chaînes de blocs ». Certaines entreprises, comme Enigma, le font merveilleusement bien en prévoyant un niveau supplémentaire de protection des renseignements personnels.

Je tiens simplement à ce que nous fassions attention de ne pas adhérer à la technologie des chaînes de blocs ou à d'autres technologies sans regarder réellement sous le capot et sans observer ce qui se passe au chapitre de la protection des renseignements personnels.

(1620)

M. Nathaniel Erskine-Smith:

Je crois comprendre qu'en Estonie, ils utilisaient cette technologie avant qu'on lui attribue le nom de technologie des chaînes de blocs, mais c'est en 2002 que les Estoniens ont mis en oeuvre un système. Ils ont eu l'idée d'utiliser cette technologie pour transférer l'information d'un ministère à l'autre en arrière-plan. En tant que citoyen, lorsque j'ouvre une session, je n'aperçois qu'un seul portail mais, en arrière-plan, mes renseignements sont hébergés dans un certain nombre de ministères. Si ces ministères souhaitent échanger des renseignements, les voies nécessaires sont ouvertes uniquement au moyen de la technologie des chaînes de blocs, afin de garantir le caractère privé des échanges. Si je travaille à l'ASFC, je ne serai pas en mesure de consulter les renseignements qui sont enregistrés par les services d'emploi... mais je prends bonne note de votre préoccupation concernant la technologie des chaînes de blocs.

Avec tout le respect que je vous dois, j'imagine, ma question fondamentale... J'ai des questions plus particulières à poser, mais voici ma question générale. Si nous élaborons une identité numérique, que nous garantissons l'anonymat des données échangées entre les ministères, que je peux, en tant qu'utilisateur, ouvrir une session et exercer un contrôle sur mes renseignements et que cela constitue les trois pierres d'assise du système, est-ce que quelque chose m'échappera? Quelque chose d'autre m'échappera-t-il?

Mme Ann Cavoukian:

Ce projet semble très positif. Vous intégrerez la sécurité dans [Difficultés techniques]

M. Nathaniel Erskine-Smith:

Exactement. L'identité numérique est elle-même un dispositif de cryptage.

Mme Ann Cavoukian:

Oui.

M. Nathaniel Erskine-Smith:

Si j'ai bien compris, l'identité numérique en Estonie est elle-même un microprocesseur ainsi qu'un dispositif de cryptage. Elle vérifie donc mon identité.

Soit dit en passant, en ce qui concerne les Estoniens, le meilleur argument de vente — et je sais qu'il a peut-être inquiété M. Kent — qu'ils ont présenté à notre comité lors de leur visite était le fait qu'aucun vol d'identité n'était survenu depuis qu'ils avaient mis en oeuvre ce système — aucun vol d'identité. Pourquoi? Parce que s'ils perdent leur identité numérique, le certificat peut être révoqué facilement. Par conséquent, personne ne peut utiliser cette identité numérique pour avoir accès à des services en prétendant être quelqu'un d'autre.

Si ces éléments sont les trois pierres d'assise et si vous n'avez pas de réponses claires à donner à aucune... et vous dîtes que ces éléments semblent tous positifs, alors la question fondamentale est la suivante: Y a-t-il d'autres niveaux de sécurité que nous devrions prévoir pour nous assurer que le cadre de protection de la vie privée dès la conception est intégré dans les services du gouvernement numérique, comme l'Estonie le fait? quelque chose échappe-t-il à l'Estonie, ou devrions-nous faire comme elle?

Mme Ann Cavoukian:

L'initiative de l'Estonie est très, très positive...

M. Nathaniel Erskine-Smith:

Le...

M. Michael Geist:

Si vous me permettez de répondre, je ne parlerai pas précisément de l'Estonie, mais je dirai qu'il y a deux éléments nécessaires. Pour un marteau, tout a l'air d'un clou. Pour un professeur de droit, tout a l'air d'un problème juridique. En ce qui concerne la question de décrire des normes principalement technologiques et d'affirmer que c'est la façon dont nous protégerons efficacement... Je comprends pourquoi cette idée est extrêmement attrayante, mais, à mon avis, il faudrait que vous mettiez aussi en place une loi correspondante.

Par ailleurs, un autre des enjeux dont je me soucie est bien entendu l'accès. Alors, qu'avez-vous besoin d'autre? Si vous voulez être en mesure d'adopter des services de ce genre, vous devez vous assurer que tous les Canadiens ont accès au réseau. Nous sommes encore aux prises avec un trop grand nombre de Canadiens qui ne bénéficient pas d'un accès à Internet abordable. Nous devons reconnaître qu'une partie de toute conversation concernant la façon dont nous pouvons offrir aux Canadiens des services de ce genre doit être consacrée à la question de savoir comment nous veillerons à ce que tous les Canadiens bénéficient d'un accès au réseau abordable.

M. Nathaniel Erskine-Smith:

Je vous suis reconnaissant de vos observations.

Comme je vais manquer de temps, la dernière question que je poserai concerne la minimisation des données. D'une part, je pense qu'en général, l'Estonie suit cette règle mais, lorsque nous examinons les services gouvernementaux, nous pourrions dire, comme les entreprises le font, qu'un surcroît de données nous permettra d'offrir de meilleurs services aux consommateurs. En tant que gouvernement, nous soutenons que, dans certains cas, il est préférable d'avoir accès à un plus grand nombre de données. Je souhaite vous donner un exemple.

Très peu de Canadiens souscrivent au Bon d'études canadien. Tout le monde est admissible à l'Allocation canadienne pour enfants parce que c'est automatique, à condition de produire une déclaration de revenus. Par ailleurs, si nous connaissions tous les particuliers qui reçoivent l'Allocation canadienne pour enfants, nous saurions également qu'ils sont admissibles au Bon d'études canadien. Pour pouvoir sensibiliser les citoyens de façon préventive et leur dire en passant qu'ils ont droit de recevoir gratuitement des fonds pour l'éducation de leurs enfants et qu'ils devraient donc présenter une demande à cet égard, s'ils ne l'ont pas déjà fait, nous devons utiliser leurs renseignements personnels, idéalement dans le but d'améliorer les services. Dans ce contexte, y a-t-il des risques dont je devrais me préoccuper?

(1625)

Mme Ann Cavoukian:

Je ne crois pas du tout qu'il soit préférable de disposer d'un plus grand nombre de données.

Vous donnez un exemple très valable. Vous souhaitez sensibiliser les gens, mais l'utilisation des données à des fins jamais prévues comporte de nombreux risques. En théorie, nous fournissons des données au gouvernement dans un but particulier. Nous payons nos impôts, ou nous prenons une mesure quelconque. C'est là notre intention, et c'est donc l'objectif principal de la collecte de données. Vous êtes censés utiliser ces données dans ce but et limiter votre utilisation à cela, à moins d'obtenir un consentement supplémentaire auprès du sujet des données, c'est-à-dire le citoyen.

Dès que vous commencez à vous écarter de cette démarche pour ce que vous croyez être le plus grand bien des Canadiens, et que vous pensez qu'il vaut mieux pour eux que vous ayez accès à toutes leurs données et que vous puissiez leur envoyer des renseignements supplémentaires ou leur fournir des services supplémentaires... Ils ne veulent peut-être pas que vous fassiez cela. Ils ne souhaitent peut-être pas... La protection de la vie privée est une question de contrôle, soit le contrôle personnel de l'utilisation de vos renseignements personnels. Dès que vous commencez à élargir la portée de votre action parce que vous estimez — je ne veux pas dire vous personnellement — que le gouvernement sait ce qu'il faut faire mieux que quiconque, cela vous entraîne dans une voie de surveillance et de suivi, qui est tout à fait inappropriée. Je vous dis cela avec le plus grand respect, car je sais que vos intentions sont louables, mais je n'irais pas... De plus, lorsque vous avez des données inactives, d'immenses quantités de données inactives, cela représente un véritable trésor.

Le président:

Merci, madame Cavoukian...

Mme Ann Cavoukian:

C'est un véritable trésor pour les pirates informatiques et, tôt ou tard, des gens pirateront ces données. Cela attirera simplement les malfaiteurs.

Le président:

Merci.

Comme des votes auront lieu à 17 h 30 et que le Comité doit prendre environ cinq minutes pour s'occuper de quelques travaux à huis clos, j'envisage que nous finissions si possible à environ 16 h 50.

Nous allons maintenant passer à M. Gourde, qui prendra la parole pendant cinq minutes. [Français]

M. Jacques Gourde (Lévis—Lotbinière, PCC):

Merci, monsieur le président.

Je remercie les témoins d'être ici aujourd'hui.

Ma question est fort simple: est-il possible d'appliquer le modèle de l'Estonie au Canada, compte tenu de nos défis, des niveaux de gouvernance et de l'accessibilité à Internet sur un territoire aussi vaste?

Il y a des endroits au Canada où la connexion ne se fait pas. Si nous optons pour cela, il va tout de même falloir offrir deux niveaux de services aux Canadiens, pour ceux qui ne peuvent pas y accéder. Est-ce que cela vaut vraiment la peine?

Madame Cavoukian, vous pouvez répondre en premier. [Traduction]

Mme Ann Cavoukian:

Il est bien entendu extrêmement important d'améliorer le niveau des services offerts aux citoyens, et tout le monde, comme [Difficultés techniques], n'a pas un accès égal à Internet et à différents niveaux de technologie. Je pense que l'amélioration des services offerts aux particuliers, aux citoyens, est une entreprise très louable. Ce sont les moyens que vous employez pour le faire qui me préoccupent. Cela soulève toujours des interrogations. Comment pouvez-vous sensibiliser les gens et leur offrir davantage de services sans envahir leur vie privée, sans examiner les autres besoins qu'ils pourraient avoir? S'ils vous fournissent cette information, n'hésitez pas à agir, car cela constituera un consentement positif. Vous pourrez alors les faire bénéficier de services supplémentaires. Mais je ne veux pas que le gouvernement consulte les données dont il dispose déjà à propos des citoyens afin de déterminer si d'autres services pourraient leur être utiles.

Je pense que vous devez demander aux citoyens s'ils aimeraient se prévaloir de ces autres services. Ensuite, vous pourrez sans hésiter leur conseiller de travailler avec vous. Je ne crois pas que nous devrions faire cela en fouillant dans des bases de données à la dérive qui contiennent des renseignements sur nos citoyens.

M. Michael Geist:

Je suis heureux que vous ayez soulevé de nouveau la question de l'accès. Comme je l'écris depuis un certain temps, j'ai longtemps pensé que l'une des vraies raisons pour lesquelles les gouvernements... Ce n'est pas du tout une question de partisanerie, car les gouvernements successifs ont peiné à composer avec ce problème. L'une des raisons pour lesquelles il est nécessaire d'investir concrètement pour garantir un accès à Internet universel et abordable, c'est qu'à mon avis, la possibilité pour le gouvernement de passer à un nombre de plus en plus important de services électroniques, et d'économiser ainsi, dépend de la disponibilité de cet accès.

Selon moi, vous avez tout à fait raison de dire que, tant que ce stade n'aura pas été atteint, il faudra essentiellement assurer un ensemble de services parallèles pour garantir un accès universel. Effectivement, vous ne pouvez pas priver certaines personnes de certains types de services gouvernementaux parce qu'elles n'ont pas accès au réseau. Pour une foule de raisons, il est sensé que le gouvernement investisse là où le secteur privé n'a pas voulu le faire. L'une de ces raisons est que cet accès profite au gouvernement, parce qu'à mon avis, il lui permet de favoriser le passage à certains services électroniques plus efficaces.

Manifestement, nous n'avons pas encore atteint ce stade. Des études ont révélé à maintes reprises qu'en ce qui concerne les services à large bande, nous ne disposons pas d'un accès universel abordable et qu'en ce qui concerne les services sans fil, nous continuons de payer certains des frais les plus élevés de la planète pour nous en prévaloir. Cela nous indique que nos politiques en vue de garantir des moyens de communication abordables au Canada continuent d'être grandement déficientes.

(1630)

[Français]

M. Jacques Gourde:

Ma dernière question est aussi fort simple.

Au Canada, disposons-nous de l'expertise requise en matière de programmation? Il semble que l'industrie connaisse une crise, une pénurie de programmeurs. Nous devons nous tourner vers l'extérieur du Canada. Il semble que trouver des gens très compétents soit vraiment compliqué. La nouvelle génération n'aime pas nécessairement ce genre de métier.

Une mise en œuvre de ces services par et pour les Canadiens risque-t-elle d'être difficile à réaliser? [Traduction]

M. Michael Geist:

Eh bien, en tant que fier papa de deux enfants qui étudient en ingénierie à l'Université de Waterloo, je doute que ce soit vrai. Je crois que de plus en plus de gens choisissent cette voie. Sur le campus de l'Université d'Ottawa, où je travaille, et à vrai dire, sur des campus partout au pays, les domaines des sciences, des technologies, de l'ingénierie, des mathématiques, et j'en passe, suscitent un énorme intérêt. S'il y a une pénurie de spécialistes, cela montre à quel point la demande est élevée. Ce n'est pas que personne ne se dirige dans ce secteur. Je crois que c'est certainement le contraire.

Mme Ann Cavoukian:

Je suis d'accord avec Michael. Je pense que nous avons de très bonnes ressources au Canada. Elles seront peut-être insuffisantes demain, mais pour ce qui est de la jeune génération, je conseille de nombreux étudiants et je leur dis toujours qu'ils doivent s'assurer d'apprendre comment programmer. Ils n'ont pas à devenir des programmeurs, mais ils doivent comprendre comment les technologies fonctionnent. Il s'agit d'apprendre comment utiliser différentes techniques de programmation pour faire avancer ses intérêts dans des secteurs complètement différents, etc. Les fondements sont associés à la compréhension de certaines des nouvelles technologies. Je pense que c'est généralement reconnu maintenant.

Le président:

Merci, monsieur Gourde.

C'est maintenant au tour de M. Baylis, qui dispose de cinq minutes.

M. Frank Baylis (Pierrefonds—Dollard, Lib.):

Merci, monsieur le président.

J'aimerais tout d'abord revenir sur des précisions qu'a apportées Nate concernant la question de Peter sur l'Estonie. Je pense qu'il s'agit là de la base. Si nous passons à un gouvernement numérique, il nous faut une identité numérique.

Êtes-vous d'accord avec moi, madame Cavoukian? Avez-vous des réserves au sujet de l'idée de commencer avec une identité numérique?

Mme Ann Cavoukian:

Pardonnez-moi, mais je vais dire que cela dépend de la façon dont elle est conçue.

Si elle est bien protégée, unique et chiffrée et que l'accès est très restreint, une identité numérique peut améliorer l'accès aux services, par exemple, mais le vol d'identité est un problème de grande ampleur. C'est le type de fraude à la consommation qui connaît la croissance la plus rapide, une croissance rapide jamais connue. Une identité numérique peut aussi...

M. Frank Baylis:

Oui, mais concernant les nouvelles identités numériques, il y a la biométrie. Au bout du compte, on ne peut jamais empêcher un voleur d'agir, mais prenons l'exemple d'un individu qui trouve mon numéro d'assurance sociale. Si, plutôt, il constate que mon identité numérique est bien chiffrée, que des caractéristiques biométriques, le balayage oculaire, sont utilisés, par exemple, la probabilité qu'il vole cela est bien moindre que ce qu'il peut faire aujourd'hui. Je dirais que...

Mme Ann Cavoukian:

Tant que les moyens biométriques sont bons ou qu'on a recours au chiffrement biométrique; il s'agit de chiffrer les données automatiquement de sorte que seul l'individu peut les déchiffrer avec ses propres identificateurs biométriques... Malheureusement, bien des risques sont associés à la biométrie; ce n'est donc pas gagné d'avance que les données biométriques sont associées à l'identité numérique. Il faut utiliser le chiffrement biométrique et s'assurer que c'est bien tenu. Je ne suis pas en désaccord avec vous, monsieur. Je dis seulement que tout se complique quand on entre dans les détails, et c'est ce que nous devons répondre ici.

M. Frank Baylis:

Je comprends.

Voulez-vous intervenir là-dessus, monsieur Geist?

M. Michael Geist:

Oui. Je profite de l'occasion pour répéter qu'à mon avis, les cadres stratégiques sur la technologie sont aussi importants que la technologie dans certains cas. Même dans la façon de formuler votre question, vous avez dit de façon convaincante les raisons pour lesquelles ces technologies...

M. Frank Baylis:

Supposons que nous utiliserons la plus récente technologie. Cette technologie de pointe comprend toutes ces choses...

M. Michael Geist:

Exactement.

M. Frank Baylis:

..., comparativement à mon numéro d'assurance sociale, par exemple. Si je vous le donne, c'est fait.

M. Michael Geist:

Je comprends. L'idée d'utiliser les meilleures technologies est tout à fait sensée, mais cela s'accompagne de tout un volet de politiques. Je crois que nombreux seront ceux qui exprimeront des inquiétudes étant donné que d'après notre expérience, parfois on garantit que certains types de chiffrement ou d'autres technologies seront utilisés, et l'on dit « ne vous inquiétez pas, il n'y aura aucun accès possible », jusqu'à ce qu'on tombe sur un cas où l'on se dit que ce serait vraiment génial si les responsables de l'application de la loi y avaient accès seulement dans cette situation particulière...

(1635)

M. Frank Baylis:

Je crois que je comprends. Nous allons un peu loin.

Disons que nous commençons aujourd'hui. L'avantage de l'Estonie, c'est qu'il s'agissait d'un nouveau pays qui entreprenait quelque chose, de sorte qu'il n'a pas eu à transformer quoi que ce soit. On parle d'un petit pays peu peuplé, somme toute. Disons que nous commençons aujourd'hui. Il me semble que la première mesure à prendre... Je suis d'accord avec Mme Cavoukian: nous pouvons conserver cette séparation, et je conviens que c'est la démarche la plus sûre. Les Estoniens ont un élément central, de sorte qu'on a accès ici ou là, mais il ne s'agit pas d'une seule grande base de données.

Je crois également qu'il sera beaucoup plus facile de bâtir cela à partir de notre structure actuelle que d'essayer de... Je suis de cet avis, mais il me semble que si nous le faisons, nous devons commencer par un lien numérique, d'accord? Supposons que moi, Frank Baylis, j'utilise le système. On me demande de prouver que je suis bien Frank Baylis. À l'heure actuelle, on me demande de taper mon NAS, et c'est assez facile d'en faire l'exploitation frauduleuse, n'est-ce pas? En revanche, si l'on doit faire un balayage de mes yeux ou obtenir d'autres caractéristiques biométriques, et que je dois répondre à des questions, il me semble que, pour revenir à ce que vous disiez, on couvre la protection des renseignements personnels et la sécurité.

Je crois que c'est la première chose que vous avez déclarée, madame Cavoukian. Ne pouvons-nous pas partir de là et nous entendre là-dessus avant de passer à tout le reste?

Je vous redonne la parole. Je vous ai interrompu. Je m'en excuse.

M. Michael Geist:

Au risque de dire qu'il s'agit d'un cercle vicieux, fournir des renseignements biométriques me pose problème à moins qu'un cadre juridique en matière de protection des renseignements personnels répondant aux normes actuelles en la matière ne soit établi au Canada.

M. Frank Baylis:

D'accord. Alors vous dites qu'avant d'en arriver là, avant de nous engager dans cette voie, il vaudrait mieux que nous soyons absolument sûrs que la protection des renseignements personnels est assurée.

M. Michael Geist:

Il ne s'agit pas seulement de cela. Un ensemble de règles qui remontent à des décennies s'appliquent à ce système.

M. Frank Baylis:

Cela ne fonctionne pas.

M. Michael Geist:

Je ne crois pas qu'il est possible de dire qu'on se tourne vers les moyens les plus modernes possible et le numérique le plus possible si l'on s'appuie sur des lois qui remontent aux années 1980 pour protéger le système.

M. Frank Baylis:

Voulez-vous intervenir? Me reste-t-il du temps?

Le président:

Si elle pouvait répondre en 20 secondes, ce serait bien.

Mme Ann Cavoukian:

Monsieur Baylis, je veux seulement dire que je suis d'accord avec vous. Nous devons explorer les nouvelles technologies. Cela ne fait aucun doute. Pour ajouter à ce qu'a dit Michael, je dirais que nous devons seulement veiller à mettre nos lois à jour. Elles sont tellement dépassées. Nous devons nous assurer que la technologie nous permet vraiment de protéger l'information et que personne d'autre ne peut y avoir accès.

J'ai donné l'exemple du chiffrement biométrique. Les technologies de reconnaissance faciale qu'on voit un peu partout suscitent beaucoup d'inquiétudes à l'heure actuelle; on utilise la reconnaissance faciale à des fins jamais voulues. Je collabore avec une entreprise israélienne, D-ID, qui peut, en fait, masquer l'identificateur personnel de sorte qu'il soit impossible d'utiliser la reconnaissance faciale.

Il y a un certain nombre de difficultés. Je suis certaine que nous pouvons les régler pourvu que nous le fassions en amont afin de prévenir les préjudices.

Le président:

Merci, monsieur Baylis.

C'est au tour de M. Kent. Il s'agit d'une autre intervention de cinq minutes.

L'hon. Peter Kent:

Merci beaucoup, monsieur le président.

La conversation est très intéressante. Elle sera abrégée en raison des votes, et j'en suis désolé. Vous pouvez vous attendre à ce qu'on vous rappelle tous les deux dans les jours et les mois à venir.

Dans deux ou trois rapports, notre comité a recommandé au gouvernement d'examiner le Règlement général sur la protection des données et de renforcer et moderniser le Règlement sur la protection des renseignements personnels du Canada dans son ensemble et les pouvoirs du commissaire à la protection de la vie privée.

Je me demande si vous pouvez prendre les dernières minutes que nous avons pour faire des mises en garde. Le gouvernement semble indiquer que le gouvernement numérique s'en vient, que c'est sur le point d'être présenté sous une forme ou une autre. Je me demande si vous avez tous les deux des mises en garde à faire au gouvernement avant qu'il n'aille trop loin.

Madame Cavoukian.

Mme Ann Cavoukian:

J'appuie totalement le commissaire Daniel Therrien, qui demande au gouvernement fédéral une mise à jour de la LPRPDE, par exemple, qui remonte au début des années 2000. Il a dit également que nous devons ajouter à la nouvelle loi la protection de la vie privée dès l'étape de la conception, car après tout, elle a été intégrée dans le Règlement général sur la protection des données. Nous avons besoin de nouveaux outils. Nous devons agir en amont. Il nous faut déterminer les facteurs de risque et contrer les risques. Nous pouvons le faire.

Il est absolument essentiel de mettre les dispositions à jour. Il est indispensable de donner au commissaire les pouvoirs dont il a besoin, mais qu'il n'a pas présentement. J'ai été commissaire à la protection de la vie privée pendant trois mandats, et je peux dire que j'avais le pouvoir de rendre des ordonnances. J'y ai rarement eu recours, mais c'est ce qui me permettait d'arriver à une résolution informelle avec des organismes, des ministères qui ne respectaient pas les dispositions sur la protection de la vie privée. C'était une bien meilleure façon de travailler.

J'avais le bâton. Si je devais rendre une ordonnance, je pouvais le faire. C'est ce qu'il manque au commissaire Therrien. Nous devons lui donner ce pouvoir supplémentaire et intégrer dans la nouvelle loi la protection de la vie privée dès l'étape de la conception de sorte que le gouvernement ait des mesures supplémentaires lui permettant d'examiner de façon anticipée un modèle de prévention, un peu comme un modèle médical de prévention. Ce serait bien plus facile si nous avions cela. Alors, la tâche du commissaire à la protection de la vie privée serait grandement allégée.

Merci.

(1640)

L'hon. Peter Kent:

Monsieur Geist.

M. Michael Geist:

J'aimerais tout d'abord féliciter votre comité pour les rapports qu'il a produits au cours de la dernière année environ. Je crois qu'ils sont excellents et qu'ils ont alimenté bon nombre de discussions publiques à cet égard. Je crois que c'est vraiment utile.

J'ignore ce que pense le gouvernement à ce sujet. Je sais qu'il a tenu une consultation concernant une stratégie nationale sur les données. Je suppose qu'à certains égards, j'attends de voir ce qui en résultera. En ce qui concerne la stratégie nationale sur les données, pour revenir à ce que j'ai dit, si l'on adopte une approche holistique qui tient compte du fait qu'une partie de ce dont il est question dans ce contexte, inclut des questions liées à la gouvernance des données, à la LPRPDE, au secteur privé, au secteur public et à la Loi sur la protection des renseignements personnels — dont certaines des questions concernant l'application qu'a soulevées maintes fois le commissaire à la protection de la vie privée —, j'en conclus qu'on reconnaît qu'il est extrêmement important de procéder de la bonne façon pour un certain nombre de raisons, dont la possibilité d'utiliser certains des services en ligne que le gouvernement pourrait vouloir établir.

L'hon. Peter Kent:

À quel point le consentement est-il essentiel dans ce processus?

M. Michael Geist:

Le consentement est considéré comme un principe fondamental depuis longtemps. Je crois que l'une des raisons pour lesquelles nous sommes confrontés à certaines de ces questions nous ramène à la question de M. Erskine-Smith, soit pourquoi nous ne pouvons pas trouver un moyen d'informer quelqu'un et essayer de faire les choses de la bonne façon. Le problème, c'est en partie que théoriquement, nous pourrions déterminer si nous pouvons trouver un mécanisme qui permettrait aux citoyens de consentir à ce que le fournisseur de services — dans ce cas, le gouvernement — les informe des services auxquels ils ont droit. Je dirais que nos normes de consentement sont devenues tellement polluées par les normes peu élevées de la LPRPDE que peu de gens ont confiance en ce que signifie le consentement à ce moment-ci.

L'une des choses que nous devons, à mon avis, reprendre, c'est d'essayer de trouver des mécanismes pour que le consentement explicite soit vraiment explicite, éclairé. Nous nous sommes vraiment égarés sur ce plan. Le Règlement général sur la protection des données sera peut-être l'un des éléments moteurs à cet égard.

Le président:

Il vous reste 30 secondes, monsieur Kent.

L'hon. Peter Kent:

Madame Cavoukian.

Mme Ann Cavoukian:

Je suis entièrement d'accord avec Michael. Il a tout à fait raison de dire que la notion de consentement n'existe presque pas tellement elle a été réduite.

Vous voyez, il est essentiel qu'il y ait un contrôle pour le consentement. La protection de la vie privée consiste à contrôler l'utilisation de ses données. Si une personne n'y consent pas de façon positive, affirmative, elle ne sait pas ce qu'il advient de ses données. On ne peut s'attendre à ce que les gens essaient de déchiffrer le jargon juridique contenu dans les conditions d'utilisation et les politiques de confidentialité pour trouver la disposition de non-participation leur permettant de refuser que les données soient utilisées à d'autres fins; la vie est trop courte. Personne ne le fait, mais ce n'est pas parce que les gens ne se soucient pas grandement de la protection de leur vie privée.

Au cours des deux dernières années, tous les sondages d'opinion publique de Pew Internet Research ont montré que la proportion des gens qui sont inquiets à propos de la protection de leur vie privée se situe dans les 90 %. Cela fait bien au-delà de 20 ans que je travaille dans le domaine, et c'est la première fois que je vois qu'une aussi grande proportion de gens se disent préoccupés à cet égard: 91 % des personnes sondées sont très inquiètes pour leur vie privée et 92 % craignent la perte de contrôle sur leurs données.

Un fort consentement positif est essentiel.

Le président:

Merci, madame Cavoukian.

C'est maintenant au tour de M. de Burgh Graham, qui dispose de cinq minutes.

M. David de Burgh Graham (Laurentides—Labelle, Lib.):

Merci.

Anita voulait d'abord poser une question très brève. Je poserai mes questions par la suite.

Mme Anita Vandenbeld (Ottawa-Ouest—Nepean, Lib.):

Merci.

Puisque mon collègue m'a cédé une partie de son temps d'intervention, je vous serais reconnaissante de répondre brièvement.

Je veux signaler à quel point je suis heureuse que nous accueillions encore une fois un spécialiste qui représente l'Université d'Ottawa, qui se trouve ici, à Ottawa. C'est bien que M. Geist soit parmi nous.

Monsieur Geist, vous avez parlé de l'analyse prédictive à laquelle le gouvernement a déjà recours. Il y a l'exemple de la fraude à l'ARC et la capacité de prédire. Si nous devions opter pour la minimisation des données et l'utilisation des données uniquement aux fins pour lesquelles elles ont été recueillies, cela empêcherait-il le gouvernement d'utiliser ce type d'analyse prédictive?

(1645)

M. Michael Geist:

Pas nécessairement. Je vais commencer par cela. Pensez à la controverse qu’on a vue l’an dernier dans l’affaire de Statistique Canada et des données bancaires. J’ai pensé qu’une des véritables faiblesses de Statistique Canada était son incapacité à démontrer que l’organisme ne pourrait pas atteindre ses objectifs s’il ne collectait pas des quantités massives de données bancaires des Canadiens. De même, par rapport à votre question, je suppose que cela dépend. Si des preuves démontrent que la quantité de données actuelle ne permet pas une aussi grande efficacité qu'avec un plus grand volume de données, il faut alors en tenir compte dans l’analyse coûts-avantages. Il pourrait être sensé d’en collecter plus, dans certains cas, mais je pense qu’il vous incombe de faire cette analyse avant même de collecter des données en disant: « Plus nous avons de données, mieux c’est. »

Mme Anita Vandenbeld:

Merci.

M. David de Burgh Graham:

Monsieur Geist, je veux d’abord vous remercier de votre commentaire sur l’accès à Internet. Actuellement, dans ma circonscription, comme je l’ai indiqué à maintes reprises sur de nombreuses tribunes, moins de la moitié de la population a une connexion à 10 mégabits par seconde ou plus rapide. Encore aujourd’hui, dans ma circonscription, beaucoup ont un accès par satellite ou même par ligne commutée. Nous en avons assez d’être laissés pour compte dans ce dossier; je vous remercie d’avoir soulevé ce point.

En ce qui concerne la collecte de données, comment peut-on prévoir, définir et déclarer quelles données sont nécessaires ou non? On dit qu’on ne collecte que le nécessaire. Comment est-ce déterminé?

Mme Ann Cavoukian:

Puis-je prendre la parole?

M. David de Burgh Graham:

N’importe qui peut répondre.

Mme Ann Cavoukian:

Ce qu’il faut savoir, lorsqu’on collecte des données du public, c’est que les gens ne fournissent pas leurs renseignements personnels pour que vous les utilisiez à votre guise. Ils vous les donnent pour une raison précise. Ils doivent payer leurs impôts; c’est obligatoire. Ils en sont conscients. Ce sont des citoyens respectueux des lois. Ils vous donnent les renseignements nécessaires, mais cela ne veut pas dire pour autant que vous — le gouvernement — pouvez les utiliser comme vous voulez. Ils vous les donnent à des fins précises. C’est le principe de la spécification des finalités, de la limitation de l’utilisation. Vous êtes tenus d’utiliser les renseignements uniquement aux fins précisées. C’est un principe fondamental de la protection des renseignements personnels et des données. Les données à caractère personnel, qui sont de nature délicate, doivent servir aux fins prévues.

Michael a mentionné la débâcle lorsque Statistique Canada voulait obtenir les données financières de tout le monde auprès des banques. Vous plaisantez? Je suis certaine que vous êtes conscients de l’indignation que cela a suscitée. Ils voulaient collecter les données de 500 000 ménages. Multipliez cela par quatre. C’est totalement inacceptable.

Vous devez indiquer très clairement comment vous comptez utiliser les données et obtenir le consentement pour cette fin précise.

M. David de Burgh Graham:

C’est exactement à cela que je voulais en venir.

Je veux revenir sur quelque chose qui s’est produit récemment aux États-Unis.

Récemment, l’Electronic Frontier Foundation — ou EFF — a découvert que les systèmes RAPI, les systèmes de reconnaissance automatique des plaques d’immatriculation, forment un réseau aux États-Unis et échangent des informations sur les déplacements des gens au pays, ce qui n’est manifestement pas ce à quoi ces appareils devaient servir.

Où se situe la limite entre collecte de données volontaire et involontaire? Par exemple, devriez-vous être informé si un système RAPI enregistre votre numéro de plaque d’immatriculation lors de votre passage? Si oui, devriez-vous avoir un droit de retrait en bloquant votre numéro de plaque, sachant que ce n’est pas la raison d’être de ce système et que c’est illégal, à bien des égards? Où se situe la limite pour ce genre de choses?

J’ai seulement une minute, environ.

Mme Ann Cavoukian:

Les plaques d’immatriculation ne sont pas censées être utilisées à cette fin. Elles ne sont pas censées servir à surveiller vos déplacements. C’est ainsi que la surveillance prend une ampleur considérable.

J’ai une petite histoire cocasse à raconter. Steve Jobs, le fondateur d’Apple, évidemment, avait l’habitude d’acheter une nouvelle Mercedes blanche tous les six mois, moins un jour. Il retournait alors son véhicule et en achetait un autre identique. Pourquoi? Parce qu'à l’époque, en Californie, la plaque d’immatriculation n’était pas obligatoire; les gens avaient six mois pour immatriculer leur véhicule. Il ne voulait pas être suivi. Donc, tous les six mois, moins un jour, il retournait le véhicule et en achetait un autre, et ainsi de suite.

Ce n’était qu’un exemple. Les gens ne veulent pas être suivis. Ce n’est pas la raison d’être des plaques d’immatriculation. Il faut recommencer à utiliser les renseignements personnels aux fins prévues. Voilà l’objectif.

M. David de Burgh Graham:

D’accord.

Si on ne centralise pas, dans une certaine mesure, qu’on maintient le cloisonnement actuel qu’on voit au gouvernement et qu’on n’améliore pas la convivialité, quelle est l’utilité de tendre vers un gouvernement intelligent?

Mme Ann Cavoukian:

Eh bien, « gouvernement intelligent » ne signifie pas qu’il faut identifier tout le monde et suivre leurs activités. En tout respect, ce n’est pas ce qu’on entend par « gouvernement intelligent ». Si c’est la définition qu’on lui donne, alors il n’y a plus de liberté. Ce ne sera plus une société libre et ouverte. Il faut s’y opposer. On entend par là qu’il faut assurer la prestation de services modernes à un grand nombre de personnes tout en respectant leur droit à la vie privée. On peut faire les deux; cela doit être l’objectif.

Le président:

Merci. Le temps est écoulé.

Le prochain intervenant est M. Angus, pour trois minutes, encore une fois.

Avant que vous ne commenciez, je précise que nous avons un peu de temps. La sonnerie se fera seulement entendre à 17 h 15. Nous poursuivrons la réunion jusqu’à 17 h 5, environ. Donc, prenez votre temps. Je pense que nous avons assez de temps pour que tout le monde puisse terminer.

Allez-y, monsieur Angus.

(1650)

M. Charlie Angus:

Merci.

À l’opposition, une de nos préoccupations au fil des ans portait sur l’idée de donner plus d’outils à la police, car si on lui en fournit, elle les utilise. Mon collègue, M. Erskine-Smith, laisse entendre que si nous obtenons les données et les renseignements personnels de tout le monde, le gouvernement pourra les aider en leur envoyant de l’information.

Je siège à l’opposition depuis 15 ans, et j’ai souvent vu des gouvernements utiliser ces ressources pour faire la promotion d’un formidable plan de lutte contre les changements climatiques ou d’une excellente prestation fiscale pour enfants. Personnellement, je trouve très préoccupant que vous ayez les données de tout le monde, car cela vous donnerait la possibilité de diffuser de tels messages dans les mois précédant une élection.

Je représente une région rurale où beaucoup de gens ont très difficilement accès à Internet, mais on dit pourtant aux personnes âgées que les formulaires papier ne sont plus acceptés et qu’ils doivent présenter des demandes en ligne.

Nous obligeons les citoyens à prendre le virage numérique. Les citoyens sont obligés d’utiliser des moyens numériques pour communiquer avec le gouvernement, mais ils ne veulent pas que le gouvernement communique avec eux par la suite. Donc, quelles protections devons-nous mettre en place pour limiter la capacité d’un gouvernement d’utiliser cette quantité phénoménale de données pour faire de l’autopromotion au détriment, sans doute, des autres partis politiques?

M. Michael Geist:

Je peux commencer.

Vous avez soulevé deux enjeux distincts. D’abord, le fait qu’on oblige les gens à faire le virage numérique, un enjeu que nous avons déjà abordé brièvement. Je pense qu’il est frappant de voir que cet enjeu est soulevé par les députés des deux côtés, ce qui est le cas depuis de nombreuses années. J’ai comparu devant divers comités et nous avons discuté du problème de l’accès. Je dois avouer que je trouve toujours aussi mystérieux qu’on n’ait pas réussi à progresser plus efficacement pour combler le fossé numérique...

M. Charlie Angus:

Il existe toujours.

M. Michael Geist:

... qui perdure. Une partie de la solution consiste à affirmer que tous ont besoin d’un accès abordable. Voilà ce qu’il faut faire, et il faut prendre un engagement en ce sens.

En outre, essentiellement, vous avez parlé de ce qui se produit lorsque les données sont utilisées à des fins bien différentes des attentes des gens ou de ce qu’ils avaient prévu. Dans le secteur privé, on dirait que c’est une atteinte à la vie privée. Vous collectez les données en m’informant de l’usage que vous en ferez. Si vous les utilisez ensuite à des fins pour lesquelles vous n’avez pas obtenu le consentement adéquat, je peux alors, théoriquement, prendre des mesures contre vous ou porter plainte, à tout le moins.

Une partie du problème — et cela nous ramène même à la discussion avec M. Baylis —, c’est qu’à l’échelon fédéral, nous n’avons pas encore de lois assez étoffées pour empêcher que les données soient utilisées à mauvais escient. Au fil de nombreuses années, en particulier à l'époque où l’on discutait de l’accès légal et d’autres choses du genre, on revenait très souvent à l’idée qu’il faut absolument utiliser les données que nous avons. On trouvera toujours une raison pour le faire. Je pense qu’il faut à la fois établir un ensemble de règles et des cadres pour assurer la mise en place de mesures de protection appropriées accompagnées d’une surveillance adéquate. En fin de compte, je pense que vous devez veiller à ce que les gouvernements, comme les entreprises, reconnaissent qu’ils causent un tort considérable à l’écosystème de l’information lorsqu’ils utilisent les données de façon trop agressive, ce qui a pour effet, à terme, de saper la confiance du public, non seulement à leur égard, mais aussi à l’égard des gouvernements en général.

M. Charlie Angus:

C’est aussi une question de démocratie, parce que même s’ils disent avoir l’intention d’obtenir le consentement et que 10 % de la population le donne, ils obtiennent tout de même les informations, peut-être même de bons renseignements et de bonnes nouvelles qui pourraient être à leur avantage sur le plan démocratique.

Il y a un enjeu distinct dont nous n’avons pas parlé, je pense, soit la nécessité de protéger l’égalité démocratique des citoyens, tant ceux qui choisissent de donner leur consentement que ceux qui ne le donnent pas. S’ils ont affaire avec le gouvernement, c’est parce qu’ils n’ont pas le choix et parce qu’ils doivent régler un problème avec leur carte d’assurance sociale ou avec l’ARC, par exemple. Voilà pourquoi ils les obtiennent; l’information n'est pas fournie sans raison.

Pour moi, c’est semblable aux cases qu’il faut cocher pour donner son consentement avec les entreprises du secteur privé. Si le gouvernement utilisait cela, il s’en donnerait à coeur joie jusqu’à l’élection.

M. Michael Geist:

Je pense que vous avez raison. Je pense que le consentement demeure très faible, mais il convient de reconnaître — et je sais que le Comité a aussi discuté de cet aspect — que nos partis politiques ne sont toujours pas visés par de telles règles de protection des renseignements personnels.

M. Charlie Angus:

Voulez-vous que cela figure au compte rendu?

Des voix: Ha, ha!

M. Michael Geist:

Quant à l’idée d’affirmer qu’il s’agit d’une question de démocratie, oui, c’est une question de démocratie. Cela pose véritablement problème que nos partis politiques puissent collecter des données sans être tenus de respecter des normes en matière de protection de la vie privée semblables à celles qu’on impose à toute société privée.

Le président:

Merci, monsieur Angus.

Il nous reste deux intervenants, puis nous arrivons à la fin de la réunion.

Nous avons Mme Anita Vandenbeld et M. Picard.

(1655)

M. Michel Picard (Montarville, Lib.):

Je cède la parole à Mona.

Le président:

Allez-y. [Français]

Mme Mona Fortier (Ottawa—Vanier, Lib.):

Merci, monsieur le président.

J'ai deux questions à poser.

Nous avons abordé ce point brièvement, mais il est important de le comprendre. La collecte de données et l'accès à celles-ci sont perçus négativement par certaines parties de la population canadienne. Il est dommage que certains de ces outils, dont des travaux mis en œuvre par Statistique Canada, soient utilisés par des partis politiques pour faire peur aux Canadiens et aux Canadiennes. Nous parlons ici des tiers partis.

Comment pouvons-nous gagner la confiance des Canadiens et des Canadiennes en vue de mettre en vigueur certaines de ces mesures qui ont comme but, ultimement, de permettre aux Canadiens d'accéder au gouvernement et de leur offrir des services? [Traduction]

Mme Ann Cavoukian:

J’aimerais seulement dire une chose. Il y a plusieurs choses que nous pouvons faire, évidemment, mais vous avez demandé comment nous pouvons regagner la confiance du public à l’égard des activités du gouvernement. Respectueusement, je dirais qu’il y a eu l’an dernier une chose qui a miné cette confiance encore plus. La commissaire fédérale à la protection de la vie privée a demandé au premier ministre Trudeau d’inclure les partis politiques dans les lois sur la protection de la vie privée, et il a refusé. Essentiellement, il a choisi de ne pas aller dans cette direction.

C’était extrêmement décevant. Pourquoi les partis politiques ne seraient-ils pas soumis aux lois en matière de protection de la vie privée, à l’instar des entreprises et des ministères? Malheureusement, peu de mesures sont prises pour accroître la confiance à l’égard du gouvernement. Je pense, respectueusement, que c’est un aspect très négatif. Je pense que c’est ce genre de choses...

En outre, M. Trudeau a appuyé Statistique Canada dans ses efforts pour obtenir les renseignements financiers très sensibles du public. Cela a suscité une forte opposition. Cela n’a pas été divulgué, mais les banques ont offert au statisticien en chef de Statistique Canada... Elles ont dit: « Nous allons analyser les données et vous les remettre après avoir retiré tous les renseignements qui permettent d’identifier les personnes. Vous pouvez avoir les données dont vous avez besoin, mais la confidentialité sera protégée puisque nous retirerons les identificateurs. » Quelle a été la réponse de Statistique Canada? « Non, nous voulons les données en format identifiable. » D’après ce qui m’a été dit en toute confidentialité, Statistique Canada voulait faire beaucoup de recoupements avec les données financières très sensibles de la population. C’est totalement inacceptable.

Madame, ce n’est qu’un exemple de ce qui contribue à éroder la confiance plutôt qu’à la renforcer.

Merci. [Français]

Mme Mona Fortier:

Monsieur Geist, que feriez-vous? [Traduction]

M. Michael Geist:

Il m’est difficile de suivre Ann sur ce point. Elle a donné deux exemples. Je vais vous en donner un autre, un très petit exemple qui ne fait pas les manchettes.

J’ai participé activement à l’élaboration de mesures législatives qui ont mené à la création de la liste des numéros de télécommunication exclus et de la loi antipourriel. Les partis politiques se sont toujours exclus eux-mêmes, au nom de la démocratie. Si vous voulez commencer à parler des façons d’assurer le respect, les partis politiques doivent d’abord cesser de s’exempter de l’interdiction de faire des appels indésirables à l’heure du souper et d’envoyer des pourriels.

Je pense que le respect commence par le respect de la vie privée des Canadiens. Il est juste de dire que lorsqu’il est question de restrictions réelles et de la capacité d’utiliser l’information, les partis politiques... Je pense qu’il faut que ce soit tout à fait clair: c’est arrivé sous des gouvernements conservateurs et sous des gouvernements libéraux. Cela ne se limite pas au gouvernement actuel. Je dirais qu’au fil de l’histoire, les gouvernements ont toujours été plus à l’aise, concernant les questions de protection de la vie privée, d’établir des normes élevées pour tout le monde sauf pour eux-mêmes. On le voit dans les exemptions, on le voit dans l’incapacité, pendant des décennies, de faire une véritable mise à jour de la Loi sur la protection des renseignements personnels, et on le constate dans les exemples que Mme Cavoukian vient de donner. [Français]

Mme Mona Fortier:

Je vous remercie.

Monsieur Picard, voulez-vous poser l'autre question? [Traduction]

Le président:

Merci. Le temps est écoulé.

Madame Cavoukian, monsieur Geist, merci d’être venus. C’est un sujet important. Comme nous l’avons mentionné, nous nous sommes heurtés à cet iceberg à maintes reprises, et il semble prendre continuellement de l’ampleur. Merci du temps que vous nous avez accordé aujourd’hui.

Nous passons à huis clos pendant cinq minutes pour traiter de travaux du Comité.

[La séance se poursuit à huis clos.]

Hansard Hansard

committee ethi hansard 30075 words - whole entry and permanent link. Posted at 22:44 on January 29, 2019

(RSS) Website generating code and content © 2001-2020 David Graham <david@davidgraham.ca>, unless otherwise noted. All rights reserved. Comments are © their respective authors.